網絡安全審查在數安條例中的總體地位

　　首先，數安條例對數據安全審查的上位法依據在于《數據安全法》第二十四條——國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

　　其次，中央網信辦通過【國家互聯(lián)網信息辦公室關于《網絡安全審查辦法（修訂草案征求意見稿）》公開征求意見的通知】，將數據安全審查納入根據《網絡安全法》建立的網絡安全審查之中。

　　現在，數安條例進一步完善了《網絡安全審查辦法（修訂草案征求意見稿）》中對“影響或者可能影響國家安全的數據處理活動”的界定。待數安條例正式通過，就預示著《數據安全法》中規(guī)定的額數據安全審查制定正式確立。

　　根據《網絡安全法》建立的網絡安全審查，在絕大多數情況下僅是針對關鍵信息基礎設施運營者（特殊情況下，相關部門可以主動發(fā)起審查）；但在《數據安全法》中不是這樣，其是對所有處理數據的主體而言的一項制度。

　　因此數安條例將（囊括數據安全審查的）網絡安全審查的條款，放在了“第二章一般規(guī)定”之中，并沒有放在關于個人信息保護、重要數據安全、數據跨境安全管理、互聯(lián)網平臺運營者義務等章節(jié)之中，其用意可見一斑——一是對于所有數據處理者來說，都應當注意其是否需要申報網絡安全審查；二是網絡安全審查所關注的數據處理活動，既包括涉及個人信息，又包括涉及重要數據，還包括特定情形的跨境。

　　影響或者可能影響國家安全的數據處理活動

　　在《數據安全法》中，“影響或者可能影響國家安全”有待展開?！毒W絡安全審查辦法（修訂草案征求意見稿）》做出了初步的界定，數安條例則提出了更豐富的內涵。

　　《網絡安全審查辦法（修訂草案征求意見稿）》數安條例

　　第六條 掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。

　　第十三條 數據處理者開展以下活動，應當按照國家有關規(guī)定，申報網絡安全審查：

　?。ㄒ唬﹨R聚掌握大量關系國家安全、經濟發(fā)展、公共利益的數據資源的互聯(lián)網平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；

　?。ǘ┨幚硪话偃f人以上個人信息的數據處理者赴國外上市的；

　?。ㄈ祿幚碚吒跋愀凵鲜?，影響或者可能影響國家安全的；

　?。ㄋ模┢渌绊懟蛘呖赡苡绊憞野踩臄祿幚砘顒?。

　　大型互聯(lián)網平臺運營者在境外設立總部或者運營中心、研發(fā)中心，應當向國家網信部門和主管部門報告。

　　第一個應該關注的點是：數安條例在第十三條中列出的第一項：“匯聚掌握大量關系國家安全、經濟發(fā)展、公共利益的數據資源”，仔細分析這個定義會發(fā)現，第十三條第一項提出的數據資源，范疇要比重要數據、核心數據來的寬。

　　第十三條第一項

　　匯聚掌握大量關系國家安全、經濟發(fā)展、公共利益的數據資源的互聯(lián)網平臺運營者

　　重要數據

　　重要數據是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。

　　核心數據

　　核心數據是指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據。

　　第二個應該關注的點是：申報的條件。“影響或者可能影響國家安全”出現在第一項、第三項、第四項，但是沒有出現在第二項。這樣的差異值得高度重視。

　　換句話說：“處理一百萬人以上個人信息的數據處理者赴國外上市的”是個客觀條件；但第一項、第三項、第四項，還需要數據處理者在申報之前主動做一次判斷——“影響或者可能影響國家安全”。只有評估后發(fā)現“影響或者可能影響國家安全”，才需要申報。如果評估后發(fā)現不影響國家安全的，是不需要申報的。

　　因此，“處理一百萬人以上個人信息的數據處理者赴國外上市”，直接被認定為“影響或者可能影響國家安全”。其他情形，還需要做個案分析。

　　第三個關注的點是：“大型互聯(lián)網平臺運營者在境外設立總部或者運營中心、研發(fā)中心”，應當向國家網信部門和主管部門報告。這句話的意思是，如果有這樣的行為，主動權不在于運營者是否“去申報”網絡安全審查，也不需要運營者預先判斷是否“影響或者可能影響國家安全”，而是——國家網信部門和主管部門直接強制性地要求運營者必須報告。

