7月10日,国家互联网信息办公室发布了《网络安全审查办法(修订草案征求意见稿)》(以下简称为《修订草案》),《修订草案》新增《中华人民共和国数据安全法》为法律依据,健全国家数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,新增“中国证券监督管理委员会”为审查机构,加强证券数据跨境监管,强化证券数据安全、跨境数据流动、涉密信息管理能力等,《修订草案》共计新增条款2条,补充完善条款6条,修订条款4条,通过对《修订草案》内容仔细研究分析,本文详细解读其“六大要点”创新和未来“五大趋势”发展

一、 解读六大创新要点内容

NO.1新增《中华人民共和国数据安全法》为审查依据,核心/重要数据已成为审查的重点要素

《修订草案》的法律依据,由《中华人民共和国国家安全法》和《中华人民共和国网络安全法》两大法律,扩展至三大法律《中华人民共和国国家安全法》、《中华人民共和国网络安全法》和《中华人民共和国数据安全法》,为监管数据处理活动提供了直接的法律依据

运营者违反《修订草案》规定的,由《中华人民共和国网络安全法》第六十五条的规定处理,扩展至《中华人民共和国网络安全法》和《中华人民共和国数据安全法》的相关规定进行处理。意味着一旦运营者违反规定,将承担更加严重的后果。

NO.2扩展审查对象和活动行为,健全完善安全审查的内容范围和活动场景

《修订草案》的审查对象,由“关键信息基础设施运营者”,扩展至“关键信息基础设施运营者”和“数据处理者”。将数据处理者纳入网络安全审查,扩展了网络安全审查的被审查主体范围,意味着一般数据处理者的数据处理活动也将被纳入网络安全审查范围,适用的范围更加广泛。

《修订草案》将企业国外上市活动纳入了网络安全审查范围。其中新增规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查,且在申报材料中应提供拟提交的IPO材料”。将掌握超过100万用户个人信息的运营者赴国外上市的网络安全审查义务予以明确。

NO.3新增证监会为审查工作机制成员单位,加强境内企业国外上市前/后审查监管力度

《修订草案》中网络安全审查工作机制成员单位增加了“中国证券监督管理委员会”。证监会负责监管境内企业直接或间接到境外发行股票、上市以及在境外上市的公司到境外发行可转换债券。

《修订草案》规定按照特别审查程序处理的审查结论建议,应征求相关部门的意见。由“网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门”,扩展至“网络安全审查工作机制成员单位和相关部门”的意见。

NO.4新增审查评估的重点因素,健全完善国家安全风险防范化解能力

《修订草案》中审查评估要素,由“采购网络产品和服务”,扩展至“采购活动、数据处理活动和国外上市”。将数据处理活动和国外上市纳入网络安全审查,扩展了网络安全审查所针对行为的范畴,这一修订的法律依据同样主要是《数据安全法》,作为“数据安全审查制度”和“数据分类分级保护制度”的落地措施之一。

审查评估主要考虑的风险因素新增了“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”和“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。

NO.5延长特别审查程序周期,增强应对复杂场景的审查力度

网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的时候,按照特别审查程序处理。按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。

《修订草案》中特别审查程序由45个工作日延长为3个月内,且情况复杂的可以继续延长。

NO.6扩展重要通信产品为审查对象,进一步拓展网络产品和服务的审查范围

《修订草案》中网络产品和服务的审查范围,在原有的“核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务”基础上,新增加了“重要通信产品”,进一步拓展了网络产品和服务的审查范围。

二、 从五个角度看五大趋势

路云天网络安全研究院结合多年在网络安全领域的实践探索与战略研究经验,通过对《修订草案》的研究与分析,从监管执行、机制协同、行政执法、产业发展和企业合规五个角度提出了网络安全审查工作未来发展趋势。

