专家解读 | 《网络安全审查办法》涉及的数据安全思考

在新年的第一个工作日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局等十三个部门联合修订了《网络安全审查办法》（以下简称《办法》），该《办法》自2022年2月15日起施行。新《办法》基本保留了征求意见稿提出的制度框架，同时明确了涉及的审查部门、内部的工作机制以及若干关键问题，其中数据安全的内容尤其引入注目，新修订内容针对数据处理活动，聚焦国家数据安全风险，明确运营者赴国外上市的网络安全审查要求。本文重点解析新旧《网络安全审查办法》之间的差异以及对应的数据合规监管要求。

《数据安全法》建立了数据安全审查制度，其中第24条规定对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《关键信息基础设施安全保护条例》第19条亦对采购网络产品和服务可能影响国家安全的运营者设置了数据安全审查的义务。但上述两部规范性文件，仅对数据安全进行原则性的规定，却未明确与数据安全审查制度相配套的触发情形、审查流程等内容。在此前提下，新《办法》增加《数据安全法》《关键信息基础设施安全保护条例》作为立法依据，为监管处理数据活动提供直接的法律依据，同时也有助于相关企业开展网络安全审查制度合规工作的进一步落地。

“网络安全审查”并不等同于“数据安全审查”。从《网络安全法》、《数据安全法》等相关法律的体系来看，两者对于审查的内容、对象各有侧重。根据新《办法》第二十二条 “国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定”，这是网信办首次公开明确网络安全审查与数据安全审查并不等同。同时也意味着，虽然网络安全审查同时关注数据安全问题，但国家相关部门可能会另行出台专门性规定来落实《数据安全法》第二十四条的数据安全审查制度。

在本《办法》的正式稿中，适用主体明确为两类，即“关键信息基础设施运营者” 和“网络平台运营者”，进一步扩大了审查对象和审查范围。

与《网络安全审查办法（2020）》相比，将“网络平台运营者开展数据处理活动”纳入网络安全审查范围。在《办法》出台前，网络安全审查的范围仅为“关键信息基础设施企业”，当滴滴受到网络安全审查时，也有质疑滴滴是否为“关键信息基础设施企业”的声音。新《办法》将网络平台运营者的数据处理活动纳入监管中，而“数据处理”包括数据的收集、存储、使用、加工、传输、提供、公开等，适用场景更加广泛。

与《网络安全审查办法》（征求意见稿）相比，《办法》将 “数据处理者”修改为“网络平台运营者”。这意味着网络平台运营者开展数据处理活动，在（可能）影响国家安全的情形下，也将面临网络安全审查。但《办法》并未对“网络平台运营者”的概念进行界定，相近定义为《网络数据安全管理条例（征求意见稿）》第七十三条“互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”。从通常理解来看，“网络平台运营者”的范围小于“数据处理者”。但是需要注意的是，针对传统企业是否要纳入审查范围，是后续监管需要明确的内容。

《办法》第七条明确“掌握超过100万用户个人信息的网络平台运营者”的主动、强制申报义务，是本次修订的亮点之一，显示出监管机构重视企业赴海外上市的数据安全问题。

此条规定将征求意见稿规定的“运营者”进一步限制为“网络平台运营者”。需要注意的是，对拟赴海外上市的网络平台而言，“掌握100万用户个人信息”比较容易达到。并且《办法》没有对“掌握”进行定义，《个人信息保护法》下受个人信息处理者委托处理个人信息的受托方仍有可能被认为是“掌握”个人信息，但这还有待进一步明确。

其次，针对已在国外上市且掌握大量个人信息的网络平台运营者，是否要进行网络安全审查也是在实践中需要明确的问题。从《办法》中主动申报资料的资料包括“拟提交的首次公开募股（IPO）等上市申请资料”等，我们理解是在赴海外上市前的主动申报，由于《办法》赋予网络安全审查办公室依据职权进行审查的情况，因此有可能针对已在国外上市企业进行审查。

另外，针对赴港上市符合条件的企业是否要履行主动申报义务，新规也未明确。有一种观点认为，赴港上市无需进行网络安全审查，原因在于在该《办法》中并未涉及赴港上市企业。另外一种观点认为，根据《网络数据安全管理条例》（征求意见稿）规定“赴港上市，影响或者可能影响国家安全的，应当进行网络安全申报”，该处有待进一步明确。

本次审查因素的修订依据审查范围的调整而调整，《办法》第10条对“核心数据、重要数据或大量个人信息”的审查单独列出，也突出了其重要性。同时，新增了“企业上市时涉及到的存在关键信息基础设施、核心数据、重要数据或者大量个人信息”的情形。《数据安全法》中有关数据安全保护义务及其对重要数据、核心数据的明确分类等相关规定，该《办法》的出台为数据安全审查制度的建立以及《数据安全法》的实施做好了准备。

依据《数据安全法》第二十一条的规定，关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据。我国建立数据分类分级保护制度，由各地区、各部门按照数据分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录。对此，相关企业应重点关注所在行业发布的《重要数据具体目录》，如目前已存在的《信息安全技术—健康医疗数据安全指南》《工业数据分类分级指南（试行）》等。近日,全国信息安全标准化技术委员会发布了《关于征求国家标准<信息安全技术 重要数据识别指南>（征求意见稿）意见的通知》，该征求意见稿内容也备受社会各界关注。需要注意的是，因各部门和各地区都可设置重要数据目录，从而可能会导致重要数据目录体系较为复杂，这在具体执行中会导致一定的困扰。目前出台的重要数据规定仅见于《汽车数据安全管理若干规定(试行) 》，由网信办等七部门联合制定。

综上所述，新《办法》的出台，推动国家数据安全治理进入新阶段。网络平台运营者进行数据处理活动时，应提前预判数据处理活动可能带来的国家安全风险。对于企业来说，一方面，要重视做好网络安全、数据安全和个人信息保护联合工作，不断增加内部数据合规力量及制定合规计划，将集团内的各项业务纳入数据合规的范围内；另一方面，重视国际数据合规及网络安全业务，尤其是涉及跨境业务的，也应当遵守当地的数据合规要求，避免因数据不合规影响业务的发展。

（文章来源：CCIA数据安全工作委员会）