2021年7月10日，国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》（“《征求意见稿》”），向社会公开征求意见。前几日，网络安全审查办公室以公告的形式对“滴滴出行”“Boss直聘”“运满满”“货车帮”启动网络安全审查，引起广泛关注。

现已有多方观点解读《征求意见稿》，但就目前而言，《征求意见稿》的部分条文还是不够明确。以《征求意见稿》第六条新增的“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”为例，其中，“掌握”是否等同于《信息安全技术 个人信息安全规范》（GB/T 35273-2020）中“个人信息控制者”中的“控制”？“用户”是否仅指境内用户？“国外上市”是否排除了在香港上市的情况？“上市”是否包括已在国外上市的中概股公司增发和发债？

让我们换个视角，从“风险”去看《征求意见稿》或许能收获不一样的理解。

一网络安全审查制度关注的两大风险

此次《征求意见稿》增加刚刚出台的《数据安全法》作为立法和处罚依据，将影响或可能影响国家安全的数据处理活动皆纳入应当进行网络安全审查的范畴，此举扩大了《网络安全审查办法》（“《办法》”）的适用范围，拟落实《数据安全法》第二十四条规定的“数据安全审查制度”。由此也可看出，拟建立的数据安全审查制度将在很大程度上与已有的网络安全审查制度非常接近。

总体上，《征求意见稿》设计的网络安全审查制度主要关注两大风险：

一是关键信息基础设施安全风险，网络安全审查将重点评估：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；以及（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况。

二是数据安全风险，这也是《征求意见稿》着重增加的部分，网络安全审查将针对这一方面重点评估：（一）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；与（二）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

如乌尔里希·贝克在《风险社会》中所言，风险社会使“财富—分配”的社会转化为“风险—分配”的社会。^[1]我们认为，网络安全审查制度的目的并不在于完全消除风险，而是通过事前对于“关键信息基础设施安全风险”与“数据安全风险”的评估，关键信息基础设施运营者（“运营者”）和数据处理者在通过网络安全审查后对产品和服务提供者的督促或全流程数据安全管理制度的落实，以及网络安全审查办公室以接受举报等形式加强事前事中事后监督的方式，全流程、全方位地将“国家安全风险”限制在可控范围内。

二以“风险”视角判断是否启动网络安全审查

网络安全审查的触发点分为运营者和数据处理者主动申报经审查后启动与网络安全审查工作机制成员单位按程序报批后启动。其中，《征求意见稿》还新增中国证券监督管理委员会作为网络安全审查工作机制成员单位之一。

因此，运营者和数据处理者就肩负着风险预判和网络安全审查申报的重要责任。2020年6月1日生效的《办法》第五条规定，关键信息基础设施保护工作部门可制定本行业、本领域预判指南。但目前《关键信息基础设施安全保护条例》《信息安全技术关键信息基础设施安全检查评估指南》《信息安全技术关键信息基础设施边界确定方法》等规范性文件仍未落地。此前“滴滴出行”等被启动网络安全审查，让不少观点猜测滴滴等四家企业已被认定为关键信息基础设施运营者。也有观点认为，对于“滴滴出行”的网络安全审查是网络安全审查办公室依据《办法》第十五条依职权所启动的。[2]这也提醒了广大企业，是否申报网络安全审查不能拘泥于自身是否属于关键信息基础设施运营者，而应重点考虑自身使用的产品和服务，或所进行的数据处理活动是否有增加“关键信息基础设施安全风险”或“数据安全风险”从而影响国家安全的可能性。

回到我们在文章开头提到的《征求意见稿》第六条，不少媒体报道和解读文章都着重分析了这一条。该条对网络安全审查申报设置了一个看似非常明确的标准，但不同观点对我们之前提到的种种问题产生了分歧或困惑。当我们以“风险”视角去看待时，可发现“关键信息基础设施安全风险”与“数据安全风险”在不同场景中实际上处于动态变化的过程之中。《征求意见稿》第六条要求掌握超过100万用户个人信息的运营者赴国外上市，“必须”向网络安全审查办公室申报网络安全审查，但这并不意味着非该种情况的运营者或数据处理者即可避免网络安全审查。以“赴国外上市”为例，不少观点认为，该条使用了“国外”而非《证券法》及其配套法规所常用的“境外”，表明了赴香港上市可能并不在网络安全审查范围之内。然而，赴香港上市可能会涉及到《数据安全法》所规定的重要数据出境或属于管制物项的数据需实施出口管制的情形，存在引发较大“数据安全风险”的可能性，此时，运营者或数据处理者就不能局限于《征求意见稿》第六条的规定而忽略网络安全审查的申报。有些文章也在思考，该条所规定的“上市”是否包括SPAC、RTO、Direct Listing或已在国外上市的中概股公司增发和发债、在香港二次上市等情形，我们认为，若前述行为存在较大的引发“关键信息基础设施安全风险”或“数据安全风险”而影响国家安全的可能性，相应的运营者或数据处理者即应考虑申报网络安全审查的必要性。

结 语

此次国家互联网信息办公室在《办法》仅仅实施一年有余即发布《征求意见稿》，在《征求意见稿》第二十三条还出现了对已于2020年6月1日失效的《网络产品和服务安全审查办法（试行）》再次规定失效的“错误”，似乎显得些许匆忙。然而，在《网络安全审查办法》中纳入数据安全审查制度有其必要性及合理性，结合《数据安全法》将于今年9月1日正式实施的背景，其亦具有一定的紧迫性。

《数据安全法》第二十四条规定，依法做出的数据安全审查决定为最终决定，这意味着对于数据安全审查结论的救济渠道受到较大限制。因此，运营者和数据处理者应落实网络安全等级保护制度和全流程数据安全管理制度，在日常管理中即通过制度设计和设备部署等措施控制“关键信息基础设施安全风险”或“数据安全风险”，以更好地应对网络安全审查对自身运营所带来的不确定风险。

[1]参见［德］乌尔里希·贝克：《风险社会》，何博文译，译林出版社2004年版，第18页。

[2]参见中国网络空间安全协会：《中国信息安全研究院左晓栋：“对滴滴审查的重点是重要数据的出境安全风险”》[2021-07-04](2021-07-14).https://mp.weixin.qq.com/s/9NZHbftzG1QGl3YObcTzyg.

作者：吴丹君律师 张振君律师助理

来源：微信公众号“大数据法律研究”

来源：微信公众号“大数据法律研究”