近日，國(guó)家互聯(lián)網(wǎng)信息辦公室(以下簡(jiǎn)稱“網(wǎng)信辦”)發(fā)布了《關(guān)于<網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)>公開(kāi)征求意見(jiàn)的通知》(以下簡(jiǎn)稱《征求意見(jiàn)稿》)，對(duì)《網(wǎng)絡(luò)安全審查辦法》內(nèi)容提出了重要修訂。從此次修訂的變化，能夠看出網(wǎng)絡(luò)安全和數(shù)據(jù)安全發(fā)展情勢(shì)的變化，也可讀出其對(duì)數(shù)據(jù)安全政策和產(chǎn)業(yè)的影響。

內(nèi)容修訂情況：一條主線

此次《征求意見(jiàn)稿》相比之前的《網(wǎng)絡(luò)安全審查辦法》，其核心修訂，也是最為重要的內(nèi)容變化是加強(qiáng)了對(duì)數(shù)據(jù)安全的關(guān)注和規(guī)范。具體表現(xiàn)在以下三個(gè)方面。

一是將數(shù)據(jù)安全法增加為立法依據(jù)。《征求意見(jiàn)稿》第一條規(guī)定：“依據(jù)《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》，制定本辦法”，將《中華人民共和國(guó)數(shù)據(jù)安全法》增加為制定依據(jù)，直接表明了本次修訂的主旨就是通過(guò)網(wǎng)絡(luò)安全審查制度、機(jī)制加強(qiáng)對(duì)數(shù)據(jù)安全相關(guān)行為的規(guī)范。這不僅僅是法規(guī)間銜接的要求，更是切實(shí)強(qiáng)化數(shù)據(jù)安全的必然舉措。

二是將數(shù)據(jù)處理活動(dòng)作為重點(diǎn)規(guī)范對(duì)象。《征求意見(jiàn)稿》第二條規(guī)定：“數(shù)據(jù)處理者(以下稱運(yùn)營(yíng)者)開(kāi)展數(shù)據(jù)處理活動(dòng)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查”?？梢?jiàn)，下一步《網(wǎng)絡(luò)安全審查辦法》的管理范圍將有很大拓展，其在規(guī)范主體、規(guī)范行為兩大方面都有擴(kuò)大。結(jié)合近期國(guó)家主管部門(mén)先后宣布對(duì)多家互聯(lián)網(wǎng)廠商進(jìn)行審查的情況來(lái)看，辦法修訂生效后，也極有可能成為主管部門(mén)加強(qiáng)數(shù)據(jù)安全執(zhí)法行動(dòng)在操作層面的主要法律依據(jù)。

三是對(duì)數(shù)據(jù)運(yùn)營(yíng)者作出了定量描述。《征求意見(jiàn)稿》第六條規(guī)定：“掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”。從該條規(guī)定可以看出，《征求意見(jiàn)稿》將掌握一定數(shù)量個(gè)人信息的企業(yè)赴國(guó)外上市，作為應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查的一種數(shù)據(jù)處理行為，而且從相關(guān)修訂條文比重來(lái)看，滿足特定條件的國(guó)內(nèi)企業(yè)赴國(guó)外上市很可能成為下一步網(wǎng)絡(luò)安全審查的重點(diǎn)規(guī)范。

此外，《征求意見(jiàn)稿》還涉及到其他重要內(nèi)容補(bǔ)充修訂，如：將證監(jiān)會(huì)增加進(jìn)審查機(jī)制、審查提交材料增加了“擬提交的IPO材料”、特別審查程序由45天延長(zhǎng)至3個(gè)月等?？梢?jiàn)，這些修訂內(nèi)容，也均與數(shù)據(jù)安全的修訂直接相關(guān)。

內(nèi)容修訂分析：三個(gè)要素

《征求意見(jiàn)稿》立足數(shù)據(jù)安全主線，其修訂內(nèi)容還充分反映了與數(shù)據(jù)安全存在密切關(guān)聯(lián)的三個(gè)邏輯要素。

