在网络安全审查办公室宣布对滴滴出行等互联网平台实施网络安全审查数日后,国家互联网信息办公室在7月10日发布了《网络安全审查办法(修订草案征求意见稿)》(《征求意见稿》),结合刚刚颁布的《数据安全法》对《网络安全审查办法》(《审查办法》)的内容进行相应调整。
《征求意见稿》的多处修改均体现着对数据安全问题的高度重视。其主要修订要点如下:
增加《数据安全法》作为立法依据及处罚依据。
扩大网络安全审查范围,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,纳入网络安全审查审查范围,落实《数据安全法》的数据安全审查制度。
新增网络安全审查适用情形,掌握超过100万用户个人信息的运营者赴国外上市,须申报网络安全审查。
网络安全审查重点从网络安全扩展至数据安全,增加对“核心数据、重要数据或大量个人信息”以及“关键信息基础设施”可能遭遇的数据安全风险因素的考量。
将中国证券监督管理委员会纳入网络安全审查工作组。
变更申报材料及审查时间,增补申报网络安全审查应提交的材料,特别审查程序由45个工作日延长为3个月。
下文对《征求意见稿》的主要变化与影响进行简要评述。
1、增加《数据安全法》作为法律依据
《网络安全审查办法》于2020年6月1日生效,这次修订有上位法发生变化的大背景,即我国《数据安全法》已经通过并即将于2021年9月1日生效。
《征求意见稿》第一条增加了《数据安全法》作为法律依据。根据即将生效的《数据安全法》相关规定,对原《网络安全审查办法》进行修订,增加了网络安全审查中需要根据《数据安全法》规定予以配套的内容。
因此,本次修订从根本上来是为了落实《数据安全法》第二十四条“建立数据安全审查制度”的要求:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”
此外,《征求意见稿》第二十条增加《数据安全法》作为处罚依据:“运营者违反本办法规定的,依照《网络安全法》《数据安全法》的规定处理。”
《数据安全法》将在2021年9月1日实施,《审查办法》的修订表明《数据安全法》进入实施前紧锣密鼓的准备阶段,法律中设立的重大制度将逐步通过法规和细则予以落实。
《网络安全法》与《数据安全法》通过不同角度立法共同完善覆盖网络信息和数据领域,两者互相补充配合使用。
2、扩大网络安全审查的适用范围
(一) 审查范围扩大至包括数据处理者
根据《网络安全法》和《审查办法》,网络安全审查制度审查的重点对象是关键信息基础设施运营者(CIIO)采购网络产品和服务(《审查办法》第二条),但相关监管部门可以依职权将其认为有可能影响国家安全的网络产品和服务纳入审查(《审查办法》第十五条)。
在《审查办法》基础上,《征求意见稿》第二条规定扩大了适用网络安全审查的范围,明确将数据处理者(“运营者”)开展数据处理活动,影响或可能影响国家安全的,纳入了网络安全审查范围。
《征求意见稿》第二条规定:
关键信息基础设施运营者采购网络产品和服务,以及
数据处理者开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。
后者可涵盖的对象可能远远大于前者。根据《数据安全法》的规定,所谓数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
(二) 审查要点和标准从网络安全扩展至数据安全
《审查办法》主要针对CIIO采购特定网络产品和服务相关的供应链安全风险,而《征求意见稿》明确将《数据安全法》补充为立法依据,且将审查范围扩展至CIIO、数据处理者数据处理活动以及赴国外上市相关的国家安全风险,特别是“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
“核心数据”和“重要数据”均系近期出台并将于9月1日正式实施的《数据安全法》提出的重要概念,目前均未界定其具体范畴。
(三) 明确掌握100万用户个人信息的运营者赴国外上市的强制网络安全审查申报义务
《征求意见稿》第六条规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。
这意味着,即使不属于非关键信息基础设施运营者的企业,如果处理个人信息达到规定的数量要求,其在赴国外上市前亦必须申报网络安全审查。
国家标准GB/T 35273 - 2020《信息安全技术个人信息安全规范》中规定企业“处理超过100万人的个人信息,或预计在12个月内处理超过100万人的个人信息”应当设立专职的个人信息保护负责人和个人信息保护工作机构,《征求意见稿》似乎参考了此项个人信息数据标准。
此外,《征求意见稿》中使用的是“掌握”而非《数据安全法》、《个人信息保护法(草案)》(第二次审议稿)中的“处理”概念,可解释范围更广。
根据第六条的规定,仅“赴国外上市”的行为触发强制的网络安全审查。从文义解释的角度看,由于香港和澳门特别行政区不属于“国外”的范围,拟赴香港上市的企业应不会受到本条的限制。
