2022-01-05
張弛有度:把握《網絡安全審查辦法》的邊界與尺度
作者:
楊建媛
2022年1月4日,國家互聯網信息辦公室等十三部門聯合修訂發布了《網絡安全審查辦法》(“2022版”),新辦法自2022年2月15日起施行。2022版的修訂以《數據安全法》正式施行為背景,以保障網絡安全和數據安全,維護國家安全為主要目的,一方面對網絡安全審查范圍的擴張秉持了審慎的態度,將“網絡平臺運營者”(而非“數據處理者”)開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍;另一方面對于赴國外上市這一焦點問題給予了明確回應,要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查。
《網絡安全審查辦法》塵埃落定。市場也精準地把握到了2022版的修訂精髓,即:國外上市活動所涉數據處理行為對國家安全的影響或可能影響。本文從網絡安全審查與數據安全審查的關系、需要主動申報網絡安全審查的情形、網絡平臺運營者的界定、國家安全風險因素的理解這四大角度,對2022版的修法重點進行解讀。
一、依托既有網絡安全審查制度,先行解決數據處理活動中已顯現的國家安全隱患
2022版明確了網絡安全審查制度和數據安全審查制度系兩套制度,但現實中存在重疊之處。此次通過修訂既有網絡安全審查制度,著力解決現階段數據處理活動中已顯現的國家安全隱患。同時,為未來數據安全審查的進一步立法留有空間,達到提供法律手段和穩定市場預期的綜合目標。
《數據安全法》規定了數據安全審查制度。《網絡安全審查辦法(修訂草案征求意見稿)》(“2021版”)開宗明義將“數據處理者開展數據處理活動”納入網絡安全審查的適用范圍,導致有觀點認為數據安全審查制度系為網絡安全審查所包含。2022版的兩點變化:
1、2022版第2條將網絡安全審查的適用前提之一由“數據處理者”修改為“網絡平臺運營者”開展數據處理活動,影響或可能影響國家安全的。考慮到在《網絡數據安全管理條例(征求意見稿)》(“《條例》”)中“互聯網平臺運營者”屬于一類特殊的“數據處理者”,網信部門可能有意限縮了網絡安全審查所規制的數據處理主體范圍。值得注意的是,雖然赴國外上市場景下的主動申報主體限定為“網絡平臺運營者”,但監管依職權提出審查仍需著眼于數據處理活動是否影響或可能影響國家安全,此處所涉及主體范圍可能包含其他類型的數據處理者。
2、2022版第22條增加國家對數據安全審查、外商投資安全審查另有規定的,應當同時符合其規定的要求。“另有規定,同時符合”的表述不同于“另有規定,依照規定執行”或者“另有規定,以本規定為準”。該條款說明數據安全審查制度具有獨立性,未來對其審查事項應該會有進一步規定。
數據安全審查系一項法律制度,必定難以一蹴而就,但就合規實踐而言市場仍對此重要制度的架構有所期待:第一是合規成本問題。盡管各類安全審查可能有著不同的規范目的和歸口部門,但從提高監管和市場效率的角度,仍期待后續立法能夠避免審查程序的疊床架屋,盡量讓市場主體因為同一事項“最多跑一次”。第二是立法技術問題。國家對網絡安全審查的規定修改暫時落地,未來對數據安全審查另有規定的,需同時符合。該等情況下,避免相互間的邏輯矛盾情況可能會成為新的課題。
二、赴港上市無需主動申報審查,但主動排除數據安全風險或將成為必修課
2022版下需要主動申報網絡安全審查的只有兩種情況:(1)關鍵信息基礎設施(“CII”)運營者采購網絡產品和服務,影響或者可能影響國家安全的;(2)掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市。
“赴港上市”無需“主動申報”,但不等于無需考慮數據安全風險。《條例》將“數據處理者赴香港上市,影響或可能影響國家安全”納入網絡安全審查主動申報情形,雖然展現出對赴港上市的申報要求明顯寬松于赴國外上市的監管態度,但因何謂“影響或可能影響國家安全”暫不明確而引發一定困惑。2022版未將“赴港上市”納入“主動申報”范疇,但仍需考慮數據安全風險,原因可能在于:(1)監管認為影響或者可能影響國家安全的數據處理活動,可依職權開展網絡安全審查。無論國外亦或赴港上市必然包含數據處理行為,其中的數據出境更是備受關注;(2)相較于主動申報,企業對于依職權審查的掌控度較低,一旦發生則微觀于上市進程、宏觀于企業運營必將產生重大影響,屬于企業運營中難以承受之重;(3)《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》要求境內企業境外發行上市的,應當向證監會履行備案程序,而證監會在備案時應當會考察網絡安全審查的適用問題。
2022版新增關于審查期間采取風險預防和消減措施的規定,初步理解適用情形為依職權審查時。該等措施實踐中可能表現為要求網絡產品下架、停止新用戶注冊等。2022版未說明系何種啟動方式下的“審查期間”,但考慮到本款系增設于依職權啟動審查情形之下,依職權啟動審查場景下企業被要求采取上述措施的可能性較高。