(一)數(shù)據(jù)安全審查——明確機(jī)制

首先從法理上看，加強(qiáng)數(shù)據(jù)安全管理、完善數(shù)據(jù)安全審查機(jī)制是落實(shí)《數(shù)據(jù)安全法》的重要步驟。6月10日頒布的《數(shù)據(jù)安全法》即將于9月1日正式生效施行，此次《征求意見(jiàn)稿》將數(shù)據(jù)安全相關(guān)內(nèi)容作為修訂重點(diǎn)，無(wú)疑是數(shù)據(jù)安全法正式實(shí)施前的一項(xiàng)重要制度準(zhǔn)備?！稊?shù)據(jù)安全法》第二十四條明確規(guī)定：“國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查”，盡管此處的“國(guó)家安全審查”的方式和范圍尚不得而知，但網(wǎng)絡(luò)安全審查作為國(guó)家安全審查的重要組成部分應(yīng)該是沒(méi)有異議的。將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全審查范疇，在具體操作中也符合管理效率原則和網(wǎng)絡(luò)安全保障工作實(shí)情。

其次從數(shù)據(jù)安全的雙重含義來(lái)看，在審查中不應(yīng)偏廢。理解數(shù)據(jù)安全應(yīng)包含兩層含義，一個(gè)是數(shù)據(jù)信息本身的安全屬性要求，即通常所說(shuō)的機(jī)密性、完整性、可用性、真實(shí)性、可控性等屬性，可稱之為直接安全或內(nèi)在安全;另一個(gè)是因?qū)?shù)據(jù)的不當(dāng)處理行為而帶來(lái)的安全風(fēng)險(xiǎn)，可以稱之為間接安全或外在安全?！毒W(wǎng)絡(luò)安全審查辦法》此前對(duì)于第一種情形即數(shù)據(jù)的內(nèi)在安全性已經(jīng)作出了規(guī)定，如第九條第一款“產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)”。而此次《征求意見(jiàn)稿》對(duì)于數(shù)據(jù)安全的補(bǔ)充修訂，很大程度上是對(duì)數(shù)據(jù)安全的第二層含義，即外在安全性的貫徹?？梢?jiàn)，《征求意見(jiàn)稿》對(duì)數(shù)據(jù)安全進(jìn)行的補(bǔ)充修訂，其實(shí)質(zhì)上是完善了數(shù)據(jù)安全的定義涵蓋，而非無(wú)根據(jù)的隨意擴(kuò)展。因此從本質(zhì)邏輯上看，數(shù)據(jù)安全的兩個(gè)方面均是安全審查的重要對(duì)象，二者是一致的也是不可分割的。

(二)國(guó)外上市——重要審查場(chǎng)景

從《征求意見(jiàn)稿》內(nèi)容側(cè)重上不難發(fā)現(xiàn)，國(guó)外上市是其明確列出的數(shù)據(jù)運(yùn)營(yíng)者所從事的、可能影響國(guó)家安全的一種主要行為。加強(qiáng)對(duì)特定企業(yè)赴國(guó)外上市的安全監(jiān)管，不僅是為了落實(shí)《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》政策要求，更是為管控國(guó)外上市帶來(lái)數(shù)據(jù)安全風(fēng)險(xiǎn)隱患的客觀需要。

盡管對(duì)“國(guó)外上市”含義的具體界定還有待進(jìn)一步明確，而僅從近期主管部門(mén)宣布啟動(dòng)的幾起網(wǎng)絡(luò)安全審查來(lái)看，企業(yè)在國(guó)外上市的行為，會(huì)極大加劇相關(guān)重要數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)、以及被政治化歪曲利用的可能。

