近日,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)發(fā)布了《關于<網(wǎng)絡安全審查辦法(修訂草案征求意見稿)>公開征求意見的通知》(以下簡稱《征求意見稿》),對《網(wǎng)絡安全審查辦法》內(nèi)容提出了重要修訂。從此次修訂的變化,能夠看出網(wǎng)絡安全和數(shù)據(jù)安全發(fā)展情勢的變化,也可讀出其對數(shù)據(jù)安全政策和產(chǎn)業(yè)的影響。
內(nèi)容修訂情況:一條主線
此次《征求意見稿》相比之前的《網(wǎng)絡安全審查辦法》,其核心修訂,也是最為重要的內(nèi)容變化是加強了對數(shù)據(jù)安全的關注和規(guī)范。具體表現(xiàn)在以下三個方面。
一是將數(shù)據(jù)安全法增加為立法依據(jù)。《征求意見稿》第一條規(guī)定:“依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》,制定本辦法”,將《中華人民共和國數(shù)據(jù)安全法》增加為制定依據(jù),直接表明了本次修訂的主旨就是通過網(wǎng)絡安全審查制度、機制加強對數(shù)據(jù)安全相關行為的規(guī)范。這不僅僅是法規(guī)間銜接的要求,更是切實強化數(shù)據(jù)安全的必然舉措。
二是將數(shù)據(jù)處理活動作為重點規(guī)范對象?!墩髑笠庖姼濉返诙l規(guī)定:“數(shù)據(jù)處理者(以下稱運營者)開展數(shù)據(jù)處理活動,影響或可能影響國家安全的,應當按照本辦法進行網(wǎng)絡安全審查”??梢?,下一步《網(wǎng)絡安全審查辦法》的管理范圍將有很大拓展,其在規(guī)范主體、規(guī)范行為兩大方面都有擴大。結合近期國家主管部門先后宣布對多家互聯(lián)網(wǎng)廠商進行審查的情況來看,辦法修訂生效后,也極有可能成為主管部門加強數(shù)據(jù)安全執(zhí)法行動在操作層面的主要法律依據(jù)。
三是對數(shù)據(jù)運營者作出了定量描述?!墩髑笠庖姼濉返诹鶙l規(guī)定:“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查”。從該條規(guī)定可以看出,《征求意見稿》將掌握一定數(shù)量個人信息的企業(yè)赴國外上市,作為應當進行網(wǎng)絡安全審查的一種數(shù)據(jù)處理行為,而且從相關修訂條文比重來看,滿足特定條件的國內(nèi)企業(yè)赴國外上市很可能成為下一步網(wǎng)絡安全審查的重點規(guī)范。
此外,《征求意見稿》還涉及到其他重要內(nèi)容補充修訂,如:將證監(jiān)會增加進審查機制、審查提交材料增加了“擬提交的IPO材料”、特別審查程序由45天延長至3個月等??梢?,這些修訂內(nèi)容,也均與數(shù)據(jù)安全的修訂直接相關。
內(nèi)容修訂分析:三個要素
《征求意見稿》立足數(shù)據(jù)安全主線,其修訂內(nèi)容還充分反映了與數(shù)據(jù)安全存在密切關聯(lián)的三個邏輯要素。
(一)數(shù)據(jù)安全審查——明確機制
首先從法理上看,加強數(shù)據(jù)安全管理、完善數(shù)據(jù)安全審查機制是落實《數(shù)據(jù)安全法》的重要步驟。6月10日頒布的《數(shù)據(jù)安全法》即將于9月1日正式生效施行,此次《征求意見稿》將數(shù)據(jù)安全相關內(nèi)容作為修訂重點,無疑是數(shù)據(jù)安全法正式實施前的一項重要制度準備?!稊?shù)據(jù)安全法》第二十四條明確規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查”,盡管此處的“國家安全審查”的方式和范圍尚不得而知,但網(wǎng)絡安全審查作為國家安全審查的重要組成部分應該是沒有異議的。將數(shù)據(jù)安全納入網(wǎng)絡安全審查范疇,在具體操作中也符合管理效率原則和網(wǎng)絡安全保障工作實情。