數據剝離方案對于降低國家安全影響有積極意義,但能否規避網安審查需依據剝離效果判斷。境內企業赴境外上市前主動剝離境內數據,屬于響應《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》合規要求的積極舉措。采取該等方案應有助于通過網絡安全審查,但若期待以此規避網安審查則恐怕需要滿足苛刻條件:(1)業務層面不具有處理被剝離數據的訴求,或僅于限定場景有所訴求且具備嚴格管控該等處理行為的機制;(2)技術層面不具有接觸、使用該等數據的可能性;(3)托管方需具備保持數據處于隔離狀態的技術能力與公信力。
三、“網絡平臺運營者”定義有待明確, “基礎”與“連接”或為關鍵特性
2022版中未就“網絡平臺運營者”給出定義,如何界定網絡平臺運營者將成為實務的爭點問題之一。
“服務的基礎性”與“服務的連接性”可能成為界定平臺的標準。網信部門與市場監管部門在各自所主導的立法中,對界定何為“平臺”體現出了不同的路徑偏好:網信部門側重于從后果出發,更加關注“服務的基礎性”,將信息發布、社交、交易、支付、視聽等五種日常生活中高頻使用的互聯網服務界定為典型的“互聯網平臺服務”,并通過界定“平臺服務”進而界定“平臺”;而市場監管部門側重于從本質出發,更加關注“連接多方”的服務特性,將“互聯網平臺”界定為“通過網絡信息技術,使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互,以此共同創造價值的商業組織形態”。
需注意的是,根據“連接”標準,在《電子商務法》、《關于平臺經濟領域的反壟斷指南》等法律法規中的“平臺”往往限于主體與主體之間的連接。但在市場監管總局10月所發布的《互聯網平臺分類分級指南(征求意見稿)》中,“平臺”不再限于提供主體之間的連接,還可能包括人與物的連接(如云計算被視為“人與計算能力”的連接),如類似表述最終得以通過,則“平臺”的范圍可能進一步擴大。
在判定是否構成網絡平臺運營者時,“基礎”與“連接”究竟是取其交集亦或并集,有待進一步觀察,但建議具備“基礎”或“連接”特性的網絡運營者提前開展相應合規部署。“網絡平臺運營者”這一概念的彈性為監管機關提供了調節的“工具”,通過將“數據處理者”限縮為“網絡平臺運營者”,2022版在回應現實執法需求、提供執法依據的同時,也在監管機關干預市場活動的授權問題上秉持了克制的態度。監管機關在未來的實踐中將如何界定“網絡平臺運營者”,尚不確定,企業不宜僅以自身不屬于“網絡平臺運營者”為理由而認為無需進行網絡安全審查。
四、國家安全風險因素有所擴張,但仍聚焦于有價值的數據和高風險的數據處理場景
“影響或者可能影響國家安全”始終是網絡安全審查的前提條件與落腳點。從《國家安全法》初步構建針對網絡信息技術產品和服務的國家安全審查,到《網絡安全法》確立針對CII運營者采購網絡產品和服務的國家安全審查、《數據安全法》確立數據安全審查制度,再到最新的《網絡安全審查辦法》進一步細化針對CII運營者采購網絡產品和服務、網絡平臺運營者開展數據處理活動的網絡安全審查,上述法律法規均強調審查對象對于國家安全的現實影響或潛在影響。
《網絡安全審查辦法》具象化了“影響或者可能影響國家安全”的考量因素。對于網絡安全審查中重點評估的國家安全風險因素,2021版在原《網絡安全審查辦法》(“2020版”)的基礎上增加了針對數據處理活動的考量因素,2022版對2021版進行了微調,主要包括如下值得關注的特點。
1、持續聚焦核心數據、重要數據、大量個人信息。2021版、2022版均對網絡安全審查所關心的數據進行了限縮,核心數據、重要數據、大量個人信息這三類數據因其性質或數量,更有可能影響國家安全。并且,網絡安全審查重點關注這三類數據被竊取、泄露、毀損、非法利用、非法出境的風險。
2、重點關切赴國外上市活動。2021版、2022版均特別強調了赴國外上市的情形。在考察CII及上述三類數據因赴國外上市而被外國政府影響、控制、惡意利用的風險時,2022版將2021版的“上市后……的風險”改為了“上市存在……的風險”,即,網絡安全審查也將考察上市準備與申請階段的風險。此外,2022版除前述與國家安全強相關的風險外,還需考察網絡信息安全風險,而《網絡安全法》第四章“網絡信息安全”涵蓋了個人信息保護、網絡詐騙、信息內容等多方面的規定,存在較大的解釋空間。
3、適度擴張對于網絡安全和數據安全的考量。對于兜底性質的其他因素,2020版主要強調了CII安全,2021版增加了數據安全,2022版又增加了網絡安全。2022版在三處(立法意旨與保護法益、國家安全風險因素、網絡產品和服務的定義)均新增了對“網絡安全和數據安全”的考量與保護,而上位法《網絡安全法》《數據安全法》均有著豐富的內涵。2022版將較為抽象的“國家安全”進一步落地至網絡安全和數據安全,但其引申的邊界有待實踐的檢驗。
