作者:宁宣凤 金杜律师事务所合规业务部

《网络安全审查办法》的修订一方面响应了今年6月通过并将于9月实施的《数据安全法》内有关国家建立数据安全审查制度的规定。具体来看,《数据安全法》是为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益而制定的(第一条)。同时,在适用对象上,该法律并未针对特定企业,而是从数据活动的整体视角出发,适用于在中华人民共和国境内开展的数据处理活动及其安全监管,以及在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的情况(第二条)。由此,《数据安全法》第二十四条明确:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《网络安全审查办法》的修订正是在此基础上,从关键信息基础设施供应链安全的层面,规定了需要进行安全审查的情况和基本流程。

宁宣凤律师现场“数说”

另一方面《网络安全审查办法》的修订从维护国家主权、安全和发展利益的角度,增加了管控境内企业国外上市可能引发的数据安全风险的内容。例如,《网络安全审查办法》第六条明确规定:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第十条指出,网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑因素包括但不限于:产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险等。

但需要明确的是,国家在网络与数据安全方面的立法,是我国总体国家安全观在法律制度层面的体现。其中,网络安全审查的目的是维护国家网络安全, 而不是要限制或歧视国外产品和服务或限制境内企业开展跨境业务。在世界范围内,以数据信息为特征的新一轮国际贸易规则正成为国家博弈的战略焦点。各国、各地区都在积极建立、完善自身的数据治理规则。在这种大环境下,网络安全审查已成为国际潮流和通行做法。中国作为国际贸易的重要参与者,近年来一直致力于构建网络安全审查的基本框架与具体规则。从2016年《网络安全法》确立网络产品和服务的安全审查制度;到2017年国家互联网信息办公室(下称“网信办”)发布《网络产品和服务安全审查办法(试行)》,初步落地网络安全审查制度;再到2019年网信办会同国家发展和改革委员会、工业和信息化部等12部门联合发布《网络安全审查办法(征求意见稿)》和2020年正式发布的《网络安全审查办法》,最后到今年的修订版,法律发展的沿革体现出制定者希望通过建立多部门联席工作机制,打破关键信息基础设施的行业及技术壁垒,达成关键信息基础设施保护的重要共识。这既是对运营者和网络产品和服务提供者设定的要求,也是帮助不同主体厘清在网络安全审查制度之下的责任义务,使其能够在合法合规的框架内开展经营活动。

数字经济社会产生了新的生产关系和法律关系,在推动数字经济发展的同时国家也不断推出数字经济法律法规及监管举措,社会各界亟需从理论和实践角度快速学习实现合规。金杜数字国际法律服务中心组成多学科、跨领域的研究战队,致力于将数字经济领域中前沿的法律研究成果转化为具有商业价值的服务和产品,帮助企业应对数字经济浪潮的新挑战。