《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示���,2021年上半年�����,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺接報(bào)網(wǎng)絡(luò)安全事件49605件��。圖為江蘇省海安市公安局網(wǎng)安大隊(duì)民警在向孩子們講解網(wǎng)絡(luò)安全知識�����。
一個(gè)數(shù)據(jù)嚴(yán)監(jiān)管的時(shí)代正在到來���。新修訂的網(wǎng)絡(luò)安全審查辦法針對數(shù)據(jù)處理活動(dòng),聚焦國家數(shù)據(jù)安全風(fēng)險(xiǎn)���,明確運(yùn)營者赴國外上市的網(wǎng)絡(luò)安全審查要求��。該辦法既是貫徹落實(shí)網(wǎng)絡(luò)安全法����、數(shù)據(jù)安全法等一系列法律法規(guī)的有效實(shí)踐,也是不斷完善國家網(wǎng)絡(luò)安全審查制度���、適應(yīng)國際國內(nèi)網(wǎng)絡(luò)安全新形勢的重要舉措���,更是保障人民群眾切身利益和維護(hù)國家安全的現(xiàn)實(shí)需要。
許睿 本報(bào)記者 李海洋
2月15日���,由國家互聯(lián)網(wǎng)信息辦公室等十三部門聯(lián)合修訂發(fā)布的網(wǎng)絡(luò)安全審查辦法(以下簡稱辦法)正式施行��。專家表示���,辦法的施行,對數(shù)據(jù)處理���、抵御數(shù)據(jù)安全風(fēng)險(xiǎn)��、國外上市等活動(dòng)提供了審查的依據(jù)�����,為保障國家安全提供了扎實(shí)的工具����,為我國依法治網(wǎng)揭開了新篇章����。
審查制度不斷完善
網(wǎng)絡(luò)安全審查是網(wǎng)絡(luò)安全領(lǐng)域的重要法律制度。原辦法自2020年6月1日施行以來����,通過對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購活動(dòng)進(jìn)行審查和對部分重要產(chǎn)品等發(fā)起審查,對于保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全���、維護(hù)國家安全發(fā)揮了重要作用����。
國家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人表示:“2021年9月1日����,數(shù)據(jù)安全法正式施行,明確規(guī)定國家建立數(shù)據(jù)安全審查制度����。我們據(jù)此對網(wǎng)絡(luò)安全審查辦法進(jìn)行了修訂��,將網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動(dòng)影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查范圍�,并明確要求掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺運(yùn)營者赴國外上市必須申報(bào)網(wǎng)絡(luò)安全審查�,主要目的是為了進(jìn)一步保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全,維護(hù)國家安全����。”
國家互聯(lián)網(wǎng)應(yīng)急中心最新報(bào)告顯示��,近年來����,網(wǎng)絡(luò)產(chǎn)品和服務(wù)供應(yīng)鏈安全形勢愈加嚴(yán)峻,針對關(guān)鍵信息基礎(chǔ)設(shè)施的信息竊取�����、攻擊破壞等惡意活動(dòng)持續(xù)增加�,針對數(shù)據(jù)的網(wǎng)絡(luò)攻擊以及數(shù)據(jù)濫用問題日趨嚴(yán)重,數(shù)據(jù)安全風(fēng)險(xiǎn)將更加突出���。
“出于適應(yīng)國際國內(nèi)網(wǎng)絡(luò)安全新形勢�、促進(jìn)平臺經(jīng)濟(jì)穩(wěn)定健康發(fā)展的需要,適時(shí)地進(jìn)行制度修訂和調(diào)整���,體現(xiàn)了制度不斷向前發(fā)展的趨勢�,持續(xù)完善的網(wǎng)絡(luò)安全審查制度將為維護(hù)國家安全作出更大貢獻(xiàn)�����?���!敝袊W(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心工程師齊越說��。
我國各類互聯(lián)網(wǎng)平臺眾多,既有為社會提供金融支付����、通信交流等基礎(chǔ)性服務(wù)的互聯(lián)網(wǎng)平臺����,也有專注于視聽、求職�����、打車、貨運(yùn)�����、購物等的領(lǐng)域性互聯(lián)網(wǎng)平臺��。中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心高級工程師唐旺表示�,這些平臺或掌握了海量公民個(gè)人數(shù)據(jù),或在一個(gè)領(lǐng)域內(nèi)掌握具有壟斷性的用戶信息����。互聯(lián)網(wǎng)平臺掌握的數(shù)據(jù)一旦發(fā)生泄露�,將會嚴(yán)重危害公民個(gè)人信息安全,給不法分子實(shí)施詐騙���、非法營銷等活動(dòng)提供便利��。
