中国信息安全研究院左晓栋:《网络安全审查办法》为什么这样改?

编者按:

2021年7月10日,国家网信办官网发布了《网络安全审查办法(修订草案征求意见稿)》(以下简称《修订草案》),向社会公开征集意见。

正值国家网信办对滴滴等企业实施网络安全审查期间,故《修订草案》的公布引发了社会强烈关注,各方纷纷对比新旧文件的差别。例如,在“关键基础设施运营者采购网络产品和服务”之外,《修订草案》规范的行为还增加了“数据处理者开展数据处理活动”;网络安全审查工作机制成员单位增加了中国证监会。尤其是,《修订草案》对赴国外上市公司作了特殊规定,要求掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,且在申报材料中应提供拟提交的IPO材料。而且,在审查关注的国家安全风险方面,针对赴国外上市行为新增了两条:一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;二是国外上市后核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

上述修订基于何种考虑?代表了什么政策趋势?除正被审查的企业外,已在国外上市或重要数据、个人信息处理者会受到什么影响?企业今后如何化解合规风险?这成为当前业内十分关心的问题。为此,长期参与我国网络安全重大政策法规研究起草工作的中国信息安全研究院副院长左晓栋接受了媒体专访,谈谈他自己的看法。

问:7月10日,网信办发布了《网络安全审查办法(修订草案征求意见稿)》,开始征求意见。之前,网信办陆续公布了滴滴等企业接受网络安全审查的消息,结合此消息,该如何看待此次该办法修订的背景?

左晓栋:《网络安全审查办法》的修订,发生在对滴滴等赴美上市企业审查期间,且其条款针对企业赴国外上市作了明确规定,所以大家很容易将这两件事关联起来,公众的关注点也很容易停留在这上面。事实上,这次修订是一次重大制度设计。

首先,《修订草案》中相关上市要求条款是在落实最近中办、国办最近印发的《关于依法从严打击证券违法活动的意见》精神。该意见要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”。

其次,更重要和更实质性的,《修订草案》是为了落实《数据安全法》第二十四条的要求。该条提出,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。企业赴国外上市只是可能出现数据安全风险的一种具体情形,所以从整体上说,《修订草案》是为了建立数据安全审查制度。

《数据安全法》将在2021年9月1日实施,此次审查办法的修订,表明数据安全法进入实施前紧锣密鼓的准备阶段,法律中设立的各项重大制度将逐步通过法规和细则予以落实。

问:《修订草案》在数据安全法颁布后即刻发布,我们应该怎么看待网络安全审查制度和数据安全审查制度的关系?两者是否合并实施了?

左晓栋:关于网络安全审查制度和数据安全审查制度的关系,社会上有几种疑问。一是:这两个制度是同一个部门实施吗?在网络安全审查制度已经由国家网信部门实施的情况下,数据安全审查制度是否由中央国家安全领导机构的办事机构或国家安全机关实施?二是如果数据安全审查制度也由国家网信部门实施,那么网络安全审查制度和数据安全审查制度会合并实施吗?

这些疑问涉及到部门职责,需要权威部门给出解答。但有几个事实是清晰的。一是中央网信办已经成立了一个新的局,即“网络数据管理局”,最近的新闻中已经披露了该局的一些公开活动;二是《修订草案》所有新修订内容都明确指向了对数据处理活动影响国家安全风险的审查,且在《修订草案》中这本身属于网络安全审查的一部分。这两个事实应该能够部分回答社会上的上述疑问。

另外,从技术上讲,至少有以下三点也是明确的:

(1)《数据安全法》第二十四条提出数据安全审查制度的立法宗旨,就是防范数据处理活动带来的国家安全风险,这与《修订草案》的变动是一致的。

(2)网络安全和数据安全不可能绝对剥离,且很多网络安全风险来自数据处理活动,网络安全审查制度天然应当包括对数据处理活动的审查。即使在修订之前的《网络安全审查办法》中,也已经考虑了“重要数据被窃取、泄露、损毁的风险”。因此,如将两者严格分开甚至放在不同部门,本身有违科学规律。

(3)在国家已经建立了整套网络安全审查制度的前提下,不太可能也没有必要另起炉灶重新建立一个数据安全审查办公室、重新指定技术支撑机构,这在资源上也是浪费,且因技术上的部分重合必然带来职责交叉。

当然,数据安全审查制度的建立是一个需要不断探索的过程,我认为这次只是一个开头,并不表明这个制度已经完全建立起来了、所有的问题都解决了。但是其迈出了最重要的第一步,相信这个制度会随着时间发展不断健全完善。

问:滴滴等企业宣布被审查后,《修订草案》才发布,此刻数据安全法还没有正式生效,对此次审查的法律依据您如何评价?

左晓栋:滴滴被审查之初,的确很多人猜测是因为滴滴被列为了关键信息基础设施。因为网络安全审查的启动条件是关键信息基础设施运营者采购产品和服务时可能影响国家安全。甚至为此还引发了很多“阴谋论”。

事实上,这与滴滴是否被列为关基没有必然关系,因为网络安全审查的启动还有第二种条件,即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全。数据处理活动,显然是一种“网络服务”。

因此,对滴滴等企业启动安全审查,法律依据是充分的。

不同的是,滴滴等这些企业存在的网络安全风险,主要是数据安全风险,且因企业赴美上市而引发。因此,虽然法律依据充分,但举一反三,尽快建立我国数据安全审查制度,针对特定领域的安全风险作出制度性安排,并针对企业赴国外上市等特殊场景明确制度细则,就成了当务之急。

数据安全法的确还没有生效,但审查办法的修订也有一个过程。修订完成开始实施时,一定会和数据安全法的生效日期保持协调,也就是2021年9月1日。

问:《修订草案》中的“数据处理者”适用于哪些企业?《修订草案》通过后,已经在境外上市的互联网企业是否还需要进行网络安全审查?还有哪些企业在处理数据时要主动申报网络安全审查?

