文 | 刘洋
2021年7月2日,网络安全审查办公室发布公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
公告发布后,有学者和媒体分析,认为此次网络安全审查办公室对“滴滴出行”实施的网络安全审查,不会涉及数据安全问题。其理由是,网络安全审查与数据安全审查制度是依据国家安全审查制度中的两项制度,而两项制度审查对象不同,一是针对采购网络产品和服务影响或可能影响国家安全的情形,一是针对影响国家安全的数据处理活动。分析认为网络安全审查是依据《网络安全法》和《网络安全审查办法》针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全情形的审查制度;而数据安全审查制度则是依据《数据安全法》作出。因此得出本次审查不涉及数据安全审查的结论。
笔者认为,虽然就此次“滴滴出行”被审查的个案而言,可能不涉及数据安全审查。但前述分析将网络安全和数据安全割裂开来,不符合《网络安全审查办法》精神和原意。
从《网络安全审查办法》的制定基础看,网络安全与数据安全不能分割看待
《网络安全审查办法》的上位法主要是《国家安全法》《网络安全法》。
2015 年7月通过的《中华人民共和国国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险”。
2016 年11 月通过的《中华人民共和国网络安全法》第二节“关键信息基础设施的运行安全”中的第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。
这两个条款,为网络安全审查法治化奠定了基础,是网络安全审查制度的法律依据。而从法律政策角度看,从《国家安全法》《网络安全法》的制定到《网络安全审查办法》的出台,都是落实2014年习近平总书记提出的“总体国家安全观”的重要步骤。因而,对网络安全,应该从宏观角度去理解。
宏观角度的“网络安全”,不排除数据安全,“数据安全”一直是“网络安全”的重要内容。无论是“网络信息技术产品和服务”的安全审查(《国家安全法》),还是“网络产品和服务”的安全审查(《网络安全法》),都必定包括涉及数据的网络产品和服务。
同时,将“网络安全”与“数据安全”分割来看,会导致对“网络产品和服务”的理解偏差。网络安全审查制度不仅是国家安全体系建设的需要,也是保障经济运行安全的需要。也就是说,网络安全审查有极为深刻的“产品和服务”思维背景。“网络产品和服务”是基于包括“数据安全”在内的“网络安全”外在呈现,不可能说一个“网络产品或服务”只与“网络安全”有关,或者只与“数据安全”有关。
因而,关键信息基础设施运营者要承担的责任是宏观上的网络安全责任,要面对的风险也是包括数据安全在内的宏观上的网络安全风险。
《网络安全审查办法》是要防御什么风险?
《网络安全审查办法》审查重点聚焦于“确保关键信息基础设施供应链安全”。但是供应链安全包括什么呢?也就是说,《网络安全审查办法》要防御什么风险?
总的来看,《网络安全审查办法》要防御三种风险。
第一,设施安全。即减轻可能导致的关键信息基础设施被非法控制风险。
第二,数据安全。要防止重要数据被泄露。
第三,业务中断风险。要防止关键信息基础设施业务连续性危害等风险。
因此,《网络安全审查办法》在第九条中明确了重点评估采购网络产品和服务可能带来的国家安全风险的主要考虑因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
数据安全,同样《网络安全审查办法》明确要考量的内容。
“滴滴出行”被审查的意义
“滴滴出行”被进行网络安全审查,被称为网络安全审查首案。对“滴滴”而言,意味着“滴滴”进入了关键信息基础设施运营者采购的产品目录之中,对“滴滴”有利好之处。
此外,首案还有深刻的法律示范意义。
其一,将促进《网络安全审查办法》实施细则出台。依据《网络安全审查办法》第五条规定,关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。可以预见,通过首案审查,有关部门将形成审查工作操作规范,让实施审查的程序、步骤、规范更具体、明确,全面提升实施主体审查工作能力、优化审查工作流程,为审查机构、运营者、产品和服务提供者将来的工作提供指引。
其二,有利于我国与国际网络信息产业衔接。通过首案审查,我国的网络信息产业环境在安全审查过程中将与国际网络信息产业环境进一步进行对接。网络产品和服务供应链已发展为遍布全球的复杂系统,美国、英国、德国、澳大利亚、俄罗斯等国已纷纷建立网络安全审查制度,开展网络安全审查已成为世界各主要国家防范关键信息基础设施安全风险的通行做法,这次审查工作有利于我国与国际网信产业管理形成衔接。
附:《网络安全审查办法》要点
审查目标:
确保关键信息基础设施供应链安全。(《网络安全审查办法》第一条)
启动程序:
运营者申报;网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
审查对象:
关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。(《网络安全审查办法》第二条)
关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。(《网络安全审查办法》第二十条)
电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当考虑申报网络安全审查。(中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》)
审查主体:
网络安全审查工作是在中央网络安全和信息化委员会领导下,由国家互联网信息办公室及发改委、工信部、公安部、国家安全部、财政部、商务部、人民银行、国家市场监督管理总局、广播广电总局、保密局、密码管理局 12 个部委建立国家网络安全审查工作机制,网络安全审查办公室设在国家互联网信息办公室,负责制定审查制度规范,组织网络安全审查。(《网络安全审查办法》第四条)
网络安全审查办公室在规定时间内对运营者的申请进行初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见。(《网络安全审查办法》第十条)
审查时限:
【依申报启动】网络安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。(《网络安全审查办法》第八条)
【主动启动】网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。(《网络安全审查办法》第十条)
意见不一致的,按照特别审查程序处理,并通知运营者。特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。(《网络安全审查办法》第十一条、第十三条 )
作者简介:
刘洋,执业律师,毕业于中国政法大学,北京大学传播学硕士。曾任人民公安报社副主任,曾获公安部个人嘉奖、公安系统个人三等功。专注于网络法与网络刑事问题研究。
声明:本文来自网络法实务圈,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
