新版《網(wǎng)絡(luò)安全審查辦法》有力夯實國家數(shù)據(jù)安全保障基石
編輯:王軍 信息來源: 中國網(wǎng)信網(wǎng)發(fā)布時間:2022-2-17
當(dāng)前,數(shù)據(jù)作為國家新型生產(chǎn)要素和基礎(chǔ)戰(zhàn)略資源的代表,數(shù)據(jù)安全已成為保障網(wǎng)絡(luò)強國建設(shè)、護航數(shù)字經(jīng)濟發(fā)展的安全基石。2022年2月15日起,國家互聯(lián)網(wǎng)信息辦公室等十三部門聯(lián)合修訂發(fā)布的《網(wǎng)絡(luò)安全審查辦法》(以下簡稱新版《審查辦法》)開始施行,新修訂內(nèi)容針對數(shù)據(jù)處理活動,聚焦國家數(shù)據(jù)安全風(fēng)險,明確運營者赴國外上市的網(wǎng)絡(luò)安全審查要求,為構(gòu)建完善國家網(wǎng)絡(luò)安全審查機制,切實保障國家安全提供了有力抓手。
一、審查對象新增數(shù)據(jù)處理活動,突出赴國外上市申報審查
(一)影響或者可能影響國家安全的數(shù)據(jù)處理活動在審查范圍內(nèi)
與上版《審查辦法》相比,新版《審查辦法》要求網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的應(yīng)按照新版《審查辦法》進行網(wǎng)絡(luò)安全審查。這意味著除了關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)外,網(wǎng)絡(luò)運營者開展影響或者可能影響國家安全的數(shù)據(jù)處理活動,也將在網(wǎng)絡(luò)安全審查范圍內(nèi)。
判斷影響或者可能影響國家安全的數(shù)據(jù)處理活動,可從數(shù)據(jù)處理活動是否存在或疑似存在危害國家安全行為,或者是否存在國家安全風(fēng)險等方面進行判斷,例如掌握100萬用戶個人信息的運營者赴國外上市,掌握核心數(shù)據(jù)或重要數(shù)據(jù)的運營者赴國外上市,掌握我國禁止或限制出口技術(shù)的運營者赴國外上市,匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立等數(shù)據(jù)處理活動,一旦影響或者可能影響國家安全的,都可能成為網(wǎng)絡(luò)安全審查的對象。
(二)超過100萬用戶個人信息的運營者赴國外上市應(yīng)申報審查
新版《審查辦法》明確規(guī)定掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市必須申報網(wǎng)絡(luò)安全審查。按照中國證監(jiān)會公布的《國務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定(草案征求意見稿)》和《境內(nèi)企業(yè)境外發(fā)行證券和上市備案管理辦法(征求意見稿)》,赴國外上市的主體涉及境內(nèi)企業(yè)國外直接發(fā)行上市、境內(nèi)企業(yè)國外間接發(fā)行上市。其中,直接發(fā)行上市是指注冊在境內(nèi)的股份有限公司在國外發(fā)行證券或者將其證券在國外上市交易;間接發(fā)行上市是指主要業(yè)務(wù)經(jīng)營活動在境內(nèi)的企業(yè),以境外企業(yè)的名義,基于境內(nèi)企業(yè)的股權(quán)、資產(chǎn)、收益或其他類似權(quán)益在國外發(fā)行證券或者將證券在國外上市交易。
赴國外上市的方式或途徑,包括但不限于首次公開發(fā)行并上市(IPO)、特殊目的公司收購(SPAC)上市、借殼上市,通過一次或多次收購、換股、劃轉(zhuǎn)以及其他交易安排實現(xiàn)境內(nèi)企業(yè)資產(chǎn)境外直接或間接上市,境內(nèi)上市公司分拆所屬境內(nèi)企業(yè)到國外發(fā)行上市,境內(nèi)上市公司以境內(nèi)上市股份為基礎(chǔ)證券在國外發(fā)行可轉(zhuǎn)換為基礎(chǔ)證券的存托憑證等。此外,雖然新版《審查辦法》沒有提及赴香港上市,但是掌握超過100萬用戶個人信息的運營者赴香港上市,仍應(yīng)按照數(shù)據(jù)出境安全評估的有關(guān)規(guī)定進行評估。