其次從數(shù)據(jù)安全的雙重含義來看,在審查中不應偏廢。理解數(shù)據(jù)安全應包含兩層含義,一個是數(shù)據(jù)信息本身的安全屬性要求,即通常所說的機密性、完整性、可用性、真實性、可控性等屬性,可稱之為直接安全或內(nèi)在安全;另一個是因?qū)?shù)據(jù)的不當處理行為而帶來的安全風險,可以稱之為間接安全或外在安全。《網(wǎng)絡安全審查辦法》此前對于第一種情形即數(shù)據(jù)的內(nèi)在安全性已經(jīng)作出了規(guī)定,如第九條第一款“產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風險”。而此次《征求意見稿》對于數(shù)據(jù)安全的補充修訂,很大程度上是對數(shù)據(jù)安全的第二層含義,即外在安全性的貫徹??梢?,《征求意見稿》對數(shù)據(jù)安全進行的補充修訂,其實質(zhì)上是完善了數(shù)據(jù)安全的定義涵蓋,而非無根據(jù)的隨意擴展。因此從本質(zhì)邏輯上看,數(shù)據(jù)安全的兩個方面均是安全審查的重要對象,二者是一致的也是不可分割的。
?。ǘ﹪馍鲜小匾獙彶閳鼍?/p>
從《征求意見稿》內(nèi)容側重上不難發(fā)現(xiàn),國外上市是其明確列出的數(shù)據(jù)運營者所從事的、可能影響國家安全的一種主要行為。加強對特定企業(yè)赴國外上市的安全監(jiān)管,不僅是為了落實《關于依法從嚴打擊證券違法活動的意見》政策要求,更是為管控國外上市帶來數(shù)據(jù)安全風險隱患的客觀需要。
盡管對“國外上市”含義的具體界定還有待進一步明確,而僅從近期主管部門宣布啟動的幾起網(wǎng)絡安全審查來看,企業(yè)在國外上市的行為,會極大加劇相關重要數(shù)據(jù)面臨的安全風險、以及被政治化歪曲利用的可能。
以美國為例,目前美國證券交易相關的管理規(guī)定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外國公司問責法案(Holding Foreign Companies Accountable Act)》等,其要求上市公司的核心披露義務主要涉及“財務和管理弱點報告”和“審計底稿”等。這些披露材料乍看似乎與事關安全的重要數(shù)據(jù)、核心數(shù)據(jù)等沒有太直接的聯(lián)系,深入分析則會發(fā)現(xiàn),安全隱患主要來源于兩個方面。一方面,要求披露的內(nèi)容本身可能包含某些安全敏感數(shù)據(jù),如“審計底稿”通常包括被審計對象的組織機構及管理人員結構、重要合同、董事會會議紀要等,其中可能會包含我國行業(yè)數(shù)據(jù)和消費者信息,能反映我國關鍵信息基礎的運行等情況,若任由美國收集難免影響到我國家安全利益。另一方面,也是風險最大的情況,即在美上市的公司除了負擔直接的信息披露義務之外,還有面臨各種調(diào)查的潛在風險。美國建立了相對體系化的審查調(diào)查機制,主導部門包括商務部(貿(mào)易調(diào)查)、司法部(不正當競爭調(diào)查、海外反腐敗調(diào)查、知識產(chǎn)權調(diào)查等)等,一旦上市公司被納入相關的審查調(diào)查,其調(diào)查的內(nèi)容范圍就極有可能擴大,也就會加大相關重要數(shù)據(jù)暴露或被政治化歪曲等的風險。
(三)個人信息——界定審查對象
《征求意見稿》對于數(shù)據(jù)安全的修訂,還有很重要的一條線索就是個人信息保護。從字面上理解,似乎數(shù)據(jù)安全和個人信息保護的界線相對清晰,前者屬于公法范疇,側重保護公共利益;后者屬于私法范疇,側重保護個人隱私。但二者的密切聯(lián)系也不容忽視。
