没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。如果说,有哪件事情引起了全社会对网络安全的高度关注,甚至到了妇孺皆知的程度,就不能不提及2021年7月几家互联网企业受到网络安全审查事件。同期,已试行三年、正式实施一年的《网络安全审查办法》开始修订,国家互联网信息办公室发布了征求意见稿。由于其将赴国外上市纳入审查范围,在资本市场引发震动。故半年以来,围绕网络安全审查制度的讨论和猜测甚多,一些人甚至将这个制度的影响上升到了中美关系、经济发展的层面。
而今尘埃落定。2022年1月4日,《网络安全审查办法》(以下简称《办法》)修订后正式发布,成为网络安全、数据安全领域的一件大事。愿得长如此,年年物候新。对这一重要文件,如何理解其意义?可以从四个角度去看待。
一、顺应形势,直面网络空间重大风险挑战
当前,世界进入百年未有之大变局,我们在网络空间面临的风险挑战呈现新特点,突出表现为中美在网络空间对抗博弈加剧。战略上,美西方国家在IT高科技领域对我围追堵截、封锁限制,特别是动辄对我实施断供,一些国外企业不惜充当反华马前卒、两面派,我供应链安全面临前所未有的压力。战术上,数据安全被推向国际斗争第一线,外国政府和情报机构加大对我数据资源的攫取。尤其是,美国国会发布《外国公司问责法》,美国证券交易委员会(SEC)据此规定中概股应加强信息披露,其要求获取的企业审计底稿有可能使企业掌握的敏感数据悉数流失国外。
山雨欲来,当有金石之计。为提高网络产品和服务的安全可控水平,防范供应链安全风险,2017年5月,国家互联网信息办公室印发了《网络产品和服务安全审查办法(试行)》。2020年4月,经试行3年后,国家互联网信息办公室正式印发《网络安全审查办法》。该办法实施仅一年半后,官方便发布修订稿,这正是为了应对一年以来的形势变化,进一步增强对网络空间重大风险挑战的防范能力。尤其是,《办法》在列举国家安全风险因素时,明确指出,要评估供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险,以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险。
二、拨云见日,回应社会广泛关切
社会对《办法》的热切期盼,主要来自于对几个重大问题的高度关注。此次《办法》的发布,使这些问题都有了最终答案。
一是赴港上市要不要申报网络安全审查? 《办法》第七条明确,文件要求申报审查的情况之一是“赴国外上市”,未提及赴香港上市。当然,这不意味着赴港上市不用再考虑数据安全因素,而是指赴港上市不必主动申报审查。如果网络安全审查机制成员单位认为赴港上市影响或可能影响国家安全的,可以由国家网络安全审查办公室报请中央网信委批准后进行审查。而且,在任何情况下,企业都应当履行数据安全保护义务,并遵守国家关于数据出境安全管理等制度的有关规定。
二是网络安全审查与数据安全审查关系是什么? 《办法》第二十二条明确,国家对数据安全审查另有规定的,应当同时符合其规定。国家互联网信息办公室在答记者问时指出,2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度,网信办据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,这说明,网络安全审查是落实《数据安全法》的要求,是在网络数据领域的安全审查。当然,整个《数据安全法》的范围更广。
三是如何理解审查的启动条件? 此前,外界普遍认为,某企业受到审查,是因为其已被列为关键信息基础设施,采购的产品或服务可能影响国家安全。这是对网络安全审查启动条件的误读。事实上,除了主动申报外,还可由网络安全审查工作机制成员单位提请审查(《办法》第十六条),或由社会举报(《办法》第十九条),这与被审查对象是否属于关键信息基础设施、是否采购产品或服务、是否赴国外上市没有必然关系。
《办法》还回应了社会的另一个关切:某些被审查企业被要求停止注册新用户,这显然是一种防范风险扩大的措施。那么,在审查结论还没有作出的情况下,何时会采取此类措施呢?《办法》第十六条明确,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和削减风险的措施。这说明,这类措施不是因主动申报而起,而是被审查机制成员单位发现威胁或风险后,采取的应对措施。
三、辩证统一,聚焦主要矛盾、支持经济发展
网络安全审查制度有着独特的定位,这是一种国家安全审查。为此,《办法》着力处理好几对关系,体现了辩证统一。
一是自主和开放的统一。 有的人认为,2021年7月审查几家国内互联网企业是网络安全审查制度“首次亮剑”。还有人质疑,这个制度不是为了维护国家安全吗,怎么专挑国内企业“下手”?这都是错误的认识。首先,网络安全审查制度不区分国内和国外,对任何产品和服务一视同仁,目的是防范产品和服务带来的国家安全风险——事实上,在去年7月之前,国家有关部门已经对多家外国企业的产品和服务进行了审查。其次,网络安全审查制度不是为了把国外产品“赶出去”,而是要建立开放环境下维护国家安全的能力。即,在全球化条件下,任何国家不可能隔绝于世界之外,不可能只使用自己的产品和服务。那么在使用国外产品和服务的时候,要有能力防范其中的风险,要安全地使用国外产品和服务。
二是安全与发展的统一。 国家安全极端重要,但不能泛化,不能什么都是国家安全。《办法》聚焦影响国家安全的主要行为,借鉴了国际上同类审查的主要做法,考虑了近些年网络空间国际对抗博弈的特征变化,有着明确的指向和定位。同时,《办法》也顾及经济发展特别是数据驱动的数字经济发展的客观需要,不属于国家安全的事项、能利用常规手段(如产品测评认证制度)解决的,不纳入网络安全审查范围。
在处罚上,《办法》也充分考虑了经济发展,体现了宽严相济的特点。如前所述,要求停止注册新用户、下架App等措施,对企业影响很大,故当企业主动申报审查时一般不采取这些措施,其适用于已经监测发现风险的特定情况。
四、协同联动,共同构筑国家网络安全屏障
当前,我国正在建立“三法两条例”为主的网络安全法律法规体系。除《网络安全法》于2017年6月实施外,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》均于2021年发布和实施,《网络数据安全管理条例》2021年列入国务院立法计划、已经完成首轮公开征求意见。因此,《办法》与多部法律法规同步出台,是我国网络安全法律法规体系的内在组成部分,同其他网络安全政策法规以及其他领域的相关政策保持了协同。文件在实施时,也将充分考虑协同联动问题,以求整体效果。
首先,《办法》与《国务院关于境内企业境外发行证券和上市的管理规定》等证券行业监管制度保持一致。 后者由证监会会同国务院有关部门研究起草,已于2021年12月公开征求意见。按该文件第八条规定,境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。
其次,《办法》与数据安全监管制度保持一致。 《办法》此次修订的主要变化,是增加了对赴国外上市的要求,这主要出于数据安全等方面的考虑。本质上,赴国外上市是一种数据出境行为,要纳入我国数据出境安全管理制度进行管理。但如果已经对其进行了网络安全审查,则当然不必再重复进行出境安全评估,相关风险在审查中一并考虑即可。根据《办法》精神,赴香港上市不用申报网络安全审查,那么此类活动就需要直接落实我国数据出境安全管理规定。这也体现了我国网络安全政策的严密性以及内在的协同性。
有人关心,《网络数据安全管理条例(征求意见稿)》曾将赴香港上市列为网络安全审查对象,鉴于条例级别高于部门规章,那么今后的政策是否还会生变?这需要考虑到时间因素,目前《办法》是最新的政策,相信有关政策法规会在这个问题上做好协调。(作者:左晓栋,中国信息安全研究院副院长)
责编:韩雯雯