您所在的位置: 首頁 >
新聞資訊 >
行業(yè)資訊 >
《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》解讀
近日,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)發(fā)布了《關(guān)于<網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)>公開征求意見的通知》(以下簡稱《征求意見稿》),對《網(wǎng)絡(luò)安全審查辦法》內(nèi)容提出了重要修訂。從此次修訂的變化,能夠看出網(wǎng)絡(luò)安全和數(shù)據(jù)安全發(fā)展情勢的變化,也可讀出其對數(shù)據(jù)安全政策和產(chǎn)業(yè)的影響。
內(nèi)容修訂情況:一條主線
此次《征求意見稿》相比之前的《網(wǎng)絡(luò)安全審查辦法》,其核心修訂,也是最為重要的內(nèi)容變化是加強(qiáng)了對數(shù)據(jù)安全的關(guān)注和規(guī)范。具體表現(xiàn)在以下三個(gè)方面。
一是將數(shù)據(jù)安全法增加為立法依據(jù)。《征求意見稿》第一條規(guī)定:“依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》,制定本辦法”,將《中華人民共和國數(shù)據(jù)安全法》增加為制定依據(jù),直接表明了本次修訂的主旨就是通過網(wǎng)絡(luò)安全審查制度、機(jī)制加強(qiáng)對數(shù)據(jù)安全相關(guān)行為的規(guī)范。這不僅僅是法規(guī)間銜接的要求,更是切實(shí)強(qiáng)化數(shù)據(jù)安全的必然舉措。
二是將數(shù)據(jù)處理活動(dòng)作為重點(diǎn)規(guī)范對象。《征求意見稿》第二條規(guī)定:“數(shù)據(jù)處理者(以下稱運(yùn)營者)開展數(shù)據(jù)處理活動(dòng),影響或可能影響國家安全的,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查”??梢?,下一步《網(wǎng)絡(luò)安全審查辦法》的管理范圍將有很大拓展,其在規(guī)范主體、規(guī)范行為兩大方面都有擴(kuò)大。結(jié)合近期國家主管部門先后宣布對多家互聯(lián)網(wǎng)廠商進(jìn)行審查的情況來看,辦法修訂生效后,也極有可能成為主管部門加強(qiáng)數(shù)據(jù)安全執(zhí)法行動(dòng)在操作層面的主要法律依據(jù)。
三是對數(shù)據(jù)運(yùn)營者作出了定量描述。《征求意見稿》第六條規(guī)定:“掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”。從該條規(guī)定可以看出,《征求意見稿》將掌握一定數(shù)量個(gè)人信息的企業(yè)赴國外上市,作為應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查的一種數(shù)據(jù)處理行為,而且從相關(guān)修訂條文比重來看,滿足特定條件的國內(nèi)企業(yè)赴國外上市很可能成為下一步網(wǎng)絡(luò)安全審查的重點(diǎn)規(guī)范。
此外,《征求意見稿》還涉及到其他重要內(nèi)容補(bǔ)充修訂,如:將證監(jiān)會增加進(jìn)審查機(jī)制、審查提交材料增加了“擬提交的IPO材料”、特別審查程序由45天延長至3個(gè)月等??梢?,這些修訂內(nèi)容,也均與數(shù)據(jù)安全的修訂直接相關(guān)。
內(nèi)容修訂分析:三個(gè)要素
《征求意見稿》立足數(shù)據(jù)安全主線,其修訂內(nèi)容還充分反映了與數(shù)據(jù)安全存在密切關(guān)聯(lián)的三個(gè)邏輯要素。
(一)數(shù)據(jù)安全審查——明確機(jī)制
首先從法理上看,加強(qiáng)數(shù)據(jù)安全管理、完善數(shù)據(jù)安全審查機(jī)制是落實(shí)《數(shù)據(jù)安全法》的重要步驟。6月10日頒布的《數(shù)據(jù)安全法》即將于9月1日正式生效施行,此次《征求意見稿》將數(shù)據(jù)安全相關(guān)內(nèi)容作為修訂重點(diǎn),無疑是數(shù)據(jù)安全法正式實(shí)施前的一項(xiàng)重要制度準(zhǔn)備?!稊?shù)據(jù)安全法》第二十四條明確規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查”,盡管此處的“國家安全審查”的方式和范圍尚不得而知,但網(wǎng)絡(luò)安全審查作為國家安全審查的重要組成部分應(yīng)該是沒有異議的。將數(shù)據(jù)安全納入網(wǎng)絡(luò)安全審查范疇,在具體操作中也符合管理效率原則和網(wǎng)絡(luò)安全保障工作實(shí)情。
