近日，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”）發(fā)布了《關(guān)于<網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）>公開征求意見的通知》（以下簡稱《征求意見稿》），對《網(wǎng)絡(luò)安全審查辦法》內(nèi)容提出了重要修訂。從此次修訂的變化，能夠看出網(wǎng)絡(luò)安全和數(shù)據(jù)安全發(fā)展情勢的變化，也可讀出其對數(shù)據(jù)安全政策和產(chǎn)業(yè)的影響。

　　內(nèi)容修訂情況：一條主線

　　此次《征求意見稿》相比之前的《網(wǎng)絡(luò)安全審查辦法》，其核心修訂，也是最為重要的內(nèi)容變化是加強了對數(shù)據(jù)安全的關(guān)注和規(guī)范。具體表現(xiàn)在以下三個方面。

　　一是將數(shù)據(jù)安全法增加為立法依據(jù)。《征求意見稿》第一條規(guī)定：“依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》，制定本辦法”，將《中華人民共和國數(shù)據(jù)安全法》增加為制定依據(jù)，直接表明了本次修訂的主旨就是通過網(wǎng)絡(luò)安全審查制度、機制加強對數(shù)據(jù)安全相關(guān)行為的規(guī)范。這不僅僅是法規(guī)間銜接的要求，更是切實強化數(shù)據(jù)安全的必然舉措。

　　二是將數(shù)據(jù)處理活動作為重點規(guī)范對象?！墩髑笠庖姼濉返诙l規(guī)定：“數(shù)據(jù)處理者（以下稱運營者）開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，應(yīng)當(dāng)按照本辦法進行網(wǎng)絡(luò)安全審查”?？梢姡乱徊健毒W(wǎng)絡(luò)安全審查辦法》的管理范圍將有很大拓展，其在規(guī)范主體、規(guī)范行為兩大方面都有擴大。結(jié)合近期國家主管部門先后宣布對多家互聯(lián)網(wǎng)廠商進行審查的情況來看，辦法修訂生效后，也極有可能成為主管部門加強數(shù)據(jù)安全執(zhí)法行動在操作層面的主要法律依據(jù)。

　　三是對數(shù)據(jù)運營者作出了定量描述?！墩髑笠庖姼濉返诹鶙l規(guī)定：“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”。從該條規(guī)定可以看出，《征求意見稿》將掌握一定數(shù)量個人信息的企業(yè)赴國外上市，作為應(yīng)當(dāng)進行網(wǎng)絡(luò)安全審查的一種數(shù)據(jù)處理行為，而且從相關(guān)修訂條文比重來看，滿足特定條件的國內(nèi)企業(yè)赴國外上市很可能成為下一步網(wǎng)絡(luò)安全審查的重點規(guī)范。

　　此外，《征求意見稿》還涉及到其他重要內(nèi)容補充修訂，如：將證監(jiān)會增加進審查機制、審查提交材料增加了“擬提交的IPO材料”、特別審查程序由45天延長至3個月等?？梢?，這些修訂內(nèi)容，也均與數(shù)據(jù)安全的修訂直接相關(guān)。

　　內(nèi)容修訂分析：三個要素

　　《征求意見稿》立足數(shù)據(jù)安全主線，其修訂內(nèi)容還充分反映了與數(shù)據(jù)安全存在密切關(guān)聯(lián)的三個邏輯要素。

　　（一）數(shù)據(jù)安全審查——明確機制

　　首先從法理上看，加強數(shù)據(jù)安全管理、完善數(shù)據(jù)安全審查機制是落實《數(shù)據(jù)安全法》的重要步驟。6月10日頒布的《數(shù)據(jù)安全法》即將于9月1日正式生效施行，此次《征求意見稿》將數(shù)據(jù)安全相關(guān)內(nèi)容作為修訂重點，無疑是數(shù)據(jù)安全法正式實施前的一項重要制度準備?！稊?shù)據(jù)安全法》第二十四條明確規(guī)定：“國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查”，盡管此處的“國家安全審查”的方式和范圍尚不得而知，但網(wǎng)絡(luò)安全審查作為國家安全審查的重要組成部分應(yīng)該是沒有異議的。將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全審查范疇，在具體操作中也符合管理效率原則和網(wǎng)絡(luò)安全保障工作實情。

