邓勇 | 如何看待知网被实施网络安全审查？

Original 邓勇知产前沿 2023-08-26

收录于合集

重点导读

一、知网是因为什么被实施网络安全审查？二、网络安全审查会涉及哪些内容？
三、网络安全审查由哪些部门来组织实施？四、网络安全审查会有哪些后果？五、本次网络安全审查带来哪些启示？

引言

2022年6月24日，国家网信办官网发布《网络安全审查办公室对知网启动网络安全审查》^[1]一文，宣布“为防范国家数据安全风险，维护国家安全，保障公共利益，依据《国家安全法》《网络安全法》《数据安全法》，按照《网络安全审查办法》，2022年6月23日，网络安全审查办公室约谈同方知网（北京）技术有限公司负责人，宣布对知网启动网络安全审查”。

这是国家网信办继2022年2月15日施行修订后的《网络安全审查办法》以来公开宣布对网络平台运营者实施网络安全审查的首例事件。本文拟结合修订后的《网络安全审查办法》的规定来剖析本次网络安全审查的前因后果。

知网是因为什么被实施网络安全审查？

笔者曾在《新版<网络安全审查办法>有哪些值得关注的变化》一文中分析指出，修订后的《网络安全审查办法》的最大变化是在第二条中将“网络平台运营者开展数据处理活动”作为新增内容纳入了安全审查范围！这一变化体现在对象和行为两个方面：一是“网络平台运营者”与“关键信息基础设施运营者”并列成为网络安全审查的两大主体对象；二是“网络平台运营者开展数据处理活动”与“关基运营者采购网络产品和服务”一起被列为网络安全审查的两类行为。

从审查对象的主体类别来看，在本次网络安全审查中知网究竟是属于“关键信息基础设施运营者”还是“网络平台运营者”尚不得而知。但从《网络安全审查办公室对知网启动网络安全审查》一文中关于“知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我重大项目、重要科技成果及关键技术动态等敏感信息”的表述来看，本次网络安全审查目前似乎尚未涉及“采购网络产品和服务”的行为，而是更为接近“开展数据处理活动”的行为类别。

所以笔者据此大胆假设，知网在本次网络安全审查中很可能是以“网络平台运营者”的身份开展了“影响或者可能影响国家安全”的“数据处理活动”才会被实施网络安全审查的。对于这一假设，北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括老师在《知网被查！网络安全审查或成我国网络安全生态治理常态化元素》一文中做出了相同的推测^[2]。

值得关注的是，作为网络安全审查的两大主体对象之一的“网络平台运营者”尚未见有权威定义。所以在界定什么样的主体才属于“网络平台运营者”时不免缺乏明确的指引，但笔者注意到国家网信办在2021年11月14日发布的《网络数据安全管理条例（征求意见稿）》^[3]中，使用了“互联网平台运营者”这一近似概念并将其定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”，这一定义不妨暂且作为对“网络平台运营者”的理解和参考。

网络安全审查会涉及哪些内容？

修订后的《网络安全审查办法》在第十条规定了网络安全审查的重点评估内容，这些评估内容根据表述内容的不同大致可划分为“关基运营者采购网络产品和服务”、“网络平台运营者开展数据处理活动”和“网络平台运营者赴国外上市”三大类。而如果上文中的假设前提能够成立的话，则本次网络安全审查很可能会以“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”和“其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”作为重点审查内容。笔者再次大胆预测本次网络安全审查很可能涉及以下部分：

1.根据知网官网在2019年12月18日发布的中国知识基础设施工程（CNKI导报）总第三十七期关于“用户覆盖全球56个国家和地区的3.3万家机构，个人读者2亿人。日访问量：1600万人次，全文年下载量：23.3亿篇”^[4]的内容来看，已经印证了上文中关于“知网掌握着大量个人信息”的客观事实，预计知网掌握的这部分大量“个人信息”是否存在被窃取、泄露、毁损以及非法利用、非法出境的风险会成为本次网络安全审查的重点内容；

2.同样基于上述官网的导报内容，亦可印证存在“知网掌握……重点行业领域重要数据，以及敏感信息”等客观事实，预计知网掌握的“重要数据”和“敏感信息”是否存在上述风险也会成为本次网络安全审查的重中之重。

除此之外，如果假设知网的主体身份还可能涉及“关键信息基础设施运营者”的话，则很可能还会适用《网络安全审查办法》第十条规定的其他审查内容。

另根据修订后的《网络安全审查办法》第十六条的规定^[5]，知网在接受网络安全审查期间是需要根据网络安全审查的要求同时采取预防风险和消减风险的措施的，也就是说需要边审查边整改。

