滴滴出行下架,网络安全如何审查?读懂这三部法律就明白了
沈 逸
复旦大学发展研究院&复旦大学国际关系与公共事务学院教授
复旦大学网络空间国际治理研究基地主任
网络安全如何审查?
这个事情我不具体去讲这个企业本身,我们讲点什么呢,跟大家借这个机会谈一谈,这中间涉及的三部法律。这三部法律,目前构成了一个比较完整的、从顶层设计到具体执行工作的一个连贯体系。从数据安全的角度,去看我们是如何在信息时代保障国家安全。
Part 01
《国家安全法》
首先来看《国家安全法》。在1993年2月22号的时候,第七届全国人大常委会第三十次会议通过了第一部《国家安全法》,是以中华人民共和国主席令第68号公布实施的。那么到2014年的时候,十二届全国人大常委会第十一次会议通过了《反间谍法》,《中华人民共和国反间谍法》相应地废止了1993年2月22号那部《国家安全法》。到2015年7月1号,十二届全国人大常委会第十五次会议审议通过,中华人民共和国主席令第29号公布了《中华人民共和国国家安全法》。我们现在讲的,这次被引用到的国家安全法,就是2015年这一部《国家安全法》。
然后是第六条:“国家制定并不断完善国家安全战略,全面评估国际、国内安全形势,明确国家安全战略的指导方针、中长期目标、重点领域的国家安全政策、工作任务和措施。”国家安全这件事情,核心、主体讲的是主权国家的安全,最重要的行为体是国家本身,在涉及到国家安全这个问题上,国家是起主导作用的。然后,第八条:“维护国家安全,应当与经济社会发展相协调。国家安全工作应当统筹内部安全和外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全。”也就是说,国家在做任何安全工作的时候,已经在统筹安全和发展之间的辩证关系。不用担心说,这(问题)是不是国家没有想到。然后第十一条讲了什么:“中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织,都有维护国家安全的责任和义务。” 责任和义务包括企事业组织的责任和义务,任何人、任何主体去承担自己的责任、履行自己的义务的时候,都会涉及到代价的问题。国家安全在一定程度上,要求相关主体能自觉、妥当地处理个体和集体之间的关系。国家安全讲的是集体的安全状态,如果个体纯粹从个体自我中心出发,面对集体的安全要求,要追逐或者是实现某种绝对化的、不受任何约束和限制的安全,或者说一种绝对的自由,将个体的利益凌驾于集体之上,不愿意为集体去承担义务,那么在当下这个社会,他可能是会遇到各种各样的问题,不管是在中国还是在任何地方。第二章《维护国家安全的任务》,第二十五条跟这次的事情就直接相关了:“国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;”对象包括信息系统,包括技术,还有数据。数据是数字时代、全球范围信息技术革命背景下,像工业革命时期的石油一样的战略级资源,它的重要性是不言而喻的。“加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。”涉及主权、安全和发展利益这三大领域。第四节<审查监管>,第五十九条:“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”在国家安全层面上,这是最顶级的上位法、顶层设计,当然上面还有宪法,所以在安全立法这个体系上来说,这个是上位法,以它为依据,有了这个国家安全审查的制度,就是国家建立国家安全审查和监管的制度和机制。那么,下面就有了《网络安全审查办法》。
Part 02
《中华人民共和国网络安全法》
第二部法律,《中华人民共和国网络安全法》,是“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展”而制定的,然后是中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过,于2017年6月1日起施行。因为中间要有一个过渡期,让各方能够适应和进行调整。然后这里面相关的条文是这样几条:
然后第五条:“国家采取措施,监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁,保护关键信息基础设施免受攻击、侵入、干扰和破坏,依法惩治网络违法犯罪活动,维护网络空间安全和秩序。”然后第八条,第八条跟部门相关:“国家网信部门负责统筹协调网络安全工作和相关监督管理工作。”统筹协调第一网络安全工作,第二相关监督管理工作,比如说网络安全生产。“国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。” 网络安全依法管理的一个难题,从网络本身来说,它是一个横向的、功能性的,涵盖了不同的行政条线,而行政部门的职权是条线的。所以要进行有效的跨部门协作,而上面要有一个负责统筹和协调的单位,这个部门就是国家网信部门。然后第二节<关键信息基础设施的运行安全>,三十一条和三十七条和这个(事情)相关。第三十一条讲什么呢:“国家对……关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”也就是说,关键信息基础设施有双重保障。第一重保障很多人会知道,是叫等级保护。但除此之外,还有一个叫做重点保护的东西,这个叠加请大家不要忘记。