　　其次從數(shù)據(jù)安全的雙重含義來看，在審查中不應(yīng)偏廢。理解數(shù)據(jù)安全應(yīng)包含兩層含義，一個是數(shù)據(jù)信息本身的安全屬性要求，即通常所說的機密性、完整性、可用性、真實性、可控性等屬性，可稱之為直接安全或內(nèi)在安全；另一個是因?qū)?shù)據(jù)的不當(dāng)處理行為而帶來的安全風(fēng)險，可以稱之為間接安全或外在安全?！毒W(wǎng)絡(luò)安全審查辦法》此前對于第一種情形即數(shù)據(jù)的內(nèi)在安全性已經(jīng)作出了規(guī)定，如第九條第一款“產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險”。而此次《征求意見稿》對于數(shù)據(jù)安全的補充修訂，很大程度上是對數(shù)據(jù)安全的第二層含義，即外在安全性的貫徹?？梢?，《征求意見稿》對數(shù)據(jù)安全進行的補充修訂，其實質(zhì)上是完善了數(shù)據(jù)安全的定義涵蓋，而非無根據(jù)的隨意擴展。因此從本質(zhì)邏輯上看，數(shù)據(jù)安全的兩個方面均是安全審查的重要對象，二者是一致的也是不可分割的。

　?。ǘ﹪馍鲜小匾獙彶閳鼍?/p>

　　從《征求意見稿》內(nèi)容側(cè)重上不難發(fā)現(xiàn)，國外上市是其明確列出的數(shù)據(jù)運營者所從事的、可能影響國家安全的一種主要行為。加強對特定企業(yè)赴國外上市的安全監(jiān)管，不僅是為了落實《關(guān)于依法從嚴打擊證券違法活動的意見》政策要求，更是為管控國外上市帶來數(shù)據(jù)安全風(fēng)險隱患的客觀需要。

　　盡管對“國外上市”含義的具體界定還有待進一步明確，而僅從近期主管部門宣布啟動的幾起網(wǎng)絡(luò)安全審查來看，企業(yè)在國外上市的行為，會極大加劇相關(guān)重要數(shù)據(jù)面臨的安全風(fēng)險、以及被政治化歪曲利用的可能。

　　以美國為例，目前美國證券交易相關(guān)的管理規(guī)定主要包括《塞班斯法案（Sarbanes-Oxley Act）》、《外國公司問責(zé)法案（Holding Foreign Companies Accountable Act）》等，其要求上市公司的核心披露義務(wù)主要涉及“財務(wù)和管理弱點報告”和“審計底稿”等。這些披露材料乍看似乎與事關(guān)安全的重要數(shù)據(jù)、核心數(shù)據(jù)等沒有太直接的聯(lián)系，深入分析則會發(fā)現(xiàn)，安全隱患主要來源于兩個方面。一方面，要求披露的內(nèi)容本身可能包含某些安全敏感數(shù)據(jù)，如“審計底稿”通常包括被審計對象的組織機構(gòu)及管理人員結(jié)構(gòu)、重要合同、董事會會議紀要等，其中可能會包含我國行業(yè)數(shù)據(jù)和消費者信息，能反映我國關(guān)鍵信息基礎(chǔ)的運行等情況，若任由美國收集難免影響到我國家安全利益。另一方面，也是風(fēng)險最大的情況，即在美上市的公司除了負擔(dān)直接的信息披露義務(wù)之外，還有面臨各種調(diào)查的潛在風(fēng)險。美國建立了相對體系化的審查調(diào)查機制，主導(dǎo)部門包括商務(wù)部（貿(mào)易調(diào)查）、司法部（不正當(dāng)競爭調(diào)查、海外反腐敗調(diào)查、知識產(chǎn)權(quán)調(diào)查等）等，一旦上市公司被納入相關(guān)的審查調(diào)查，其調(diào)查的內(nèi)容范圍就極有可能擴大，也就會加大相關(guān)重要數(shù)據(jù)暴露或被政治化歪曲等的風(fēng)險。

　?。ㄈ﹤€人信息——界定審查對象

　　《征求意見稿》對于數(shù)據(jù)安全的修訂，還有很重要的一條線索就是個人信息保護。從字面上理解，似乎數(shù)據(jù)安全和個人信息保護的界線相對清晰，前者屬于公法范疇，側(cè)重保護公共利益；后者屬于私法范疇，側(cè)重保護個人隱私。但二者的密切聯(lián)系也不容忽視。

