《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 數(shù)安條例 | 數(shù)據(jù)安全審查和企業(yè)境外上市

數(shù)安條例 | 數(shù)據(jù)安全審查和企業(yè)境外上市

2021-11-16
來(lái)源:網(wǎng)安尋路人
關(guān)鍵詞: 數(shù)據(jù)安全

  網(wǎng)絡(luò)安全審查在數(shù)安條例中的總體地位

  首先,數(shù)安條例對(duì)數(shù)據(jù)安全審查的上位法依據(jù)在于《數(shù)據(jù)安全法》第二十四條——國(guó)家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。

  其次,中央網(wǎng)信辦通過(guò)【國(guó)家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》公開(kāi)征求意見(jiàn)的通知】,將數(shù)據(jù)安全審查納入根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查之中。

  現(xiàn)在,數(shù)安條例進(jìn)一步完善了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》中對(duì)“影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)”的界定。待數(shù)安條例正式通過(guò),就預(yù)示著《數(shù)據(jù)安全法》中規(guī)定的額數(shù)據(jù)安全審查制定正式確立。

  根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查,在絕大多數(shù)情況下僅是針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(特殊情況下,相關(guān)部門(mén)可以主動(dòng)發(fā)起審查);但在《數(shù)據(jù)安全法》中不是這樣,其是對(duì)所有處理數(shù)據(jù)的主體而言的一項(xiàng)制度。

  因此數(shù)安條例將(囊括數(shù)據(jù)安全審查的)網(wǎng)絡(luò)安全審查的條款,放在了“第二章一般規(guī)定”之中,并沒(méi)有放在關(guān)于個(gè)人信息保護(hù)、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者義務(wù)等章節(jié)之中,其用意可見(jiàn)一斑——一是對(duì)于所有數(shù)據(jù)處理者來(lái)說(shuō),都應(yīng)當(dāng)注意其是否需要申報(bào)網(wǎng)絡(luò)安全審查;二是網(wǎng)絡(luò)安全審查所關(guān)注的數(shù)據(jù)處理活動(dòng),既包括涉及個(gè)人信息,又包括涉及重要數(shù)據(jù),還包括特定情形的跨境。

  影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)

  在《數(shù)據(jù)安全法》中,“影響或者可能影響國(guó)家安全”有待展開(kāi)?!毒W(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》做出了初步的界定,數(shù)安條例則提出了更豐富的內(nèi)涵。

  《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》數(shù)安條例

  第六條 掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。

  第十三條 數(shù)據(jù)處理者開(kāi)展以下活動(dòng),應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定,申報(bào)網(wǎng)絡(luò)安全審查:

  (一)匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者實(shí)施合并、重組、分立,影響或者可能影響國(guó)家安全的;

 ?。ǘ┨幚硪话偃f(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的;

  (三)數(shù)據(jù)處理者赴香港上市,影響或者可能影響國(guó)家安全的;

 ?。ㄋ模┢渌绊懟蛘呖赡苡绊憞?guó)家安全的數(shù)據(jù)處理活動(dòng)。

  大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心,應(yīng)當(dāng)向國(guó)家網(wǎng)信部門(mén)和主管部門(mén)報(bào)告。

  第一個(gè)應(yīng)該關(guān)注的點(diǎn)是:數(shù)安條例在第十三條中列出的第一項(xiàng):“匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源”,仔細(xì)分析這個(gè)定義會(huì)發(fā)現(xiàn),第十三條第一項(xiàng)提出的數(shù)據(jù)資源,范疇要比重要數(shù)據(jù)、核心數(shù)據(jù)來(lái)的寬。

  第十三條第一項(xiàng)

  匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者

  重要數(shù)據(jù)

  重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

  核心數(shù)據(jù)

  核心數(shù)據(jù)是指關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)。

  第二個(gè)應(yīng)該關(guān)注的點(diǎn)是:申報(bào)的條件?!坝绊懟蛘呖赡苡绊憞?guó)家安全”出現(xiàn)在第一項(xiàng)、第三項(xiàng)、第四項(xiàng),但是沒(méi)有出現(xiàn)在第二項(xiàng)。這樣的差異值得高度重視。