那么什么是关键呢,它是这样列举的:“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域” ,那么前面是列出来的行业和领域,后面还有一句叫做“以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,它有一个弹性定义,这个弹性定义倒不是说需要方便管理,实际上是务实地去面对信息技术革命下的一个非常显著的特点:就是有一些东西,它的基础设施的重要性,是否属于国家安全或者说国家网络安全范畴,它随时间变化和用户数的变化是一个变化发展过程,它是量变引发质变的。当它一开始的时候,它可能不属于传统意义上的那些立刻会对国家安全产生影响的设施,但是使用一定阶段后,它收集了足够充分的数据之后,这些数据汇总起来,会变成一种战略级的情报资源。当这个出来的时候,对于任何一个国家,不仅是中国,对各个国家来说都需要保留这样的弹性,对于这些基础设施要有一个弹性的外延,以确保能够顺应时代变化和发展需求。然后第三十七条,就是关于跨境数据流动的问题,也是数据交付的问题:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。” 也就是所谓的数据本地化。但是不能轻易地使用“数据本地化”这个词,因为事实上,各个国家都采取叫做本国关键数据,或者说本国所产生的数据进行本地化的存储,有人把它称为网络空间的所谓“巴尔干化”或者碎片化。当然,在最理想状态下,假设各个国家之间都是好人,不存在整天想着在全球网络空间做一些其他国家网络战略数据的截取和不当利用的话,那么理论上来说,全球数据的自由流动会以符合市场和应用以及发展利益的方式去进步。这个东西理想化的状态,在人类大同世界里面是可以实现的,但是现在来说,就是分开的本地化存储。然后在这中间,数据本地化存储的需求和跨境业务之间有一个矛盾,所以它这边加了一句:“因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”就是一般情况下,你的业务需要进行交付的,因业务需要确需向境外提供的,这个实事求是讲也不能说完全不允许,我们还是要寻找国家安全和发展利益之间的均衡,所谓统筹安全跟发展就是这个意思,各国具体做法上其实都差不多。然后第四十九条:“网络运营者应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报。网络运营者对网信部门和有关部门依法实施的监督检查,应当予以配合。”你有一个配合的义务。
Part 03
《网络安全审查办法》
那么接下来,就要讲《网络安全审查办法》。这部法律里面一些主要的条款大概都要这样说一下。2020年4月13号,一共有12个部门,联合制定了《网络安全审查办法》:国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。12个部门,联合制定了这么一套法规。也就告诉你这个网络安全审查涉及的部门条线,它的业务的复杂性。
然后第二条讲得很清楚:“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。” 这里面有一个叫做“可能影响”,所以通知里面上来的第一句话,是“防范国家数据安全风险”。但是有时候这样的话弹性是不是太大,这个东西认知是有共识的,但是这个共识受外部环境的影响很大,确实需要保持相当的弹性,为什么,因为这是国家安全实践的需求。然后审查的内容是什么,“网络安全审查坚持防范网络安全风险与促进先进技术应用相结合”所以不用担心,这个事情早就有人想到了,“过程公正透明与知识产权保护相结合”有些外企、有些老外整天唧唧歪歪,说这东西是不是会侵犯我的知识产权,这边也有,“事前审查与持续监管相结合,企业承诺和社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。”第四条,讲这些部门是什么关系,就是“在中央网络安全和信息化委员会领导下”,这个委员会的主任,就是中共中央总书记习近平同志。这就是原来的网络安全和信息化领导小组,在深改当中,从一个小组升格为委员会,在这个委员会的领导下,“国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制”。这些部门之间跨部门协调,很复杂,来建一个工作机制。然后在这个机制当中规定:“网络安全审查办公室网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。”然后第五条讲了什么,就是讲入口,有两个入口,第一个入口就是“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”记不记得国家安全法里面讲企事业单位维护国家安全的义务和责任。什么是义务和责任,这里面首先第一条,你有没有这个自觉,有没有国家安全的意识,你在进行采购的时候有没有预判到这种风险。为什么这叫责任和义务的体现,因为这种预判通常意味着增加额外的商业成本,这就是自觉,看个人的觉悟了。而“关键信息基础设施保护的工作部门,应该制定本行业本领域的预判指南。”两方面讲,个人要主动去配合,那么相关的主管部门要出指南。依据这些指南可以降低交易成本、提升效率。然后第六条对于申报工作:“对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。”