其次從數(shù)據(jù)安全的雙重含義來看,在審查中不應(yīng)偏廢。理解數(shù)據(jù)安全應(yīng)包含兩層含義,一個(gè)是數(shù)據(jù)信息本身的安全屬性要求,即通常所說的機(jī)密性、完整性、可用性、真實(shí)性、可控性等屬性,可稱之為直接安全或內(nèi)在安全;另一個(gè)是因?qū)?shù)據(jù)的不當(dāng)處理行為而帶來的安全風(fēng)險(xiǎn),可以稱之為間接安全或外在安全?!毒W(wǎng)絡(luò)安全審查辦法》此前對于第一種情形即數(shù)據(jù)的內(nèi)在安全性已經(jīng)作出了規(guī)定,如第九條第一款“產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)”。而此次《征求意見稿》對于數(shù)據(jù)安全的補(bǔ)充修訂,很大程度上是對數(shù)據(jù)安全的第二層含義,即外在安全性的貫徹??梢?,《征求意見稿》對數(shù)據(jù)安全進(jìn)行的補(bǔ)充修訂,其實(shí)質(zhì)上是完善了數(shù)據(jù)安全的定義涵蓋,而非無根據(jù)的隨意擴(kuò)展。因此從本質(zhì)邏輯上看,數(shù)據(jù)安全的兩個(gè)方面均是安全審查的重要對象,二者是一致的也是不可分割的。
(二)國外上市——重要審查場景
從《征求意見稿》內(nèi)容側(cè)重上不難發(fā)現(xiàn),國外上市是其明確列出的數(shù)據(jù)運(yùn)營者所從事的、可能影響國家安全的一種主要行為。加強(qiáng)對特定企業(yè)赴國外上市的安全監(jiān)管,不僅是為了落實(shí)《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見》政策要求,更是為管控國外上市帶來數(shù)據(jù)安全風(fēng)險(xiǎn)隱患的客觀需要。
盡管對“國外上市”含義的具體界定還有待進(jìn)一步明確,而僅從近期主管部門宣布啟動(dòng)的幾起網(wǎng)絡(luò)安全審查來看,企業(yè)在國外上市的行為,會極大加劇相關(guān)重要數(shù)據(jù)面臨的安全風(fēng)險(xiǎn)、以及被政治化歪曲利用的可能。
以美國為例,目前美國證券交易相關(guān)的管理規(guī)定主要包括《塞班斯法案(Sarbanes-Oxley Act)》、《外國公司問責(zé)法案(Holding Foreign Companies Accountable Act)》等,其要求上市公司的核心披露義務(wù)主要涉及“財(cái)務(wù)和管理弱點(diǎn)報(bào)告”和“審計(jì)底稿”等。這些披露材料乍看似乎與事關(guān)安全的重要數(shù)據(jù)、核心數(shù)據(jù)等沒有太直接的聯(lián)系,深入分析則會發(fā)現(xiàn),安全隱患主要來源于兩個(gè)方面。一方面,要求披露的內(nèi)容本身可能包含某些安全敏感數(shù)據(jù),如“審計(jì)底稿”通常包括被審計(jì)對象的組織機(jī)構(gòu)及管理人員結(jié)構(gòu)、重要合同、董事會會議紀(jì)要等,其中可能會包含我國行業(yè)數(shù)據(jù)和消費(fèi)者信息,能反映我國關(guān)鍵信息基礎(chǔ)的運(yùn)行等情況,若任由美國收集難免影響到我國家安全利益。另一方面,也是風(fēng)險(xiǎn)最大的情況,即在美上市的公司除了負(fù)擔(dān)直接的信息披露義務(wù)之外,還有面臨各種調(diào)查的潛在風(fēng)險(xiǎn)。美國建立了相對體系化的審查調(diào)查機(jī)制,主導(dǎo)部門包括商務(wù)部(貿(mào)易調(diào)查)、司法部(不正當(dāng)競爭調(diào)查、海外反腐敗調(diào)查、知識產(chǎn)權(quán)調(diào)查等)等,一旦上市公司被納入相關(guān)的審查調(diào)查,其調(diào)查的內(nèi)容范圍就極有可能擴(kuò)大,也就會加大相關(guān)重要數(shù)據(jù)暴露或被政治化歪曲等的風(fēng)險(xiǎn)。
(三)個(gè)人信息——界定審查對象
《征求意見稿》對于數(shù)據(jù)安全的修訂,還有很重要的一條線索就是個(gè)人信息保護(hù)。從字面上理解,似乎數(shù)據(jù)安全和個(gè)人信息保護(hù)的界線相對清晰,前者屬于公法范疇,側(cè)重保護(hù)公共利益;后者屬于私法范疇,側(cè)重保護(hù)個(gè)人隱私。但二者的密切聯(lián)系也不容忽視。