首先,掌握個人信息的數(shù)量,將直接影響數(shù)據(jù)運營者的行為性質(zhì)。正如前所述《征求意見稿》第六條規(guī)定了:“掌握超過100萬用戶個人信息的運營者赴國外上市”的時候,要必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查??梢?,按照《征求意見稿》該條內(nèi)容理解,個人信息的定量情況將直接決定著數(shù)據(jù)運營者的海外上市行為是否影響國家安全,是判定數(shù)據(jù)運營者在海外上市能否觸發(fā)網(wǎng)絡安全審查的先決條件。
其次,個人信息在一定條件下,將直接轉(zhuǎn)化為重要數(shù)據(jù)。因為二者在某些情況下存在一定的交集,如特定人物的個人信息、特定群體個人信息的匯聚等都有可能使個人信息轉(zhuǎn)化為重要或核心數(shù)據(jù),這些數(shù)據(jù)因能夠反映地區(qū)或行業(yè)、設施運行情況,從而必須納入國家安全的視野范圍加以保護。例如網(wǎng)絡上曝光的對某些國家部委工作人員上下班出行情況的分析,這些出行信息具有很強的個人屬性,本屬于個人信息的范疇,但對這些信息進行匯聚和分類分析,就成了能夠反映國家重要機構運行情況的數(shù)據(jù),就不能再單純視作個人信息了。在此意義上也可看出,個人信息與數(shù)據(jù)安全關系密不可分。
影響分析:構建數(shù)據(jù)安全供需發(fā)展新格局
當前“十四五”規(guī)劃已經(jīng)開局,將《征求意見稿》與即將生效的《數(shù)據(jù)安全法》結合起來并置于“十四五”新發(fā)展格局大背景中進行思考,對經(jīng)濟社會發(fā)展、產(chǎn)業(yè)提振將有更加實際的意義?!笆奈濉币?guī)劃明確部署了新發(fā)展格局的實施路徑:“把實施擴大內(nèi)需戰(zhàn)略同深化供給側結構性改革有機結合起來,以創(chuàng)新驅(qū)動、高質(zhì)量供給引領和創(chuàng)造新需求,加快構建以國內(nèi)大循環(huán)為主體、國內(nèi)國際雙循環(huán)相互促進的新發(fā)展格局”,此次網(wǎng)絡安全審查制度的修訂,也將從供給、需求兩個方面對數(shù)據(jù)安全發(fā)展帶來積極影響,推動我國數(shù)據(jù)安全行業(yè)發(fā)展新格局的加速構建。
?。ㄒ唬娀瘮?shù)據(jù)安全供給:技術創(chuàng)新、管理機制缺一不可
數(shù)據(jù)安全的供給側主要偏重于構建數(shù)據(jù)安全保障能力,包括管理規(guī)范、技術手段、管理隊伍等要素供給能力。
從管理規(guī)范供給能力看。一方面現(xiàn)有的數(shù)據(jù)安全管理法規(guī)政策之間將進一步銜接,從國家近期相繼發(fā)布《關于依法從嚴打擊證券違法活動的意見》(兩辦)、《征求意見稿》、《數(shù)字經(jīng)濟對外投資合作工作指引》(商務部、中央網(wǎng)信辦、工信部聯(lián)合印發(fā))等重磅政策法規(guī)不難看出,數(shù)據(jù)安全與證券跨境監(jiān)管、關鍵基礎設施采購等的關系正在更加緊密地協(xié)同。另一方面,數(shù)據(jù)安全管理法規(guī)體系的健全工作將進一步提速,覆蓋面也將逐步擴展,如關鍵基礎設施數(shù)據(jù)處理活動風險評估管理、境外發(fā)行證券的保密和檔案管理、跨境信息提供機制與流程管理、跨境審計監(jiān)管合作等。
