《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示�����,2021年上半年���,工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺接報網絡安全事件49605件。圖為江蘇省海安市公安局網安大隊民警在向孩子們講解網絡安全知識���。
一個數(shù)據(jù)嚴監(jiān)管的時代正在到來�。新修訂的網絡安全審查辦法針對數(shù)據(jù)處理活動����,聚焦國家數(shù)據(jù)安全風險,明確運營者赴國外上市的網絡安全審查要求���。該辦法既是貫徹落實網絡安全法�、數(shù)據(jù)安全法等一系列法律法規(guī)的有效實踐��,也是不斷完善國家網絡安全審查制度�、適應國際國內網絡安全新形勢的重要舉措,更是保障人民群眾切身利益和維護國家安全的現(xiàn)實需要。
許睿 本報記者 李海洋
2月15日��,由國家互聯(lián)網信息辦公室等十三部門聯(lián)合修訂發(fā)布的網絡安全審查辦法(以下簡稱辦法)正式施行����。專家表示,辦法的施行���,對數(shù)據(jù)處理��、抵御數(shù)據(jù)安全風險��、國外上市等活動提供了審查的依據(jù)����,為保障國家安全提供了扎實的工具�,為我國依法治網揭開了新篇章。
審查制度不斷完善
網絡安全審查是網絡安全領域的重要法律制度���。原辦法自2020年6月1日施行以來,通過對關鍵信息基礎設施運營者采購活動進行審查和對部分重要產品等發(fā)起審查����,對于保障關鍵信息基礎設施供應鏈安全、維護國家安全發(fā)揮了重要作用。
國家互聯(lián)網信息辦公室有關負責人表示:“2021年9月1日�����,數(shù)據(jù)安全法正式施行�,明確規(guī)定國家建立數(shù)據(jù)安全審查制度。我們據(jù)此對網絡安全審查辦法進行了修訂���,將網絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網絡安全審查范圍��,并明確要求掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須申報網絡安全審查�,主要目的是為了進一步保障網絡安全和數(shù)據(jù)安全��,維護國家安全�����?�!?/p>
國家互聯(lián)網應急中心最新報告顯示���,近年來����,網絡產品和服務供應鏈安全形勢愈加嚴峻,針對關鍵信息基礎設施的信息竊取���、攻擊破壞等惡意活動持續(xù)增加��,針對數(shù)據(jù)的網絡攻擊以及數(shù)據(jù)濫用問題日趨嚴重��,數(shù)據(jù)安全風險將更加突出����。
“出于適應國際國內網絡安全新形勢�����、促進平臺經濟穩(wěn)定健康發(fā)展的需要���,適時地進行制度修訂和調整��,體現(xiàn)了制度不斷向前發(fā)展的趨勢���,持續(xù)完善的網絡安全審查制度將為維護國家安全作出更大貢獻?�!敝袊W絡安全審查技術與認證中心工程師齊越說���。
我國各類互聯(lián)網平臺眾多����,既有為社會提供金融支付����、通信交流等基礎性服務的互聯(lián)網平臺,也有專注于視聽����、求職、打車���、貨運����、購物等的領域性互聯(lián)網平臺�����。中國網絡安全審查技術與認證中心高級工程師唐旺表示���,這些平臺或掌握了海量公民個人數(shù)據(jù)���,或在一個領域內掌握具有壟斷性的用戶信息���。互聯(lián)網平臺掌握的數(shù)據(jù)一旦發(fā)生泄露�����,將會嚴重危害公民個人信息安全�,給不法分子實施詐騙、非法營銷等活動提供便利���。
據(jù)中國網絡安全審查技術與認證中心工程師劉金芳介紹��,網絡安全審查重點評估的國家安全風險因素增加了兩方面內容:一是重點評估核心數(shù)據(jù)�、重要數(shù)據(jù)或大量個人信息被竊取�����、泄露����、毀損以及非法利用、非法出境的風險�;二是重點評估上市存在關鍵信息基礎設施��、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被外國政府影響���、控制���、惡意利用的風險。
記者注意到�,此次辦法修訂在擴大審查范圍的同時,也對審查的工作機制����、工作流程等進行了適當調整。調整內容包括:增加證監(jiān)會作為網絡安全審查工作機制成員單位��,明確網絡安全審查辦公室收到合格申報材料的時間為審查開始時間�����,增加上市申請文件作為上市審查申報材料的一部分����,增加上市活動帶來的數(shù)據(jù)安全風險作為國家安全風險考慮的因素,延長特別審查的工作時限至90個工作日等����。齊越表示�����,從總體上看����,審查機制和流程沿用了原有審查制度框架����,針對新納入赴國外上市審查這一變化進行了有針對性的優(yōu)化,審查制度在實踐中不斷得到完善����。
