從《網路安全審查辦法》三版對比看“審查啟示”

據悉，《網路安全審查辦法》（以下簡稱《辦法》）已經2021年11月16日國家網際網路資訊辦公室2021年第20次室務會議審議透過，並經國家網際網路資訊辦公室、國家發展和改革委員會、工業和資訊化部、公安部等十三部門同意，於2022年1月4日公佈，自2022年2月15日起施行。

本文對《辦法》的三個版本——2022年新發布版、2021年新版徵求意見稿、2020年舊版的內容進行對比分析，梳理新版本中的變化，以便看出網路安全和資料安全發展情勢的變化。最後，從“教練”視角即企業安全部門出發，為讀者研讀本《辦法》提供一個全新思路和審查啟示。

1. 主要內容解讀

01

一個主線永不改變

國家網際網路資訊辦公室有關負責人表示，網路安全審查是網路安全領域的重要法律制度。本《辦法》堅持以《國家安全法》為主線條，由於2021年上位法法規的變化，在《網路安全法》基礎上，增加了《資料安全法》《關鍵資訊基礎設施安全保護條例》為立法依據。

02

兩類主體兩類場景

兩類主體：

一是關鍵資訊基礎設施運營者，延續2020年舊版中對關鍵資訊基礎設施運營者採購活動進行審查和對部分重要產品等發起審查的要求，目的在於保護關鍵資訊基礎設施供應鏈安全，維護國家安全。

二是網路平臺運營者，對比2021年新版徵求意見稿，明確將“資料處理者”改為了“網路平臺運營者”，看似縮小但明確提出了主要針對超過100萬使用者個人資訊的物件範圍，與《網路資料安全管理條例（徵求意見稿）》（以下簡稱《數安條例》）第十三條第二款內容保持一致，同時未將該條第三款資料處理者赴港上市的條款納入，但在制度設計上，“赴港上市”依然可能存在“依職權”進行網路安全審查的情況。另外，可以預見《數安條例》第十三條中的“資料處理者”很大程度會更改為“網路平臺運營者”。

兩類（特別）場景：針對網路平臺運營者

一是網路平臺運營者開展資料處理活動影響或者可能影響國家安全等情形。根據《資料安全法》第三條第二款，資料處理包括資料的收集、儲存、使用、加工、傳輸、提供、公開等；可能影響國家安全等情形，可參考《網路資料安全管理條例（徵求意見稿）》第十三條第一款中“實施合併、重組、分立，影響或者可能影響國家安全的”的場景描述。

二是掌握超過100萬使用者個人資訊的網路平臺運營者赴國外上市。其中《辦法》的修訂發生在多家企業赴美上市審查期間，也是本次《辦法》一個最為明確的訊號。據中國資訊保安研究院副院長左曉棟表示：上市相關條款一是為了加強跨境監管合作，完善資料安全、跨境資料流動、涉密資訊管理等相關法律法規；二是為了落實《資料安全法》第二十四條“國家建立資料安全審查制度”的要求，而赴國外上市只是可能出現資料安全風險的一種具體情形。

03

三個名詞再次提及

核心資料、重要資料、大量個人資訊：在審查關注的國家安全風險方面，刪除了2021年新版徵求意見稿的“針對赴國外上市行為”，新版中則普適性地增加了兩條：一是核心資料、重要資料或者大量個人資訊被竊取、洩露、毀損以及非法利用、非法出境的風險；二是上市存在關鍵資訊基礎設施、核心資料、重要資料或者大量個人資訊被外國政府影響、控制、惡意利用的風險，以及網路資訊保安風險。

04

四個新的主要變化

相較於2020年舊版、2021年新版徵求意見稿，2022年新發布版其他新的變化主要體現在以下幾方面：

一是網路安全和資料安全共同出現，即在第一條、第十條 第七款、第二十一條，表明了網路安全和資料安全不可能絕對剝離，且很多網路安全風險來自資料處理活動，而資料安全風險又與網路安全風險強關聯。

二是根據審查實際需要，增加中國證券監督管理委員會作為網路安全審查工作機制成員單位。不僅呼應了國外上市資料安全保護之立法目的，更意在強化後續相關網路安全審查工作的專業性和權威性。

三是完善了國家安全風險評估因素等內容。重點突出了針對核心資料、重要資料、大量個人資訊的風險核查，也為《資料安全法》提及的資料安全風險評估提供一個參考方向。

四是涉及特別審查程式的審查週期變長。《辦法》明確規定了網路安全審查的兩類審查程式的審查週期：（1）一般審查程式，從第十一條、第十二條來看，整個審查週期為60個工作日內；（2）特別審查程式，從十四條來看，審查週期從最初的在45個工作日內、到3個月內、再到最後的“90個工作日內完成”，情況複雜的可以延長。