  換句話說(shuō):“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的”是個(gè)客觀條件;但第一項(xiàng)、第三項(xiàng)、第四項(xiàng),還需要數(shù)據(jù)處理者在申報(bào)之前主動(dòng)做一次判斷——“影響或者可能影響國(guó)家安全”。只有評(píng)估后發(fā)現(xiàn)“影響或者可能影響國(guó)家安全”,才需要申報(bào)。如果評(píng)估后發(fā)現(xiàn)不影響國(guó)家安全的,是不需要申報(bào)的。

  因此,“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市”,直接被認(rèn)定為“影響或者可能影響國(guó)家安全”。其他情形,還需要做個(gè)案分析。

  第三個(gè)關(guān)注的點(diǎn)是:“大型互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心”,應(yīng)當(dāng)向國(guó)家網(wǎng)信部門(mén)和主管部門(mén)報(bào)告。這句話的意思是,如果有這樣的行為,主動(dòng)權(quán)不在于運(yùn)營(yíng)者是否“去申報(bào)”網(wǎng)絡(luò)安全審查,也不需要運(yùn)營(yíng)者預(yù)先判斷是否“影響或者可能影響國(guó)家安全”,而是——國(guó)家網(wǎng)信部門(mén)和主管部門(mén)直接強(qiáng)制性地要求運(yùn)營(yíng)者必須報(bào)告。

  因此從文本分析來(lái)看,“在境外設(shè)立總部或者運(yùn)營(yíng)中心、研發(fā)中心”的行為在立法者認(rèn)知中具有更高程度的風(fēng)險(xiǎn)等級(jí)。

  但里面也有一些疑問(wèn):重要數(shù)據(jù)的處理者能否赴國(guó)外上市?數(shù)安條例中僅規(guī)定“處理一百萬(wàn)人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市”,再關(guān)聯(lián)到“數(shù)據(jù)處理者赴香港上市”中,并不區(qū)分個(gè)人信息或重要數(shù)據(jù),那是否可以推測(cè)出——重要數(shù)據(jù)處理者不應(yīng)到國(guó)外上市?當(dāng)然,這個(gè)問(wèn)題也能被“其他影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)”所囊括,但總之,希望立法者厘清。

  香港上市和國(guó)外上市的區(qū)別

  從前文分析可以看出,相比于國(guó)外上市,立法者無(wú)疑對(duì)赴香港上市給出了一定的優(yōu)待。

  說(shuō)的更清楚些,就是赴國(guó)外上市且本身在國(guó)內(nèi)的個(gè)人用戶數(shù)超過(guò)100萬(wàn),一定要申報(bào)。赴香港上市,哪怕個(gè)人用戶數(shù)超過(guò)100萬(wàn),處理者需要預(yù)先判斷下國(guó)家安全風(fēng)險(xiǎn),然后根據(jù)評(píng)估結(jié)果,決定是否申報(bào)網(wǎng)絡(luò)安全審查。

  但業(yè)界在學(xué)習(xí)數(shù)安條例相關(guān)規(guī)定時(shí),往往會(huì)提出,那我怎么知道我會(huì)不會(huì)涉及國(guó)家安全風(fēng)險(xiǎn)呢,因此我還是都去申報(bào)網(wǎng)絡(luò)安全審查吧,如此以下,數(shù)安條例給出的“優(yōu)待”就不復(fù)存在了。

  對(duì)此問(wèn)題有三個(gè)方面的回答:

  第一,網(wǎng)絡(luò)安全審查中一直強(qiáng)調(diào)的預(yù)先判斷的要求。預(yù)判是個(gè)網(wǎng)絡(luò)安全審查工作的基本原則,在《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》第五條有清晰的體現(xiàn)。

  因此,預(yù)判本身就是個(gè)法定義務(wù)。

  第二,國(guó)家網(wǎng)信部門(mén)本身就已經(jīng)預(yù)見(jiàn)到給與數(shù)據(jù)處理者預(yù)判的自由,會(huì)導(dǎo)致一些風(fēng)險(xiǎn)漏報(bào)的情況,其有明確的制度措施,具體見(jiàn)數(shù)安條例第三十二條,

