文／陳根

大數(shù)據(jù)已成為國家創(chuàng)新戰(zhàn)略、國家安全戰(zhàn)略、國家產(chǎn)業(yè)發(fā)展戰(zhàn)略以及國家信息網(wǎng)絡(luò)安全戰(zhàn)略的交叉領(lǐng)域。在這樣的背景下，數(shù)據(jù)跨境傳輸?shù)群弦?guī)問題引起廣泛的關(guān)注，數(shù)據(jù)權(quán)的歸屬和國家安全的關(guān)聯(lián)不容忽視。

2021年，網(wǎng)絡(luò)安全審查辦公室就曾發(fā)布《關(guān)于對“滴滴出行”啟動網(wǎng)絡(luò)安全審查的公告》，隨后，應(yīng)用商店下架“滴滴出行”App。這一事件背后也折射出我國數(shù)據(jù)安全治理面臨的嚴峻形勢，尤其是數(shù)據(jù)跨境流動帶來的安全風險。

1月4日，國家網(wǎng)信辦、國家發(fā)改委等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡稱“辦法”），并自2022年2月15日起施行。新修訂內(nèi)容更加針對了數(shù)據(jù)處理活動，聚焦國家數(shù)據(jù)安全風險，明確運營者赴國外上市的網(wǎng)絡(luò)安全審查要求。一個數(shù)據(jù)嚴監(jiān)管的時代正在到來。

將數(shù)據(jù)納入審查范圍

作為2020年6月實施之后的一次重要修訂，《辦法》既是貫徹落實《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等一系列法律法規(guī)的有效實踐，也是不斷完善國家網(wǎng)絡(luò)安全審查制度、適應(yīng)國際國內(nèi)網(wǎng)絡(luò)安全新形勢的重要舉措，更是保障人民群眾切身利益和維護國家安全的現(xiàn)實需要。

從審查主體的變化來看，與上版《辦法》相比，新版《辦法》第二條內(nèi)容為“關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的，應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查”，將被審查主體由此前的“數(shù)據(jù)處理者”改為“網(wǎng)絡(luò)平臺運營者”。

同時，新版《辦法》要求網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的應(yīng)按照新版《審查辦法》進行網(wǎng)絡(luò)安全審查。這意味著，除了關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)外，網(wǎng)絡(luò)運營者開展影響或者可能影響國家安全的數(shù)據(jù)處理活動，也將在網(wǎng)絡(luò)安全審查范圍內(nèi)。

具體來看，《辦法》第七條明確，掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報。這意味著，在相當大的范圍內(nèi)，大部分網(wǎng)絡(luò)平臺若出現(xiàn)跨境、海外資本運作等問題，都會受到《辦法》的規(guī)制。事實上，到了出海上市這一步的平臺，用戶也很少有低于百萬的。這個規(guī)定實際上代表著，網(wǎng)絡(luò)安全審查已經(jīng)成為平臺出海上市的“規(guī)定動作”。

可以看出，相較于上版《辦法》，新版《辦法》在多處新增了“數(shù)據(jù)安全”“數(shù)據(jù)處理活動安全性”等表述。畢竟自1994年接入國際互聯(lián)網(wǎng)至今，我國已成為全球最為龐大、生機勃勃的數(shù)字社會。作為互聯(lián)網(wǎng)應(yīng)用大國，我國各類互聯(lián)網(wǎng)平臺眾多，既有為社會提供金融支付、通信交流等基礎(chǔ)性服務(wù)的互聯(lián)網(wǎng)平臺；也有專注于視聽、求職、打車、貨運、購物等的領(lǐng)域性互聯(lián)網(wǎng)平臺。

這些平臺或掌握了海量的公民個人數(shù)據(jù)，或在一個領(lǐng)域內(nèi)掌握具有壟斷性的用戶信息?；ヂ?lián)網(wǎng)平臺掌握的數(shù)據(jù)一旦發(fā)生泄漏，將會嚴重危害公民個人信息安全，將給不法分子實施詐騙、非法營銷等活動提供便利；甚至對一些特定領(lǐng)域的個人信息進行有針對性地分析，能夠得出我國社會經(jīng)濟運行的敏感信息，一旦泄漏將會影響國家安全。