网络安全审查由哪些部门来组织实施？

根据修订后的《网络安全审查办法》第四条和第十一条、第十二条之规定，网络安全审查是由中央网络安全和信息化委员会领导，由设在国家网信办的网络安全审查办公室负责组织的，而参与网络安全审查工作机制的成员单位包括发改委、工信部、公安部、国安部、财政部、商务部、央行、市监总局、广电总局、证监会、保密局和密码管理局等十二家部委。

网络安全初步审查工作由网络安全审查办公室负责实施完成，其做出的初步审查结论建议在向上述网络安全审查工作机制成员单位征求意见后形成审查结论；如果网络安全审查工作机制成员单位的意见不一致的，网络安全审查办公室在听取不同意见后再次形成审查结论建议，并二度征求成员单位意见后报中央网络安全和信息化委员会批准，最终形成审查结论。

网络安全审查会有哪些后果？

修订后的《网络安全审查办法》并没有明确规定网络安全审查会有哪些结果。但将《网络安全审查办法》的制订背景、规定内容和实施过程结合起来看，很可能会包含以下内容：

1.要求审查对象采取预防风险的必要措施，包括但不限于暂停注册新用户、对APP产品进行整改；

2.要求审查对象采取消减风险的必要措施，包括但不限于加强运营者的数据安全技术措施，完善数据安全管理制度，达到数据安全合规的目标；

3.要求审查对象采取必要措施达到数据处理活动合法合规；

4.要求审查对象采取必要措施杜绝可能影响国家安全的任何活动。

本次网络安全审查带来哪些启示？

修订后的《网络安全审查办法》正式实施时，新闻媒体的关注点更多聚焦于“网络平台运营者赴国外上市”这种情形当中。而本次知网在没有“赴国外上市”的条件下而被网络安全审查办公室公开宣布实施网络安全审查属于首开先河，据此可概括得出如下启示：

1.“网络平台运营者”已经成为网络安全审查的重点关注对象，无论网络平台提供的服务类型如何，也不论平台体量的大小，只要具备平台的基本特征，基本就会被纳入网络安全审查的视野，切不可掉以轻心；

2.“网络平台运营者”尤其需要重视“数据处理行为”的安全合规，根据国家网信办的释明，数据处理活动包括了数据的收集、存储、使用、加工、传输、提供、公开等活动，“网络平台运营者”本质上就是等同于“数据处理者”的定位，只要涉及到“数据处理”类的活动，一定要做到依法合规，否则遭遇网络安全审查无可避免；

3.“网络平台运营者”对其所掌握的“个人信息”、“核心数据”、“重要数据”及“敏感信息”切记不能忽视，尤其需要在我国现行“三法（《网络安全法》、《数据安全法》、《个人信息保护法》）两条例（《关键信息基础设施安全保护条例》、《网络数据安全管理条例》）”为主的网络安全法律法规体系内给予最大限度的合规保护，确保数据安全和个人信息安全，才能确保国家安全。

4.网络安全审查极有可能常态化。修订后的《网络安全审查办法》规定了网络安全审查既可以由审查对象主动申报，也可以由工作机制单位主动提起，甚至还可以通过社会举报的方式来触发。所以“关键信息基础设施运营者”和“网络平台运营者”将会面临更多的网络安全审查。

综上，本次知网是以“网络平台运营者”的主体身份（大概率）遭遇了网络安全审查办公室的主动审查，这一先例为其他“网络平台运营者”敲响了警钟，所以国家安全、数据合规及信息保护将成为运营者必须正视的核心问题。

注释（上下滑动阅览）

【1】http://www.cac.gov.cn/2022-06/24/c_1657686783575480.htm；【2】http://www.21jingji.com/article/20220624/herald/bf0ebed24580fd1a3dc0cf24b05d5dad.html；【3】http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm；【4】https://www.cnki.net/gycnki/gycnki19_37.htm；【5】“为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”

邓勇专栏文章SPECIAL COLUMN

从《关于防范NFT相关金融风险的倡议》看NFT的行业监管趋势

从典型案例看网络安全和个人信息保护领域的典型问题

新版《网络安全审查办法》有哪些值得关注的变化？

如何看待数据合规监管在平台经济健康发展中的重要意义

从Apache安全漏洞事件看《网络产品安全漏洞管理规定》的理解与适用

关于数据出境的几个理解问题

如何看待脱口秀的“抄袭”问题

NFT与知识产权保护究竟有什么关系？

从《喜剧之王2018》终止拍摄看影视作品的不正当竞争问题

媒体合作请联系Sharon市场合作、转载授权、专栏投稿、会议活动、发布招聘...

作者：邓勇