左晓栋:应当从数据安全法的实施范围出发去理解“数据处理者”。《数据安全法》规定,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。这意味着,所有涉及上述数据处理活动的主体,只要其活动影响或可能影响国家安全,都应当接受网络安全审查。从这个角度而言,修订后的网络安全审查办法的规范对象较广。

当然,对实施范围的理解也要结合网络安全审查办法的特性。网络安全审查是一种重要的威慑手段,既然是“威慑”,那就不可能轻易、频繁使用。所以,虽然没有规定哪类数据处理活动一定可以豁免网络安全审查,但也不可能每一次的数据处理活动都要进行审查。但我个人认为,今后在这个问题上有必要制定进一步的细则。《修订草案》第六条规定,掌握超过100万用户个人信息的运营者赴国外上市要申报网络安全审查,这是一种明确的启动条件。但其他情形下数据处理活动进入网络安全审查程序的启动条件是什么呢?评判标准是什么呢?这有待后续明确。

至于审查办法的修订稿实施后,哪些企业需要补充申报网络安全审查,或者主动申报网络安全审查,需要等待政策进一步的规定。但可以明确的是,从现在起,所有的数据处理者,特别是掌握了批量个人信息或重要数据的大型互联网企业、公共服务机构,以及已经在国外上市的互联网企业,要自行组织或者委托专业机构对本企业数据处理的合规性,特别是其数据处理是否可能影响国家安全,抓紧开展自查。

即使没有网络安全审查制度,相关企业也应该重视这项工作。因为《数据安全法》第三十条已经对重要数据处理者规定了“定期开展风险评估”的义务。《个人信息保护法(二审稿)》第五十四条也规定了“合规审计”的义务,第五十五条规定了“事前进行风险评估”的义务。

问:《网络安全审查办法》在2020年刚刚印发实施时,很多人认为这个制度是“对外”的,但首次公开实施即针对国内企业。特别是新增的第六条“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这更是针对国内企业,怎么理解这一情况?另外,第六条规定的100万用户的门槛并不高,是否意味着所有赴国外上市的企业都需要接受网络安全审查?

左晓栋:有必要指出,网络安全审查制度的实施从来就不是只“对外”或者“对内”。这个制度一视同仁,目的是建立在开放环境下维护国家安全的能力。所谓“开放环境”,是指在全球化条件下,不可能闭关锁国拒绝国外网络产品和服务,但也不意味着国内产品和服务就没有风险。

另外还要指出,很多人将注意力放在审查滴滴是网络安全审查制度首次彰显威力,这种论断有吸引眼球的嫌疑。加上前期的三年试行、去年一年的正式实施,这项制度已经有四年之久的历史了,怎么可能是第一次实施呢?又怎么可能只盯着国内企业呢?因此,社会上炒作“首次”和“国内企业”毫无意义。

《修订草案》第六条的规定的确针对的国内企业,因为在国外上市是一种特定的可能导致数据安全风险的活动,是当前的一个热点问题,国外企业在美国上市管他干什么?但这不是《修订草案》新增审查内容的全部。甚至根据《数据安全法》第二条的规定,不但境内的国外、国内企业开展数据处理活动要管,甚至境外的数据处理活动如果影响我国国家安全,不排除也要进行审查。

100万的确不是一个高门槛,对目前主流互联网服务而言,用户可以轻易超出100万。特别是企业到了可以上市的程度时,其用户量更为可观。但这个100万的数字并不是从企业经营规模或经济实力考虑的,而是综合考虑了我国互联网产业发展的实际情况、批量个人信息泄露后对国家安全和公共利益带来的影响而确定的标准,主要考虑的是社会影响。实践中,100万用户已经是很大的群体,发生个人信息安全事件的影响已经相当严重,所以说这个门槛是相对合适的。

问:特别审查程序从之前的45个工作日改为了3个月内完成,相当于在过去的基础上增加了半个月时间。这是否意味着审查程序会比过去更为复杂?这会不会对审查的技术准备工作带来挑战?

左晓栋:审查办法修订后,需要审查的情形增多,有的比较复杂,例如在国外上市这种情况。这次审查机制成员单位增加了证监会,针对的也是这类情况。因此,特别审查程序的时间需要适当延长。

出于效率的考虑,常规审查程序的时长没有变化。所以总体而言,审查程序没有本质变化。

但也要看到,《修订草案》毕竟扩展了数据安全审查内容,所以在具体的审查标准、技术手段、工作流程等方面,应当会做一些新的准备。

当然,一些人可能会关心,将来审查办或审查技术与认证中心是不是会“忙不过来”?新增的工作肯定会有,但我认为也不至于出现忙不过来的情况。这里面可能有个认识上的误区。如前所述,“审查”是一种非常规手段,不是“审计”,不是“评估”,不会事事审、时时审。

标签: