数安条例百问23、24、25、26：关于网络安全审查

数据安全君

小贝案语
11月14日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。为此，小贝说安全设立《网络数据安全管理条例（征求意见稿）》（后文简称《条例》）解读专栏，以百问百答的形式对《条例》进行系列解读。

需要指出，这些解读只是专家个人观点，不代表官方意见；且这些解读针对的是征求意见稿，未来条文本身可能会发生变化，不排除会有新增和删除。

对应条款
第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；
（二）处理一百万人以上个人信息的数据处理者赴国外上市的；
（三）数据处理者赴香港上市，影响或者可能影响国家安全的；
（四）其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

解读
网络安全审查制度的上位法有两个。
  
一是《国家安全法》第五十九条：国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。
  
二是《网络安全法》第三十五条：关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
  
为落实法律的要求，国家互联网信息办于2017年5月印发了《网络产品和服务安全审查办法（试行）》，表明我国正式建立了该项制度。
  
经过三年的运行，国家互联网信息办对试行的审查办法作了完善，于2020年4月印发了《网络安全审查办法》。
  
《网络安全审查办法》指出，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。
  
网络安全审查的重点是评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：
（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；
（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；
（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；
（五）其他可能危害关键信息基础设施安全和国家安全的因素。
  
从《网络安全审查办法》的规定看，最初并没有对数据安全提出特别的关注。但随着数字经济的发展，数据安全对国家安全的影响不断上升，客观上需要将数据安全作为网络安全审查的重点考量。
  
为此，国家互联网信息办对《网络安全审查办法》进行了修订，并于2021年7月对《网络安全审查办法（修订草案）》公开征求意见。修订草案将网络安全审查的对象范围作了扩展。即，关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。
  
网络安全审查办法修订草案也同步增加了与数据有关的国家安全风险描述：
  
网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：
（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；
（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；
（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；
（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；
（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；
（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；
（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。
  
理论上，在《国家安全法》和《网络安全法》已经为数据安全管理制度提供了充分的上位法依据的情况下，网络安全审查制度的具体对象、范围可以在部门规章中根据需要规定和调整。但为了强调数据安全对国家安全的重要性，有必要在《条例》中设立专门条款予以规定。
  
特别是，《条例》十三条新增的几种需要进行网络安全审查的情况，对当事方影响较大，应当通过法律或法规进行明确。这是为什么还要通过《条例》补充网络安全审查制度的原因。
  
需要指出，《条例》十三条的内容与《网络安全审查办法（修订草案）》不完全一致，相信《网络安全审查办法》的修订稿在最终发布时会作相应修改。

对应条款
第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；
（二）处理一百万人以上个人信息的数据处理者赴国外上市的；
（三）数据处理者赴香港上市，影响或者可能影响国家安全的；
（四）其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

解读
《数据安全法》第二十四条规定，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
  
因此，很多人关心，既然《条例》对网络安全审查制度的修订是出于数据安全的原因，那么《条例》为什么还称其为“网络安全审查”呢？《条例》第十三条是不是落实《数据安全法》第二十四条的规定？如果不是，数据安全审查的关切与网络安全审查中对数据安全的关切是什么关系？换言之，网络安全审查与数据安全审查是什么关系？
  
这个事情很明确，《条例》规定的网络安全审查与《数据安全法》规定的数据安全审查没有关系，今后会另外建立数据安全审查制度。

对应条款
第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；
（二）处理一百万人以上个人信息的数据处理者赴国外上市的；
（三）数据处理者赴香港上市，影响或者可能影响国家安全的；
（四）其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。


解读
《条例》第十三条分别对数据处理者赴国外上市和赴港上市作了规范。
  
此前，《网络安全审查办法（修订草案）》第六条规定的是，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。
  
《网络安全审查办法（修订草案）》征求意见时，一些机构和专家将其解读为，文件使用的是“国外”而不是“境外”，这意味着企业赴港上市不需要申报网络安全审查。此次，随着《条例》公开征求意见，上述猜测已可以止息，网络安全审查的对象包括赴港上市活动。
  
