網(wǎng)絡(luò)安全審查在數(shù)安條例中的總體地位

　　首先，數(shù)安條例對(duì)數(shù)據(jù)安全審查的上位法依據(jù)在于《數(shù)據(jù)安全法》第二十四條——國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。

　　其次，中央網(wǎng)信辦通過(guò)【國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)的通知】，將數(shù)據(jù)安全審查納入根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查之中。

　　現(xiàn)在，數(shù)安條例進(jìn)一步完善了《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》中對(duì)“影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)”的界定。待數(shù)安條例正式通過(guò)，就預(yù)示著《數(shù)據(jù)安全法》中規(guī)定的額數(shù)據(jù)安全審查制定正式確立。

　　根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查，在絕大多數(shù)情況下僅是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（特殊情況下，相關(guān)部門(mén)可以主動(dòng)發(fā)起審查）；但在《數(shù)據(jù)安全法》中不是這樣，其是對(duì)所有處理數(shù)據(jù)的主體而言的一項(xiàng)制度。

　　因此數(shù)安條例將（囊括數(shù)據(jù)安全審查的）網(wǎng)絡(luò)安全審查的條款，放在了“第二章一般規(guī)定”之中，并沒(méi)有放在關(guān)于個(gè)人信息保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等章節(jié)之中，其用意可見(jiàn)一斑——一是對(duì)于所有數(shù)據(jù)處理者來(lái)說(shuō)，都應(yīng)當(dāng)注意其是否需要申報(bào)網(wǎng)絡(luò)安全審查；二是網(wǎng)絡(luò)安全審查所關(guān)注的數(shù)據(jù)處理活動(dòng)，既包括涉及個(gè)人信息，又包括涉及重要數(shù)據(jù)，還包括特定情形的跨境。

　　影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)

　　在《數(shù)據(jù)安全法》中，“影響或者可能影響國(guó)家安全”有待展開(kāi)?！毒W(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》做出了初步的界定，數(shù)安條例則提出了更豐富的內(nèi)涵。

　　《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》數(shù)安條例

　　第六條 掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

　　第十三條 數(shù)據(jù)處理者開(kāi)展以下活動(dòng)，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，申報(bào)網(wǎng)絡(luò)安全審查：

　　（一）匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者實(shí)施合并、重組、分立，影響或者可能影響國(guó)家安全的；

　?。ǘ┨幚硪话偃f(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的；

　　（三）數(shù)據(jù)處理者赴香港上市，影響或者可能影響國(guó)家安全的；

　?。ㄋ模┢渌绊懟蛘呖赡苡绊憞?guó)家安全的數(shù)據(jù)處理活動(dòng)。

　　大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心，應(yīng)當(dāng)向國(guó)家網(wǎng)信部門(mén)和主管部門(mén)報(bào)告。

　　第一個(gè)應(yīng)該關(guān)注的點(diǎn)是：數(shù)安條例在第十三條中列出的第一項(xiàng)：“匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源”，仔細(xì)分析這個(gè)定義會(huì)發(fā)現(xiàn)，第十三條第一項(xiàng)提出的數(shù)據(jù)資源，范疇要比重要數(shù)據(jù)、核心數(shù)據(jù)來(lái)的寬。

　　第十三條第一項(xiàng)

　　匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者

　　重要數(shù)據(jù)

　　重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

　　核心數(shù)據(jù)

　　核心數(shù)據(jù)是指關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)。

　　第二個(gè)應(yīng)該關(guān)注的點(diǎn)是：申報(bào)的條件?！坝绊懟蛘呖赡苡绊憞?guó)家安全”出現(xiàn)在第一項(xiàng)、第三項(xiàng)、第四項(xiàng)，但是沒(méi)有出現(xiàn)在第二項(xiàng)。這樣的差異值得高度重視。

　　換句話說(shuō)：“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的”是個(gè)客觀條件；但第一項(xiàng)、第三項(xiàng)、第四項(xiàng)，還需要數(shù)據(jù)處理者在申報(bào)之前主動(dòng)做一次判斷——“影響或者可能影響國(guó)家安全”。只有評(píng)估后發(fā)現(xiàn)“影響或者可能影響國(guó)家安全”，才需要申報(bào)。如果評(píng)估后發(fā)現(xiàn)不影響國(guó)家安全的，是不需要申報(bào)的。

　　因此，“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市”，直接被認(rèn)定為“影響或者可能影響國(guó)家安全”。其他情形，還需要做個(gè)案分析。

　　第三個(gè)關(guān)注的點(diǎn)是：“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心”，應(yīng)當(dāng)向國(guó)家網(wǎng)信部門(mén)和主管部門(mén)報(bào)告。這句話的意思是，如果有這樣的行為，主動(dòng)權(quán)不在于運(yùn)營(yíng)者是否“去申報(bào)”網(wǎng)絡(luò)安全審查，也不需要運(yùn)營(yíng)者預(yù)先判斷是否“影響或者可能影響國(guó)家安全”，而是——國(guó)家網(wǎng)信部門(mén)和主管部門(mén)直接強(qiáng)制性地要求運(yùn)營(yíng)者必須報(bào)告。

　　因此從文本分析來(lái)看，“在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心”的行為在立法者認(rèn)知中具有更高程度的風(fēng)險(xiǎn)等級(jí)。

　　但里面也有一些疑問(wèn)：重要數(shù)據(jù)的處理者能否赴國(guó)外上市？數(shù)安條例中僅規(guī)定“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市”，再關(guān)聯(lián)到“數(shù)據(jù)處理者赴香港上市”中，并不區(qū)分個(gè)人信息或重要數(shù)據(jù)，那是否可以推測(cè)出——重要數(shù)據(jù)處理者不應(yīng)到國(guó)外上市？當(dāng)然，這個(gè)問(wèn)題也能被“其他影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)”所囊括，但總之，希望立法者厘清。