以美國(guó)為例，目前美國(guó)證券交易相關(guān)的管理規(guī)定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外國(guó)公司問(wèn)責(zé)法案(Holding Foreign Companies Accountable Act)》等，其要求上市公司的核心披露義務(wù)主要涉及“財(cái)務(wù)和管理弱點(diǎn)報(bào)告”和“審計(jì)底稿”等。這些披露材料乍看似乎與事關(guān)安全的重要數(shù)據(jù)、核心數(shù)據(jù)等沒(méi)有太直接的聯(lián)系，深入分析則會(huì)發(fā)現(xiàn)，安全隱患主要來(lái)源于兩個(gè)方面。一方面，要求披露的內(nèi)容本身可能包含某些安全敏感數(shù)據(jù)，如“審計(jì)底稿”通常包括被審計(jì)對(duì)象的組織機(jī)構(gòu)及管理人員結(jié)構(gòu)、重要合同、董事會(huì)會(huì)議紀(jì)要等，其中可能會(huì)包含我國(guó)行業(yè)數(shù)據(jù)和消費(fèi)者信息，能反映我國(guó)關(guān)鍵信息基礎(chǔ)的運(yùn)行等情況，若任由美國(guó)收集難免影響到我國(guó)家安全利益。另一方面，也是風(fēng)險(xiǎn)最大的情況，即在美上市的公司除了負(fù)擔(dān)直接的信息披露義務(wù)之外，還有面臨各種調(diào)查的潛在風(fēng)險(xiǎn)。美國(guó)建立了相對(duì)體系化的審查調(diào)查機(jī)制，主導(dǎo)部門(mén)包括商務(wù)部(貿(mào)易調(diào)查)、司法部(不正當(dāng)競(jìng)爭(zhēng)調(diào)查、海外反腐敗調(diào)查、知識(shí)產(chǎn)權(quán)調(diào)查等)等，一旦上市公司被納入相關(guān)的審查調(diào)查，其調(diào)查的內(nèi)容范圍就極有可能擴(kuò)大，也就會(huì)加大相關(guān)重要數(shù)據(jù)暴露或被政治化歪曲等的風(fēng)險(xiǎn)。

(三)個(gè)人信息——界定審查對(duì)象

《征求意見(jiàn)稿》對(duì)于數(shù)據(jù)安全的修訂，還有很重要的一條線索就是個(gè)人信息保護(hù)。從字面上理解，似乎數(shù)據(jù)安全和個(gè)人信息保護(hù)的界線相對(duì)清晰，前者屬于公法范疇，側(cè)重保護(hù)公共利益;后者屬于私法范疇，側(cè)重保護(hù)個(gè)人隱私。但二者的密切聯(lián)系也不容忽視。

首先，掌握個(gè)人信息的數(shù)量，將直接影響數(shù)據(jù)運(yùn)營(yíng)者的行為性質(zhì)。正如前所述《征求意見(jiàn)稿》第六條規(guī)定了：“掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市”的時(shí)候，要必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查?？梢?jiàn)，按照《征求意見(jiàn)稿》該條內(nèi)容理解，個(gè)人信息的定量情況將直接決定著數(shù)據(jù)運(yùn)營(yíng)者的海外上市行為是否影響國(guó)家安全，是判定數(shù)據(jù)運(yùn)營(yíng)者在海外上市能否觸發(fā)網(wǎng)絡(luò)安全審查的先決條件。

其次，個(gè)人信息在一定條件下，將直接轉(zhuǎn)化為重要數(shù)據(jù)。因?yàn)槎咴谀承┣闆r下存在一定的交集，如特定人物的個(gè)人信息、特定群體個(gè)人信息的匯聚等都有可能使個(gè)人信息轉(zhuǎn)化為重要或核心數(shù)據(jù)，這些數(shù)據(jù)因能夠反映地區(qū)或行業(yè)、設(shè)施運(yùn)行情況，從而必須納入國(guó)家安全的視野范圍加以保護(hù)。例如網(wǎng)絡(luò)上曝光的對(duì)某些國(guó)家部委工作人員上下班出行情況的分析，這些出行信息具有很強(qiáng)的個(gè)人屬性，本屬于個(gè)人信息的范疇，但對(duì)這些信息進(jìn)行匯聚和分類分析，就成了能夠反映國(guó)家重要機(jī)構(gòu)運(yùn)行情況的數(shù)據(jù)，就不能再單純視作個(gè)人信息了。在此意義上也可看出，個(gè)人信息與數(shù)據(jù)安全關(guān)系密不可分。

