据悉,《网络安全审查办法》(以下简称《办法》)已经2021年11月16日国家互联网信息办公室 2021 年第 20 次室务会议审议通过,并经国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部等十三部门同意,于 2022 年 1 月 4 日公布,自 2022 年 2 月 15 日起施行。
本文对《办法》的三个版本——2022 年新发布版、 2021 年新版征求意见稿、2020 年旧版的内容进行对比分析,梳理新版本中的变化,以便看出网络安全和数据安全发展情势的变化。最后,从“教练”视角即企业安全部门出发,为读者研读本《办法》提供一个全新思路和审查启示。
一、主要内容解读
1、一个主线永不改变
国家互联网信息办公室有关负责人表示,网络安全审查是网络安全领域的重要法律制度。本《办法》坚持以《国家安全法》为主线条,由于2021年上位法法规的变化,在《网络安全法》基础上,增加了《数据安全法》《关键信息基础设施安全保护条例》为立法依据。
2、两类主体两类场景
两类主体:
一是关键信息基础设施运营者,延续2020年旧版中对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查的要求,目的在于保护关键信息基础设施供应链安全,维护国家安全。
二是网络平台运营者,对比2021年新版征求意见稿,明确将“数据处理者”改为了“网络平台运营者”,看似缩小但明确提出了主要针对超过100万用户个人信息的对象范围,与《网络数据安全管理条例(征求意见稿)》(以下简称《数安条例》)第十三条第二款内容保持一致,同时未将该条第三款数据处理者赴港上市的条款纳入,但在制度设计上,“赴港上市”依然可能存在“依职权”进行网络安全审查的情况。另外,可以预见《数安条例》第十三条中的“数据处理者”很大程度会更改为“网络平台运营者”。
两类(特别)场景:针对网络平台运营者
一是网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形。根据《数据安全法》第三条第二款,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等;可能影响国家安全等情形,可参考《网络数据安全管理条例(征求意见稿)》第十三条第一款中“实施合并、重组、分立,影响或者可能影响国家安全的”的场景描述。
二是掌握超过100万用户个人信息的网络平台运营者赴国外上市。其中《办法》的修订发生在多家企业赴美上市审查期间,也是本次《办法》一个较为明确的信号。据中国信息安全研究院副院长左晓栋表示:上市相关条款一是为了加强跨境监管合作,完善数据安全、跨境数据流动、涉密信息管理等相关法律法规;二是为了落实《数据安全法》第二十四条“国家建立数据安全审查制度”的要求,而赴国外上市只是可能出现数据安全风险的一种具体情形。
3、三个名词再次提及
核心数据、重要数据、大量个人信息:在审查关注的国家安全风险方面,删除了2021年新版征求意见稿的“针对赴国外上市行为”,新版中则普适性地增加了两条:一是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;二是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。
4、四个新的主要变化
相较于2020年旧版、2021年新版征求意见稿,2022年新发布版其他新的变化主要体现在以下几方面:
一是网络安全和数据安全共同出现,即在第一条、第十条 第七款、第二十一条,表明了网络安全和数据安全不可能绝对剥离,且很多网络安全风险来自数据处理活动,而数据安全风险又与网络安全风险强关联。
二是根据审查实际需要,增加中国证券监督管理委员会作为网络安全审查工作机制成员单位。不仅呼应了国外上市数据安全保护之立法目的,更意在强化后续相关网络安全审查工作的专业性和权威性。
三是完善了国家安全风险评估因素等内容。重点突出了针对核心数据、重要数据、大量个人信息的风险核查,也为《数据安全法》提及的数据安全风险评估提供一个参考方向。
四是涉及特别审查程序的审查周期变长。《办法》明确规定了网络安全审查的两类审查程序的审查周期:(1)一般审查程序,从第十一条、第十二条来看,整个审查周期为60个工作日内;(2)特别审查程序,从十四条来看,审查周期从最初的在45个工作日内、到3个月内、再到最后的“90个工作日内完成”,情况复杂的可以延长。
5、其他类变化
