从源头上预防把控网络安全风险

从源头上预防把控网络安全风险

——《网络安全审查办法（修订草案征求意见稿）》的亮点及完善

　　没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众利益也难以得到保障。党的十八大以来，我国不断完善网络安全工作顶层设计，有效治理网络空间乱象，筑牢人民群众信息安全防线，取得了一系列瞩目成就。网络安全审查作为维护网络安全、控制网络产品和服务风险的重要手段，在网络信息安全的规范体系中发挥着不可替代的作用。2021年7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》（下称《征求意见稿》），扩大网络安全审查适用对象范围，将相应行业监管机构纳入审查工作机制中，从源头上把控网络运营者采购网络产品和服务以及赴国外上市过程中的风险，将有效维护我国网络信息安全。

　　适用对象范围扩大

　　和2020年生效的《网络安全审查办法》相比，《征求意见稿》扩大了其适用对象的范围，在第六条新增了“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”的规定。该规定旨在对掌握个人信息的企业赴国外上市行为采取更加严格的监管，这有助于用户的个人信息保护以及相关企业网络安全合规体系构建。

　　实际上，“100万用户个人信息”并非首次出现在相关网络安全文件中。2016年6月，中央网络安全和信息化领导小组办公室与网络安全协调局联合发布的《国家网络安全检查操作指南》规定，造成超过100万人个人信息泄露的网站和平台可以认定为关键信息基础设施，并从事后监管角度将其划定为关键信息基础设施的范围。《征求意见稿》采取事前防范视角，对掌握100万用户个人信息的运营者在赴国外上市前提出了网络安全审查要求，是其“事前审查与持续监管”宗旨的集中体现。

　　此外，100万个人信息的量级也体现网信办对运营者的从严管控。中国互联网络信息中心发布的第47次《中国互联网络发展状况统计报告中》显示，截至2020年12月，我国网民规模达9.89亿，互联网普及率达70.4%。在网络和信息服务高度普及的当下，已达到上市规模的网络服务运营者必定掌握着远多于100万用户的个人信息，触发网络安全审查条件的门槛越低，意味着更多甚至全部拟赴国外上市的运营者都要接受网络安全审查。《征求意见稿》第八条规定，申报网络安全审查时，IPO材料也被列为应提交的材料之中。《征求意见稿》第四条明确，在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同国家发改委、工信部、公安部、证券委等单位建立国家网络安全审查工作机制，从源头把控上市过程中可能带来的网络安全风险。

　　“国外上市”“出境制度”协同发力

　　《征求意见稿》对运营者拟上市的区域表述为“国外上市”，而非“境外上市”，但这并不代表网络安全审查的豁免对拟赴香港上市运营者网络安全监管的缺位。从文义角度看，出境比出国范围更广。《中华人民共和国出境入境管理法》第八十九条规定，“出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”由此可见，出境与出国为“包容性评价”关系，出境是出国以及赴其他地区的统称。《征求意见稿》中的“出国上市”仅指赴我国领土范围之外的国家和地区上市，港交所上市暂不包括在网络安全审查的主体范围中。

　　《中华人民共和国个人信息保护法（草案二次审议稿）》第三十八条规定，个人信息处理者因业务等需要，确需向中华人民共和国境外提供信息的，应按照规定进行安全评估、进行个人信息保护认证或与接收方签订标准化合同。根据《中华人民共和国数据安全法》第三十六条的规定，数据出境要经过主管机关的批准。由此，掌握用户个人信息的网络运营者因赴境外上市提供相关数据的行为仍将受到相关规制。该制度与网络安全审查制度可以分别实现对符合标准的拟上市企业的“内”“外”监管，构筑网络安全双重防线。

　　《网络安全审查办法》的溯及力

　　《征求意见稿》第十六条规定，网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为，网络安全审查办公室按程序报批后进行审查。该规定使《网络安全审查办法》颁布并生效后可能具有溯及既往的效力，相应主管部门可直接对影响国家安全的运营者进行网络安全审查，但未明确进行规定。

　　通常情况下，为了保障法的确定性和可预测性，法律规章均以不溯及既往为原则，但也存在例外。刑法中的从旧兼从轻、民法中对合同效力的有效解释，以及行政法中对行政许可的撤销，均产生溯及既往的效力。《中华人民共和国立法法》第九十三条也规定，为了更好地保护公民、法人和其他组织的权利和利益，可以作出特别规定赋予法律溯及既往的效力。

　　《征求意见稿》从公布到颁布再到正式生效，其要经过一段特定周期。在此期间，不排除有关键信息基础设施运营者以及数据处理者赴国外上市。因此，从维护国家数据安全角度出发，建议《征求意见稿》明确其溯及既往的效力，真正做到事前和事中对产品和服务安全性、可能带来的国家安全等方面进行审查，维护网络安全稳定，保障人民和国家长久安全。

　　（作者单位：北京外国语大学法学院）