《網絡安全審查辦法》三版對比看“審查啟示”
責編:gltian |2022-01-11 16:43:42
據悉,《網絡安全審查辦法》(以下簡稱《辦法》)已經2021年11月16日國家互聯網信息辦公室 2021 年第 20 次室務會議審議通過,并經國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部等十三部門同意,于 2022 年 1 月 4 日公布,自 2022 年 2 月 15 日起施行。
本文對《辦法》的三個版本——2022 年新發布版、 2021 年新版征求意見稿、2020 年舊版的內容進行對比分析,梳理新版本中的變化,以便看出網絡安全和數據安全發展情勢的變化。最后,從“教練”視角即企業安全部門出發,為讀者研讀本《辦法》提供一個全新思路和審查啟示。
一、主要內容解讀
1、一個主線永不改變
國家互聯網信息辦公室有關負責人表示,網絡安全審查是網絡安全領域的重要法律制度。本《辦法》堅持以《國家安全法》為主線條,由于2021年上位法法規的變化,在《網絡安全法》基礎上,增加了《數據安全法》《關鍵信息基礎設施安全保護條例》為立法依據。
2、兩類主體兩類場景
兩類主體:
一是關鍵信息基礎設施運營者,延續2020年舊版中對關鍵信息基礎設施運營者采購活動進行審查和對部分重要產品等發起審查的要求,目的在于保護關鍵信息基礎設施供應鏈安全,維護國家安全。
二是網絡平臺運營者,對比2021年新版征求意見稿,明確將“數據處理者”改為了“網絡平臺運營者”,看似縮小但明確提出了主要針對超過100萬用戶個人信息的對象范圍,與《網絡數據安全管理條例(征求意見稿)》(以下簡稱《數安條例》)第十三條第二款內容保持一致,同時未將該條第三款數據處理者赴港上市的條款納入,但在制度設計上,“赴港上市”依然可能存在“依職權”進行網絡安全審查的情況。另外,可以預見《數安條例》第十三條中的“數據處理者”很大程度會更改為“網絡平臺運營者”。
兩類(特別)場景:針對網絡平臺運營者
一是網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形。根據《數據安全法》第三條第二款,數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等;可能影響國家安全等情形,可參考《網絡數據安全管理條例(征求意見稿)》第十三條第一款中“實施合并、重組、分立,影響或者可能影響國家安全的”的場景描述。
二是掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市。其中《辦法》的修訂發生在多家企業赴美上市審查期間,也是本次《辦法》一個較為明確的信號。據中國信息安全研究院副院長左曉棟表示:上市相關條款一是為了加強跨境監管合作,完善數據安全、跨境數據流動、涉密信息管理等相關法律法規;二是為了落實《數據安全法》第二十四條“國家建立數據安全審查制度”的要求,而赴國外上市只是可能出現數據安全風險的一種具體情形。
3、三個名詞再次提及
核心數據、重要數據、大量個人信息:在審查關注的國家安全風險方面,刪除了2021年新版征求意見稿的“針對赴國外上市行為”,新版中則普適性地增加了兩條:一是核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;二是上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險。
4、四個新的主要變化
相較于2020年舊版、2021年新版征求意見稿,2022年新發布版其他新的變化主要體現在以下幾方面:
一是網絡安全和數據安全共同出現,即在第一條、第十條 第七款、第二十一條,表明了網絡安全和數據安全不可能絕對剝離,且很多網絡安全風險來自數據處理活動,而數據安全風險又與網絡安全風險強關聯。
二是根據審查實際需要,增加中國證券監督管理委員會作為網絡安全審查工作機制成員單位。不僅呼應了國外上市數據安全保護之立法目的,更意在強化后續相關網絡安全審查工作的專業性和權威性。
三是完善了國家安全風險評估因素等內容。重點突出了針對核心數據、重要數據、大量個人信息的風險核查,也為《數據安全法》提及的數據安全風險評估提供一個參考方向。
四是涉及特別審查程序的審查周期變長。《辦法》明確規定了網絡安全審查的兩類審查程序的審查周期:(1)一般審查程序,從第十一條、第十二條來看,整個審查周期為60個工作日內;(2)特別審查程序,從十四條來看,審查周期從最初的在45個工作日內、到3個月內、再到最后的“90個工作日內完成”,情況復雜的可以延長。
5、其他類變化
