專家解讀｜《網絡安全審查辦法》修訂稿的重要意義

　　專家解讀｜云霓之望，《網絡安全審查辦法》修訂稿的重要意義

　　沒有網絡安全就沒有國家安全，就沒有經濟社會穩定運行，廣大人民群眾利益也難以得到保障。如果說，有哪件事情引起了全社會對網絡安全的高度關注，甚至到了婦孺皆知的程度，就不能不提及2021年7月幾家互聯網企業受到網絡安全審查事件。同期，已試行三年、正式實施一年的《網絡安全審查辦法》開始修訂，國家互聯網信息辦公室發布了征求意見稿。由于其將赴國外上市納入審查范圍，在資本市場引發震動。故半年以來，圍繞網絡安全審查制度的討論和猜測甚多，一些人甚至將這個制度的影響上升到了中美關系、經濟發展的層面。

　　而今塵埃落定。2022年1月4日，《網絡安全審查辦法》(以下簡稱《辦法》)修訂后正式發布，成為網絡安全、數據安全領域的一件大事。愿得長如此，年年物候新。對這一重要文件，如何理解其意義？可以從四個角度去看待。

　　一、順應形勢，直面網絡空間重大風險挑戰

　　當前，世界進入百年未有之大變局，我們在網絡空間面臨的風險挑戰呈現新特點，突出表現為中美在網絡空間對抗博弈加劇。戰略上，美西方國家在IT高科技領域對我圍追堵截、封鎖限制，特別是動輒對我實施斷供，一些國外企業不惜充當反華馬前卒、兩面派，我供應鏈安全面臨前所未有的壓力。戰術上，數據安全被推向國際斗爭第一線，外國政府和情報機構加大對我數據資源的攫取。尤其是，美國國會發布《外國公司問責法》，美國證券交易委員會(SEC)據此規定中概股應加強信息披露，其要求獲取的企業審計底稿有可能使企業掌握的敏感數據悉數流失國外。

　　山雨欲來，當有金石之計。為提高網絡產品和服務的安全可控水平，防范供應鏈安全風險，2017年5月，國家互聯網信息辦公室印發了《網絡產品和服務安全審查辦法(試行)》。2020年4月，經試行3年后，國家互聯網信息辦公室正式印發《網絡安全審查辦法》。該辦法實施僅一年半后，官方便發布修訂稿，這正是為了應對一年以來的形勢變化，進一步增強對網絡空間重大風險挑戰的防范能力。尤其是，《辦法》在列舉國家安全風險因素時，明確指出，要評估供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險，以及上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險。

　　二、撥云見日，回應社會廣泛關切

　　社會對《辦法》的熱切期盼，主要來自于對幾個重大問題的高度關注。此次《辦法》的發布，使這些問題都有了最終答案。

　　一是赴港上市要不要申報網絡安全審查？《辦法》第七條明確，文件要求申報審查的情況之一是“赴國外上市”，未提及赴香港上市。當然，這不意味著赴港上市不用再考慮數據安全因素，而是指赴港上市不必主動申報審查。如果網絡安全審查機制成員單位認為赴港上市影響或可能影響國家安全的，可以由國家網絡安全審查辦公室報請中央網信委批準后進行審查。而且，在任何情況下，企業都應當履行數據安全保護義務，并遵守國家關于數據出境安全管理等制度的有關規定。

　　二是網絡安全審查與數據安全審查關系是什么？《辦法》第二十二條明確，國家對數據安全審查另有規定的，應當同時符合其規定。國家互聯網信息辦公室在答記者問時指出，2021年9月1日，《數據安全法》正式施行，明確規定國家建立數據安全審查制度，網信辦據此對《網絡安全審查辦法》進行了修訂，將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍，這說明，網絡安全審查是落實《數據安全法》的要求，是在網絡數據領域的安全審查。當然，整個《數據安全法》的范圍更廣。

　　三是如何理解審查的啟動條件？此前，外界普遍認為，某企業受到審查，是因為其已被列為關鍵信息基礎設施，采購的產品或服務可能影響國家安全。這是對網絡安全審查啟動條件的誤讀。事實上，除了主動申報外，還可由網絡安全審查工作機制成員單位提請審查(《辦法》第十六條)，或由社會舉報(《辦法》第十九條)，這與被審查對象是否屬于關鍵信息基礎設施、是否采購產品或服務、是否赴國外上市沒有必然關系。

