近日,国家网信办等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)开始施行,针对2017年开始试行、2020年正式实施的网络安全审查制度进行完善升级,提出了网络安全审查的新内容,体现了依法治网的新进展,开启网络安全审查的新篇章,修订恰逢其时意义重大,需要正确认识和把握。
一、全面地看《网络安全审查办法》的“变”与“不变”
《办法》将网络平台运营者开展影响或者可能影响国家安全的数据处理活动纳入网络安全审查,明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,这两项内容是《办法》修订的主要部分,也是舆论关注和议论最为集中的审查之“变”,难免有因过分聚焦甚至夸大而带来曲解,破除片面解读需要系统把握《办法》的“变”与“不变”。
一是坚持以应对国家安全风险为基本出发点未变。法律需要不断修订来应对不断变化的现实威胁,正如原《办法》以应对关键信息基础设施供应链安全风险为主,此次修订主要是为了应对当前突出的数据安全问题,特别是国内外大型互联网平台大规模收集、存储并违规出境我国公民个人信息风险,以及个别国家在网络空间行使单边主义和霸权行径,将提供数据作为市场准入和资本上市的前提条件,以此攫取我国敏感数据,这些“老问题”“新挑战”严重影响到我国网络安全和国家安全,亟需从国家治理上予以应对。
二是坚持以落实国家安全、网络安全基础法律为主要目标未变。落实国家安全、网络安全法律法规要求的宗旨贯穿《办法》发展始终。从《国家安全法》明确建立国家安全审查与监管制度和机制,确立了网络安全审查的制度框架和总体思路,到《网络安全法》要求关键信息基础设施的运营者采购产品和服务申报网络安全审查,确立了网络安全审查的主要客体与主体,奠定了2017年《网络产品和服务安全审查办法(试行)》与2020年《网络安全审查办法》的基本雏形。在此基础上,此次《办法》是落实《数据安全法》和《关键信息基础设施安全保护条例》对于数据安全、网络安全的最新要求,可以说《办法》正是忠于国家安全、网络安全上位法的这种“不变”所带来的“变”,是我国依法治网的具体发展和生动体现。
三是坚持审查程序正义的基本原则未变。《办法》坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合的四项基本原则未发生改变,有助于压实审查各方的权责利,明确审查的透明度,坚持审查的各方监督,体现出审查的程序正义。
二、发展地看网络安全审查制度的演进与完善
法律的生命在于实践,坚持与时俱进的法律发展观,在实践中不断修订法律,是维持法律有效性的关键因素。从2017年6月1日开始实施的《网络产品和服务安全审查办法(试行)》到2020年6月1日正式施行的《网络安全审查办法》,再到2022年2月15日开始施行的《网络安全审查办法》修订版,其间既有《数据安全法》和《关键信息基础设施安全保护条例》等新颁布的上位法自上而下推动,也有网络安全审查主体基于对滴滴出行、BOSS直聘等企业的具体审查总结经验自下而上完善,网络安全审查制度在实践探索中升级。
一是组织结构更加完善。原《办法》确定了在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同11家部门联合建立网络安全审查工作机制的基本组织架构。此次修订的《办法》根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,对应赴国外上市网络平台运营者的审查,并增加了将企业拟提交的上市申请材料纳入网络安全审查申报范围的规定,凸显组织结构内部的职能分工,也体现了网络安全审查的“国家合力”特征以及专业技术性。
二是审查时限更切实际。《办法》将特别审查程序从45天延长到90天,主要是针对未达成一致意见的审查结论进行再分析和评估,以及再次征求包括网络安全审查工作机制成员单位和相关部门意见所需要的时间。时间调整的根据源于已开展审查实践所得出的经验,审查举措的可操作性在“实践—反馈—优化”的过程中得以不断提高,同时也体现了对于审查结论更加审慎的态度。
三是权力监督更加明确。《办法》既强调审查客体对于主体的责任与义务的监督,包括要求充分尊重和严格保护知识产权及相关商业秘密等,并单独增加对于审查中所涉及的个人信息的保护要求,明确规定运营者或网络产品和服务提供者可以举报网络审查中的失责行为,同时也鼓励社会监督当事人履行网络安全审查中作出的承诺,网络安全审查办公室通过接受举报等形式加强事前事中事后监督,意图以权力监督确保审查客观公正透明。
三、辩证地看《网络安全审查办法》当前重点与长远意义
由于涉及面广、牵涉主体多,《网络安全审查办法》出台、修订的全过程都备受关注,也出现对于《办法》修订的理解偏差,这是对于《办法》立法初衷与整体取意认识不到位所造成的,需要辩证客观看待《网络安全审查办法》的当前重点与长远意义。
一是统筹安全与发展。网络安全审查不会影响发展,《办法》明确“防范网络安全风险与促进先进技术应用相结合”,针对关键信息基础设施运营者采购产品和服务以及网络平台运营者开展数据处理活动所开展的网络安全审查也是及早发现并避免相关活动可能存在的国家安全风险和危害,树立底线意识,筑牢发展屏障,通过依法依规开展审查获得安全发展新优势。
二是平衡开放与治理。坚持对外开放是我国的基本国策。网络安全审查不会限制开放,启动审查后,经研判不影响国家安全的,可继续赴国外上市。同时《办法》不区分外国企业与中国境内企业,不存在区别对待。开展网络安全审查也是国际通行做法,《办法》许多举措均是引进吸收域外相应的经验启示和实践蓝本,为今后与国际接轨奠定了基础。
三是兼顾当前与长远。网络安全审查不可能毕其功于一役,需要“立足当前、着眼长远”,不仅要立足应对当前威胁,补网络发展短板,堵网络安全“漏洞”,更要放眼长远,坚定不移推进,以构建更加体系化和系统化的网络安全审查机制,健全国家网络治理体系与法制体系,助力推进我国网络空间治理体系和治理能力现代化。
作者:桂畅旎 中国信息安全测评中心