首先,掌握個(gè)人信息的數(shù)量,將直接影響數(shù)據(jù)運(yùn)營者的行為性質(zhì)。正如前所述《征求意見稿》第六條規(guī)定了:“掌握超過100萬用戶個(gè)人信息的運(yùn)營者赴國外上市”的時(shí)候,要必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查??梢?,按照《征求意見稿》該條內(nèi)容理解,個(gè)人信息的定量情況將直接決定著數(shù)據(jù)運(yùn)營者的海外上市行為是否影響國家安全,是判定數(shù)據(jù)運(yùn)營者在海外上市能否觸發(fā)網(wǎng)絡(luò)安全審查的先決條件。
其次,個(gè)人信息在一定條件下,將直接轉(zhuǎn)化為重要數(shù)據(jù)。因?yàn)槎咴谀承┣闆r下存在一定的交集,如特定人物的個(gè)人信息、特定群體個(gè)人信息的匯聚等都有可能使個(gè)人信息轉(zhuǎn)化為重要或核心數(shù)據(jù),這些數(shù)據(jù)因能夠反映地區(qū)或行業(yè)、設(shè)施運(yùn)行情況,從而必須納入國家安全的視野范圍加以保護(hù)。例如網(wǎng)絡(luò)上曝光的對某些國家部委工作人員上下班出行情況的分析,這些出行信息具有很強(qiáng)的個(gè)人屬性,本屬于個(gè)人信息的范疇,但對這些信息進(jìn)行匯聚和分類分析,就成了能夠反映國家重要機(jī)構(gòu)運(yùn)行情況的數(shù)據(jù),就不能再單純視作個(gè)人信息了。在此意義上也可看出,個(gè)人信息與數(shù)據(jù)安全關(guān)系密不可分。
影響分析:構(gòu)建數(shù)據(jù)安全供需發(fā)展新格局
當(dāng)前“十四五”規(guī)劃已經(jīng)開局,將《征求意見稿》與即將生效的《數(shù)據(jù)安全法》結(jié)合起來并置于“十四五”新發(fā)展格局大背景中進(jìn)行思考,對經(jīng)濟(jì)社會發(fā)展、產(chǎn)業(yè)提振將有更加實(shí)際的意義?!笆奈濉币?guī)劃明確部署了新發(fā)展格局的實(shí)施路徑:“把實(shí)施擴(kuò)大內(nèi)需戰(zhàn)略同深化供給側(cè)結(jié)構(gòu)性改革有機(jī)結(jié)合起來,以創(chuàng)新驅(qū)動(dòng)、高質(zhì)量供給引領(lǐng)和創(chuàng)造新需求,加快構(gòu)建以國內(nèi)大循環(huán)為主體、國內(nèi)國際雙循環(huán)相互促進(jìn)的新發(fā)展格局”,此次網(wǎng)絡(luò)安全審查制度的修訂,也將從供給、需求兩個(gè)方面對數(shù)據(jù)安全發(fā)展帶來積極影響,推動(dòng)我國數(shù)據(jù)安全行業(yè)發(fā)展新格局的加速構(gòu)建。
(一)強(qiáng)化數(shù)據(jù)安全供給:技術(shù)創(chuàng)新、管理機(jī)制缺一不可
數(shù)據(jù)安全的供給側(cè)主要偏重于構(gòu)建數(shù)據(jù)安全保障能力,包括管理規(guī)范、技術(shù)手段、管理隊(duì)伍等要素供給能力。
從管理規(guī)范供給能力看。一方面現(xiàn)有的數(shù)據(jù)安全管理法規(guī)政策之間將進(jìn)一步銜接,從國家近期相繼發(fā)布《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見》(兩辦)、《征求意見稿》、《數(shù)字經(jīng)濟(jì)對外投資合作工作指引》(商務(wù)部、中央網(wǎng)信辦、工信部聯(lián)合印發(fā))等重磅政策法規(guī)不難看出,數(shù)據(jù)安全與證券跨境監(jiān)管、關(guān)鍵基礎(chǔ)設(shè)施采購等的關(guān)系正在更加緊密地協(xié)同。另一方面,數(shù)據(jù)安全管理法規(guī)體系的健全工作將進(jìn)一步提速,覆蓋面也將逐步擴(kuò)展,如關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)處理活動(dòng)風(fēng)險(xiǎn)評估管理、境外發(fā)行證券的保密和檔案管理、跨境信息提供機(jī)制與流程管理、跨境審計(jì)監(jiān)管合作等。