據(jù)中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心工程師劉金芳介紹�,網(wǎng)絡(luò)安全審查重點(diǎn)評估的國家安全風(fēng)險(xiǎn)因素增加了兩方面內(nèi)容:一是重點(diǎn)評估核心數(shù)據(jù)�����、重要數(shù)據(jù)或大量個(gè)人信息被竊取���、泄露����、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)�����;二是重點(diǎn)評估上市存在關(guān)鍵信息基礎(chǔ)設(shè)施����、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被外國政府影響��、控制�、惡意利用的風(fēng)險(xiǎn)���。
記者注意到����,此次辦法修訂在擴(kuò)大審查范圍的同時(shí)�,也對審查的工作機(jī)制、工作流程等進(jìn)行了適當(dāng)調(diào)整�。調(diào)整內(nèi)容包括:增加證監(jiān)會作為網(wǎng)絡(luò)安全審查工作機(jī)制成員單位,明確網(wǎng)絡(luò)安全審查辦公室收到合格申報(bào)材料的時(shí)間為審查開始時(shí)間,增加上市申請文件作為上市審查申報(bào)材料的一部分����,增加上市活動(dòng)帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)作為國家安全風(fēng)險(xiǎn)考慮的因素,延長特別審查的工作時(shí)限至90個(gè)工作日等���。齊越表示�,從總體上看���,審查機(jī)制和流程沿用了原有審查制度框架���,針對新納入赴國外上市審查這一變化進(jìn)行了有針對性的優(yōu)化,審查制度在實(shí)踐中不斷得到完善���。
赴國外上市嚴(yán)審查
唐旺表示���,上市對于互聯(lián)網(wǎng)平臺具有特殊意義。國內(nèi)互聯(lián)網(wǎng)平臺大多以上市�����,特別是赴國外上市作為發(fā)展的主要目標(biāo)��。但是,如果一個(gè)互聯(lián)網(wǎng)平臺不遵守國家有關(guān)網(wǎng)絡(luò)安全要求����,不落實(shí)重要數(shù)據(jù)和個(gè)人信息保護(hù)責(zé)任義務(wù),濫用數(shù)據(jù)�,上市后在金融力量的加持下無序擴(kuò)張,網(wǎng)絡(luò)安全風(fēng)險(xiǎn)和威脅將成倍擴(kuò)大��。同時(shí)�����,一些國家出于保護(hù)本國投資者的目的�,通過法律要求在其國內(nèi)上市的企業(yè)披露業(yè)務(wù)經(jīng)營數(shù)據(jù)。這個(gè)理由一旦被濫用�,索要數(shù)據(jù)的邊界將不受限制,會給國家安全帶來很大威脅���。
辦法將網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動(dòng)影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查,并明確掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺運(yùn)營者�����,赴國外上市必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查��。同時(shí),申報(bào)網(wǎng)絡(luò)安全審查可能有以下三種情況:一是無須審查���;二是啟動(dòng)審查后�����,經(jīng)研判不影響國家安全的�����,可繼續(xù)赴國外上市程序�;三是啟動(dòng)審查后���,經(jīng)研判影響國家安全的�����,不允許赴國外上市���。
辦法要求,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的�����,應(yīng)當(dāng)預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險(xiǎn)。影響或者可能影響國家安全的��,應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查����。
在供應(yīng)鏈安全風(fēng)險(xiǎn)評價(jià)的基礎(chǔ)上,辦法增添了針對國家數(shù)據(jù)安全風(fēng)險(xiǎn)因素的評價(jià)�����。企業(yè)在開展對外活動(dòng)時(shí)��,大量個(gè)人信息��、核心數(shù)據(jù)�、重要數(shù)據(jù)一旦被竊取、泄露�、損毀、非法利用����,將直接影響國家安全和公共利益安全��。比如���,有大型網(wǎng)絡(luò)公司匯聚了大量涉及國家安全����、公共利益和個(gè)人權(quán)益的信息,如果在大數(shù)據(jù)運(yùn)用過程中出現(xiàn)泄露����,大量的敏感數(shù)據(jù)將被國外勢力竊取,一旦被解析或者共享����、發(fā)布,將對我國國家安全���、公共利益及個(gè)人利益造成不可估量的損失�����。
