《网络安全审查办法(修订草案征求意见稿)》解读
2021-08-03
来源:安全牛
近日,国家互联网信息办公室(以下简称“网信办”)发布了《关于<网络安全审查办法(修订草案征求意见稿)>公开征求意见的通知》(以下简称《征求意见稿》),对《网络安全审查办法》内容提出了重要修订。从此次修订的变化,能够看出网络安全和数据安全发展情势的变化,也可读出其对数据安全政策和产业的影响。
内容修订情况:一条主线
此次《征求意见稿》相比之前的《网络安全审查办法》,其核心修订,也是最为重要的内容变化是加强了对数据安全的关注和规范。具体表现在以下三个方面。
一是将数据安全法增加为立法依据。《征求意见稿》第一条规定:“依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法”,将《中华人民共和国数据安全法》增加为制定依据,直接表明了本次修订的主旨就是通过网络安全审查制度、机制加强对数据安全相关行为的规范。这不仅仅是法规间衔接的要求,更是切实强化数据安全的必然举措。
二是将数据处理活动作为重点规范对象。《征求意见稿》第二条规定:“数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。可见,下一步《网络安全审查办法》的管理范围将有很大拓展,其在规范主体、规范行为两大方面都有扩大。结合近期国家主管部门先后宣布对多家互联网厂商进行审查的情况来看,办法修订生效后,也极有可能成为主管部门加强数据安全执法行动在操作层面的主要法律依据。
三是对数据运营者作出了定量描述。《征求意见稿》第六条规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。从该条规定可以看出,《征求意见稿》将掌握一定数量个人信息的企业赴国外上市,作为应当进行网络安全审查的一种数据处理行为,而且从相关修订条文比重来看,满足特定条件的国内企业赴国外上市很可能成为下一步网络安全审查的重点规范。
此外,《征求意见稿》还涉及到其他重要内容补充修订,如:将证监会增加进审查机制、审查提交材料增加了“拟提交的IPO材料”、特别审查程序由45天延长至3个月等。可见,这些修订内容,也均与数据安全的修订直接相关。
内容修订分析:三个要素
《征求意见稿》立足数据安全主线,其修订内容还充分反映了与数据安全存在密切关联的三个逻辑要素。
(一)数据安全审查——明确机制
首先从法理上看,加强数据安全管理、完善数据安全审查机制是落实《数据安全法》的重要步骤。6月10日颁布的《数据安全法》即将于9月1日正式生效施行,此次《征求意见稿》将数据安全相关内容作为修订重点,无疑是数据安全法正式实施前的一项重要制度准备。《数据安全法》第二十四条明确规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,尽管此处的“国家安全审查”的方式和范围尚不得而知,但网络安全审查作为国家安全审查的重要组成部分应该是没有异议的。将数据安全纳入网络安全审查范畴,在具体操作中也符合管理效率原则和网络安全保障工作实情。
其次从数据安全的双重含义来看,在审查中不应偏废。理解数据安全应包含两层含义,一个是数据信息本身的安全属性要求,即通常所说的机密性、完整性、可用性、真实性、可控性等属性,可称之为直接安全或内在安全;另一个是因对数据的不当处理行为而带来的安全风险,可以称之为间接安全或外在安全。《网络安全审查办法》此前对于第一种情形即数据的内在安全性已经作出了规定,如第九条第一款“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”。而此次《征求意见稿》对于数据安全的补充修订,很大程度上是对数据安全的第二层含义,即外在安全性的贯彻。可见,《征求意见稿》对数据安全进行的补充修订,其实质上是完善了数据安全的定义涵盖,而非无根据的随意扩展。因此从本质逻辑上看,数据安全的两个方面均是安全审查的重要对象,二者是一致的也是不可分割的。
(二)国外上市——重要审查场景
从《征求意见稿》内容侧重上不难发现,国外上市是其明确列出的数据运营者所从事的、可能影响国家安全的一种主要行为。加强对特定企业赴国外上市的安全监管,不仅是为了落实《关于依法从严打击证券违法活动的意见》政策要求,更是为管控国外上市带来数据安全风险隐患的客观需要。
尽管对“国外上市”含义的具体界定还有待进一步明确,而仅从近期主管部门宣布启动的几起网络安全审查来看,企业在国外上市的行为,会极大加剧相关重要数据面临的安全风险、以及被政治化歪曲利用的可能。
以美国为例,目前美国证券交易相关的管理规定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外国公司问责法案(Holding Foreign Companies Accountable Act)》等,其要求上市公司的核心披露义务主要涉及“财务和管理弱点报告”和“审计底稿”等。这些披露材料乍看似乎与事关安全的重要数据、核心数据等没有太直接的联系,深入分析则会发现,安全隐患主要来源于两个方面。一方面,要求披露的内容本身可能包含某些安全敏感数据,如“审计底稿”通常包括被审计对象的组织机构及管理人员结构、重要合同、董事会会议纪要等,其中可能会包含我国行业数据和消费者信息,能反映我国关键信息基础的运行等情况,若任由美国收集难免影响到我国家安全利益。另一方面,也是风险最大的情况,即在美上市的公司除了负担直接的信息披露义务之外,还有面临各种调查的潜在风险。美国建立了相对体系化的审查调查机制,主导部门包括商务部(贸易调查)、司法部(不正当竞争调查、海外反腐败调查、知识产权调查等)等,一旦上市公司被纳入相关的审查调查,其调查的内容范围就极有可能扩大,也就会加大相关重要数据暴露或被政治化歪曲等的风险。