從技術(shù)手段供給能力來看。將有力促進(jìn)數(shù)據(jù)安全相關(guān)技術(shù)產(chǎn)品和服務(wù)能力的創(chuàng)新發(fā)展,圍繞不同層面需求,數(shù)據(jù)安全產(chǎn)品技術(shù)和服務(wù)供給能力將進(jìn)一步深化。在滿足企事業(yè)單位自身數(shù)據(jù)安全保護(hù)需求方面,重點(diǎn)發(fā)展方向包括:數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)據(jù)庫防火墻,以及以數(shù)據(jù)資產(chǎn)識別、管理為核心的數(shù)據(jù)安全管理平臺等;在滿足主管部門監(jiān)管需求方面,重點(diǎn)發(fā)展方向包括:數(shù)據(jù)分級分類管理、敏感數(shù)據(jù)發(fā)現(xiàn)、數(shù)據(jù)安全風(fēng)險(xiǎn)評估、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)追蹤溯源等;在滿足公共數(shù)據(jù)安全能力提升需求方面,重點(diǎn)發(fā)展方向包括:數(shù)據(jù)安全災(zāi)備、數(shù)據(jù)安全培訓(xùn)、數(shù)據(jù)安全運(yùn)營等服務(wù)保障能力。
從管理隊(duì)伍供給能力來看。數(shù)據(jù)安全在審查工作中的重要性日益增強(qiáng),管理隊(duì)伍的專業(yè)化水平將亟待同步提升。與之相適應(yīng)的數(shù)據(jù)安全隊(duì)伍供給體系重點(diǎn)方向?qū)ǎ簲?shù)據(jù)安全類專業(yè)人才培養(yǎng)體系、選拔任用機(jī)制、培訓(xùn)實(shí)戰(zhàn)體系、績效考核機(jī)制等。
(二)拓展數(shù)據(jù)安全需求:多管齊下應(yīng)用引領(lǐng)
數(shù)據(jù)安全的需求側(cè)主要偏重于建立數(shù)據(jù)安全應(yīng)用體系,可歸納為三個(gè)“需求”:管理需求、合規(guī)需求和攻防需求。未來圍繞數(shù)據(jù)安全需求的挖掘,不僅是主管部門引導(dǎo)數(shù)據(jù)安全健康有序發(fā)展的重要依據(jù),也是深化數(shù)據(jù)安全技術(shù)創(chuàng)新和壯大數(shù)據(jù)安全產(chǎn)業(yè)能力的重要方向。
01 管理需求
對數(shù)據(jù)要做到“心中有數(shù)”?!暗讛?shù)不清”往往是出現(xiàn)數(shù)據(jù)安全問題的重要根源之一,明確數(shù)據(jù)安全管理需求的重點(diǎn)就是要做到對自身數(shù)據(jù)及其安全情況有較為清晰的了解。這類需求將主要圍繞數(shù)據(jù)分類、數(shù)據(jù)分級、數(shù)據(jù)資產(chǎn)構(gòu)成分析、數(shù)據(jù)防護(hù)現(xiàn)狀分析等展開。
02 合規(guī)需求
數(shù)據(jù)安全應(yīng)符合“法規(guī)紅線”。網(wǎng)絡(luò)安全等級保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)、保密管理等制度規(guī)范,對于數(shù)據(jù)都提出了相應(yīng)的安全要求及相應(yīng)防護(hù)手段。除了等保、關(guān)基、保密等傳統(tǒng)合規(guī)要求之外,針對數(shù)據(jù)應(yīng)用的重要典型場景,如工業(yè)數(shù)據(jù)、交通數(shù)據(jù)、能源數(shù)據(jù)等,也將成為法規(guī)關(guān)注的重點(diǎn)需求領(lǐng)域。
03 攻防需求
數(shù)據(jù)安全當(dāng)滿足“實(shí)戰(zhàn)有效”。數(shù)據(jù)安全保障手段的最終目的是其能夠化解潛在數(shù)據(jù)風(fēng)險(xiǎn)或有效防御數(shù)據(jù)攻擊。在此類需求方面,除了事中防御和事后補(bǔ)救手段之外,事前的發(fā)現(xiàn)、檢驗(yàn)需求將成為數(shù)據(jù)安全建設(shè)需求的重中之重,與之相對應(yīng)的數(shù)據(jù)安全態(tài)勢監(jiān)測、數(shù)據(jù)安全仿真檢測、數(shù)據(jù)安全保護(hù)實(shí)效檢驗(yàn)等也將日益受到更多關(guān)注。
“東方欲曉,莫道君行早”。《征求意見稿》匯總各方面意見后的最終內(nèi)容如何,仍需拭目以待。而其對于我國網(wǎng)絡(luò)安全審查制度的完善、對于社會各界數(shù)據(jù)安全保護(hù)意識提升的影響已經(jīng)顯現(xiàn)并將持續(xù),數(shù)據(jù)安全政策法規(guī)體系和數(shù)據(jù)安全技術(shù)產(chǎn)業(yè)也將以此為契機(jī),迎來發(fā)展的新階段。
來源:安全牛