　　《辦法》還回應了社會的另一個關切：某些被審查企業被要求停止注冊新用戶，這顯然是一種防范風險擴大的措施。那么，在審查結論還沒有作出的情況下，何時會采取此類措施呢？《辦法》第十六條明確，為了防范風險，當事人應當在審查期間按照網絡安全審查要求采取預防和削減風險的措施。這說明，這類措施不是因主動申報而起，而是被審查機制成員單位發現威脅或風險后，采取的應對措施。

　　三、辯證統一，聚焦主要矛盾、支持經濟發展

　　網絡安全審查制度有著獨特的定位，這是一種國家安全審查。為此，《辦法》著力處理好幾對關系，體現了辯證統一。

　　一是自主和開放的統一。有的人認為，2021年7月審查幾家國內互聯網企業是網絡安全審查制度“首次亮劍”。還有人質疑，這個制度不是為了維護國家安全嗎，怎么專挑國內企業“下手”？這都是錯誤的認識。首先，網絡安全審查制度不區分國內和國外，對任何產品和服務一視同仁，目的是防范產品和服務帶來的國家安全風險——事實上，在去年7月之前，國家有關部門已經對多家外國企業的產品和服務進行了審查。其次，網絡安全審查制度不是為了把國外產品“趕出去”，而是要建立開放環境下維護國家安全的能力。即，在全球化條件下，任何國家不可能隔絕于世界之外，不可能只使用自己的產品和服務。那么在使用國外產品和服務的時候，要有能力防范其中的風險，要安全地使用國外產品和服務。

　　二是安全與發展的統一。國家安全極端重要，但不能泛化，不能什么都是國家安全�！掇k法》聚焦影響國家安全的主要行為，借鑒了國際上同類審查的主要做法，考慮了近些年網絡空間國際對抗博弈的特征變化，有著明確的指向和定位。同時，《辦法》也顧及經濟發展特別是數據驅動的數字經濟發展的客觀需要，不屬于國家安全的事項、能利用常規手段(如產品測評認證制度)解決的，不納入網絡安全審查范圍。

　　在處罰上，《辦法》也充分考慮了經濟發展，體現了寬嚴相濟的特點。如前所述，要求停止注冊新用戶、下架App等措施，對企業影響很大，故當企業主動申報審查時一般不采取這些措施，其適用于已經監測發現風險的特定情況。

　　四、協同聯動，共同構筑國家網絡安全屏障

　　當前，我國正在建立“三法兩條例”為主的網絡安全法律法規體系。除《網絡安全法》于2017年6月實施外，《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》均于2021年發布和實施，《網絡數據安全管理條例》2021年列入國務院立法計劃、已經完成首輪公開征求意見。因此，《辦法》與多部法律法規同步出臺，是我國網絡安全法律法規體系的內在組成部分，同其他網絡安全政策法規以及其他領域的相關政策保持了協同。文件在實施時，也將充分考慮協同聯動問題，以求整體效果。

　　首先，《辦法》與《國務院關于境內企業境外發行證券和上市的管理規定》等證券行業監管制度保持一致。后者由證監會會同國務院有關部門研究起草，已于2021年12月公開征求意見。按該文件第八條規定，境內企業境外發行上市的，應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定，切實履行國家安全保護義務。涉及安全審查的，應當依法履行相關安全審查程序。

　　其次，《辦法》與數據安全監管制度保持一致�！掇k法》此次修訂的主要變化，是增加了對赴國外上市的要求，這主要出于數據安全等方面的考慮。本質上，赴國外上市是一種數據出境行為，要納入我國數據出境安全管理制度進行管理。但如果已經對其進行了網絡安全審查，則當然不必再重復進行出境安全評估，相關風險在審查中一并考慮即可。根據《辦法》精神，赴香港上市不用申報網絡安全審查，那么此類活動就需要直接落實我國數據出境安全管理規定。這也體現了我國網絡安全政策的嚴密性以及內在的協同性。

　　有人關心，《網絡數據安全管理條例(征求意見稿)》曾將赴香港上市列為網絡安全審查對象，鑒于條例級別高于部門規章，那么今后的政策是否還會生變？這需要考慮到時間因素，目前《辦法》是最新的政策，相信有關政策法規會在這個問題上做好協調。(作者：左曉棟，中國信息安全研究院副院長)