您当前的位置 :中海网>资讯 > 正文
落实网络安全审查,保障重要数据安全
2022-03-26 10:33:37 来源:中国报道 编辑:bj06

2022年2月新修订的《网络安全审查办法》开始实施,引发业界广泛关注。本办法规定了网络安全审查的具体制度,对保障网络、数据安全具有重要意义。维护国家安全离不开对数据安全的保障,现今我国已经形成了网络安全等级保护体系和数据分类分级保护标准,逐渐从制度性规范化建设开始转向重点领域的问题解决。本办法主要加强了对数据安全的审查,是落实《网络安全法》和《数据安全法》的重要制度设计,尤其是规定了掌握数据的网络平台运营者赴境外上市前的主动申报义务,应对数据可能被境外势力恶意利用的风险。

网络安全审查的具体执行离不开明确的审查范围。根据本办法第2条规定,审查范围包括关键信息基础设施运营者和网络平台运营者两类主体。对于关键信息基础设施运营者,主要规制其采购网络产品和服务的行为,旨在保障供应链安全。不过,不是所有采购网络产品和服务都会带来风险,若仅因采购主体特殊而一律严格审查,既会使得网络安全审查办公室不堪重负,又会为关键信息基础设施运营者增加不必要的麻烦。所以需要以保障关键信息基础设施的功能实现为目的,确定关键信息基础设施运营者的审查范围,将采购行为分为功能、业务实现类和日常管理类情形,对前者加以网络安全审查,以便更好地保障供应链安全。

网络平台运营者是本次修订新增的审查对象,其受调整的行为是数据处理活动,旨在保障数据安全。不过我国网络平台运营者众多,且根据《数据安全法》,数据处理活动种类很多,包括数据的收集、存储、使用、加工、传输、提供、公开等,所以需要界定哪些网络平台运营者在开展何种数据处理活动时应主动申报,才能更有效的保障数据安全。应当以保护重要数据安全为目的确定网络平台运营者的审查范围,灵活把握本办法第7条的具体规定。

是否涉及重要数据的安全是界定网络平台运营者审查范围的标准。开展数据处理活动是网络平台运营者的本质特征,使其区别于传统行业企业负责人。在国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》中也有“互联网平台运营者”的近似表述,可以作为本办法网络平台运营者的定义,即指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。而数据处理活动之所以要接受审查,在于数据本身的重要性达到了影响国家安全的程度。根据国家信息安全标准化技术委员会发布的《信息安全技术 重要数据识别指南(征求意见稿)》,重要数据是以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。可见重要数据正是安全审查的分界线。

本办法第7条体现了对防止数据泄露和非法出境的关注,直接规定了用户规模达到100万以上的网络平台在赴国外上市时的主动申报义务。需要明确这100万的标准在具体执行中如何把握,才能更好体现立法精神。应以重要数据为落脚点,避免僵化适用。首先,100万作为给定的量化标准,设立初衷是考虑数据泄露可能造成的社会影响,兼顾适用上的简便性,所以不必以100万为硬性标准,而是大概把握,旨在防止重要数据外泄,而与平台自身规模和市场占比关系不大。即使在低于100万的情形中,只要达到相当重要数据的程度,也有纳入审查的必要。其次,网络安全审查保护的不仅限于个人信息。将其单列,只是因为重要数据一般不包括个人信息。故而在其他领域的数据都有可能属于重要数据的范围,诸如政务数据、科学技术成果数据、一定规模的基因数据和地理数据。最后,网络安全审查不应被当事人通过拆分上市来规避申报义务。而且除了赴境外上市,关涉重要数据的其他情形也可以作为审查对象。《数据安全条例》就规定了汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的,应当申报网络安全审查。如此才能充分保障我国重要数据安全。

(作者邓矜婷 中国人民大学国发院、刑事法律科学研究中心)

相关阅读
分享到: