刘金瑞：关于国外产业界对我国《网络安全法》关切点的评析

自2015年以来，国外产业界对我国网络安全相关立法表达了极大的关注，针对《国家安全法》、《反恐怖主义法》、《网络安全法（草案）》等在各种场合发表了诸多意见建议。2016年6月底，十二届全国人大常委会第二十一次会议对《网络安全法（草案）》进行了二次审议，会后《网络安全法（二审稿）》在中国人大网公布，从2016年7月5日至8月4日向社会公开征求意见。

在结束意见征求不久，在我国举办G20会议之前，美国商会等46家国外团体针对我国《网络安全法（草案）》和保监会发布的《保险机构信息化监管规定》发出联名意见函（前哨君推送过意见函原文，请查阅公号历史消息），认为现有的规制草案如果实施，反而会削弱网络安全，甚至会使得中国被排除在全球数字经济之外（separate China from the global digital economy）。这封意见函集中代表了国外产业界对我国《网络安全法（二审稿）》的关切，意见函的意见建议多从产业发展的角度提出，有的值得我们考虑吸纳，但有的确属无端指责，缺乏充分的法律论证和事实依据。

2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过了《网络安全法》，上述意见函涉及的条文并无多大改动，可以预见未来一段时间，国外产业界仍会对《网络安全法》表达类似的关切，本文将该函表达的关切点翻译如下并结合《网络安全法》条文予以简要评析，为业界和有关各方研订对策提供参考。

意见函原文：

这些规定没有额外的安全益处，反而会阻碍经济增长，并且会对外国公司和中国公司进入市场造成障碍。

涉及的法律条文：

《网络安全法》第37条：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”《保险机构信息化监管规定（征求意见稿）》第58条：“外资保险机构信息系统所载数据移至中华人民共和国境外的，应当符合我国有关法律法规。”

评析：

域外国家也有数据本地存储的类似规定，但一般根据不同数据种类设定不同程度的管控，其中对个人数据和商业数据的管控比较慎重，其他国家一般规定个人数据在得到不低于本国保护水准时可以跨境移转。乍一看我国立法相较于国外立法来讲较为严格，但实际上《网络安全法》有严格的适用范围，只适用于“关键信息基础设施”。

所谓的“关键信息基础设施”，根据网安法的规定，是指“公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的”信息基础设施。虽然关键信息基础设施的范围有待后续立法进一步确定，但从这一定义来看，绝大多数中小企业的信息系统都会排除在外，这些商业信息系统中传输的商业数据和个人数据并不适用网安法数据本地存储的规定。因此，意见函中所谓的“宽泛的数据本地存储要求”是不符合《网络安全法》立法本意的。

虽然《网络安全法》第37条规定的“数据境内存储”属于关键信息基础设施的特别保护义务，但笔者认为仍有必要探讨该义务是否属于信息系统的一般保护义务。理由在于，“数据境内存储”的制度定位需要进一步明确：如果其定位是便于本国政府监管尤其是便于执法时追查证据和追踪犯罪，那么应该作为信息系统的一般义务，如此，规定在《网络安全法》第三章第一节“一般规定”较为妥当，相应地义务主体应该改为“信息系统的运营者”；但如果其定位仅是为了维护关键信息基础设施所涉及的国家安全和公共安全，那么规定在《网络安全法》第二节“关键信息基础设施的运行安全”是妥当的。

此外，我国立法中对于不同数据分类规制有待进一步讨论和明确，除了个人数据之外，还应涉及受管制的技术数据、政府数据及商业数据等。鉴于中国企业出于业务发展的需要也在国外设立了较多大型数据中心，讨论中应该考虑此种数据本地存储规定对于中国企业海外发展的影响。

意见函原文：

这些规定可能削弱安全，并且可能构成世界贸易组织所定义的技术性贸易壁垒。

涉及的法律条文：

《网络安全法》第35条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。” 《保险机构信息化监管规定（征求意见稿）》第53条：“保险机构应当优先采购安全可控的硬件设备和软件产品，稳步推进安全可控产品应用；积极创造条件，提高关键业务系统的自主研发水平，不断增强保险机构信息化工作的安全可控能力。”

评析：

根据WTO《技术性贸易壁垒协议》的规定，国家安全要求可以构成技术性贸易壁垒的合法例外，所以如果将这种安全审查上升到国家安全的层面，便不会构成技术性贸易壁垒。根据《网络安全法》的规定，关键信息基础设施的运营者采购网络产品和服务，只有可能影响国家安全的，才应当通过国家安全审查，此规定符合“国家安全”的合法例外。换言之，《网络安全法》规定的网络安全审查制度是国家安全审查制度的一部分，针对的是关键信息基础设施，不是针对所有的商业性网络信息系统，是为了国家安全的目标，只要不超过必需的限度，不构成技术性贸易壁垒，意见函的观点是站不住脚的。

有观点认为我国所规定的“国家安全”不够明确、无从适用，可是对于国家安全的范围，美国等国家同样是不明确的。美国始终未给出国家安全定义，于是将国家安全范畴扩大到无所不包，随意性相当大。之前美国外国投资委员会（CFIUS）对我国联想、华为等IT 企业在美投资所进行的国家安全审查就是例证，正是这种模糊不清的规定，才使得很多外国投资者主动申请美国外国投资委员会进行国家安全审查，以免真正实施投资之后被判违法而陷入被动局面。更令人无语的是，美国自2013年起，在《合并与持续拨款法》中明确限制美国商务部、司法部、国家宇航局和国家科学基金会等四机构采购源自中国的信息技术系统。

从域外规定来看，美国等其他国家针对网络产品和服务的网络安全审查，主要适用于直接关系国家安全和公共安全的政府和公共部门网络信息系统。当然，政府对政务系统采购及安全检查的要求，事实上会促使私营企业的商业性信息技术产品主动调整以符合政府采购的要求。从《网络安全法》的规定看，我国的国家安全审查适用的是“关键信息基础设施”，而关键信息基础设施是可能包括私营企业网络信息系统的，只要这些设施“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”。实际上，具有如此重要性的私营网络信息系统的范围是非常小的，不会影响一般商业性网络信息系统的正常运营和绝大多数网络产品和服务的正常交易，当然未来我国应该审慎确定将私营网络信息系统纳入国家安全审查的范围。

需要指出的是，对可能纳入国家安全审查的网络产品和服务，我国立法对国内外产品和服务是一视同仁的。换言之，网络安全审查针对所有可能威胁我国国家安全的国内外所有的产品和服务，不只是针对外国企业的产品和服务，这种安全审查对于切实维护关键信息基础设施供应链安全是非常必要的。只是根据产品和服务提供商的国籍就判断是否安全，是不理智的。从长远看，应该发展各方共同认可的网络安全标准，这个标准要反映行业的最佳实践，适用各国产品和服务。

意见函原文：

这些规定会削弱技术性的安全措施，并且会将系统和公民个人信息暴露给恶意行为者。

涉及的法律条文：

《网络安全法》第28条：“网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。”第39条：“国家网信部门应当……促进有关部门、关键信息基础设施的运营者以及有关研究机构、网络安全服务机构等之间的网络安全信息共享。”第30条：“网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途。”

评析：

数据留存和执法协助是各国一般都规定的义务，美国早在1994年就通过了《通信协助执法法》，之后英国、德国、荷兰、日本等国纷纷制定了类似的法律，相关主体协助配合政府执法已经成为各国都已认可的法定义务，《网络安全法》规定执法协助义务符合国际的通行做法。

在网络安全法领域，充分共享网络安全威胁信息是有效避免和应对网络安全事件的重要举措，网络安全信息共享已经成为一个重要的立法方向。美国奥巴马政府在网络安全立法方面最大的成绩就是于2015年12月通过了美国《网络安全信息共享法》。该法的主要内容可以分为联邦政府共享网络威胁信息、企业共享网络威胁信息、政府发布网络安全最佳实践指导、隐私保护和责任豁免等五个方面。该法明确了不同主体之间共享“网络威胁信息”的程序和相关法律责任，为不同主体之间的信息共享扫清了障碍。尤其是授权企业与国防部（含国家安全局）、国家情报总监办公室、国土安全部等七大特定政府机构分享网络威胁信息，企业豁免因共享而可能承担的法律责任。

无论是执法协助要求，还是数据留存共享，是维护网络安全的必需举措，可能会涉及企业商业秘密、公民个人信息等，如果操作不当都有可能侵害企业利益或者公民个人合法权益。因此，我们应该借鉴美国等国的做法，明确规定执法协助和数据留存共享的具体程序，并确保这些程序的执行足够透明，以切实维护相关当事人的合法权益。《网络安全法》中规定“网信部门和有关部门在履行网络安全保护职责中获取的信息，只能用于维护网络安全的需要，不得用于其他用途”，就是为了维护当事人合法权益的重要规定。今后我国相关立法一定会进一步细化相关规定，使得相关制度更具操作性。意见函无视我国立法所做的制度性安排，武断的认为这些必要的举措会将系统和公民个人信息暴露给恶意行为者，是不符合我国立法原意和实际情况的。

（本文发表于《中国信息安全》2016年第11期，感谢杂志编辑的支持和肯定，转载和文章授权请联系liujinrui@chinalaw.org.cn）