云霓之望

　　出典：中国网络 　　没有网络安全，就没有国家安全，没有经济社会稳定运行，就很难保障广大人民群众的利益。哪些引起了全社会对网络安全的关注，孩子们也知道，2021年7月有几家互联网企业受到网络安全审查的事件。同时，已经试行了3年，正式实施了1年的《网络安全审查方法》被修改，国家互联网信息办公室发布了征求意见稿。为了将海外上市纳入审查范围，资本市场发生了动摇。因此，半年来，围绕网络安全审查制度的讨论和推测很多，一部分人把这个制度的影响提高到了中美关系、经济发展的水平。 　　现在落着灰尘。2022年1月4日，《网络安全审查方法》（以下简称“方法”）修订后正式发表，成为网络安全、数据安全领域的重要组成部分。我希望这样长，每年都在等新的东西。对于这个重要的文件，你是怎么理解它的意思的？可以从四个角度看。 　　一、适应形势，面对网络空间的重大风险和挑战 　　现在，世界进入了百年不遇的大困难局面，我们在网络空间面临的风险挑战显示了新的特征，突出了中美在网络空间对抗游戏的激化。战略上，美国西方国家在IT高新技术领域包围我，封锁限制，特别是经常对我实施断供，一些海外企业不惜在反中马前卒、两面派工作，我的供应链安全面临着前所未有的压力。在战术上，数据安全推进到国际斗争的第一线，外国政府和信息机构加强了我的数据资源获取。特别是美国议会颁布了《外国企业问责法》，美国证券交易委员会（SEC）必须根据该规定加强股票概要的信息公开。要求取得企业审计的原稿有可能将企业掌握的敏感数据全部泄露到国外。 　　山雨欲来，必有金石之计。2017年5月，国家互联网信息办公室印发了《网络产品和服务安全审查方法（试行）》。2020年4月，试行3年后，国家互联网信息办公室正式印发了《网络安全审查方法》。这个方法实施仅仅一年半后，政府发表了修订稿。这是为了应对1年来的形势变化，进一步强化对网络空间重大风险挑战的防范能力。特别是“方法”在列举国家安全风险因素时，由于供应渠道的可靠性和政治、外交、贸易等因素造成的供应中断的风险，以及上市重要的信息基础设施、核心数据、重要数据或大量个人信息对外国政府的影响、控制、明确指出必须评估恶意利用的风险。 　　二、拨云见日，回应社会广泛关注 　　社会对“方法”的热切期待主要来自对几个重大问题的高度关注。这次“方法”的发表，给这些问题带来了最终的答案。 　　一种是要申报网络安全审查在香港上市吗？“方法”第7条明确了文件要求申报审查的情况之一是“国外上市”，没有提及香港上市。当然，这并不意味着在香港上市不需要考虑数据的安全因素，而是意味着在香港上市不需要自行申报审查。网络安全审查机构成员部门判断在香港上市可能影响国家安全的，国家网络安全审查办公室报中央网信息委员会批准后，可以进行审查。此外，任何情况下，企业都必须履行数据安全保护义务，遵守国家数据出国安全管理等制度相关规定。 　　第二，网络安全审查和数据安全审查的关系是什么。“方法”第二十二条明确规定，国家在数据安全审查中另有规定的情况下，应当同时符合该规定。国家互联网信息办公室在回答记者提问时明确规定，2021年9月1日正式实施《数据安全法》，国家确立数据安全审查制度。网络安全审查是执行“数据安全法”的要求，是网络数据领域的安全审查。当然，整个数据安全法的范围更广。 　　3如何理解开始审查的条件？到目前为止，某企业接受审查是因为作为重要的信息基础设施被登记，所以被认为购买的产品和服务有可能影响国家的安全。这是网络安全审查的开始条件的误读。实际上，除了自发申报外，网络安全审查机制的成员部门还可以请求审查（“方法”第16条），向社会通报（“方法”第19条）。这与审查对象是否属于重要的信息基础设施、是否购买产品和服务、是否在海外上市没有必然的关系。 　　“方法”还应部分经过审查的企业要求停止新用户的注册，明确是防止风险扩大的措施。