從技術手段供給能力來看。將有力促進數(shù)據(jù)安全相關技術產(chǎn)品和服務能力的創(chuàng)新發(fā)展,圍繞不同層面需求,數(shù)據(jù)安全產(chǎn)品技術和服務供給能力將進一步深化。在滿足企事業(yè)單位自身數(shù)據(jù)安全保護需求方面,重點發(fā)展方向包括:數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻,以及以數(shù)據(jù)資產(chǎn)識別、管理為核心的數(shù)據(jù)安全管理平臺等;在滿足主管部門監(jiān)管需求方面,重點發(fā)展方向包括:數(shù)據(jù)分級分類管理、敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)安全風險評估、數(shù)據(jù)安全審計、數(shù)據(jù)追蹤溯源等;在滿足公共數(shù)據(jù)安全能力提升需求方面,重點發(fā)展方向包括:數(shù)據(jù)安全災備、數(shù)據(jù)安全培訓、數(shù)據(jù)安全運營等服務保障能力。
從管理隊伍供給能力來看。數(shù)據(jù)安全在審查工作中的重要性日益增強,管理隊伍的專業(yè)化水平將亟待同步提升。與之相適應的數(shù)據(jù)安全隊伍供給體系重點方向?qū)ǎ簲?shù)據(jù)安全類專業(yè)人才培養(yǎng)體系、選拔任用機制、培訓實戰(zhàn)體系、績效考核機制等。
?。ǘ┩卣箶?shù)據(jù)安全需求:多管齊下應用引領
數(shù)據(jù)安全的需求側主要偏重于建立數(shù)據(jù)安全應用體系,可歸納為三個“需求”:管理需求、合規(guī)需求和攻防需求。未來圍繞數(shù)據(jù)安全需求的挖掘,不僅是主管部門引導數(shù)據(jù)安全健康有序發(fā)展的重要依據(jù),也是深化數(shù)據(jù)安全技術創(chuàng)新和壯大數(shù)據(jù)安全產(chǎn)業(yè)能力的重要方向。
01 管理需求
對數(shù)據(jù)要做到“心中有數(shù)”?!暗讛?shù)不清”往往是出現(xiàn)數(shù)據(jù)安全問題的重要根源之一,明確數(shù)據(jù)安全管理需求的重點就是要做到對自身數(shù)據(jù)及其安全情況有較為清晰的了解。這類需求將主要圍繞數(shù)據(jù)分類、數(shù)據(jù)分級、數(shù)據(jù)資產(chǎn)構成分析、數(shù)據(jù)防護現(xiàn)狀分析等展開。
02 合規(guī)需求
數(shù)據(jù)安全應符合“法規(guī)紅線”。網(wǎng)絡安全等級保護、關鍵信息基礎設施保護、保密管理等制度規(guī)范,對于數(shù)據(jù)都提出了相應的安全要求及相應防護手段。除了等保、關基、保密等傳統(tǒng)合規(guī)要求之外,針對數(shù)據(jù)應用的重要典型場景,如工業(yè)數(shù)據(jù)、交通數(shù)據(jù)、能源數(shù)據(jù)等,也將成為法規(guī)關注的重點需求領域。
03 攻防需求
數(shù)據(jù)安全當滿足“實戰(zhàn)有效”。數(shù)據(jù)安全保障手段的最終目的是其能夠化解潛在數(shù)據(jù)風險或有效防御數(shù)據(jù)攻擊。在此類需求方面,除了事中防御和事后補救手段之外,事前的發(fā)現(xiàn)、檢驗需求將成為數(shù)據(jù)安全建設需求的重中之重,與之相對應的數(shù)據(jù)安全態(tài)勢監(jiān)測、數(shù)據(jù)安全仿真檢測、數(shù)據(jù)安全保護實效檢驗等也將日益受到更多關注。
“東方欲曉,莫道君行早”。《征求意見稿》匯總各方面意見后的最終內(nèi)容如何,仍需拭目以待。而其對于我國網(wǎng)絡安全審查制度的完善、對于社會各界數(shù)據(jù)安全保護意識提升的影響已經(jīng)顯現(xiàn)并將持續(xù),數(shù)據(jù)安全政策法規(guī)體系和數(shù)據(jù)安全技術產(chǎn)業(yè)也將以此為契機,迎來發(fā)展的新階段。