《网络安全审查办法》在审查什么？

资讯作者：安在 2022-02-18 20:38:14 阅读：329

众所周知，网络安全审查制度和维护国家安全息息相关。早在《国家安全法》和《网络安全法》中即对国家安全审查制度进行了确立，并最终作为《网络安全审查办法》的立法背景予以确认。

而这次为了落实《数据安全法》等法律法规的要求，国家互联网信息办公室联合相关部门重新修订了《网络安全审查办法》，并于2021年7月10日发布了《网络安全审查办法（修订草案征求意见稿）》，广泛征求社会意见。

2022年1月4日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三部门联合修订发布《网络安全审查办法》，并于2022年2月15日起施行。

时隔两年，此次办法的变更在立法依据、立法目的、网络安全审查触发条件、重点评估的国家安全风险因素上有了明显变化。

由以上图片对比，我们可以看到这次更新具体体现在这几个方面：

数据安全作为审查重点

安全风险的评估内容发生变化

更加清晰地将网络安全审查流程确定在了关键信息基础设施运营者和网络平台运营者主体身份上。

信号传递、趋势方向

由于此次更新的主要内容是基于《数据安全法》，因此几乎所有新增的条例和要求都围绕“数据”二字。比如这次更新在审查对象和审查重点因素中都涉及到了数据安全，明确了数据处理者开展数据处理活动是网络安全审查法律关系主体的权利和义务指向的对象，其行为或结果影响或可能影响国家安全的，必须依法进行国家网络安全审查。

再比如新版《网络安全审查办法》要求掌握超过100万用户个人信息的网络平台运营者赴国外上市需要接受审查，对网络平台赴国外上市有了强制规定。即表明了对拥有庞大用户量、拥有大量的个人信息和重要数据的网络平台，国家将进行彻底的“数据保护审查制度”，因为这些赴国外上市的大平台很可能对国家安全产生重大影响和风险。

这也就证实了，随着数字经济的发展，数据安全对国家安全的影响不断上升，客观上需要将数据安全作为网络安全审查的重点考量。

另外，《办法》提出的审查重点评估的国家安全风险因素关键要求有两点，一是重点评估核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；二是重点评估上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；有利于提升相关行业和领域供应链安全及数据安全风险防范能力。

拿“滴滴事件”举例。有消息传，滴滴为了赴美上市，将国内5.5亿用户数据和道路数据打包给美国，抛开事件处理结果，我们可以先来看看“滴滴出行大数据研究中心”所生成的数据统计。

公安部、监察部、民政部、司法部、财政部、人力资源社会保障部、国土资源部、环境保护部、住房和城乡建设部、交通运输部、水利部、农业部、商务部、文化部、卫生计生委、人民银行、审计署等部委的滴滴快的出租车、快车、专车使用数据，勾勒出以下图景。

滴滴研究院基于实时生成的移动出行大数据进行分析，与气温和新闻数据叠加，得到了上图所绘制的出行数据图，我们可以看到，各个部门出行高峰和频率统计得相当详尽，不得不让人感叹大数据的强大，但转念一想不禁后背发凉，国家部门的出行数据都能如此详尽的统计汇总，如果数据一旦丢失或者泄露，造成的后果又有多严重？

以此为佐证，可想此次新办法的发布，就是为了让社会、让个人都开始注重起数据安全，同时也是为了更好的加强对重要数据处理活动的风险控制和对重要数据的保护。

适用主体的改变

平台提供者需要注意，当滴滴受到网络安全审查的通报公布后，大量质疑滴滴是否构成关键信息基础设施企业、是否具备适用《网络安全审查办法》资格的声音不绝于耳，而随后公布的《网络安全审查办法》修订稿中，迅速将适用主体由CIIO扩展到包括数据处理者这一边界广泛的概念。

而《数据安全法》提出，但凡实施了数据处理的主体，均可以被认为是数据处理者，而数据处理活动的定义贯穿数据全生命周期，包括“数据的收集、存储、使用、加工、传输、提供、公开等”。

基于以上两点的核心，本次《网络安全审查办法》的正式稿明确将适用主体调整为两类，即“关键信息基础设施企业”（CIIO），和“网络平台运营者”。其中，关键信息基础设施企业已经由《关键信息基础设施安全保护条例》提供了明确的识别和认定。

而“网络平台运营者”就《网络安全法》、《互联网平台落实主体责任指南（征求意见稿）》、《网络数据安全管理条例（征求意见稿）》、《电子商务法》中所提到的概念来看，我们可以大致的认为“网络平台运营者”应该是针对此类具备多方交易功能、提供综合服务的平台运营者，并非单纯的通过网络仅提供自身服务的运营者，或仅提供平台搭建等技术服务的运营者。

所以，从“数据安全”和“适用主体”两点综合来分析，互联网平台提供者务必得明确自己该怎么去保护这诸多的重要数据，并相应的以《网络安全审查办法》为基础，制定出符合自己公司框架的“数据保护制度”；同时，平台提供者也得认清自己的角色，得意识到自己是否已在“网络平台运营者”的范畴里。

新办法的标志

此外我们还要注意的是，新版《网络安全法》特别审查时限由45个工作日增加至90个工作日。新增申报材料：采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；首次公开募股（IPO）的当事人应当提交上市申请文件，包括公司章程、发起人协议、发起人姓名或者名称，发起人认购的股份数、出资种类及验资证明、招股说明书、代收股款银行的名称及地址、承销机构名称及有关的协议。

申报过程变得更严谨、更复杂了。这种种迹象都表明了“网络安全”将是国家治理当下社会的重中之重。

《办法》的施行，将有利于进一步加强对关键信息基础设施供应链安全保护的相关要求，为网络安全产业的高质量发展指明方向。可见，推行网络安全审查、加强风险识别和控制是当前世界各主要国家防范网络安全风险的通行做法，此次《办法》的修订对于进一步扎实“篱笆”，即有效应对数字社会、平台经济发展中出现的各类新型网络安全风险，并对切实维护我国国家网络主权和安全都具有积极的现实意义。

推荐阅读