(三)个人信息——界定审查对象
《征求意见稿》对于数据安全的修订,还有很重要的一条线索就是个人信息保护。从字面上理解,似乎数据安全和个人信息保护的界线相对清晰,前者属于公法范畴,侧重保护公共利益;后者属于私法范畴,侧重保护个人隐私。但二者的密切联系也不容忽视。
首先,掌握个人信息的数量,将直接影响数据运营者的行为性质。正如前所述《征求意见稿》第六条规定了:“掌握超过100万用户个人信息的运营者赴国外上市”的时候,要必须向网络安全审查办公室申报网络安全审查。可见,按照《征求意见稿》该条内容理解,个人信息的定量情况将直接决定着数据运营者的海外上市行为是否影响国家安全,是判定数据运营者在海外上市能否触发网络安全审查的先决条件。
其次,个人信息在一定条件下,将直接转化为重要数据。因为二者在某些情况下存在一定的交集,如特定人物的个人信息、特定群体个人信息的汇聚等都有可能使个人信息转化为重要或核心数据,这些数据因能够反映地区或行业、设施运行情况,从而必须纳入国家安全的视野范围加以保护。例如网络上曝光的对某些国家部委工作人员上下班出行情况的分析,这些出行信息具有很强的个人属性,本属于个人信息的范畴,但对这些信息进行汇聚和分类分析,就成了能够反映国家重要机构运行情况的数据,就不能再单纯视作个人信息了。在此意义上也可看出,个人信息与数据安全关系密不可分。
影响分析:构建数据安全供需发展新格局
当前“十四五”规划已经开局,将《征求意见稿》与即将生效的《数据安全法》结合起来并置于“十四五”新发展格局大背景中进行思考,对经济社会发展、产业提振将有更加实际的意义。“十四五”规划明确部署了新发展格局的实施路径:“把实施扩大内需战略同深化供给侧结构性改革有机结合起来,以创新驱动、高质量供给引领和创造新需求,加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局”,此次网络安全审查制度的修订,也将从供给、需求两个方面对数据安全发展带来积极影响,推动我国数据安全行业发展新格局的加速构建。
(一)强化数据安全供给:技术创新、管理机制缺一不可
数据安全的供给侧主要偏重于构建数据安全保障能力,包括管理规范、技术手段、管理队伍等要素供给能力。
从管理规范供给能力看。一方面现有的数据安全管理法规政策之间将进一步衔接,从国家近期相继发布《关于依法从严打击证券违法活动的意见》(两办)、《征求意见稿》、《数字经济对外投资合作工作指引》(商务部、中央网信办、工信部联合印发)等重磅政策法规不难看出,数据安全与证券跨境监管、关键基础设施采购等的关系正在更加紧密地协同。另一方面,数据安全管理法规体系的健全工作将进一步提速,覆盖面也将逐步扩展,如关键基础设施数据处理活动风险评估管理、境外发行证券的保密和档案管理、跨境信息提供机制与流程管理、跨境审计监管合作等。
从技术手段供给能力来看。将有力促进数据安全相关技术产品和服务能力的创新发展,围绕不同层面需求,数据安全产品技术和服务供给能力将进一步深化。在满足企事业单位自身数据安全保护需求方面,重点发展方向包括:数据防泄露、数据脱敏、数据库防火墙,以及以数据资产识别、管理为核心的数据安全管理平台等;在满足主管部门监管需求方面,重点发展方向包括:数据分级分类管理、敏感数据发现、数据安全风险评估、数据安全审计、数据追踪溯源等;在满足公共数据安全能力提升需求方面,重点发展方向包括:数据安全灾备、数据安全培训、数据安全运营等服务保障能力。
从管理队伍供给能力来看。数据安全在审查工作中的重要性日益增强,管理队伍的专业化水平将亟待同步提升。与之相适应的数据安全队伍供给体系重点方向将包括:数据安全类专业人才培养体系、选拔任用机制、培训实战体系、绩效考核机制等。
(二)拓展数据安全需求:多管齐下应用引领
数据安全的需求侧主要偏重于建立数据安全应用体系,可归纳为三个“需求”:管理需求、合规需求和攻防需求。未来围绕数据安全需求的挖掘,不仅是主管部门引导数据安全健康有序发展的重要依据,也是深化数据安全技术创新和壮大数据安全产业能力的重要方向。
01 管理需求
对数据要做到“心中有数”。“底数不清”往往是出现数据安全问题的重要根源之一,明确数据安全管理需求的重点就是要做到对自身数据及其安全情况有较为清晰的了解。这类需求将主要围绕数据分类、数据分级、数据资产构成分析、数据防护现状分析等展开。
02 合规需求
数据安全应符合“法规红线”。网络安全等级保护、关键信息基础设施保护、保密管理等制度规范,对于数据都提出了相应的安全要求及相应防护手段。除了等保、关基、保密等传统合规要求之外,针对数据应用的重要典型场景,如工业数据、交通数据、能源数据等,也将成为法规关注的重点需求领域。
03 攻防需求
数据安全当满足“实战有效”。数据安全保障手段的最终目的是其能够化解潜在数据风险或有效防御数据攻击。在此类需求方面,除了事中防御和事后补救手段之外,事前的发现、检验需求将成为数据安全建设需求的重中之重,与之相对应的数据安全态势监测、数据安全仿真检测、数据安全保护实效检验等也将日益受到更多关注。
“东方欲晓,莫道君行早”。《征求意见稿》汇总各方面意见后的最终内容如何,仍需拭目以待。而其对于我国网络安全审查制度的完善、对于社会各界数据安全保护意识提升的影响已经显现并将持续,数据安全政策法规体系和数据安全技术产业也将以此为契机,迎来发展的新阶段。