近日,國家網際網路資訊辦公室(以下簡稱“網信辦”)釋出了《關於<網路安全審查辦法(修訂草案徵求意見稿)>公開徵求意見的通知》(以下簡稱《徵求意見稿》),對《網路安全審查辦法》內容提出了重要修訂。從此次修訂的變化,能夠看出網路安全和資料安全發展情勢的變化,也可讀出其對資料安全政策和產業的影響。
一、內容修訂情況:一條主線
此次《徵求意見稿》相比之前的《網路安全審查辦法》,其核心修訂,也是最為重要的內容變化是加強了對資料安全的關注和規範。具體表現在以下三個方面。
一是將資料安全法增加為立法依據。《徵求意見稿》第一條規定:“依據《中華人民共和國國家安全法》《中華人民共和國網路安全法》《中華人民共和國資料安全法》,制定本辦法”,將《中華人民共和國資料安全法》增加為制定依據,直接表明了本次修訂的主旨就是透過網路安全審查制度、機制加強對資料安全相關行為的規範。這不僅僅是法規間銜接的要求,更是切實強化資料安全的必然舉措。
二是將資料處理活動作為重點規範物件。《徵求意見稿》第二條規定:“資料處理者(以下稱運營者)開展資料處理活動,影響或可能影響國家安全的,應當按照本辦法進行網路安全審查”。可見,下一步《網路安全審查辦法》的管理範圍將有很大擴充,其在規範主體、規範行為兩大方面都有擴大。結合近期國家主管部門先後宣佈對多家網際網路廠商進行審查的情況來看,辦法修訂生效後,也極有可能成為主管部門加強資料安全執法行動在操作層面的主要法律依據。
三是對資料運營者作出了定量描述。《徵求意見稿》第六條規定:“掌握超過100萬使用者個人資訊的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查”。從該條規定可以看出,《徵求意見稿》將掌握一定數量個人資訊的企業赴國外上市,作為應當進行網路安全審查的一種資料處理行為,而且從相關修訂條文比重來看,滿足特定條件的國內企業赴國外上市很可能成為下一步網路安全審查的重點規範。
此外,《徵求意見稿》還涉及到其他重要內容補充修訂,如:將證監會增加進審查機制、審查提交材料增加了“擬提交的IPO材料”、特別審查程式由45天延長至3個月等。可見,這些修訂內容,也均與資料安全的修訂直接相關。
二、內容修訂分析:三個要素
《徵求意見稿》立足資料安全主線,其修訂內容還充分反映了與資料安全存在密切關聯的三個邏輯要素。
(一)資料安全審查——明確機制
首先從法理上看,加強資料安全管理、完善資料安全審查機制是落實《資料安全法》的重要步驟。6月10日頒佈的《資料安全法》即將於9月1日正式生效施行,此次《徵求意見稿》將資料安全相關內容作為修訂重點,無疑是資料安全法正式實施前的一項重要制度準備。《資料安全法》第二十四條明確規定:“國家建立資料安全審查制度,對影響或者可能影響國家安全的資料處理活動進行國家安全審查”,儘管此處的“國家安全審查”的方式和範圍尚不得而知,但網路安全審查作為國家安全審查的重要組成部分應該是沒有異議的。將資料安全納入網路安全審查範疇,在具體操作中也符合管理效率原則和網路安全保障工作實情。
其次從資料安全的雙重含義來看,在審查中不應偏廢。理解資料安全應包含兩層含義,一個是資料資訊本身的安全屬性要求,即通常所說的機密性、完整性、可用性、真實性、可控性等屬性,可稱之為直接安全或內在安全;另一個是因對資料的不當處理行為而帶來的安全風險,可以稱之為間接安全或外在安全。《網路安全審查辦法》此前對於第一種情形即資料的內在安全性已經作出了規定,如第九條第一款“產品和服務使用後帶來的關鍵資訊基礎設施被非法控制、遭受干擾或破壞,以及重要資料被竊取、洩露、毀損的風險”。而此次《徵求意見稿》對於資料安全的補充修訂,很大程度上是對資料安全的第二層含義,即外在安全性的貫徹。可見,《徵求意見稿》對資料安全進行的補充修訂,其實質上是完善了資料安全的定義涵蓋,而非無根據的隨意擴充套件。因此從本質邏輯上看,資料安全的兩個方面均是安全審查的重要物件,二者是一致的也是不可分割的。