　　香港上市和國(guó)外上市的區(qū)別

　　從前文分析可以看出，相比于國(guó)外上市，立法者無(wú)疑對(duì)赴香港上市給出了一定的優(yōu)待。

　　說(shuō)的更清楚些，就是赴國(guó)外上市且本身在國(guó)內(nèi)的個(gè)人用戶數(shù)超過(guò)100萬(wàn)，一定要申報(bào)。赴香港上市，哪怕個(gè)人用戶數(shù)超過(guò)100萬(wàn)，處理者需要預(yù)先判斷下國(guó)家安全風(fēng)險(xiǎn)，然后根據(jù)評(píng)估結(jié)果，決定是否申報(bào)網(wǎng)絡(luò)安全審查。

　　但業(yè)界在學(xué)習(xí)數(shù)安條例相關(guān)規(guī)定時(shí)，往往會(huì)提出，那我怎么知道我會(huì)不會(huì)涉及國(guó)家安全風(fēng)險(xiǎn)呢，因此我還是都去申報(bào)網(wǎng)絡(luò)安全審查吧，如此以下，數(shù)安條例給出的“優(yōu)待”就不復(fù)存在了。

　　對(duì)此問(wèn)題有三個(gè)方面的回答：

　　第一，網(wǎng)絡(luò)安全審查中一直強(qiáng)調(diào)的預(yù)先判斷的要求。預(yù)判是個(gè)網(wǎng)絡(luò)安全審查工作的基本原則，在《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》第五條有清晰的體現(xiàn)。

　　因此，預(yù)判本身就是個(gè)法定義務(wù)。

　　第二，國(guó)家網(wǎng)信部門(mén)本身就已經(jīng)預(yù)見(jiàn)到給與數(shù)據(jù)處理者預(yù)判的自由，會(huì)導(dǎo)致一些風(fēng)險(xiǎn)漏報(bào)的情況，其有明確的制度措施，具體見(jiàn)數(shù)安條例第三十二條，

　　第三十二條 處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應(yīng)當(dāng)自行或者委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)每年開(kāi)展一次數(shù)據(jù)安全評(píng)估，并在每年1月31日前將上一年度數(shù)據(jù)安全評(píng)估報(bào)告報(bào)設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén)，年度數(shù)據(jù)安全評(píng)估報(bào)告的內(nèi)容包括：

　?。ㄒ唬┨幚碇匾獢?shù)據(jù)的情況；

　?。ǘ┌l(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn)及處置措施；

　?。ㄈ?shù)據(jù)安全管理制度，數(shù)據(jù)備份、加密、訪問(wèn)控制等安全防護(hù)措施，以及管理制度實(shí)施情況和防護(hù)措施的有效性；

　　（四）落實(shí)國(guó)家數(shù)據(jù)安全法律、行政法規(guī)和標(biāo)準(zhǔn)情況；

　?。ㄎ澹┌l(fā)生的數(shù)據(jù)安全事件及其處置情況；

　　（六）共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評(píng)估情況；

　?。ㄆ撸?shù)據(jù)安全相關(guān)的投訴及處理情況；

　?。ò耍﹪?guó)家網(wǎng)信部門(mén)和主管、監(jiān)管部門(mén)明確的其他數(shù)據(jù)安全情況。

　　數(shù)據(jù)處理者應(yīng)當(dāng)保留風(fēng)險(xiǎn)評(píng)估報(bào)告至少三年。

　　依據(jù)部門(mén)職責(zé)分工，網(wǎng)信部門(mén)與有關(guān)部門(mén)共享報(bào)告信息。

　　因此，即便是預(yù)判不會(huì)涉及國(guó)家安全的，國(guó)家網(wǎng)信部門(mén)也能從年度數(shù)據(jù)安全評(píng)估報(bào)告中得知相關(guān)的情況，并可根據(jù)情況隨時(shí)可以要求開(kāi)展網(wǎng)絡(luò)安全審查。

　　所以換言之，已經(jīng)在香港或國(guó)外上市的企業(yè)，是否可以天然地認(rèn)為自己不需要接受網(wǎng)絡(luò)安全審查了呢？這個(gè)問(wèn)題，希望立法者厘清。

　　第三，來(lái)一起看看罰則。

　　違反了第十三條規(guī)定（即沒(méi)有準(zhǔn)確預(yù)判，或者預(yù)判后沒(méi)有申報(bào)的）

　　第六十條 數(shù)據(jù)處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規(guī)定，由有關(guān)主管部門(mén)責(zé)令改正，給予警告，可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款；

　　拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等嚴(yán)重后果的，處五十萬(wàn)元以上二百萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款。

　　違反第三十二條規(guī)定

　　第六十二條 數(shù)據(jù)處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的，由有關(guān)部門(mén)責(zé)令改正，給予警告，對(duì)違法處理重要數(shù)據(jù)的系統(tǒng)及應(yīng)用，責(zé)令暫?；蛘呓K止提供服務(wù)；

　　拒不改正的，并處二百萬(wàn)元以下罰款，對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款。

　　有前款規(guī)定的違法行為，情節(jié)嚴(yán)重的，由有關(guān)部門(mén)責(zé)令改正，沒(méi)收違法所得，并處二百萬(wàn)元以上五百萬(wàn)元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處二十萬(wàn)元以上一百萬(wàn)元以下罰款。

　　我們可以看出，違反第三十二條年度報(bào)告的規(guī)定，情節(jié)嚴(yán)重時(shí)的罰則比違反第十三條的罰則更加嚴(yán)重。