但《条例》对赴国外上市和赴港上市的网络安全审查要求不完全一样。根据《条例》规定，处理一百万人以上个人信息的数据处理者赴国外上市必须申报网络安全审查，但数据处理者赴香港上市则不必须申报网络安全审查，只有在影响或者可能影响国家安全时申报。
  
之所以作这样的规定，主要是考虑到了香港虽属“境外”，但其是中国的一部分，赴港上市的数据安全风险一般而言要比赴国外上市的风险低。
  

  
对应条款
第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；
（二）处理一百万人以上个人信息的数据处理者赴国外上市的；
（三）数据处理者赴香港上市，影响或者可能影响国家安全的；
（四）其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。


解读
《条例》对大型互联网平台运营者在境外设立总部或者运营中心、研发中心提出了安全要求，但这里的“报告”义务并非要求获得审批，不属于行政许可。

提出这一要求的背景是，当前数据安全已经被推向了网络空间国际博弈的第一线。例如，美国前总统特朗普曾封杀微信、Tiktok，美国国务院曾提出了“清洁网络”计划，即：
  
清洁运营商：不受美国信任的中国电讯公司不能为美国和其他国家提供国际电信服务。
清洁应用商店：从美国应用程序商店中删除不受信任的中国软件。
清洁应用程序：美国正在阻止华为和其他不受信任的供应商预先安装或下载美国最受欢迎的应用软件。
清洁云端：保护美国最敏感的个人信息和商业知识产权，防止一些重要信息被阿里巴巴、百度、腾讯等中国公司运营的云端系统所获取。
清洁电缆：努力确保连接全球互联网的海底电缆传输的信息不会被破坏和泄露。
  
美国政府的这些举动，都是打着“数据安全”的旗号。可以预见，今后类似的情况可能会越来越多。
  
不仅如此，美国还将触角伸到了全世界。2018年3月，美国发布《云法案》。该法规定，在美国政府提出要求时，任何在云上存储数据的美国公司都要将数据转交给美国政府。而位于美国境外的公司，只要被美国法院认为“与美国有足够联系且受美国管辖”，也适用于上述规定。
  
更为恶劣的是，美国为了遏制中国的高科技发展，还开创了要求第三国对中国高科技企业高管进行抓捕的恶劣先例。
  
那么，如果掌握大量数据的大型互联网平台运营者在境外设立总部或者运营中心、研发中心，相当于“送上门去”。法律不会限制企业的国际化发展，但如涉及数据安全风险，有关情况要报告。

  
【下期预告】
27、为什么对合并、重组、分立或解散、破产提出数据安全要求？
28、为什么要对国家机关专门提出数据安全要求？
29、如何理解对自动化工具访问、收集数据的安全要求？
30、《条例》提出数据安全情况披露要求是基于什么考虑？

【往期链接】
0、条例正文
1、《条例》的定位及其同《数据安全法》和《个人信息保护法》的关系是什么？
2、如何理解《条例》的结构？
3、如何理解《条例》名称中使用的是“网络数据”？
4、如何理解数据处理者？
5、如何理解《条例》的域外效力？
6、如何理解《条例》的不适用范围？
7、如何理解数据分类分级保护制度？
8、如何理解数据分类分级管理？
9、如何理解重要数据？
10、如何理解重要数据与个人信息的关系？
11、如何组织识别重要数据和核心数据？
12、如何理解重要数据和核心数据目录？
13、如何理解数据开发利用？
14、如何理解数据交易管理制度？
15、如何理解数据处理者的安全保护义务？
16、如何理解等级保护、关键信息基础设施安全保护与数据安全的关系？
17、如何理解对发现安全缺陷、漏洞、风险时提出的补救措施要求？
18、如何理解数据处理者的应急处置义务？
19、如何理解重要数据或者十万人以上个人信息事件的处置义务？
20、如何理解向第三方提供个人信息或发送重要数据的安全要求？
21、如何理解“单独同意”？
22、为什么要求留存个人同意记录？

  总编辑|小贝