二、審查評估聚焦國家數(shù)據(jù)安全風(fēng)險因素
運營者開展影響或可能影響國家安全的數(shù)據(jù)處理活動,可能帶來多種國家數(shù)據(jù)安全風(fēng)險,新版《審查辦法》在供應(yīng)鏈安全風(fēng)險評價的基礎(chǔ)上,新增了國家數(shù)據(jù)安全風(fēng)險因素評價。
(一)數(shù)據(jù)被竊取、泄露、毀損、非法利用、非法出境風(fēng)險
運營者對核心數(shù)據(jù)、重要數(shù)據(jù)、大量個人信息開展數(shù)據(jù)處理活動時,一旦數(shù)據(jù)被竊取、泄露、毀損、非法利用或非法出境,可能直接存在國家安全或公共利益風(fēng)險:一是數(shù)據(jù)竊取或泄露。由于黑客攻擊、員工竊取、數(shù)據(jù)安全能力不足、內(nèi)部違規(guī)操作、違規(guī)共享等原因,處理的核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息可能被竊取、未授權(quán)或違規(guī)泄露。二是數(shù)據(jù)毀損。處理的核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被違規(guī)篡改、破壞、丟失,危害數(shù)據(jù)的完整性和可用性。三是數(shù)據(jù)非法利用。例如大型網(wǎng)絡(luò)平臺運營者,可能匯聚了大量涉及國家安全、公共利益或個人權(quán)益的數(shù)據(jù),一旦濫用大數(shù)據(jù)技術(shù)對掌握的大量敏感數(shù)據(jù)進行分析挖掘并任意共享或發(fā)布,可能對國家安全或公共利益造成威脅。四是數(shù)據(jù)非法出境。按照我國數(shù)據(jù)安全法律法規(guī)要求,關(guān)鍵信息基礎(chǔ)設(shè)施運營者、重要數(shù)據(jù)處理者、超過100萬用戶個人信息的運營者等的個人信息和重要數(shù)據(jù)出境,應(yīng)通過國家網(wǎng)信部門組織的數(shù)據(jù)出境安全評估。
(二)外國政府影響、控制、惡意利用和網(wǎng)絡(luò)信息安全風(fēng)險
隨著美國《外國公司問責(zé)法案》落地執(zhí)行,美國證券交易委員會(SEC)要求在美國上市的外國企業(yè)披露是否由政府實體擁有或控制、存在的監(jiān)管環(huán)境風(fēng)險,同時要求審計公司接受美國公共公司會計監(jiān)督委員會(PCAOB)檢查,披露上市公司的審計細節(jié)、工作底稿等信息。在這一背景下,赴國外上市的運營者將面臨更多的國家數(shù)據(jù)安全風(fēng)險,例如關(guān)鍵信息基礎(chǔ)設(shè)施被外國政府影響、控制、惡意利用的風(fēng)險;國外監(jiān)管機構(gòu)調(diào)取上市公司的敏感數(shù)據(jù),導(dǎo)致核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風(fēng)險;網(wǎng)絡(luò)信息輿論被境外機構(gòu)操縱風(fēng)險;上市公司控制權(quán)發(fā)生重大變更等。
三、小結(jié)
新版《審查辦法》的發(fā)布,推動國家數(shù)據(jù)安全治理進入新階段。網(wǎng)絡(luò)運營者開展核心數(shù)據(jù)、重要數(shù)據(jù)和大量個人信息的數(shù)據(jù)處理活動時,應(yīng)加強國家安全意識,預(yù)判數(shù)據(jù)處理活動可能帶來的國家安全風(fēng)險,影響或者可能影響國家安全的及時向網(wǎng)絡(luò)安全審查辦公室報告甚至申報網(wǎng)絡(luò)安全審查,主動防范可能造成的國家安全風(fēng)險。我國網(wǎng)絡(luò)安全審查制度的不斷完善,將為我國數(shù)據(jù)安全和網(wǎng)絡(luò)安全保障體系建設(shè)打下堅實基礎(chǔ)。(作者:胡影,中國電子技術(shù)標(biāo)準(zhǔn)化研究院)