(二)國外上市——重要審查場景
從《徵求意見稿》內容側重上不難發現,國外上市是其明確列出的資料運營者所從事的、可能影響國家安全的一種主要行為。加強對特定企業赴國外上市的安全監管,不僅是為了落實《關於依法從嚴打擊證券違法活動的意見》政策要求,更是為管控國外上市帶來資料安全風險隱患的客觀需要。
儘管對“國外上市”含義的具體界定還有待進一步明確,而僅從近期主管部門宣佈啟動的幾起網路安全審查來看,企業在國外上市的行為,會極大加劇相關重要資料面臨的安全風險、以及被政治化歪曲利用的可能。
以美國為例,目前美國證券交易相關的管理規定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外國公司問責法案(Holding Foreign Companies Accountable Act)》等,其要求上市公司的核心披露義務主要涉及“財務和管理弱點報告”和“審計底稿”等。這些披露材料乍看似乎與事關安全的重要資料、核心資料等沒有太直接的聯絡,深入分析則會發現,安全隱患主要來源於兩個方面。一方面,要求披露的內容本身可能包含某些安全敏感資料,如“審計底稿”通常包括被審計物件的組織機構及管理人員結構、重要合同、董事會會議紀要等,其中可能會包含我國行業資料和消費者資訊,能反映我國關鍵資訊基礎的執行等情況,若任由美國收集難免影響到我國家安全利益。另一方面,也是風險最大的情況,即在美上市的公司除了負擔直接的資訊披露義務之外,還有面臨各種調查的潛在風險。美國建立了相對體系化的審查調查機制,主導部門包括商務部(貿易調查)、司法部(不正當競爭調查、海外反腐敗調查、智慧財產權調查等)等,一旦上市公司被納入相關的審查調查,其調查的內容範圍就極有可能擴大,也就會加大相關重要資料暴露或被政治化歪曲等的風險。
(三)個人資訊——界定審查物件
《徵求意見稿》對於資料安全的修訂,還有很重要的一條線索就是個人資訊保護。從字面上理解,似乎資料安全和個人資訊保護的界線相對清晰,前者屬於公法範疇,側重保護公共利益;後者屬於私法範疇,側重保護個人隱私。但二者的密切聯絡也不容忽視。
首先,掌握個人資訊的數量,將直接影響資料運營者的行為性質。正如前所述《徵求意見稿》第六條規定了:“掌握超過100萬使用者個人資訊的運營者赴國外上市”的時候,要必須向網路安全審查辦公室申報網路安全審查。可見,按照《徵求意見稿》該條內容理解,個人資訊的定量情況將直接決定著資料運營者的海外上市行為是否影響國家安全,是判定資料運營者在海外上市能否觸發網路安全審查的先決條件。
其次,個人資訊在一定條件下,將直接轉化為重要資料。因為二者在某些情況下存在一定的交集,如特定人物的個人資訊、特定群體個人資訊的匯聚等都有可能使個人資訊轉化為重要或核心資料,這些資料因能夠反映地區或行業、設施執行情況,從而必須納入國家安全的視野範圍加以保護。例如網路上曝光的對某些國家部委工作人員上下班出行情況的分析,這些出行資訊具有很強的個人屬性,本屬於個人資訊的範疇,但對這些資訊進行匯聚和分類分析,就成了能夠反映國家重要機構執行情況的資料,就不能再單純視作個人資訊了。在此意義上也可看出,個人資訊與資料安全關係密不可分。
三、影響分析:構建資料安全供需發展新格局