影響分析：構(gòu)建數(shù)據(jù)安全供需發(fā)展新格局

當(dāng)前“十四五”規(guī)劃已經(jīng)開(kāi)局，將《征求意見(jiàn)稿》與即將生效的《數(shù)據(jù)安全法》結(jié)合起來(lái)并置于“十四五”新發(fā)展格局大背景中進(jìn)行思考，對(duì)經(jīng)濟(jì)社會(huì)發(fā)展、產(chǎn)業(yè)提振將有更加實(shí)際的意義?！笆奈濉币?guī)劃明確部署了新發(fā)展格局的實(shí)施路徑：“把實(shí)施擴(kuò)大內(nèi)需戰(zhàn)略同深化供給側(cè)結(jié)構(gòu)性改革有機(jī)結(jié)合起來(lái)，以創(chuàng)新驅(qū)動(dòng)、高質(zhì)量供給引領(lǐng)和創(chuàng)造新需求，加快構(gòu)建以國(guó)內(nèi)大循環(huán)為主體、國(guó)內(nèi)國(guó)際雙循環(huán)相互促進(jìn)的新發(fā)展格局”，此次網(wǎng)絡(luò)安全審查制度的修訂，也將從供給、需求兩個(gè)方面對(duì)數(shù)據(jù)安全發(fā)展帶來(lái)積極影響，推動(dòng)我國(guó)數(shù)據(jù)安全行業(yè)發(fā)展新格局的加速構(gòu)建。

(一)強(qiáng)化數(shù)據(jù)安全供給：技術(shù)創(chuàng)新、管理機(jī)制缺一不可

數(shù)據(jù)安全的供給側(cè)主要偏重于構(gòu)建數(shù)據(jù)安全保障能力，包括管理規(guī)范、技術(shù)手段、管理隊(duì)伍等要素供給能力。

從管理規(guī)范供給能力看。一方面現(xiàn)有的數(shù)據(jù)安全管理法規(guī)政策之間將進(jìn)一步銜接，從國(guó)家近期相繼發(fā)布《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》(兩辦)、《征求意見(jiàn)稿》、《數(shù)字經(jīng)濟(jì)對(duì)外投資合作工作指引》(商務(wù)部、中央網(wǎng)信辦、工信部聯(lián)合印發(fā))等重磅政策法規(guī)不難看出，數(shù)據(jù)安全與證券跨境監(jiān)管、關(guān)鍵基礎(chǔ)設(shè)施采購(gòu)等的關(guān)系正在更加緊密地協(xié)同。另一方面，數(shù)據(jù)安全管理法規(guī)體系的健全工作將進(jìn)一步提速，覆蓋面也將逐步擴(kuò)展，如關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評(píng)估管理、境外發(fā)行證券的保密和檔案管理、跨境信息提供機(jī)制與流程管理、跨境審計(jì)監(jiān)管合作等。

從技術(shù)手段供給能力來(lái)看。將有力促進(jìn)數(shù)據(jù)安全相關(guān)技術(shù)產(chǎn)品和服務(wù)能力的創(chuàng)新發(fā)展，圍繞不同層面需求，數(shù)據(jù)安全產(chǎn)品技術(shù)和服務(wù)供給能力將進(jìn)一步深化。在滿足企事業(yè)單位自身數(shù)據(jù)安全保護(hù)需求方面，重點(diǎn)發(fā)展方向包括：數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)庫(kù)防火墻，以及以數(shù)據(jù)資產(chǎn)識(shí)別、管理為核心的數(shù)據(jù)安全管理平臺(tái)等;在滿足主管部門(mén)監(jiān)管需求方面，重點(diǎn)發(fā)展方向包括：數(shù)據(jù)分級(jí)分類管理、敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)追蹤溯源等；在滿足公共數(shù)據(jù)安全能力提升需求方面，重點(diǎn)發(fā)展方向包括：數(shù)據(jù)安全災(zāi)備、數(shù)據(jù)安全培訓(xùn)、數(shù)據(jù)安全運(yùn)營(yíng)等服務(wù)保障能力。