赴國外上市嚴審查
唐旺表示,上市對于互聯(lián)網平臺具有特殊意義����。國內互聯(lián)網平臺大多以上市,特別是赴國外上市作為發(fā)展的主要目標����。但是,如果一個互聯(lián)網平臺不遵守國家有關網絡安全要求,不落實重要數(shù)據(jù)和個人信息保護責任義務�����,濫用數(shù)據(jù)����,上市后在金融力量的加持下無序擴張�,網絡安全風險和威脅將成倍擴大。同時�,一些國家出于保護本國投資者的目的,通過法律要求在其國內上市的企業(yè)披露業(yè)務經營數(shù)據(jù)��。這個理由一旦被濫用��,索要數(shù)據(jù)的邊界將不受限制�,會給國家安全帶來很大威脅。
辦法將網絡平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網絡安全審查�����,并明確掌握超過100萬用戶個人信息的網絡平臺運營者�����,赴國外上市必須向網絡安全審查辦公室申報網絡安全審查。同時�����,申報網絡安全審查可能有以下三種情況:一是無須審查��;二是啟動審查后���,經研判不影響國家安全的�,可繼續(xù)赴國外上市程序���;三是啟動審查后���,經研判影響國家安全的,不允許赴國外上市����。
辦法要求,關鍵信息基礎設施運營者采購網絡產品和服務的���,應當預判該產品和服務投入使用后可能帶來的國家安全風險�。影響或者可能影響國家安全的�����,應當向網絡安全審查辦公室申報網絡安全審查。
在供應鏈安全風險評價的基礎上�����,辦法增添了針對國家數(shù)據(jù)安全風險因素的評價����。企業(yè)在開展對外活動時,大量個人信息�����、核心數(shù)據(jù)�����、重要數(shù)據(jù)一旦被竊取�����、泄露��、損毀���、非法利用�,將直接影響國家安全和公共利益安全����。比如,有大型網絡公司匯聚了大量涉及國家安全��、公共利益和個人權益的信息���,如果在大數(shù)據(jù)運用過程中出現(xiàn)泄露�����,大量的敏感數(shù)據(jù)將被國外勢力竊取����,一旦被解析或者共享�����、發(fā)布�,將對我國國家安全、公共利益及個人利益造成不可估量的損失�����。
鑒于企業(yè)海外上市存在的風險,本次修訂辦法時增加了證監(jiān)會的職能表述�,以針對企業(yè)赴國外網絡平臺上市活動實施審查,也增加了將企業(yè)上市材料納入網絡安全審查申報范圍的規(guī)定�����。
專家表示�,辦法的實施提醒有關企業(yè),在開展涉及大量個人信息�、核心數(shù)據(jù)、重要數(shù)據(jù)的活動時�����,一定要加強國家安全意識�����,先行判斷活動可能帶來的國家安全風險�����,要及時向網絡安全審查辦公室匯報情況����,主動配合安全防范措施。
安全風險如何化解
第48次《中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》顯示�����,2021年上半年����,工業(yè)和信息化部網絡安全威脅和漏洞信息共享平臺接報網絡安全事件49605件。
“網絡安全審查的主旨在于網絡風險的識別與防范���,是國家安全審查的重要組成部分��。網絡平臺運營者是維護網絡安全����、國家安全的重要責任主體�。”北京航空航天大學工業(yè)和信息化法治研究院研究員雷震文表示�,保障數(shù)據(jù)安全與網絡安全,要防患于未然��。
對此�����,雷震文建議,網絡平臺運營者化解網絡安全風險���、國家安全風險����,應該注意以下三個方面:首先��,應提高安全意識�����、法治意識�,尤其應正確理解和處理維護網絡安全與促進自身發(fā)展之間的關系,堅持安全發(fā)展理念��,筑牢網絡安全的基石�;其次��,應不斷增強對自身運營安全的管理和評估���,積極對照網絡安全法和數(shù)據(jù)安全法的相關規(guī)定以及辦法第10條列出的安全風險因素�,做好安全風險的預判和評估、管理工作�����;最后�����,積極主動申報和配合網絡安全審查��,凡符合辦法規(guī)定的審查條件的當事人都應負有主動申報并配合審查辦公室做好安全審查工作的義務����。
“關鍵信息基礎設施運營者應采購安全可信的、供應渠道可靠的網絡安全產品和服務��,基于此構建具有全面感知���、智能協(xié)同����、動態(tài)防護能力的安全保障體系��?���!碧烊谛牛?02212)科技集團CEO李雪瑩認為�,關鍵信息基礎設施運營者采購網絡安全產品和服務���,是為了獲得并持續(xù)提升其網絡和數(shù)據(jù)安全保護能力��。因此對于所采購的網絡安全產品和服務�,在自身安全可信的基礎上��,還應具備有效對抗威脅��、防范風險的安全能力��。