此外，此次《辦法》修訂在擴大審查范圍的同時，也對審查的工作機制、工作流程等進行了適當調(diào)整。

調(diào)整內(nèi)容包括：增加證監(jiān)會作為網(wǎng)絡(luò)安全審查工作機制成員單位，明確網(wǎng)絡(luò)安全審查辦公室收到合格申報材料的時間為審查開始時間，增加上市申請文件作為上市審查申報材料的一部分，增加上市活動帶來的數(shù)據(jù)安全風險作為國家安全風險考慮的因素之一，延長特別審查的工作時限至90個工作日等。

從總體上看，審查機制和流程延用了原有審查制度框架，針對新納入赴國外上市審查這一變化進行了有針對性地優(yōu)化，審查制度在實踐中也不斷得到完善。

不論是從《辦法》的出臺來看，還是從《辦法》的修定來看，辦法都不是一個全新、突然出現(xiàn)的產(chǎn)物，而是有“前身”，有背景的。

顯然，網(wǎng)絡(luò)安全審查制度的根本目標在于維護國家安全。但早在《國家安全法》和《網(wǎng)絡(luò)安全法》中即對國家安全審查制度進行了確立，并最終作為《網(wǎng)絡(luò)安全審查辦法》的立法背景予以確認?！稊?shù)據(jù)安全法》的出臺進一步重申了數(shù)據(jù)安全審查制度，《網(wǎng)絡(luò)安全審查辦法》正式稿也將其吸納為制定依據(jù)之一。

比如，《國家安全法》第 59 條規(guī)定，要建立國家安全審查和監(jiān)管的制度，其中特別提到對影響或者可能影響國家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)進行國家安全審查——這是最主要的一個依據(jù)。《網(wǎng)絡(luò)安全法》第 35條也規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施的國家安全審查機制”，但通過以后也一直未得到很好落實。

在此基礎(chǔ)上，監(jiān)管機構(gòu)通過多層次的立法嘗試，逐步探索出網(wǎng)絡(luò)安全審查的基本監(jiān)管框架。包括在2017年網(wǎng)信辦公開征求意見的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（征求意見稿）》中，首次提出網(wǎng)信辦將會同11個部門成立網(wǎng)絡(luò)安全審查委員會，負責審議網(wǎng)絡(luò)安全審查的重要政策，統(tǒng)一組織網(wǎng)絡(luò)安全審查工作，協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。

網(wǎng)絡(luò)安全審查委員會的組織架構(gòu)最終在正式版本的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》中確立，該試行辦法作為《網(wǎng)絡(luò)安全法》的重要配套規(guī)章，與《網(wǎng)絡(luò)安全法》一同正式實施。直至2020年，該試行辦法才被《網(wǎng)絡(luò)安全審查辦法》所取代，而前述網(wǎng)絡(luò)安全審查委員會也被網(wǎng)絡(luò)安全審查辦公室取代其職能。

因此，可以說，《辦法》是對兩部重要法律的進一步落實，是對《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》的升級?！掇k法》的出臺始終密切圍繞維護國家安全這一目的，在有限的可能涉及國家安全的領(lǐng)域內(nèi)默默無聞地進行監(jiān)管，直到2021年7月2日網(wǎng)絡(luò)安全審查辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦公室關(guān)于對“滴滴出行”啟動網(wǎng)絡(luò)安全審查的公告》。由于滴滴與民眾出行的密切相關(guān)性，網(wǎng)絡(luò)安全審查制度乃至其背后的國家安全利益才首次進入公眾視野，并引發(fā)強烈關(guān)注。

《辦法》的出臺和修定也是大數(shù)據(jù)時代的必然趨勢。實際上，部分發(fā)達國家很早就建立了網(wǎng)絡(luò)安全審查體系，早在2016年4月，歐洲議會就出臺了《一般數(shù)據(jù)保護條例》（GDPR），對內(nèi)擴大數(shù)據(jù)主體的權(quán)利，對外提高對于數(shù)據(jù)輸出的審查標準，以規(guī)范數(shù)據(jù)傳輸和主權(quán)問題。

美國網(wǎng)絡(luò)安全審查主要包括兩大類，一類是采購部門的網(wǎng)絡(luò)安全審查，針對網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)的采購，規(guī)定擬進入國家安全系統(tǒng)的信息產(chǎn)品，以及嵌入了信息安全功能的相關(guān)產(chǎn)品和服務(wù)，必須通過強制性評估認證。二是職能部門的網(wǎng)絡(luò)安全審查，具體做法是建立起聯(lián)邦政府業(yè)務(wù)系統(tǒng)安全檢查制度，以及開展云計算服務(wù)安全評估等。