那么，如果没有得出审查结论，什么时候会采取这样的措施呢。“方法”第16条明确规定，为了防止风险，当事人必须在审查期间按照网络安全审查的要求采取预防和削减风险的措施。这不是主动申报这样的措施，而是在对审查机构的成员单位发现威胁和风险后采取的对应措施。 　　三、统一辩证，聚焦主要矛盾，支持经济发展 　　网络安全审查制度有着独特的定位，这是国家安全审查。因此，“方法”致力于处理几个关系，体现了辩证统一。 　　一是自主和开放的统一。也有人认为2021年7月对数家国内互联网企业进行审查是网络安全审查制度的“第一把剑”。也有人质疑这个制度是不是为了保护国家的安全。这都是错误的认识。首先，网络安全审查制度不分国内和国外，对任何产品和服务都是平等的，目的是防止产品和服务带来的国家安全风险。实际上，到去年7月为止，国家有关部门已经审查了很多外国企业的产品和服务。其次，网络安全审查制度不是“驱逐”海外产品，而是必须在开放的环境下确立保护国家安全的能力。也就是说，在全球化的条件下，任何国家都无法与世界隔绝，不能只使用自己的产品和服务。那么，使用海外产品和服务的时候，有防止风险的能力，需要安全地使用海外产品和服务。 　　第二是安全和发展的统一。国家安全极其重要，但不能泛化，什么也不是国家安全。“方法”以影响国家安全的主要行为为焦点，参考国际同类审查的主要方式，考虑到近几年网络空间国际对抗游戏特征的变化，有着明确的方向和定位。同时，“方法”也可以考虑经济发展，特别是数据驱动的数字经济发展的客观需求，利用不属于国家安全的事项、通常的手段（例如产品评价认证制度）来解决，不进入网络安全审查的范围。 　　在处罚上，“办法”也充分考虑了经济发展，体现了宽严相济的特点。如上所述，由于新用户停止注册、降帧App等措施对企业有很大影响，所以在企业自主申报审查时，一般不采取适合监视发现风险的特定情况的措施。 　　四、联合联动，共同建设国家网络安全屏障 　　现在，中国确立了以“三法二条例”为主的网络安全法律法规体系。《网络安全法》于2017年6月实施，《数据安全法》、《个人信息保护法》、《重要信息基础设施安全保护条例》均于2021年颁布实施，《网络数据安全管理条例》于2021年纳入国务院立法计划第1轮的公开意见招募结束了。因此，“方法”与许多法律法规同时公布，是中国网络安全法律法规体系的内在组成部分，与其他网络安全政策法规及其他领域的相关政策保持合作。文件在实施时，也要充分考虑协作问题，寻求整体效果。 　　首先，“方法”与《国务院关于国内企业海外发行证券和上市的管理规定》等证券行业的监督管理制度一致。后者由证监会和国务院有关部门起草研究，并于2021年12月公开征求意见。根据本文件第八条的规定，国内企业在国外发行上市，应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定，切实履行国家安全保护义务。涉及安全审查的，应当依法履行相关安全审查程序。 　　其次，“方法”与数据安全监督管理制度一致。“方法”此次修改的主要变化是增加了对海外上市的要求，主要从数据安全等方面考虑。本质上，海外上市是数据出国行为，必须纳入中国数据出国安全管理制度进行管理。但是，已经进行了网络安全审查的情况下，不需要重复进行出国安全评价，相关风险也可以在审查的同时考虑。根据《办法》精神，在香港上市不需要申报网络安全审查，这种活动需要直接执行中国数据出境安全管理规定。这也体现了我国网络安全政策的严密性和内在合作性。 　　虽然将“网络数据安全管理条例（征求意见稿）”在香港上市作为网络安全审查的对象，但是由于条例的级别高于部门的规章制度，担心今后的政策会发生变化。这需要考虑时间因素。目前，“方法”是最新的政策，相信相关政策法规将在这个问题上进行协调。（作者：左晓栋，中国信息安全研究院副院长）