《辦法》在以上主要變化以外,其他類變化有:第十六條新增“當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施”、第二十一條定義的“網絡產品和服務”新增了“重要通信產品”、第二十二條新增了“國家對數據安全審查、外商投資安全審查另有規定的,應當同時符合其規定”。
二、透過表面看本質
作為企業或組織的安全部門或合規部門,以“教練”視角看待《辦法》,并從審查認知、審查流程、關注重點等三個方面進行闡述。
1、審查認知
從以上主要內容解讀可推知,主要圍繞兩類主體:關鍵信息基礎設施運營者和網絡平臺運營者。而兩類(特別)場景又都是針對網絡平臺運營者:一是網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形,二是掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市。
明確了以上兩點,即可確定網絡安全審查是否與自身相關。針對以上第一類場景,本文舉個簡單的例子對第一個場景進行說明。在去年某企業審查期間,網友扒出2015年該企業研究院基于實時生成的移動出行大數據進行分析的文章內容——通過大數據監測國家各部委出行規律,公安部最忙中紀委最低調,不禁讓人膽戰心驚;因此,網絡平臺運營者需要做好網絡、數據等方面的合規。
而面對第二類場景時,赴國外上市是一個系統性工程,安全審查其實是其中很小一部分,在此過程中也需關注2019年美國《澄清域外合法使用數據法案》(“Cloud法案”)、2018年歐盟GDPR等相關要求;另外上市過程還需審查其他包括股權架構、財務結構、股東背景、資產評估、募集資金投向等因素,因此在關注安全審查的同時需要關注企業原有屬性的安全性和可靠性。
2、審查流程
《辦法》明確規定了網絡安全審查的兩類審查程序,即一般審查程序和特別審查程序。其對應的審查流程如圖所示。
3、關注重點
一是關注供應鏈安全。產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險。
二是關注業務連續性。產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害,這彌補了之前的規定對此沒有足夠重視的缺陷。
三是關注政治等因素。將供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險納入審查范圍,這與當前日趨復雜的國家安全形勢和網絡空間主權斗爭密切相關。
四是注重法律法規的銜接。《數據安全法》提及的核心數據、重要數據以及《個人信息保護法》確認的(大量)個人信息這三類數據被竊取、泄露、毀損以及非法利用、非法出境的風險納入重點審查,這與每個公民的切身利益密切相關;同時引入了《數據安全法》“數據處理活動”,只要其活動影響或可能影響國家安全,都應當接受網絡安全審查。
五是針對赴國外上市。尤其是赴境外上市過程中,關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險,納入審查范圍。去年對多家企業啟動網絡安全審查可以看出種種跡象。另外,已經在國外上市的網絡平臺運營者,建議自行組織或者委托專業機構對本企業數據處理的合規性,特別是其數據處理是否可能影響國家安全,開展自查。
六是引入兜底機制。其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的情形,也將納入審查范圍。在全球化條件下,國家安全形勢和網絡空間主權斗爭瞬息萬變,建立兜底機制,也為此留下空間。
三、總結與啟示
《辦法》的正式發布,進一步明確了對關鍵信息基礎設施供應鏈安全保護以及網絡平臺運營者數據合規的相關要求,為網絡安全產業的高質量發展指明了方向。同時也兼顧數據安全,為數據安全審查制度的建立和完善提供有力依據。
一是重視采購招標工作,嚴格遴選網絡產品和服務供應渠道。網絡安全產業在落實《辦法》要求、支撐和保障關鍵信息基礎設施供應鏈相關安全方面,可發揮制度參與、技術產品及方案提供、服務支撐三方面作用。
二是提升網絡安全、數據安全和個人信息防護能力。隨著2021年數據安全元年的開啟,電信、金融、醫療、政務、企業等各行各業正緊鑼密鼓地開展相關實踐。在落實《辦法》相關要求、支撐和保障數據安全方面,也可關注以下三方面:
(1)在參與和支撐相關數據安全制度完善方面,企業和行業可重點圍繞“數據出境安全評估”、“重要網絡安全服務產品和服務目錄”、“數據安全審查辦法”等方向,加強探索并積累實踐案例。
(2)在相關數據安全產品和方案方面,重點開展“數據分類分級管理”、“敏感數據識別”、“數據安全風險評估”、“個人信息安全影響評估”、“數據安全審計”等技術產品方案研發。
(3)在有關數據安全服務支撐方面,強化“數據安全應急處置”、“重要數據災備與恢復”、“數據溯源取證”服務支撐能力和隊伍建設等。