  第三十二條 處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者,應(yīng)當(dāng)自行或者委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)每年開(kāi)展一次數(shù)據(jù)安全評(píng)估,并在每年1月31日前將上一年度數(shù)據(jù)安全評(píng)估報(bào)告報(bào)設(shè)區(qū)的市級(jí)網(wǎng)信部門(mén),年度數(shù)據(jù)安全評(píng)估報(bào)告的內(nèi)容包括:

 ?。ㄒ唬┨幚碇匾獢?shù)據(jù)的情況;

 ?。ǘ┌l(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險(xiǎn)及處置措施;

 ?。ㄈ?shù)據(jù)安全管理制度,數(shù)據(jù)備份、加密、訪問(wèn)控制等安全防護(hù)措施,以及管理制度實(shí)施情況和防護(hù)措施的有效性;

  (四)落實(shí)國(guó)家數(shù)據(jù)安全法律、行政法規(guī)和標(biāo)準(zhǔn)情況;

 ?。ㄎ澹┌l(fā)生的數(shù)據(jù)安全事件及其處置情況;

  (六)共享、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評(píng)估情況;

 ?。ㄆ撸?shù)據(jù)安全相關(guān)的投訴及處理情況;

 ?。ò耍﹪?guó)家網(wǎng)信部門(mén)和主管、監(jiān)管部門(mén)明確的其他數(shù)據(jù)安全情況。

  數(shù)據(jù)處理者應(yīng)當(dāng)保留風(fēng)險(xiǎn)評(píng)估報(bào)告至少三年。

  依據(jù)部門(mén)職責(zé)分工,網(wǎng)信部門(mén)與有關(guān)部門(mén)共享報(bào)告信息。

  因此,即便是預(yù)判不會(huì)涉及國(guó)家安全的,國(guó)家網(wǎng)信部門(mén)也能從年度數(shù)據(jù)安全評(píng)估報(bào)告中得知相關(guān)的情況,并可根據(jù)情況隨時(shí)可以要求開(kāi)展網(wǎng)絡(luò)安全審查。

  所以換言之,已經(jīng)在香港或國(guó)外上市的企業(yè),是否可以天然地認(rèn)為自己不需要接受網(wǎng)絡(luò)安全審查了呢?這個(gè)問(wèn)題,希望立法者厘清。

  第三,來(lái)一起看看罰則。

  違反了第十三條規(guī)定(即沒(méi)有準(zhǔn)確預(yù)判,或者預(yù)判后沒(méi)有申報(bào)的)

  第六十條 數(shù)據(jù)處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規(guī)定,由有關(guān)主管部門(mén)責(zé)令改正,給予警告,可以并處五萬(wàn)元以上五十萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員可以處一萬(wàn)元以上十萬(wàn)元以下罰款;

  拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等嚴(yán)重后果的,處五十萬(wàn)元以上二百萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款。

  違反第三十二條規(guī)定

  第六十二條 數(shù)據(jù)處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規(guī)定的數(shù)據(jù)安全保護(hù)義務(wù)的,由有關(guān)部門(mén)責(zé)令改正,給予警告,對(duì)違法處理重要數(shù)據(jù)的系統(tǒng)及應(yīng)用,責(zé)令暫?;蛘呓K止提供服務(wù);

  拒不改正的,并處二百萬(wàn)元以下罰款,對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處五萬(wàn)元以上二十萬(wàn)元以下罰款。

  有前款規(guī)定的違法行為,情節(jié)嚴(yán)重的,由有關(guān)部門(mén)責(zé)令改正,沒(méi)收違法所得,并處二百萬(wàn)元以上五百萬(wàn)元以下罰款,并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報(bào)有關(guān)主管部門(mén)吊銷(xiāo)相關(guān)業(yè)務(wù)許可證或者吊銷(xiāo)營(yíng)業(yè)執(zhí)照;對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處二十萬(wàn)元以上一百萬(wàn)元以下罰款。

  我們可以看出,違反第三十二條年度報(bào)告的規(guī)定,情節(jié)嚴(yán)重時(shí)的罰則比違反第十三條的罰則更加嚴(yán)重。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。