從管理隊(duì)伍供給能力來(lái)看。數(shù)據(jù)安全在審查工作中的重要性日益增強(qiáng)，管理隊(duì)伍的專業(yè)化水平將亟待同步提升。與之相適應(yīng)的數(shù)據(jù)安全隊(duì)伍供給體系重點(diǎn)方向?qū)ǎ簲?shù)據(jù)安全類專業(yè)人才培養(yǎng)體系、選拔任用機(jī)制、培訓(xùn)實(shí)戰(zhàn)體系、績(jī)效考核機(jī)制等。

(二)拓展數(shù)據(jù)安全需求：多管齊下應(yīng)用引領(lǐng)

數(shù)據(jù)安全的需求側(cè)主要偏重于建立數(shù)據(jù)安全應(yīng)用體系，可歸納為三個(gè)“需求”：管理需求、合規(guī)需求和攻防需求。未來(lái)圍繞數(shù)據(jù)安全需求的挖掘，不僅是主管部門(mén)引導(dǎo)數(shù)據(jù)安全健康有序發(fā)展的重要依據(jù)，也是深化數(shù)據(jù)安全技術(shù)創(chuàng)新和壯大數(shù)據(jù)安全產(chǎn)業(yè)能力的重要方向。

01 管理需求

對(duì)數(shù)據(jù)要做到“心中有數(shù)”。“底數(shù)不清”往往是出現(xiàn)數(shù)據(jù)安全問(wèn)題的重要根源之一，明確數(shù)據(jù)安全管理需求的重點(diǎn)就是要做到對(duì)自身數(shù)據(jù)及其安全情況有較為清晰的了解。這類需求將主要圍繞數(shù)據(jù)分類、數(shù)據(jù)分級(jí)、數(shù)據(jù)資產(chǎn)構(gòu)成分析、數(shù)據(jù)防護(hù)現(xiàn)狀分析等展開(kāi)。

02 合規(guī)需求

數(shù)據(jù)安全應(yīng)符合“法規(guī)紅線”。網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、保密管理等制度規(guī)范，對(duì)于數(shù)據(jù)都提出了相應(yīng)的安全要求及相應(yīng)防護(hù)手段。除了等保、關(guān)基、保密等傳統(tǒng)合規(guī)要求之外，針對(duì)數(shù)據(jù)應(yīng)用的重要典型場(chǎng)景，如工業(yè)數(shù)據(jù)、交通數(shù)據(jù)、能源數(shù)據(jù)等，也將成為法規(guī)關(guān)注的重點(diǎn)需求領(lǐng)域。

03 攻防需求

數(shù)據(jù)安全當(dāng)滿足“實(shí)戰(zhàn)有效”。數(shù)據(jù)安全保障手段的最終目的是其能夠化解潛在數(shù)據(jù)風(fēng)險(xiǎn)或有效防御數(shù)據(jù)攻擊。在此類需求方面，除了事中防御和事后補(bǔ)救手段之外，事前的發(fā)現(xiàn)、檢驗(yàn)需求將成為數(shù)據(jù)安全建設(shè)需求的重中之重，與之相對(duì)應(yīng)的數(shù)據(jù)安全態(tài)勢(shì)監(jiān)測(cè)、數(shù)據(jù)安全仿真檢測(cè)、數(shù)據(jù)安全保護(hù)實(shí)效檢驗(yàn)等也將日益受到更多關(guān)注。

“東方欲曉，莫道君行早”?！墩髑笠庖?jiàn)稿》匯總各方面意見(jiàn)后的最終內(nèi)容如何，仍需拭目以待。而其對(duì)于我國(guó)網(wǎng)絡(luò)安全審查制度的完善、對(duì)于社會(huì)各界數(shù)據(jù)安全保護(hù)意識(shí)提升的影響已經(jīng)顯現(xiàn)并將持續(xù)，數(shù)據(jù)安全政策法規(guī)體系和數(shù)據(jù)安全技術(shù)產(chǎn)業(yè)也將以此為契機(jī)，迎來(lái)發(fā)展的新階段。

來(lái)源：安全牛