本月中，美国商务部宣布对华为的禁令升级，中方的反制手段成为了接下来的焦点之一。此时，有不少人将目光投向了一个将于 6 月 1 日正式实施的新法规——《网络安全审查办法》（以下简称“审查办法”）。

　　作为 2017 年实施的《网络产品和服务安全审查办法（试行）》的升级版，其最早在今年4月发布。

　　根据官方介绍，这是一项与网络安全法相配套的重要办法，会重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。关键信息基础设施运营者，应当在与产品和服务提供方正式签署合同前申报网络安全审查。　　

　　审查办法全文 14 条，只有 2000 余字，联合签发部门却多达 12 个，对于科技产业尤其信息产业从业者来说，需要额外关注。　　

　　不过在数据法律学者、上海交通大学数据法律研究中心执行主任何渊看来，它的到来并不突然。　　

　　过去几年，何渊一直在研究和比较中国与国际的数据安全立法，并参与到国内多家科技公司的数据合规体系建设中。在接受 DeepTech 采访时，中国和国际上其他国家如何发展自己的数据安全法律体系，成为他解读该办法的出发点。　　

　　他特别强调的是，要真正理解办法的出台，需避开将其视为特定事件反制手段的误区，取而代之的是将重点放在三个关键词上：关键信息基础设施、供应链的安全、国家安全。　　

　　这三个关键词对应着三个变化，面向更加开放的中国市场，这些变化正在指明国外、国内科技企业，在通往数据安全、网络安全的道路上，哪些是坑，哪些是灯。　

　　“对于企业来说，合规会变成一个‘合则生，不合则亡’的问题”，他说。　　

　　DeepTech：如何理解《审查办法》的出台背景？　　

　　何渊：这个办法并不是一个全新、突然出现的产物，而是有“前身”的，是对此前方案的提升，即对《网络安全法》和《国家安全法》的进一步落实。前身是 2017 年实施的《网络产品和服务安全审查办法（试行）》的升级版，这两部法律是依据。　　

　　DeepTech：有说法说这是针对华为事件的一种反制。　　

　　何渊：现在一些媒体解读审查办法会是一种反制，我个人觉得这种解读是有问题的。　　

　　从我个人的角度来说坚决反对中国去这么做的，因为我前面已经下了一个结论，这是不符合中国国情的，只有全球化，包括贸易的全球化，才是最符合中国的根本利益。　

　　所以，声称网络安全审查办法要去针对某个具体的企业，某个具体的行业，我并不认同。　　

　　它其实是一直在计划内的一个产物，只是立法需要各个部委之间要形成一个共识，需要时间，往前追溯它的形成都是一步一脚印的，现在刚好在这个时间点推出。　

　　DeepTech：一个关键的变化是从技术的自主可控转变为供应链安全，但是这两个部分应该是有交集？　

　　何渊：肯定是有交集，但是为什么要这样改？　

　　认为中国的立法者其实已经意识到这是一个问题，即强调自主可控其实可能是不太能实现的，最起码这是不经济的，因为技术都需要进行分工，每个国家在某种技术上可能都有优势，光刻机就是一个典型。再如 5G、人工智能技术，也不可能中国全都拥有。　

　　DeepTech：它是此前法规的延续和聚焦，但是不同于以往的是，它参与的部门数量却非常之多？　

　　何渊：是的，基本上主要的部委都参与了，甚至包括央行、商务部等等，一般很少会有这样一个程度，所以这个《办法》会涉及很重要的一个制度。

　　DeepTech：涉及关键信息基础设施的，无论中资还是外资公司，都需要自己去衡量需不需要提交审查，这种流程的逻辑是什么？

　　何渊：原来的做法我们叫做政府的规制，但现在特别提到的一个概念是治理的现代化。慢慢地要让市场主体决定，这可能也是未来非常大的一个变化，即企业自己要承担起这个责任，行判断，或者称为发挥市场的更重要作用，市场主体自行决定要不要申报。　　

　　但这后面还跟着一句话，叫做事后强监管，相较于原先的事前监管，事前事中给企业更多的自由，你自己来判断，但是如果出问题，对不起，事后要强监管，也可能处罚的力度就会很大，目前审查办法因为法律效力的层级问题，无权规定很多的罚则，基本还是沿用《网络安全法》和《国家安全法》。　　

　　从法律的角度来说，我觉得应当积极吸收欧盟、美国的一些关于事后处罚的经验，尤其是合作治理的理论，这种事后监管模式在网络安全领域是重要趋势。　　

　　未来，这种趋势可能全球都会比较普遍，不仅美国这么做，欧盟其实也会去这么做。　　

　　近年来我们也看到，诸如欧盟对 Facebook 动辄数亿美元的处罚，全球的处罚额度都会越来越高，预示强监管时代必然来临，对于企业来说，数据合规就会变成一个“合则生，不合则亡”的问题。