当然它会有一些特殊的点,比如说如果涉及到一些企业到别的地方去境外的一些公司和机构享受或购买一些特殊服务的时候,不仅会涉及商业上的这种合作关系,也涉及到主权国家间的关系,主权国家之间安全、态势的变化。比如像美国动不动通过它的立法机构和纷繁的法律体系,把手伸到你这来薅一把,比如说动不动要求说把你的工作底稿、内部数据之类的拿给他,还给你开一堆冠冕堂皇的理由。而这个时候,对于这个商场的运营者来说,在国家安全和商业利益之间要形成一个均衡,就变得非常重要。当然对我们的政府来说,要发展出更加健全和完善的体系,帮助这些行为体更好地应对这些特殊的挑战,提供的条件还有这些内容我们不去讲,我们讲第九条:“网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素”。上来第一条“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;”数据,反复强调的数据。还有第二条“产品和服务供应中断对关键信息基础设施业务连续性的危害;”第三“产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;”做全面的地缘政治风险的评估和考量,当然从这个意义上来说,当世界上存在一个霸权国家,动不动就利用自己在供应链和服务领域的优势,对其他国家颐指气使,或者动辄损害其他国家核心利益安全的时候,它就成为了全球商业界的共同的敌人。为什么,因为它极大增加了商业的成本,扰乱了一个正常的市场秩序。第四“产品和服务提供者遵守中国法律、行政法规、部门规章情况;”还有“其他可能危害关键信息基础设施安全和国家安全的因素。”根据这个东西来说,“大体上要求在30个工作日内完成初步审查,情况复杂的可以延长15个工作日。”有这样一些具体的细节,时间上的细节大概在第十条到第十四条之间(规定),大致上30天、45天,当然最长估计60天,差不多这样在一个合理的能够承受的范围之内。当然,这里面涉及到一条,第十四条里面讲:“网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。”就是说,我这边这个表如果审查在进行的时候,30天、45天或者是60天的表,在往前走的。但是我查的过程突然发现说材料不全,这个时候表是停着的。如果你不配合,那么这时针是不会进行下去的,是会暂停在那,什么时候你配合再往前走,因为你不配合所导致的时间损耗,考虑一下你自己,不要把这个责任推到审查办公室上去。然后,第十五条有另外一套机制。刚才讲到第十四条,到这里为止,大家都觉得好像《网络安全审查办法》取决于服务供应商的自觉。如果我不自觉怎么办,没关系,这边有第十五条:“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”你看,这里有有主动的介入。如果按照这条来推论,上面的这个通知,它的出台应该是经过了这一步,就是由成员机制的成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会并且得到批准之后,这份通知才出来的。有人说为什么不可能是这个企业自己自觉呢,这个企业自己自觉的话,它应该是在通过国家网络安全审查之后,才做它后续的一系列动作,它现在后续动作做完了,但这个通知还是出现了,也就是说它前面没有主动申报,没有等到网络安全审查完成之后。所以这个案例可以值得我们去深度观察的。那么在这个过程当中,用细化的第十六条、第十七条、第十八条,进一步回答了对于权益的保障。就是“参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权,对运营者、产品和服务提供者提交的未公开材料,以及审查工作中获悉的其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或用于审查以外的目的。”就保障企业的知识产权和正当商业利益。第十七条:“运营者或网络产品和服务提供者认为审查人员有失客观公正,或未能对审查工作中获悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。”然后,第十八条:“运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。”它是有这样一套这种机制去进行保障的,保障的机制也许有人会认为它比较粗糙,或者说不是特别的精细,但是从时间角度上说,它的可操作性是相当强的。第十八条还有半段:“网络安全审查办公室通过接受举报等形式加强事前事中事后监督。”然后第十九条:“运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。”责令停用未经网络安全审查的产品和服务,然后处以采购金额一倍以上十倍以下的相关罚款。然后第二十条,提到了“本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”还有一个延伸。当然,第二十一条还讲清楚:“涉及国家秘密信息的,依照国家有关保密规定执行。”然后这个办法是从2020年6月1日起施行。在这个《办法》施行的同时,《网络产品和服务安全审查办法(试行)》同时废止。
来源 | 观察者网视频,本文由发展研究院根据视频整理编辑而成。
编辑 | 李文俊
排版 | 王宇景
往期回顾