NO.1从监管执行角度看,网络安全实战化风险管控能力将强化提升

国家对网络安全的高度重视,将网络安全视为和国防安全、金融安全同等重要的领域,为维护国家安全,建设网络强国夯实根基、不断深化。网络安全审查是网络安全的重要保障,明确安全审查工作机制单位在网络安全审查体系中的监督地位,明确立法依据、审查对象、审查评估范围以及审查程序周期等内容。本次网络安全审查办法征求意见稿的出台速度非常快,体现出国家网络安全审查工作机制单位的高效协调组织能力,国家将继续强化实战化风险管控能力,提升面对突发事件的应急响应能力

NO.2从机制协同角度看,网络安全审查体系机制将进一步健全完善

《修订草案》的发布是一次重大制度设计。首先,《修订草案》中相关上市要求条款是在落实最近中办、国办印发的《关于依法从严打击证券违法活动的意见》精神。该意见要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”。其次,更重要和更实质性的,《修订草案》是为了落实《数据安全法》第二十四条的要求“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”。企业赴国外上市只是可能出现数据安全风险的一种具体情形,所以从整体上说,《修订草案》完善了数据安全审查制度,为数据安全审查提供了依据,网络安全审查体系机制将进一步健全完善。

NO.3从行政执法角度看,国家将加强数据安全的执法力度

数据安全成为国家安全的重点,不仅仅是因为数据主权问题,还因为大数据时代海量的数据高度集中,加大了数据泄露的风险。而数据一旦泄露,将对经济社会、国家安全产生重要的影响。为此,保障数据安全成为维护国家安全的重要内容,未来,网络安全、数据安全审查态势将更加严格化。从2015年《国家安全法》颁布施行到2017年《网络安全法》生效,再到2021年《数据安全法》公布,我国正在形成一个全面规范网络安全保护、数据安全保护、个人信息安全保护的基础法律体系。同时,网络安全、数据安全、个人信息安全规范、标准不断发布,保护体系持续完善细化。

NO.4从产业发展角度看,关基和数字产业的供应链安全成为核心要点

网络审查里面除了强调对产品、系统的安全以及服务的安全,也对它的供应链安全,包括它的网络安全服务的提供者,服务的运营者,是有严格要求的。各个关键基础设施和数字产业的运营者也必然加强对供应链安全的防护和应急能力建设,持续性监督、持续性管理、持续性检查。

从某种意义上讲,“供应渠道的可靠性”并不是传统意义上的网络安全技术审核标准,而是一个供应链安全的标准,不仅有利于国际间网络信息技术的均衡分布与合理流动,也有利于国内相关网络产品及服务提供者的长期发展。遵守中国法律法规、行政规章的情况,应主要从对于供应链的非商业性损害予以考虑,不宜扩大适用。如果是与供应链安全或网络安全无关的违法违规事项,则不宜作为认定供应商不可靠的依据。

NO.5从企业合规角度看,加强网络和数据合规管理是未来发展的必然趋势

近年来,国家有关部门持续开展APP专项治理行动,执法力度不断增强。国家对企业的监管重心正在向企业数据合规个人信息数据保护等方面转移。并且监管趋势正在向着监管执法主动化、监管主体措施多样化、整改手段严格化的方向发展。在如此严格的监管态势下,数据合规成为企业合规发展的首要问题,加强网络和数据合规管理是企业未来发展的必然趋势。因此,企业应加强内外部管理,健全相关制度,在保证企业合规的前提下实现效能最大化。

三、 再看网络安全审查

此次滴滴事件促发了国家一系列的动作,《网络安全审查办法》的修订可以称为是其中最重要的事件。我国的“网络安全审查”机制早在十三五规划中就明确提到要“建立网络安全审查制度和标准体系”,发展到十四五规划中明确“加强网络安全风险评估和审查”。我国网络安全审查管理组织机制又包括哪些?国家网络安全审查技术与认证中心发挥什么作用?我国网络安全审查的立法又经过了怎样的发展过程?世界上其他国家网络安全审查发展又是何情况?所有答案都在“云天洞察 第一期” 研究报告《网络安全审查办法》(修订草案征求意见稿)解读,敬请下载。

关注公众号,回复“云天洞察1”即可观看下载原文

声明:本文来自路云天网络安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。