网络安全审查的前世今生
编者按
2022年6月24日,“网信中国”公众号发布信息显示,网络安全审查办公室对知网启动网络安全审查。据网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。
据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及重大项目、重要科技成果及关键技术动态等敏感信息。
本次网络安全审查也是继“滴滴事件”后又一值得关注的网络安全审查事件。
01
近两年网络安全审查案例梳理
(一) 滴滴被启动网络安全审查
2021年6月30日,滴滴在纽交所挂牌上市;
2021年7月2日,国家互联网信息办公室(以下简称“国家网信办”)发布公告称网络安全审查办公室按照《网络安全审查办法(2020)》,对“滴滴”实施网络安全审查;
2021年7月4日,国家网信办公告指出“滴滴出行”App存在严重违法违规收集使用个人信息问题,并依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App;
2021年7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴,开展网络安全审查;
2022年5月23日,滴滴举行临时股东大会,正式投票批准了从美国纽交所自愿退市的决议。
(二)其他网络安全审查事件
自滴滴事件后,2021年7月5日,网信办再次发布网络安全审查报告,重点指向近期刚刚在美国上市的“运满满”、“货车帮”以及“BOSS直聘”。
网络安全审查办公室依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,按照《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。
与滴滴出行相同,在审查期间,三家公司被停止新用户注册。
02
网络安全审查概述
(一)网络安全审查的法律依据
为落实《数据安全法》等法律法规要求,国家互联网信息办公室联合相关部门修订了《网络安全审查办法》(以下简称《办法》),修订后的《办法》于2022年2月15日开始施行。据国家互联网信息办公室有关负责人表示,《办法》修订对保障国家网络安全和数据安全具有重要意义。
实际上,在《网络安全审查办法》出台之前,就有多部法律提及安全审查:《国家安全法》和《网络安全法》对国家安全审查制度进行了确立,《数据安全法》则进一步重申了数据安全审查制度;2021年生效的《关键信息基础设施安全保护条例》还专门就运营者采购网络产品和服务需开展安全审查的情形进行了规定,《网络安全审查办法》修订时也将其吸纳为制定依据之一。
(二)网络安全审查的适用范围
1
适用主体
根据《办法》第二条,网络安全审查的适用主体包含关键信息基础设施运营者(CIIO)和网络平台运营者;同时《办法》第六条还提出,关键信息基础设施运营者申报网络安全审查的采购活动时,产品和服务提供者也应当配合网络安全审查,较之2020年的《网络安全审查办法》有所扩大。
(1)关键信息基础设施运营者(CIIO)
根据《关键信息基础设施安全保护条例》第二条,关键信息基础设施是指:
属于重要行业和领域:公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域;
其他情形:其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利的重要网络设施、信息系统等。
若企业所在行业或者信息系统存在上述情形的,则构成关键信息基础设施运营者。
(2)网络平台运营者
尽管目前法律层面并未明确“网络平台运营者”的定义,但可以参考《电子商务法》等法律,以及《网络数据安全管理条例(征求意见稿)》等法律草案,从而推导出“网络平台运营者”的大致内涵和外延。
现行有效法律以及法律草案中与“网络平台运营者”相近概念总结:
综上,网络平台运营者可以理解为向自然人、法人及其他市场主体提供信息发布、社交、交易、支付、视听等网络服务的主体。
典型的网络平台包括但不限于网络销售类平台、生活服务类平台、社交娱乐类平台、信息资讯类平台、金融服务类平台等,其形式可包括网站、软件、APP、小程序等。
2
网络安全审查的发起方式
结合《办法》第五条、第七条以及第十一条的规定,网络安全审查的发起方式如下:
(三)网络安全审查的承办机构
根据《办法》第四条的规定,在中央网信办的领导下,国家网信办会同国家发改委、工信部等十三个主管部门或者机构共同建立国家网络安全审查工作机制,并且由网络安全审查办公室负责制定网络安全审查相关制度规范,组织网络安全审查。
中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审核、具体组织审查工作等任务。
(四)网络安全审查的重点
根据《办法》第十条的规定,网络安全审查应重点评估是否存在以下国家安全风险因素:
1、针对关键信息基础设施:
产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
产品和服务供应中断对关键信息基础设施业务连续性的危害。
2、 针对产品和服务的安全性:
产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。
3、 针对数据风险:
核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。
4、 针对境外上市:
上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。
5、 其他:
产品和服务提供者遵守中国法律、行政法规、部门规章情况;
其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
(五)网络安全审查程序
03
总结
数据作为国家新型生产要素和基础战略资源的代表,数据安全已成为保障网络强国建设、护航数字经济发展的安全基石。习近平主席在主持中央深改委会议中强调:数据基础制度建设事关国家发展和安全大局,要维护国家数据安全,保护个人信息和商业秘密,促进数据高效流通使用、赋能实体经济,统筹推进数据产权、流通交易、收益分配、安全治理,加快构建数据基础制度体系。
可以预见的是,为更好的贯彻国家总体安全观,监管部门将会持续推进网络安全、数据安全的执法活动,以更好的促进企业合法合规经营。
长按二维码一键关注