《办法》在以上主要变化以外,其他类变化有:第十六条新增“当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”、第二十一条定义的“网络产品和服务”新增了“重要通信产品”、第二十二条新增了“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定”。
二、透过表面看本质
作为企业或组织的安全部门或合规部门,以“教练”视角看待《办法》,并从审查认知、审查流程、关注重点等三个方面进行阐述。
1、审查认知
从以上主要内容解读可推知,主要围绕两类主体:关键信息基础设施运营者和网络平台运营者。而两类(特别)场景又都是针对网络平台运营者:一是网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形,二是掌握超过100万用户个人信息的网络平台运营者赴国外上市。
明确了以上两点,即可确定网络安全审查是否与自身相关。针对以上第一类场景,本文举个简单的例子对第一个场景进行说明。在去年某企业审查期间,网友扒出2015年该企业研究院基于实时生成的移动出行大数据进行分析的文章内容——通过大数据监测国家各部委出行规律,公安部最忙中纪委最低调,不禁让人胆战心惊;因此,网络平台运营者需要做好网络、数据等方面的合规。
而面对第二类场景时,赴国外上市是一个系统性工程,安全审查其实是其中很小一部分,在此过程中也需关注2019年美国《澄清域外合法使用数据法案》(“Cloud法案”)、2018年欧盟GDPR等相关要求;另外上市过程还需审查其他包括股权架构、财务结构、股东背景、资产评估、募集资金投向等因素,因此在关注安全审查的同时需要关注企业原有属性的安全性和可靠性。
2、审查流程
《办法》明确规定了网络安全审查的两类审查程序,即一般审查程序和特别审查程序。其对应的审查流程如图所示。
3、关注重点
一是关注供应链安全。产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险。
二是关注业务连续性。产品和服务供应中断对关键信息基础设施业务连续性的危害,这弥补了之前的规定对此没有足够重视的缺陷。
三是关注政治等因素。将供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险纳入审查范围,这与当前日趋复杂的国家安全形势和网络空间主权斗争密切相关。
四是注重法律法规的衔接。《数据安全法》提及的核心数据、重要数据以及《个人信息保护法》确认的(大量)个人信息这三类数据被窃取、泄露、毁损以及非法利用、非法出境的风险纳入重点审查,这与每个公民的切身利益密切相关;同时引入了《数据安全法》“数据处理活动”,只要其活动影响或可能影响国家安全,都应当接受网络安全审查。
五是针对赴国外上市。尤其是赴境外上市过程中,关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险,纳入审查范围。去年对多家企业启动网络安全审查可以看出种种迹象。另外,已经在国外上市的网络平台运营者,建议自行组织或者委托专业机构对本企业数据处理的合规性,特别是其数据处理是否可能影响国家安全,开展自查。
六是引入兜底机制。其他可能危害关键信息基础设施安全、网络安全和数据安全的情形,也将纳入审查范围。在全球化条件下,国家安全形势和网络空间主权斗争瞬息万变,建立兜底机制,也为此留下空间。
三、总结与启示
《办法》的正式发布,进一步明确了对关键信息基础设施供应链安全保护以及网络平台运营者数据合规的相关要求,为网络安全产业的高质量发展指明了方向。同时也兼顾数据安全,为数据安全审查制度的建立和完善提供有力依据。
一是重视采购招标工作,严格遴选网络产品和服务供应渠道。网络安全产业在落实《办法》要求、支撑和保障关键信息基础设施供应链相关安全方面,可发挥制度参与、技术产品及方案提供、服务支撑三方面作用。
二是提升网络安全、数据安全和个人信息防护能力。随着2021年数据安全元年的开启,电信、金融、医疗、政务、企业等各行各业正紧锣密鼓地开展相关实践。在落实《办法》相关要求、支撑和保障数据安全方面,也可关注以下三方面:
(1)在参与和支撑相关数据安全制度完善方面,企业和行业可重点围绕“数据出境安全评估”、“重要网络安全服务产品和服务目录”、“数据安全审查办法”等方向,加强探索并积累实践案例。
(2)在相关数据安全产品和方案方面,重点开展“数据分类分级管理”、“敏感数据识别”、“数据安全风险评估”、“个人信息安全影响评估”、“数据安全审计”等技术产品方案研发。
(3)在有关数据安全服务支撑方面,强化“数据安全应急处置”、“重要数据灾备与恢复”、“数据溯源取证”服务支撑能力和队伍建设等。