< 上一版     下一版 > 图片 PDF版

《网络安全审查办法》以总体国家安全观为指导防范重点领域安全风险

作者:刘耀华 中国信息通信研究院互联网法律研究中心高级工程师   时间:2022/3/2 11:20:57   字体【
  2022年1月4日,国家互联网信息办公室等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。《办法》以多部重要立法为依据,进一步完善了网络安全审查的对象、范围和关注要素,既是落实我国总体国家安全观、细化国家安全审查制度的重要一环,也是压实主体责任、防范重点场景下网络安全风险的必然举措。
  《办法》体现出多处制度亮点。一是安全审查对象增加,依据《国家安全法》《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》,在之前审查“关键信息基础设施运营者采购网络产品和服务”基础之上,增加了对“网络平台运营者开展数据处理活动”的审查,触发审查的条件均为“影响或者可能影响国家安全”。二是安全风险的判断因素增加,在数据资源日益成为各方博弈对象形势下,对于数据要素的关注度明显提升,如掌握超过100万用户个人信息的网络平台运营者赴国外上市,核心数据、重要数据、大量个人信息的非法泄露、非法出境、被国外控制等因素成为《办法》的重点审查内容。三是增加新的监管机构,根据第4条的规定,中国证券监督管理委员会增加成为新的网络安全审查监管机构。
  《办法》确立的网络安全审查制度与全球主要国家和地区的做法一致。全球主要国家和地区力图通过在多个领域开展安全审查的做法实现维护国家安全的目的,当前越来越呈现出聚焦高端制造业、高技术服务业等新兴战略领域及敏感领域的态势。一方面,供应链安全仍然是欧美主要国家的关注重点。2000年1月,美国率先在国家安全系统中对采购的产品进行安全审查,《国家信息安全保障采购政策》中明确规定,自2002年7月起进入国家安全系统的信息技术产品必须通过审查;2013年11月,美国国防部颁布临时政策,规定国防系统及其合同商采购的产品和服务要经过供应链安全审查。欧盟在新冠肺炎疫情开始之后受到美国提出的“中国威胁论”的影响,重点将外国投资者提供的产品和服务纳入供应链安全审查范围。2020年4月,《欧盟第2019/452号外国直接投资(FDI)审查条例》生效实施,目的在于保护欧洲战略资产,特别是发生异常重大公共卫生危机紧急情况下,通过对外国直接投资进行审查和对第三国资本自由流通进行限制,以保证欧盟战略行业企业免受来自第三国的“掠夺性”收购和投资的影响。另一方面,安全审查过程中,对于数据因素的关注越来越突出。美国外国投资委员会(CFIUS)负责对可能影响美国国家安全的外商投资交易进行安全审查,《2018年外国投资风险评估现代化法案》大幅扩大了CFIUS的审查权,CFIUS不仅具有随时终止交易的权力,而且可以要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等方面。
  《办法》体现国家对非传统安全领域的重视。由于受到技术发展、国际形势变化等客观因素和整体环境的影响,国家安全的内涵和范围在不同时期发生变化。早期的国家安全主要指的是传统领域的安全,包括国土安全、军事安全、情报安全等,如我国1990年的《军事设施保护法》、1993年的《国家安全法》、1997年的《国防法》、2005年的《反分裂国家法》等法律主要规定了对军事设施、反间谍、国土完整等领域的安全保障和工作职责。随着我国在各个领域的高速发展,国家利益在更多方面体现出来,安全形势也变得更为复杂。因此,对国家安全的考虑进入到更为全面也更为深入的程度,通过制定新的立法也成为全面维护各领域国家安全的现实需要。2015年1月23日,中共中央政治局审议通过了以“总体国家安全观”为指导的《国家安全战略纲要》,就国家安全各领域作出宏观协调部署。2015年7月1日,全国人大常委会通过了《国家安全法》,通过基本法律形式确立了“总体国家安全观”的指导地位。“总体国家安全观”既强调要重视传统安全,又强调要重视非传统安全,最初包括了11种安全,并最终系统性地形成了由16种安全构成的新时代国家安全体系重要理论,“网络安全”便是其中的重要安全形式之一。在习近平新时代中国特色社会主义思想的指导下,我国对于“总体国家安全观”的重视突出体现在了立法领域,2016年11月,《网络安全法》制定出台,明确规定要在网络安全领域落实国家安全审查制度,为《办法》的出台奠定了明确的法律依据。
  《办法》是国家安全审查制度在重要领域的落实。网络安全审查并非单独的一套制度体系,而是国家安全审查在网络安全领域的重点体现。为了切实维护总体国家安全,《国家安全法》中明确提出国家负责针对网络信息技术产品和服务等重点领域建立国家安全审查和监管的制度和机制,中央国家机关应当依照法律、行政法规行使国家安全审查职责。为了落实《国家安全法》的相关要求,2016年11月通过的《网络安全法》细化了网络安全领域的具体要求,明确关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当进行国家安全审查,该审查由国家网信部门会同国务院有关部门进行组织。除此之外,其他领域也构建了相关的安全审查制度,如2021年6月通过的《数据安全法》明确国家建立数据安全审查制度,对于影响或者可能影响国家安全的数据处理活动进行国家安全审查;《外商投资法》《反垄断法》《海南自由贸易港法》中明确要对外商投资进行安全审查;《乡村振兴促进法》《种子法》中明确要建立实施种业国家安全审查机制;《生物安全法》中明确国家建立生物安全审查制度;《密码法》中明确要建立密码工作的安全审查机制;《国家情报法》中明确对国家情报工作进行安全审查。在《国家安全法》的统领之下,具体领域构建了本领域的安全审查制度。