3、增加证监会作为网络安全审查的成员单位
为应对新增的审查范围,《征求意见稿》明确将证监会纳入中央网络安全和信息化委员会领导网络安全审查工作机制的范畴,与此前的网信办等十二部委联合开展审查。
就在数日前,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》(“《意见》”),明确提出“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”,“压实境外上市公司信息安全主体责任”,“加强跨境信息提供机制与流程的规范管理”的工作要求。
《征求意见稿》将证监会纳为工作机制成员单位,有助于证监会在贯彻落实《意见》的过程中发现影响或可能影响国家安全的国外上市行为,并根据《征求意见稿》第十六条的规定,依职权主动申请发起网络安全审查。
全球主要国家上市的信息披露和合规要求各有不同,但都有通过行政执法、投资者发起证券民事诉讼,甚至刑事追责等手段,强制上市企业必须强调真实、完整、准确披露拟上市公司的信息。
高科技企业掌握的科技数据、用户数据,业务涉及的敏感数据,关系到所在国家的网络数据安全甚至是国家安全。对企业来说,如何平衡好上市信息披露等法律合规和监管要求与业务属地的业务合规与监管要求,是企业面临的重要课题。
4、新增审查要点
《《征求意见稿》第十条进一步增加了网络安全审查中考虑的国家安全风险因素,即“(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”,以及“(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
《征求意见稿》第十条规定了网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素(注:新增的考虑因素已经突出提示):
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;
产品和服务供应中断对关键信息基础设施业务连续性的危害;
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
产品和服务提供者遵守中国法律、行政法规、部门规章情况;
核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;
国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;
其他可能危害关键信息基础设施安全和国家数据安全的因素。
5、特别审查程序期限延长
总体而言,《征求意见稿》的审查流程总体沿用了现行《审查办法》确定的审查材料和审查流程,只是将在出现网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致情况下,需征求有关部门意见并报中央网络安全和信息化委员会批准的特别审查流程期限由45个工作日延长至3个月,且情况复杂的仍可以延长。
无论是主动申报的审查,还是面临网络安全审查办公室依职权发起的审查,有关企业均应将3个月的期限考虑在内,以免实质性地影响商业计划的进程。
6、明确“重要通信产品”属于“网络产品和服务”
《征求意见稿》在“网络产品和服务”中新增了“重要通信产品”,但仍然没有对网络产品和服务的具体范围给出进一步的说明。
目前,网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
由于网络安全审查工作办公室有权根据《征求意见稿》第十六条,直接对“影响或可能影响国家安全的”网络产品和服务,以及数据处理活动和国外上市行为启动审查,如某项网络产品和服务在行业属性上具备敏感性且已经或可能进入关键信息基础设施运营者的供应链体系,或者其数据处理规模较大、处理的数据性质较为敏感,将有可能被认为“影响或可能影响国家安全”而面临审查,同样值得企业关注。
7、相关建议
若企业相关业务涉及处理个人信息或核心数据、重要数据,特别是掌握了大量个人信息数据的基础互联网服务企业,应当重视网络安全审查的相关规定,应当按照《网络安全法》、《数据安全法》以及未来出台的《个人信息保护法》等相关法律规定做好个人信息保护及数据安全、网络安全工作;同时,组织或委托专业机构对数据处理的合规性,特别是数据处理是否可能影响国家安全,抓紧开展自评估。
附:《网络安全审查办法(修订草案征求意见稿)》修改前后对比
参考文章
https://mp.weixin.qq.com/s/foM3Jw2OOnlBuOxWL03DeQ
https://mp.weixin.qq.com/s/VfUj60UIy7IMn7g8_LCuSw
https://mp.weixin.qq.com/s/oYmWaawy3eUMCB3AoiO87A
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。