鑒于企業(yè)海外上市存在的風(fēng)險(xiǎn)��,本次修訂辦法時(shí)增加了證監(jiān)會的職能表述���,以針對企業(yè)赴國外網(wǎng)絡(luò)平臺上市活動(dòng)實(shí)施審查,也增加了將企業(yè)上市材料納入網(wǎng)絡(luò)安全審查申報(bào)范圍的規(guī)定�。
專家表示�,辦法的實(shí)施提醒有關(guān)企業(yè)��,在開展涉及大量個(gè)人信息��、核心數(shù)據(jù)�����、重要數(shù)據(jù)的活動(dòng)時(shí)�,一定要加強(qiáng)國家安全意識,先行判斷活動(dòng)可能帶來的國家安全風(fēng)險(xiǎn)�����,要及時(shí)向網(wǎng)絡(luò)安全審查辦公室匯報(bào)情況�,主動(dòng)配合安全防范措施。
安全風(fēng)險(xiǎn)如何化解
第48次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》顯示�,2021年上半年,工業(yè)和信息化部網(wǎng)絡(luò)安全威脅和漏洞信息共享平臺接報(bào)網(wǎng)絡(luò)安全事件49605件����。
“網(wǎng)絡(luò)安全審查的主旨在于網(wǎng)絡(luò)風(fēng)險(xiǎn)的識別與防范,是國家安全審查的重要組成部分��。網(wǎng)絡(luò)平臺運(yùn)營者是維護(hù)網(wǎng)絡(luò)安全、國家安全的重要責(zé)任主體�����?!北本┖娇蘸教齑髮W(xué)工業(yè)和信息化法治研究院研究員雷震文表示��,保障數(shù)據(jù)安全與網(wǎng)絡(luò)安全����,要防患于未然。
對此�����,雷震文建議����,網(wǎng)絡(luò)平臺運(yùn)營者化解網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、國家安全風(fēng)險(xiǎn)���,應(yīng)該注意以下三個(gè)方面:首先�����,應(yīng)提高安全意識��、法治意識����,尤其應(yīng)正確理解和處理維護(hù)網(wǎng)絡(luò)安全與促進(jìn)自身發(fā)展之間的關(guān)系,堅(jiān)持安全發(fā)展理念�����,筑牢網(wǎng)絡(luò)安全的基石�����;其次�����,應(yīng)不斷增強(qiáng)對自身運(yùn)營安全的管理和評估����,積極對照網(wǎng)絡(luò)安全法和數(shù)據(jù)安全法的相關(guān)規(guī)定以及辦法第10條列出的安全風(fēng)險(xiǎn)因素,做好安全風(fēng)險(xiǎn)的預(yù)判和評估�、管理工作;最后���,積極主動(dòng)申報(bào)和配合網(wǎng)絡(luò)安全審查���,凡符合辦法規(guī)定的審查條件的當(dāng)事人都應(yīng)負(fù)有主動(dòng)申報(bào)并配合審查辦公室做好安全審查工作的義務(wù)�����。
“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者應(yīng)采購安全可信的、供應(yīng)渠道可靠的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)�,基于此構(gòu)建具有全面感知、智能協(xié)同�����、動(dòng)態(tài)防護(hù)能力的安全保障體系����。”天融信(002212)科技集團(tuán)CEO李雪瑩認(rèn)為�����,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)�,是為了獲得并持續(xù)提升其網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)能力。因此對于所采購的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)��,在自身安全可信的基礎(chǔ)上,還應(yīng)具備有效對抗威脅����、防范風(fēng)險(xiǎn)的安全能力。
除了在自身關(guān)鍵信息基礎(chǔ)設(shè)施方面做到合規(guī)建設(shè)外�,安恒信息首席科學(xué)家劉博則認(rèn)為,企業(yè)和機(jī)構(gòu)還需要考慮建設(shè)體系化的數(shù)據(jù)安全能力�����,重視數(shù)據(jù)安全的體系規(guī)劃�����。劉博建議企業(yè)從“管理�����、技術(shù)��、運(yùn)營”三個(gè)維度�,建立相應(yīng)的管理體系、技術(shù)保障以及常態(tài)化的數(shù)據(jù)安全運(yùn)營機(jī)制����,以實(shí)現(xiàn)利用數(shù)據(jù)安全技術(shù)更好開展業(yè)務(wù)的目的�����。
針對如何保護(hù)數(shù)據(jù)安全這個(gè)核心問題��,360安全專家表示�����,要以數(shù)據(jù)為中心����,以組織為單位�,以能力成熟度為抓手�����,從傳統(tǒng)的管理體系轉(zhuǎn)向社會化治理體系��,建立復(fù)合機(jī)制�����,從只有處罰轉(zhuǎn)變?yōu)樘幜P����、幫助��、獎(jiǎng)勵(lì)并舉�。