　　首先，掌握個人信息的數(shù)量，將直接影響數(shù)據(jù)運營者的行為性質(zhì)。正如前所述《征求意見稿》第六條規(guī)定了：“掌握超過100萬用戶個人信息的運營者赴國外上市”的時候，要必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查?？梢?，按照《征求意見稿》該條內(nèi)容理解，個人信息的定量情況將直接決定著數(shù)據(jù)運營者的海外上市行為是否影響國家安全，是判定數(shù)據(jù)運營者在海外上市能否觸發(fā)網(wǎng)絡(luò)安全審查的先決條件。

　　其次，個人信息在一定條件下，將直接轉(zhuǎn)化為重要數(shù)據(jù)。因為二者在某些情況下存在一定的交集，如特定人物的個人信息、特定群體個人信息的匯聚等都有可能使個人信息轉(zhuǎn)化為重要或核心數(shù)據(jù)，這些數(shù)據(jù)因能夠反映地區(qū)或行業(yè)、設(shè)施運行情況，從而必須納入國家安全的視野范圍加以保護。例如網(wǎng)絡(luò)上曝光的對某些國家部委工作人員上下班出行情況的分析，這些出行信息具有很強的個人屬性，本屬于個人信息的范疇，但對這些信息進行匯聚和分類分析，就成了能夠反映國家重要機構(gòu)運行情況的數(shù)據(jù)，就不能再單純視作個人信息了。在此意義上也可看出，個人信息與數(shù)據(jù)安全關(guān)系密不可分。

　　影響分析：構(gòu)建數(shù)據(jù)安全供需發(fā)展新格局

　　當(dāng)前“十四五”規(guī)劃已經(jīng)開局，將《征求意見稿》與即將生效的《數(shù)據(jù)安全法》結(jié)合起來并置于“十四五”新發(fā)展格局大背景中進行思考，對經(jīng)濟社會發(fā)展、產(chǎn)業(yè)提振將有更加實際的意義。“十四五”規(guī)劃明確部署了新發(fā)展格局的實施路徑：“把實施擴大內(nèi)需戰(zhàn)略同深化供給側(cè)結(jié)構(gòu)性改革有機結(jié)合起來，以創(chuàng)新驅(qū)動、高質(zhì)量供給引領(lǐng)和創(chuàng)造新需求，加快構(gòu)建以國內(nèi)大循環(huán)為主體、國內(nèi)國際雙循環(huán)相互促進的新發(fā)展格局”，此次網(wǎng)絡(luò)安全審查制度的修訂，也將從供給、需求兩個方面對數(shù)據(jù)安全發(fā)展帶來積極影響，推動我國數(shù)據(jù)安全行業(yè)發(fā)展新格局的加速構(gòu)建。

　?。ㄒ唬娀瘮?shù)據(jù)安全供給：技術(shù)創(chuàng)新、管理機制缺一不可

　　數(shù)據(jù)安全的供給側(cè)主要偏重于構(gòu)建數(shù)據(jù)安全保障能力，包括管理規(guī)范、技術(shù)手段、管理隊伍等要素供給能力。

　　從管理規(guī)范供給能力看。一方面現(xiàn)有的數(shù)據(jù)安全管理法規(guī)政策之間將進一步銜接，從國家近期相繼發(fā)布《關(guān)于依法從嚴打擊證券違法活動的意見》（兩辦）、《征求意見稿》、《數(shù)字經(jīng)濟對外投資合作工作指引》（商務(wù)部、中央網(wǎng)信辦、工信部聯(lián)合印發(fā)）等重磅政策法規(guī)不難看出，數(shù)據(jù)安全與證券跨境監(jiān)管、關(guān)鍵基礎(chǔ)設(shè)施采購等的關(guān)系正在更加緊密地協(xié)同。另一方面，數(shù)據(jù)安全管理法規(guī)體系的健全工作將進一步提速，覆蓋面也將逐步擴展，如關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)處理活動風(fēng)險評估管理、境外發(fā)行證券的保密和檔案管理、跨境信息提供機制與流程管理、跨境審計監(jiān)管合作等。