除了在自身關鍵信息基礎設施方面做到合規(guī)建設外���,安恒信息首席科學家劉博則認為��,企業(yè)和機構還需要考慮建設體系化的數(shù)據(jù)安全能力��,重視數(shù)據(jù)安全的體系規(guī)劃��。劉博建議企業(yè)從“管理��、技術���、運營”三個維度,建立相應的管理體系�����、技術保障以及常態(tài)化的數(shù)據(jù)安全運營機制���,以實現(xiàn)利用數(shù)據(jù)安全技術更好開展業(yè)務的目的����。
針對如何保護數(shù)據(jù)安全這個核心問題�,360安全專家表示,要以數(shù)據(jù)為中心��,以組織為單位�,以能力成熟度為抓手,從傳統(tǒng)的管理體系轉向社會化治理體系����,建立復合機制,從只有處罰轉變?yōu)樘幜P����、幫助��、獎勵并舉����。
目前,行業(yè)中數(shù)據(jù)安全工作普遍面臨的難點在于數(shù)據(jù)如何分類分級�����,亟待行業(yè)和企業(yè)一起將標準定義出來���,以標準為基礎不斷優(yōu)化���。此外,各企業(yè)員工的安全意識如何提高也是比較棘手的問題�,需要通過培訓、制度及流程等持續(xù)影響�����。數(shù)據(jù)安全專家表示����,數(shù)據(jù)安全建設要從組織�、制度�、流程及安全能力方面進行建設;數(shù)據(jù)安全運營是一項持續(xù)的工作���,數(shù)據(jù)安全是一個過程,需要不斷優(yōu)化��,以業(yè)務為主體進行持續(xù)的運營�����,這也是安全工作的重中之重���。
鏈接 〉〉〉
數(shù)據(jù)成網絡安全審查重點
我國網絡空間安全立法不斷推進��,目前已經形成了包括網絡安全法����、數(shù)據(jù)安全法和個人信息保護法等三部基本法律為綱的治理框架����。三法相繼生效,標志著我國的網絡安全工作從技術安全���、內容安全完成了對新維度的拓展――數(shù)據(jù)安全�。
在對數(shù)據(jù)安全認識的逐步深化及國際博弈的巨大壓力之下,網絡安全審查制度將數(shù)據(jù)安全涵蓋其中�,恰逢其時。針對數(shù)據(jù)安全����,網絡安全審查制度重點關注以下兩類風險:“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取�����、泄露����、毀損以及非法利用、非法出境的風險”�,以及“上市存在關鍵信息基礎設施,核心數(shù)據(jù)���、重要數(shù)據(jù)或大量個人信息被外國政府影響�、控制�����、惡意利用的風險,以及網絡信息安全風險”���。
前者主要關注關鍵信息基礎設施所采購的網絡產品和服務提供者利用提供產品和服務的便利條件����,非法收集���、存儲、利用�、向境外提供關鍵信息基礎設施所處理的“核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息”的風險�����。換言之��,網絡產品和服務提供者除了其對外宣稱和向用戶展示的“規(guī)定動作”之外�,不應偷偷地進行關于數(shù)據(jù)的“自選動作”,更不應該損害其用戶對自己信息的自主權��、支配權�。后者是指因赴境外或國外上市而導致被外國法律管轄,進而引發(fā)外國政府能夠通過執(zhí)法���、司法方面的法律規(guī)定和權力���,對境內網絡平臺運營者所掌握的“核心數(shù)據(jù)����、重要數(shù)據(jù)或大量個人信息”施加“影響”����、主張“控制”,并隨之“惡意利用”�����,導致我國主權���、安全�、發(fā)展利益受損的風險����。“掌握超過100萬用戶個人信息的網絡平臺運營者”��,因在此方面的數(shù)據(jù)安全風險突出���,新版的網絡安全審查辦法規(guī)定�����,“赴國外上市����,必須向網絡安全審查辦公室申報網絡安全審查”。
在新一輪數(shù)據(jù)治理中����,國家不僅僅作為制度供給者����,也作為獨立的利益主體登場,全球數(shù)據(jù)治理立法均充分考量國家的利益訴求���,各國的數(shù)據(jù)戰(zhàn)略都服務于大數(shù)據(jù)時代的綜合國力競爭�,既包括維護國家安全利益的防御性訴求�,也包括促進本國數(shù)字經濟全球競爭,并通過規(guī)則治理搶占全球數(shù)據(jù)規(guī)則話語權�。因此,我國數(shù)據(jù)安全法���、個人信息保護法�����,乃至于新版的網絡安全審查辦法并非局限于技術安全問題�����,而是在更加寬泛的意義上理解數(shù)據(jù)安全�,核心目的都在于保障作為基礎性戰(zhàn)略資源的數(shù)據(jù),能夠在將來被管好��、用好�,服務于我國的主權、安全和發(fā)展利益�����。