英國采用的是技術(shù)本位的網(wǎng)絡(luò)安全審查，英國擁有世界上最嚴格的國家級安全評估中心，主要從事信息產(chǎn)品的安全認證，包括電信設(shè)備安全審查，對源代碼進行的全面審查等，只有通過了相關(guān)安全認證，才能面向英國銷售，否則就將被視為違法。

顯然，不過是國際上諸如歐盟對 Facebook 動輒數(shù)億美元的處罰，還是隨著《辦法》日臻完善，今后網(wǎng)絡(luò)安全和數(shù)據(jù)安全的審查會更加完善和嚴格，一個數(shù)據(jù)安全、網(wǎng)絡(luò)安全強監(jiān)管時代即將到來。

推動企業(yè)向合規(guī)主動發(fā)展

數(shù)據(jù)安全、網(wǎng)絡(luò)安全強監(jiān)管時代的到來，也將給企業(yè)帶來新的變化。

顯然，無論是否應(yīng)主動申報網(wǎng)絡(luò)安全審查，可能被認定為網(wǎng)絡(luò)運營者、數(shù)據(jù)處理者或個人信息處理者的赴境外上市企業(yè)均不可忽視履行網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)義務(wù)。正如《國務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定（草案征求意見稿）》，要求境內(nèi)企業(yè)境外發(fā)行上市的，應(yīng)嚴格遵守網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國家安全法律法規(guī)和有關(guān)規(guī)定。若企業(yè)在網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)方面存在巨大缺陷，亦可能對赴境外上市進程造成影響。

這也意味著，在未來，企業(yè)將要承擔更多數(shù)據(jù)合規(guī)的責任，發(fā)揮市場更重要的作用，即市場主體自行決定要不要申報——這種方式或許將推動企業(yè)可以更加主動地去實現(xiàn)合規(guī)。

比如，歐盟、美國就存在一些關(guān)于事后處罰的經(jīng)驗，尤其是合作治理的理論。在美國，處罰的力度甚至是可以由企業(yè)和 FTC（聯(lián)邦貿(mào)易委員）形成和解協(xié)議，即罰多少由雙方來討論。此前的劍橋分析事件，最后 FTC 處罰了Facebook 50 億美元。這種行政和解協(xié)議，不依照法律來一板一眼地單方實施處罰，而是雙方，監(jiān)管者與被監(jiān)管者談出來的。

對比近期網(wǎng)易云、嘀嗒出行、順豐同城、喜馬拉雅、商湯科技等赴香港上市企業(yè)的招股章程，就可以發(fā)現(xiàn)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)相關(guān)內(nèi)容占有一席之地，甚至處于非常重要的地位。如順豐同城在其“風險因素”章節(jié)，即詳細描述了與其業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)風險：

“我們或第三方因使用信息而可能造成的隱私保護不當問題或事件，均可能會損害我們的聲譽及品牌，或使我們受政府法規(guī)及其他法律義務(wù)的限制，并可能對我們的業(yè)務(wù)、財務(wù)狀況及經(jīng)營業(yè)績產(chǎn)生重大不利影響?！?/p>

隨著數(shù)據(jù)時代的到來，數(shù)據(jù)主權(quán)已然成為國家主權(quán)的外延，守住國家數(shù)據(jù)主權(quán)，把握數(shù)據(jù)話語權(quán)成為新時代不可回避的議題。數(shù)據(jù)權(quán)包含數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)利，數(shù)據(jù)主權(quán)體現(xiàn)數(shù)據(jù)的戰(zhàn)略性，保障國家獨立自主和不受干涉地促進互聯(lián)網(wǎng)行業(yè)的繁榮。

在這樣的背景下，國家也愈發(fā)重視數(shù)據(jù)主權(quán)、網(wǎng)絡(luò)安全和國家主權(quán)的保護。2022年2月15日生效的《網(wǎng)絡(luò)安全審查辦法》正是通過完善法律控制技術(shù)風險這一路徑的生動注腳。可以預見，在2022年，網(wǎng)數(shù)領(lǐng)域的各項制度將逐步落地，以應(yīng)對數(shù)字社會、平臺經(jīng)濟發(fā)展中出現(xiàn)的各類新型網(wǎng)絡(luò)安全風險，切實維護互聯(lián)網(wǎng)時代每一位用戶的數(shù)據(jù)安全，切實維護我們的國家網(wǎng)絡(luò)主權(quán)和安全。

       原文標題 : 陳根：網(wǎng)絡(luò)安全審查，讓企業(yè)走向主動合規(guī)