******
1.《網絡數據安全管理條例(征求意見稿)》
第73條 本條例下列用語的含義:
(九)互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。
2.《網絡安全審查辦法》(2022版)第16條網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查。為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。
3.《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》第8條境內企業境外發行上市的,應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定,切實履行國家安全保護義務。涉及安全審查的,應當依法履行相關安全審查程序。 國務院有關主管部門可以要求剝離境內企業業務、資產或采取其他有效措施,消除或避免境外發行上市對國家安全的影響。
4.《網絡數據安全管理條例(征求意見稿)》
第73條 本條例下列用語的含義:
(九)互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。
5.《國務院反壟斷委員會關于平臺經濟領域的反壟斷指南》
第2條 相關概念:
(一)平臺,本指南所稱平臺為互聯網平臺,是指通過網絡信息技術,使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互,以此共同創造價值的商業組織形態。
6.《互聯網平臺分類分級指南(征求意見稿)》
2.1 分類依據
對平臺進行分類需要考慮平臺的連接屬性和主要功能。平臺的連接屬性是指通過網絡技術把人和商品、服務、信息、娛樂、資金以及算力等連接起來,由此使得平臺具有交易、社交、娛樂、資訊、融資、計算等各種功能。
7.《國家安全法》第59條 國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。
8.《網絡安全法》第35條 關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
9.《數據安全法》第24條第1款 國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。
10.《網絡安全審查辦法》(2022版)第2條第1款 關鍵信息基礎設施運營者采購網絡產品和服務,網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,應當按照本辦法進行網絡安全審查。
11.《網絡安全審查辦法》(2022版)
第10條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;
(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
《網絡安全審查辦法(修訂草案征求意見稿)》(2021版)
第10條 網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;
(六)國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險;
(七)其他可能危害關鍵信息基礎設施安全和國家數據安全的因素。
《網絡安全審查辦法》(2020版)
第9條 網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:
(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;
(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況;
(五)其他可能危害關鍵信息基礎設施安全和國家安全的因素。
12.《網絡安全審查辦法》(2022版)
第1條 為了確保關鍵信息基礎設施供應鏈安全,保障網絡安全和數據安全,維護國家安全,根據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》,制定本辦法。
第10條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:……
(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。
第21條 本辦法所稱網絡產品和服務主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。
京ICP備05019364號-1 
京公網安備110105011258
