(网经社讯)2021年7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知(以下称:《审查办法(修订草案)》),以下就《审查办法(修订草案)》进行解读并提出相关修改意见。
一、修订《网络安全审查办法》的背景
网络安全审查制度与数据安全审查制度是《网络安全法》和《数据安全法》确立的两项重要国家安全审查制度。《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”;《数据安全法》第二十四条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。
根据上述的规定,《数据安全法》中的数据安全审查制度与《网络安全法》中的网络安全审查制度有所不同,前者的审查对象主要针对影响或者可能影响国家安全的数据处理活动,主要包括:数据的收集、存储、使用、加工、传输、提供、公开等;后者的审查对象主要针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的情形。
2020年4月,国家互联网信息办公室、国家发展和改革委员、工业和信息化部、公安部、国家安全部等十二个部委联合发布《网络安全审查办法》(以下称:《审查办法》),根据该《审查办法》第二条的要求:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”显然,《审查办法》中的网络安全审查,主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全情形的安全审查制度。
随着《数据安全法》于2021年9月1日的正式实施,对影响或者可能影响国家安全的数据处理活动也将面临国家安全审查。由于《网络安全审查办法》是2020年实施,其内容只涉及了《网络安全法》中的“网络安全审查”制度,没有涉及《数据安全法》中的“数据安全审查”内容。因此,有必要在原有《审查办法》的基础上增加数据安全审查的内容。
数据时代,数据安全已经成为网络安全的核心要素,网络安全保护的目标更趋向于对数据安全的保护,两者是一个有机整体不可分离,特别是数据安全不仅涉及域外之效力,还涉及长臂管辖。如美国的“CLOUD法”突破了传统的数据存储地模式,将美国的执法效力扩展至全球;再如欧盟的GDPR要求,凡涉及收集、存储、使用欧盟公民数据(信息)的企业,都将受到GDPR的约束。对此,我国《数据安全法》第二条第二款明确规定:“在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。”
鉴于网络安全审查与数据安全的审查具有统一性和不可分割性,《审查办法(修订草案)》将依据《网络安全法》和《数据安全》对网络安全法涉及的运营者采购网络产品和服务以及数据安全法涉及处理者的数据处理活动,影响或可能影响国家安全的产品和服务的采购活动和数据处理活动,均实行国家安全审查。
《审查办法(修订草案)》第二条规定:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
二、网络安全审查办公室成员新增“证监会”并强化国外上市数据安全风险审查
根据《审查办法》第四条的规定:在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
《审查办法(修订草案)》第四条在《审查办法》第四条的基础上新增加了“中国证券监督管理委员会”。这主要考虑到,我国一些关键信息基础设施运营者在境外上市,涉及重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。对此,《审查办法(修订草案)》第十条增加了“数据处理活动以及国外上市可能带来的国家安全风险”,在《审查办法》考虑的五大因素基础上新增了两项重要因素,一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;二是国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
三、超过100万用户个人信息的运营者赴国外上市必须申报安全审查
《审查办法(修订草案)》新增加一条并列为第六条:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
最近,“滴滴”以VIE的方式在美上市引发国家和社会高度关注,VIE架构,即“Variable Interest Entity”,中文含义是“可变利益实体”,在国内被称为“协议控制”,其本质是境外上市实体与境内运营实体相分离,境外上市实体在境内设立全资子公司,该全资子公司并不实际开展主营业务,而是通过协议的方式控制境内运营实体的业务和财务,使该运营实体成为上市实体的可变利益实体,VIE架构最关键的问题是“控制”境内运营实体的业务。
当前,“滴滴出行”的业务涵盖15个国家、4000个城市,年活跃用户在4.93亿,特别根据美国《外国公司问责法》要求,在美国上市的中国公司必须允许美国公众公司会计监督委员会审计这些公司的文件和资料。如此重要的交通关键信息基础设施的运营平台企业,竟然采取“可变利益实体”的结构在美上市,通过协议控制的方式由美国上市实体控制境内运营实体的业务和财务,且是允许美国证券监督管理机构在中国境内直接进行调查,存在大量个人信息被国外政府控制和恶意利用的风险。
四、相关修改建议
1.建议新修订的《网络安全审查办法》名称改为:《网络和数据安全审查办法》。
修改理由:网络安全审查的依据是《网络安全法》,数据安全审查的依据是《数据安全法》,因此《网络安全审查办法》既涉及网络审查,也涉及数据安全审查。
2.建议第二条中的“数据处理者(以下称运营者)开展数据处理活动”中的括弧部分改为(以下称处理者)。
修改为:关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称处理者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
修改理由:根据《数据安全法》第三条第二款;“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。” 因此,数据处理者不易简称“运营者”,以区分关键信息基础设施运营者的简称“运营者”。
3.第三条增加“与数据”安全审查的相关内容
《审查办法(修订草案)》第三条:网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
建议修改为:第三条:网络与数据安全审查坚持防范网络与数据安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品、服务和数据处理的安全性、可能带来的国家安全风险等方面进行审查。
4.第十条增加“数据”,并保留“网络产品和服务”
《审查办法(修订草案)》第十条:网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:
该条删除了《审查办法》第九条中的“网络产品和服务”,建议保留。
修改为:第十条:网络和数据安全审查重点评估网络产品和服务采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:
修改理由:对关键信息基础设施的运营者采购网络产品和服务采购活动实施国家审查是《网络安全法》第三十五条规定的内容,《审查办法(修订草案)》应当保留。
5.第十七条增加“个人敏感信息”
《审查办法(修订草案)》第十七条:参与网络安全审查的相关机构和人员应严格保护个人敏感信息、企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。