  《办法》体现对网络平台运营者主体责任的重点关注。当前社会的网络化进程不断深化,网络已经深刻影响到我国经济发展和民众日常生活,一些大型网络平台甚至已经成为支撑社会运转的数字基础设施。我国网络平台社会数字基础设施的重要性日渐凸显,对国家安全和社会公共利益的影响也逐渐突出,平台作为服务供给者和市场监督者的双重职能特性日渐凸显,平台的某些重点行为也逐渐成为各方关注的重点。如美国由于自身大型平台众多,主要关注国内的反垄断,近年来针对亚马逊、苹果、Facebook、谷歌等科技行业的平台企业展开广泛调查;欧盟由于自身产业发展以中小企业为主,主要关注外部大型企业对本国产业的挤压,《数字市场法》中创新了多种针对“守门人”平台的事前监管手段。具体到我国来看,我国网络平台产业处于发展和上升期,一方面注重抢占国内市场,另一方面也积极开拓国际市场,因此近年来,网络平台运营者选择赴国外上市的数量日益增多。例如,在美上市的中概股企业累计数量已达近三百家,其中约半数为网络平台运营者,仅以2021年上半年为例,就有近40家中概股企业在美上市。网络平台运营者在我国拓展业务的过程中,掌握了大量的个人信息、重要数据,甚至是核心数据,涉及个人隐私、社会公共利益、国计民生和国家安全利益,上市过程中存在将数据提供给境外监管机构的情况,如果不进行相应的评估,潜在风险影响深远。如何在促进企业发展的同时,又实现重点场景下保障国家安全和网络安全的重要目标,迫切需要通过网络安全审查这一制度明确网络平台运营者的主体责任。《办法》在对关键信息基础设施运营者的产品和服务采购活动进行审查的基础上,重点增加了网络平台运营者赴国外上市活动的审查要求。第2条拓展了审查的范围,明确“网络平台运营者开展数据处理活动”也是网络安全审查的关注重点;第7条规定了对大型平台的强制义务,要求“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的硬性要求。
  《办法》最终确立的网络安全审查制度,将数据安全纳入评估重要因素是适应技术发展和国际形势的必然要求。《网络安全法》在2016年出台之后,相关部门为落实第35条国家安全审查制度的要求,最先于2017年5月公布了《网络产品和服务安全审查办法(试行)》,将提高网络产品和服务的安全可控水平,防范供应链安全风险作为主要目标。2020年4月,经试行3年后,国家互联网信息办公室正式印发《网络安全审查办法》,也主要出于确立已经试行成熟的保障供应链安全审查制度的直接目标,针对关键信息基础设施者采购产品和服务明确了网络安全审查的要求。《网络安全法》是制定《办法》的主要立法依据,但《网络安全法》生效之后,技术发展、国际形势发生较大变化,一方面,数据作为生产要素的重要作用越来越引起关注,数据在网络中的核心地位越来越突出,不仅成为互联网经济不断发展过程中的关键驱动因素,同时也成为全球主要国家和地区竞相争夺的重要战略资源,我国已经通过《数据安全法》明确了对数据安全的专门保护;另一方面,网络运营者使用数据的活动多种多样,掌握数据的网络运营者也成倍提升,随之而来的数据泄露、数据非法跨境传输等风险也不断加大。重要立法的出台、整体形势的加速演进对网络安全审查提出了新的要求。通过网络安全审查形式,重点关注重要数据处理活动,提前预知和防范可能存在的安全风险,也成为适应形势发展和现实需求、保障网络安全和国家安全的必然举措。在此背景下,《办法》中对网络安全审查的范围进行了延伸和拓展,在审查关键信息基础设施运营者采购产品和服务的基础上,凸显对数据要素的重视,进一步明确网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查,主要涉及核心数据、重要数据或者大量个人信息等数据类型,同时也关注境外上市过程中存在的数据处理等重点场景。《办法》将数据要素作为网络安全审查制度的具体考量不仅顺应形势,而且对于从实质上保障网络安全非常必要。但即便如此,网络安全审查与《数据安全法》确立的数据安全审查也并非包含与被包含的关系。数据安全审查制度所针对的对象不仅仅限于“网络数据”,针对的场景也不仅仅限于企业的境外上市。因此,未来并不能排除单独针对数据安全审查出台立法的可能性。
  《办法》以“总体国家安全观”为指导,以促进网络安全产品和服务高质量发展、实现高水平安全为导向,以保障网络安全和数据安全为出发点和落脚点,坚持防范网络安全风险与促进先进技术应用相结合,充分发挥网络安全审查基础保障作用,服务国家网络安全重大战略布局。未来,将有助于推动实现关键信息基础设施运营者采购网络安全产品和服务、网络平台运营者开展数据处理活动的安全性、开放性、透明性、来源的多样性,以及供应渠道的可靠性,有助于防范因政治、外交、贸易等因素导致供应链被迫中断的风险,切实为国家安全、数字经济发展和社会稳定运行筑牢网络安全防线。
  ● 责任编辑:刘海燕
< 上一篇     下一篇 >
Copyright © 2014-2024 民主与法制网电子报、杂志 www.mzyfz.com 版权所有.
京ICP备12043066号    Powered by mzyfz.com