2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)正式施行。
网络安全审查是网络安全领域的重要法律制度,原《网络安全审查办法》自2020年6月1日施行以来,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。
为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《网络安全审查办法》,并于2021年7月10日发布了《网络安全审查办法(修订草案征求意见稿)》,广泛征求社会意见。
2022年1月4日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》,自2022年2月15日起施行。
随着数字经济的发展,数据安全对国家安全的影响不断上升,客观上需要将数据安全作为网络安全审查的重点考量。
2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度。国家互联网信息办公室联合相关部门据此对《网络安全审查办法》进行了修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。同时明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,对企业赴国外上市引发数据安全担忧进行了直接回应。
《办法》修订的主要内容
新版《办法》第十条规定了网络安全审查重点评估的国家安全风险因素,其中包括:
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。
目前重要数据的定义以及识别方法尚不明确,《数据安全法》第二十一条规定“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护”“各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
《网络数据安全管理条例》(征求意见稿)第二十七条要求“各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门”,并在附则中明确了重要数据的定义。
为避免网络安全审查风险,网络平台运营者应持续跟踪相关法规标准的制定情况,积极识别本组织的重要数据,加强对重要数据处理活动的风险评估和对重要数据的保护。
此外,赴香港上市不要求主动申报网络安全审查。
《网络数据安全管理条例》(征求意见稿)第十三条规定,数据处理者赴香港上市影响或者可能影响国家安全的,应当按照国家有关规定申报网络安全审查。新版《办法》并没有提出此要求,表明赴香港上市的数据处理者不要求主动申报网络安全审查,但《办法》第十六规定网络安全审查机制成员单位可以提请对企业进行审查,因此赴港上市的企业仍需高度重视数据安全风险。
本文来自:赛博研究院,作者:李宁