　　因此從文本分析來看，“在境外設立總部或者運營中心、研發(fā)中心”的行為在立法者認知中具有更高程度的風險等級。

　　但里面也有一些疑問：重要數據的處理者能否赴國外上市？數安條例中僅規(guī)定“處理一百萬人以上個人信息的數據處理者赴國外上市”，再關聯(lián)到“數據處理者赴香港上市”中，并不區(qū)分個人信息或重要數據，那是否可以推測出——重要數據處理者不應到國外上市？當然，這個問題也能被“其他影響或者可能影響國家安全的數據處理活動”所囊括，但總之，希望立法者厘清。

　　香港上市和國外上市的區(qū)別

　　從前文分析可以看出，相比于國外上市，立法者無疑對赴香港上市給出了一定的優(yōu)待。

　　說的更清楚些，就是赴國外上市且本身在國內的個人用戶數超過100萬，一定要申報。赴香港上市，哪怕個人用戶數超過100萬，處理者需要預先判斷下國家安全風險，然后根據評估結果，決定是否申報網絡安全審查。

　　但業(yè)界在學習數安條例相關規(guī)定時，往往會提出，那我怎么知道我會不會涉及國家安全風險呢，因此我還是都去申報網絡安全審查吧，如此以下，數安條例給出的“優(yōu)待”就不復存在了。

　　對此問題有三個方面的回答：

　　第一，網絡安全審查中一直強調的預先判斷的要求。預判是個網絡安全審查工作的基本原則，在《網絡安全審查辦法（修訂草案征求意見稿）》第五條有清晰的體現。

　　因此，預判本身就是個法定義務。

　　第二，國家網信部門本身就已經預見到給與數據處理者預判的自由，會導致一些風險漏報的情況，其有明確的制度措施，具體見數安條例第三十二條，

　　第三十二條 處理重要數據或者赴境外上市的數據處理者，應當自行或者委托數據安全服務機構每年開展一次數據安全評估，并在每年1月31日前將上一年度數據安全評估報告報設區(qū)的市級網信部門，年度數據安全評估報告的內容包括：

　?。ㄒ唬┨幚碇匾獢祿那闆r；

　?。ǘ┌l(fā)現的數據安全風險及處置措施；

　?。ㄈ祿踩芾碇贫?，數據備份、加密、訪問控制等安全防護措施，以及管理制度實施情況和防護措施的有效性；

　?。ㄋ模┞鋵崌覕祿踩伞⑿姓ㄒ?guī)和標準情況；

　　（五）發(fā)生的數據安全事件及其處置情況；

　?。┕蚕?、交易、委托處理、向境外提供重要數據的安全評估情況；

　?。ㄆ撸祿踩嚓P的投訴及處理情況；

　?。ò耍﹪揖W信部門和主管、監(jiān)管部門明確的其他數據安全情況。

　　數據處理者應當保留風險評估報告至少三年。

　　依據部門職責分工，網信部門與有關部門共享報告信息。

　　因此，即便是預判不會涉及國家安全的，國家網信部門也能從年度數據安全評估報告中得知相關的情況，并可根據情況隨時可以要求開展網絡安全審查。

　　所以換言之，已經在香港或國外上市的企業(yè)，是否可以天然地認為自己不需要接受網絡安全審查了呢？這個問題，希望立法者厘清。

　　第三，來一起看看罰則。

　　違反了第十三條規(guī)定（即沒有準確預判，或者預判后沒有申報的）

　　第六十條 數據處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規(guī)定，由有關主管部門責令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處一萬元以上十萬元以下罰款；

　　拒不改正或者導致危害數據安全等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責令暫停相關業(yè)務、停業(yè)整頓、吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

　　違反第三十二條規(guī)定

　　第六十二條 數據處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規(guī)定的數據安全保護義務的，由有關部門責令改正，給予警告，對違法處理重要數據的系統(tǒng)及應用，責令暫停或者終止提供服務；

　　拒不改正的，并處二百萬元以下罰款，對直接負責的主管人員和其他直接責任人員處五萬元以上二十萬元以下罰款。

　　有前款規(guī)定的違法行為，情節(jié)嚴重的，由有關部門責令改正，沒收違法所得，并處二百萬元以上五百萬元以下罰款，并可以責令暫停相關業(yè)務或者停業(yè)整頓、通報有關主管部門吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照；對直接負責的主管人員和其他直接責任人員處二十萬元以上一百萬元以下罰款。

　　我們可以看出，違反第三十二條年度報告的規(guī)定，情節(jié)嚴重時的罰則比違反第十三條的罰則更加嚴重。