安策数据加密保护-《网络安全审查办法》涉及的数据安全思考

在新年的第一个工作日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理局、国家广播电视管理局、中国证券监督管理委员会、国家保密局、国家密码管理局等13个部门共同修订了《网络安全审查办法》（以下简称《办法》），自2022年2月15日起实施。新的措施基本上保留了机构框架，同时明确了审查部门、内部工作机制和一些关键问题，包括数据安全内容，数据处理活动的新修订内容，关注国家数据安全风险，明确网络安全审查要求。本文重点介绍了新旧网络安全审查措施与相应数据合规要求之间的差异。

 01新增《数据安全法》和《关键信息基础设施安全保护条例》作为立法依据，确保网络安全和数据安全。

《数据安全法》建立了数据安全审查制度，第二十四条规定对影响或者可能影响国家安全的数据处理活动进行国家安全审查。《关键信息基础设施安全保护条例》第十九条还规定了对可能影响国家安全的网络产品和服务的运营商进行数据安全审查的义务。然而，上述两个规范性文件只规定了数据安全的原则，但与数据安全审查系统相匹配的触发情况、审查过程等内容尚未明确。在此前提下，新措施增加了《数据安全法》和《关键信息基础设施安全保护条例》作为立法依据，为数据活动的监督处理提供了直接的法律依据，也帮助相关企业进一步实施网络安全审查制度的合规性。

网络安全审查并不等同于数据安全审查。从《网络安全法》、《数据安全法》等相关法律体系来看，两者对审查的内容和对象都有自己的侧重点。根据新《办法》第22条，如果国家对数据安全审查和外商投资安全审查有其他规定，应同时遵守其规定，这是网络信息办公室首次公开澄清网络安全审查与数据安全审查之间存在差异。同时，这也意味着，尽管网络安全审查同时关注数据安全，但国家有关部门可专门规定，实施《数据安全法》第24条的数据安全审查制度。

 02扩大审查范围和对象，将网络平台运营商的数据处理活动纳入监管。

在本办法的正式草案中，有两种类型的适用主题，即关键信息基础设施运营商和网络平台运营商，进一步扩大了审查对象和审查范围。

与《网络安全审查办法(2020)》相比，将网络平台运营商开展数据处理活动纳入网络安全审查范围。在《办法》出台之前，网络安全审查的范围只是关键信息基础设施企业。新《办法》将网络平台运营商的数据处理活动纳入监管，而数据处理包括数据收集、存储、使用、加工、传输、提供、披露等。

与《网络安全审查办法》（征求意见稿）相比，《办法》将数据处理器改为网络平台运营商。这意味着，在影响国家安全的情况下，网络平台运营商也将面临网络安全审查。然而，《办法》并没有界定网络平台运营商的概念，这与《网络数据安全管理条例（征求意见稿）》第73条相似。互联网平台运营商是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理器。一般来说，网络平台运营商的范围小于数据处理器。但需要注意的是，传统企业是否应纳入审查范围是后续监管的明确内容。

 03新增主动申报情况，将掌握100多万个人信息的网络平台运营商在国外上市纳入监管范围。

本办法第七条明确规定，拥有100多万用户个人信息的网络平台运营商的主动性和强制性申报义务是本次修订的亮点之一，表明监管机构重视海外企业上市的数据安全。

本条规定进一步将征求意见稿中规定的运营商限制为网络平台运营商。需要注意的是，对于计划在海外上市的网络平台来说，掌握100万用户的个人信息相对容易实现。此外，《办法》没有定义掌握。根据《个人信息保护法》，受个人信息处理人委托处理个人信息的受托人可能仍被视为掌握个人信息，但这需要进一步澄清。

 其次，对于已经在国外上市并拥有大量个人信息的网络平台运营商来说，是否进行网络安全审查也是一个需要在实践中明确的问题。《办法》中积极申报的材料包括拟提交的首次公开募股（IPO）等上市申请材料。我们理解，这是在海外上市前的积极申报。由于《办法》赋予网络安全审查办公室根据其职权进行审查，有可能对在国外上市的企业进行审查。

此外，新规定没有明确新规定是否有资格在香港上市的企业应履行其积极申报义务。有一种观点认为，在香港上市不需要进行网络安全审查，因为在香港上市的企业不涉及这些措施。另一种观点认为，根据《网络数据安全管理条例》（征求意见稿），在香港上市影响或可能影响国家安全的，应当进行网络安全申报，需要进一步明确。

 04聚焦国家数据安全风险审核因素，重点关注数据分类分级

审查因素的修订是根据审查范围的调整进行调整的。本办法第十条分别列出了对核心数据、重要数据或大量个人信息的审查，也强调了其重要性。同时，增加了关键信息基础设施、核心数据、重要数据或大量个人信息。《数据安全法》中关于数据安全保护义务及其对重要数据和核心数据的明确分类的有关规定。本办法的出台为数据安全审查制度的建立和数据安全法的实施做好了准备。

根据《数据安全法》第21条的规定，与国家安全、国民经济命脉、重要民生、重大公共利益有关的数据属于国家核心数据。中国建立了数据分类保护体系，各地区、各部门根据数据分类保护体系确定本地区、各部门、相关行业和领域的重要数据具体目录。对此，相关企业应关注本行业发布的《重要数据具体目录》，如现有的《信息安全技术-健康和医疗数据安全指南》、《产业数据分类和分类指南（试行）》等。近日，国家信息安全标准化技术委员会发布了《国家信息安全技术指南》。征求意见稿的内容也引起了社会各界的关注。需要注意的是，由于所有部门和地区都可以设置重要的数据目录，这可能会导致重要的数据目录体系统在具体的执行中更加复杂。目前发布的重要数据规定仅见于《汽车数据安全管理若干规定(试行)》

综上所述，新措施的出台推动了国家数据安全治理进入新阶段。网络平台运营商在开展数据处理活动时，应提前预测数据处理活动可能带来的国家安全风险。对于企业来说，一方面要注意网络安全、数据安全和个人信息保护的结合，不断增加内部数据合规能力，制定合规计划，将集团内各项业务纳入数据合规范围；另一方面，我们应该关注国际数据合规和网络安全业务，特别是涉及跨境业务的业务，并遵守当地数据合规要求，避免因数据不合规而影响业务发展。

来源：原创、safeploy | 关键词：软件安全  数据安全  网络安全审查   | 受欢迎指数（）