05

其他類變化

《辦法》在以上主要變化以外，其他類變化有：第十六條新增“當事人應當在審查期間按照網路安全審查要求採取預防和消減風險的措施”、第二十一條定義的“網路產品和服務”新增了“重要通訊產品”、第二十二條新增了“國家對資料安全審查、外商投資安全審查另有規定的，應當同時符合其規定”。

2. 透過表面看本質

作為企業或組織的安全部門或合規部門，以“教練”視角看待《辦法》，並從審查認知、審查流程、關注重點等三個方面進行闡述。

01

審查認知

從以上主要內容解讀可推知，主要圍繞兩類主體：關鍵資訊基礎設施運營者和網路平臺運營者。而兩類（特別）場景又都是針對網路平臺運營者：一是網路平臺運營者開展資料處理活動影響或者可能影響國家安全等情形，二是掌握超過100萬使用者個人資訊的網路平臺運營者赴國外上市。

明確了以上兩點，即可確定網路安全審查是否與自身相關。針對以上第一類場景，本文舉個最為簡單的例子對第一個場景進行說明。在去年某企業審查期間，網友扒出2015年該企業研究院基於實時生成的移動出行大資料進行分析的文章內容——透過大資料監測國家各部委出行規律，公安部最忙中紀委最低調，不禁讓人膽戰心驚；因此，網路平臺運營者需要做好網路、資料等方面的合規。而面對第二類場景時，赴國外上市是一個系統性工程，安全審查其實是其中很小一部分，在此過程中也需關注2019年美國《澄清域外合法使用資料法案》（“Cloud法案”）、2018年歐盟GDPR等相關要求；另外上市過程還需審查其他包括股權架構、財務結構、股東背景、資產評估、募集資金投向等因素，因此在關注安全審查的同時需要關注企業原有屬性的安全性和可靠性。

02

審查流程

《辦法》明確規定了網路安全審查的兩類審查程式，即一般審查程式和特別審查程式。其對應的審查流程如下：

03

關注重點

一是關注供應鏈安全。產品和服務使用後帶來的關鍵資訊基礎設施被非法控制、遭受干擾或者破壞的風險。

二是關注業務連續性。產品和服務供應中斷對關鍵資訊基礎設施業務連續性的危害，這彌補了之前的規定對此沒有足夠重視的缺陷。

三是關注政治等因素。將供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險納入審查範圍，這與當前日趨複雜的國家安全形勢和網路空間主權鬥爭密切相關。

四是注重法律法規的銜接。《資料安全法》提及的核心資料、重要資料以及《個人資訊保護法》確認的（大量）個人資訊這三類資料被竊取、洩露、毀損以及非法利用、非法出境的風險納入重點審查，這與每個公民的切身利益密切相關；同時引入了《資料安全法》“資料處理活動”，只要其活動影響或可能影響國家安全，都應當接受網路安全審查。

五是針對赴國外上市。尤其是赴境外上市過程中，關鍵資訊基礎設施、核心資料、重要資料或者大量個人資訊被外國政府影響、控制、惡意利用的風險，以及網路資訊保安風險，納入審查範圍。去年對多家企業啟動網路安全審查可以看出種種跡象。另外，已經在國外上市的網路平臺運營者，建議自行組織或者委託專業機構對本企業資料處理的合規性，特別是其資料處理是否可能影響國家安全，開展自查。

六是引入兜底機制。其他可能危害關鍵資訊基礎設施安全、網路安全和資料安全的情形，也將納入審查範圍。在全球化條件下，國家安全形勢和網路空間主權鬥爭瞬息萬變，建立兜底機制，也為此留下空間。

3. 總結與啟示

《辦法》的正式釋出，進一步明確了對關鍵資訊基礎設施供應鏈安全保護以及網路平臺運營者資料合規的相關要求，為網路安全產業的高質量發展指明瞭方向。同時也兼顧資料安全，為資料安全審查制度的建立和完善提供有力依據。

一是重視採購招標工作，嚴格遴選網路產品和服務供應渠道。網路安全產業在落實《辦法》要求、支撐和保障關鍵資訊基礎設施供應鏈相關安全方面，可發揮制度參與、技術產品及方案提供、服務支撐三方面作用。

二是提升網路安全、資料安全和個人資訊防護能力。隨著2021年資料安全元年的開啟，電信、金融、醫療、政務、企業等各行各業正緊鑼密鼓地開展相關實踐。因此，在落實《辦法》相關要求、支撐和保障資料安全方面，也可關注以下三方面：（1）在參與和支撐相關資料安全制度完善方面，企業和行業可重點圍繞“資料出境安全評估”“重要網路安全服務產品和服務目錄”“資料安全審查辦法”等方向，加強探索並積累實踐案例。（2）在相關資料安全產品和方案方面，重點開展“資料分類分級管理”“敏感資料識別”“資料安全風險評估”“個人資訊保安影響評估”“資料安全審計”等技術產品方案研發。（3）在有關資料安全服務支撐方面，強化“資料安全應急處置”“重要資料災備與恢復”“資料溯源取證”服務支撐能力和隊伍建設等。