當前“十四五”規劃已經開局,將《徵求意見稿》與即將生效的《資料安全法》結合起來並置於“十四五”新發展格局大背景中進行思考,對經濟社會發展、產業提振將有更加實際的意義。“十四五”規劃明確部署了新發展格局的實施路徑:“把實施擴大內需戰略同深化供給側結構性改革有機結合起來,以創新驅動、高質量供給引領和創造新需求,加快構建以國內大迴圈為主體、國內國際雙迴圈相互促進的新發展格局”,此次網路安全審查制度的修訂,也將從供給、需求兩個方面對資料安全發展帶來積極影響,推動我國資料安全行業發展新格局的加速構建。
(一)強化資料安全供給:技術創新、管理機制缺一不可
資料安全的供給側主要偏重於構建資料安全保障能力,包括管理規範、技術手段、管理隊伍等要素供給能力。
從管理規範供給能力看。一方面現有的資料安全管理法規政策之間將進一步銜接,從國家近期相繼釋出《關於依法從嚴打擊證券違法活動的意見》(兩辦)、《徵求意見稿》、《數字經濟對外投資合作工作指引》(商務部、中央網信辦、工信部聯合印發)等重磅政策法規不難看出,資料安全與證券跨境監管、關鍵基礎設施採購等的關係正在更加緊密地協同。另一方面,資料安全管理法規體系的健全工作將進一步提速,覆蓋面也將逐步擴充套件,如關鍵基礎設施資料處理活動風險評估管理、境外發行證券的保密和檔案管理、跨境資訊提供機制與流程管理、跨境審計監管合作等。
從技術手段供給能力來看。將有力促進資料安全相關技術產品和服務能力的創新發展,圍繞不同層面需求,資料安全產品技術和服務供給能力將進一步深化。在滿足企事業單位自身資料安全保護需求方面,重點發展方向包括:資料防洩露、資料脫敏、資料庫防火牆,以及以資料資產識別、管理為核心的資料安全管理平臺等;在滿足主管部門監管需求方面,重點發展方向包括:資料分級分類管理、敏感資料發現、資料安全風險評估、資料安全審計、資料追蹤溯源等;在滿足公共資料安全能力提升需求方面,重點發展方向包括:資料安全災備、資料安全培訓、資料安全運營等服務保障能力。
從管理隊伍供給能力來看。資料安全在審查工作中的重要性日益增強,管理隊伍的專業化水平將亟待同步提升。與之相適應的資料安全隊伍供給體系重點方向將包括:資料安全類專業人才培養體系、選拔任用機制、培訓實戰體系、績效考核機制等。
(二)擴充資料安全需求:多管齊下應用引領
資料安全的需求側主要偏重於建立資料安全應用體系,可歸納為三個“需求”:管理需求、合規需求和攻防需求。未來圍繞資料安全需求的挖掘,不僅是主管部門引導資料安全健康有序發展的重要依據,也是深化資料安全技術創新和壯大資料安全產業能力的重要方向。
1、管理需求
對資料要做到“心中有數”。“底數不清”往往是出現資料安全問題的重要根源之一,明確資料安全管理需求的重點就是要做到對自身資料及其安全情況有較為清晰的瞭解。這類需求將主要圍繞資料分類、資料分級、資料資產構成分析、資料防護現狀分析等展開。
2、合規需求
資料安全應符合“法規紅線”。網路安全等級保護、關鍵資訊基礎設施保護、保密管理等制度規範,對於資料都提出了相應的安全要求及相應防護手段。除了等保、關基、保密等傳統合規要求之外,針對資料應用的重要典型場景,如工業資料、交通資料、能源資料等,也將成為法規關注的重點需求領域。
3、攻防需求
資料安全當滿足“實戰有效”。資料安全保障手段的最終目的是其能夠化解潛在資料風險或有效防禦資料攻擊。在此類需求方面,除了事中防禦和事後補救手段之外,事前的發現、檢驗需求將成為資料安全建設需求的重中之重,與之相對應的資料安全態勢監測、資料安全模擬檢測、資料安全保護實效檢驗等也將日益受到更多關注。
“東方欲曉,莫道君行早”。《徵求意見稿》彙總各方面意見後的最終內容如何,仍需拭目以待。而其對於我國網路安全審查制度的完善、對於社會各界資料安全保護意識提升的影響已經顯現並將持續,資料安全政策法規體系和資料安全技術產業也將以此為契機,迎來發展的新階段。