　　從技術(shù)手段供給能力來看。將有力促進數(shù)據(jù)安全相關(guān)技術(shù)產(chǎn)品和服務(wù)能力的創(chuàng)新發(fā)展，圍繞不同層面需求，數(shù)據(jù)安全產(chǎn)品技術(shù)和服務(wù)供給能力將進一步深化。在滿足企事業(yè)單位自身數(shù)據(jù)安全保護需求方面，重點發(fā)展方向包括：數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻，以及以數(shù)據(jù)資產(chǎn)識別、管理為核心的數(shù)據(jù)安全管理平臺等；在滿足主管部門監(jiān)管需求方面，重點發(fā)展方向包括：數(shù)據(jù)分級分類管理、敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全審計、數(shù)據(jù)追蹤溯源等；在滿足公共數(shù)據(jù)安全能力提升需求方面，重點發(fā)展方向包括：數(shù)據(jù)安全災(zāi)備、數(shù)據(jù)安全培訓(xùn)、數(shù)據(jù)安全運營等服務(wù)保障能力。

　　從管理隊伍供給能力來看。數(shù)據(jù)安全在審查工作中的重要性日益增強，管理隊伍的專業(yè)化水平將亟待同步提升。與之相適應(yīng)的數(shù)據(jù)安全隊伍供給體系重點方向?qū)ǎ簲?shù)據(jù)安全類專業(yè)人才培養(yǎng)體系、選拔任用機制、培訓(xùn)實戰(zhàn)體系、績效考核機制等。

　　（二）拓展數(shù)據(jù)安全需求：多管齊下應(yīng)用引領(lǐng)

　　數(shù)據(jù)安全的需求側(cè)主要偏重于建立數(shù)據(jù)安全應(yīng)用體系，可歸納為三個“需求”：管理需求、合規(guī)需求和攻防需求。未來圍繞數(shù)據(jù)安全需求的挖掘，不僅是主管部門引導(dǎo)數(shù)據(jù)安全健康有序發(fā)展的重要依據(jù)，也是深化數(shù)據(jù)安全技術(shù)創(chuàng)新和壯大數(shù)據(jù)安全產(chǎn)業(yè)能力的重要方向。

　　01 管理需求

　　對數(shù)據(jù)要做到“心中有數(shù)”。“底數(shù)不清”往往是出現(xiàn)數(shù)據(jù)安全問題的重要根源之一，明確數(shù)據(jù)安全管理需求的重點就是要做到對自身數(shù)據(jù)及其安全情況有較為清晰的了解。這類需求將主要圍繞數(shù)據(jù)分類、數(shù)據(jù)分級、數(shù)據(jù)資產(chǎn)構(gòu)成分析、數(shù)據(jù)防護現(xiàn)狀分析等展開。

　　02 合規(guī)需求

　　數(shù)據(jù)安全應(yīng)符合“法規(guī)紅線”。網(wǎng)絡(luò)安全等級保護、關(guān)鍵信息基礎(chǔ)設(shè)施保護、保密管理等制度規(guī)范，對于數(shù)據(jù)都提出了相應(yīng)的安全要求及相應(yīng)防護手段。除了等保、關(guān)基、保密等傳統(tǒng)合規(guī)要求之外，針對數(shù)據(jù)應(yīng)用的重要典型場景，如工業(yè)數(shù)據(jù)、交通數(shù)據(jù)、能源數(shù)據(jù)等，也將成為法規(guī)關(guān)注的重點需求領(lǐng)域。

　　03 攻防需求

　　數(shù)據(jù)安全當(dāng)滿足“實戰(zhàn)有效”。數(shù)據(jù)安全保障手段的最終目的是其能夠化解潛在數(shù)據(jù)風(fēng)險或有效防御數(shù)據(jù)攻擊。在此類需求方面，除了事中防御和事后補救手段之外，事前的發(fā)現(xiàn)、檢驗需求將成為數(shù)據(jù)安全建設(shè)需求的重中之重，與之相對應(yīng)的數(shù)據(jù)安全態(tài)勢監(jiān)測、數(shù)據(jù)安全仿真檢測、數(shù)據(jù)安全保護實效檢驗等也將日益受到更多關(guān)注。

　　“東方欲曉，莫道君行早”?！墩髑笠庖姼濉穮R總各方面意見后的最終內(nèi)容如何，仍需拭目以待。而其對于我國網(wǎng)絡(luò)安全審查制度的完善、對于社會各界數(shù)據(jù)安全保護意識提升的影響已經(jīng)顯現(xiàn)并將持續(xù)，數(shù)據(jù)安全政策法規(guī)體系和數(shù)據(jù)安全技術(shù)產(chǎn)業(yè)也將以此為契機，迎來發(fā)展的新階段。