目前,行業(yè)中數(shù)據(jù)安全工作普遍面臨的難點(diǎn)在于數(shù)據(jù)如何分類分級�����,亟待行業(yè)和企業(yè)一起將標(biāo)準(zhǔn)定義出來���,以標(biāo)準(zhǔn)為基礎(chǔ)不斷優(yōu)化��。此外��,各企業(yè)員工的安全意識如何提高也是比較棘手的問題�����,需要通過培訓(xùn)���、制度及流程等持續(xù)影響。數(shù)據(jù)安全專家表示��,數(shù)據(jù)安全建設(shè)要從組織��、制度、流程及安全能力方面進(jìn)行建設(shè)���;數(shù)據(jù)安全運(yùn)營是一項(xiàng)持續(xù)的工作�,數(shù)據(jù)安全是一個(gè)過程�����,需要不斷優(yōu)化����,以業(yè)務(wù)為主體進(jìn)行持續(xù)的運(yùn)營,這也是安全工作的重中之重����。
鏈接 〉〉〉
數(shù)據(jù)成網(wǎng)絡(luò)安全審查重點(diǎn)
我國網(wǎng)絡(luò)空間安全立法不斷推進(jìn)�����,目前已經(jīng)形成了包括網(wǎng)絡(luò)安全法����、數(shù)據(jù)安全法和個(gè)人信息保護(hù)法等三部基本法律為綱的治理框架。三法相繼生效�,標(biāo)志著我國的網(wǎng)絡(luò)安全工作從技術(shù)安全����、內(nèi)容安全完成了對新維度的拓展――數(shù)據(jù)安全��。
在對數(shù)據(jù)安全認(rèn)識的逐步深化及國際博弈的巨大壓力之下��,網(wǎng)絡(luò)安全審查制度將數(shù)據(jù)安全涵蓋其中��,恰逢其時(shí)�。針對數(shù)據(jù)安全,網(wǎng)絡(luò)安全審查制度重點(diǎn)關(guān)注以下兩類風(fēng)險(xiǎn):“核心數(shù)據(jù)��、重要數(shù)據(jù)或大量個(gè)人信息被竊取��、泄露�、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)”�,以及“上市存在關(guān)鍵信息基礎(chǔ)設(shè)施,核心數(shù)據(jù)����、重要數(shù)據(jù)或大量個(gè)人信息被外國政府影響、控制����、惡意利用的風(fēng)險(xiǎn)�����,以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)”����。
前者主要關(guān)注關(guān)鍵信息基礎(chǔ)設(shè)施所采購的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件����,非法收集、存儲����、利用、向境外提供關(guān)鍵信息基礎(chǔ)設(shè)施所處理的“核心數(shù)據(jù)���、重要數(shù)據(jù)或大量個(gè)人信息”的風(fēng)險(xiǎn)����。換言之�,網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者除了其對外宣稱和向用戶展示的“規(guī)定動(dòng)作”之外����,不應(yīng)偷偷地進(jìn)行關(guān)于數(shù)據(jù)的“自選動(dòng)作”�����,更不應(yīng)該損害其用戶對自己信息的自主權(quán)�����、支配權(quán)�����。后者是指因赴境外或國外上市而導(dǎo)致被外國法律管轄��,進(jìn)而引發(fā)外國政府能夠通過執(zhí)法���、司法方面的法律規(guī)定和權(quán)力,對境內(nèi)網(wǎng)絡(luò)平臺運(yùn)營者所掌握的“核心數(shù)據(jù)�、重要數(shù)據(jù)或大量個(gè)人信息”施加“影響”、主張“控制”����,并隨之“惡意利用”,導(dǎo)致我國主權(quán)����、安全�、發(fā)展利益受損的風(fēng)險(xiǎn)����。“掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺運(yùn)營者”��,因在此方面的數(shù)據(jù)安全風(fēng)險(xiǎn)突出�����,新版的網(wǎng)絡(luò)安全審查辦法規(guī)定�,“赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”��。
在新一輪數(shù)據(jù)治理中���,國家不僅僅作為制度供給者�����,也作為獨(dú)立的利益主體登場�,全球數(shù)據(jù)治理立法均充分考量國家的利益訴求����,各國的數(shù)據(jù)戰(zhàn)略都服務(wù)于大數(shù)據(jù)時(shí)代的綜合國力競爭,既包括維護(hù)國家安全利益的防御性訴求�,也包括促進(jìn)本國數(shù)字經(jīng)濟(jì)全球競爭,并通過規(guī)則治理搶占全球數(shù)據(jù)規(guī)則話語權(quán)�����。因此�,我國數(shù)據(jù)安全法、個(gè)人信息保護(hù)法���,乃至于新版的網(wǎng)絡(luò)安全審查辦法并非局限于技術(shù)安全問題���,而是在更加寬泛的意義上理解數(shù)據(jù)安全,核心目的都在于保障作為基礎(chǔ)性戰(zhàn)略資源的數(shù)據(jù)����,能夠在將來被管好、用好�����,服務(wù)于我國的主權(quán)��、安全和發(fā)展利益。
