近日，網(wǎng)絡安全審查辦公室依法對美光公司在華銷售產(chǎn)品進行了網(wǎng)絡安全審查。美光公司成立于1978年，是一家全球領先的半導體制造商，其總部位于美國愛達荷州博伊西。美光公司的主營業(yè)務為生產(chǎn)半導體器件，包括動態(tài)隨機存取存儲器，閃存和固態(tài)驅(qū)動器，其主要產(chǎn)品包括DRAM、NAND快閃存儲器、CMOS影像感測器、其它半導體元件和內(nèi)存模組等。

經(jīng)網(wǎng)絡安全審查辦公室審查發(fā)現(xiàn)，美光公司產(chǎn)品存在較嚴重網(wǎng)絡安全問題隱患，對我國關鍵信息基礎設施供應鏈造成重大安全風險，影響我國國家安全。為此，網(wǎng)絡安全審查辦公室依法作出不予通過網(wǎng)絡安全審查的結(jié)論。按照《網(wǎng)絡安全法》等法律法規(guī)，我國內(nèi)關鍵信息基礎設施的運營者應停止采購美光公司產(chǎn)品。

以下就我國2022年新修訂的《網(wǎng)絡安全審查辦法》有關網(wǎng)絡安全與數(shù)據(jù)安全審查的合規(guī)問題做簡要解析。

2022年新修訂的《網(wǎng)絡安全審查辦法》第一條規(guī)定：“為了確保關鍵信息基礎設施供應鏈安全，保障網(wǎng)絡安全和數(shù)據(jù)安全，維護國家安全，根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關鍵信息基礎設施安全保護條例》，制定本辦法?！?/p>

從上述立法目的看，《網(wǎng)絡安全審查辦法》的上位法涉及三部法律和一部國務院條例，修訂后的《網(wǎng)絡安全審查辦法》在《國家安全法》和《網(wǎng)絡安全法》的基礎上，增加了《數(shù)據(jù)安全法》和《關鍵信息基礎設施安全保護條例》，其中《數(shù)據(jù)安全法》明確提出“國家建立數(shù)據(jù)安全審查制度”；《關鍵信息基礎設施安全保護條例》要求“關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務可能影響國家安全的，應當按照國家網(wǎng)絡安全規(guī)定通過安全審查”。

《網(wǎng)絡安全審查辦法》第二條規(guī)定，關鍵信息基礎設施運營者（以下簡稱運營者）采購網(wǎng)絡產(chǎn)品和服務，數(shù)據(jù)處理者（以下稱運營者）開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，應當按照本辦法進行網(wǎng)絡安全審查。

根據(jù)上述規(guī)定，《網(wǎng)絡安全審查辦法》審查的客體有兩大類，一是關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務；二是數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，這兩類客體是網(wǎng)絡安全審查法律關系主體的權(quán)利和義務指向的對象，只要這兩類客體的行為或結(jié)果影響或可能影響國家安全的，必須依法進行國家網(wǎng)絡安全審查。

首先，關于網(wǎng)絡安全審查，修訂后的《網(wǎng)絡安全審查辦法》主要針對關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務，以及網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的風險因素。根據(jù)《網(wǎng)絡安全審查辦法》第十條的規(guī)定，網(wǎng)絡安全審查重點評估相關對象或者情形的以下國家安全風險因素：（一）產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；（二）產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害；（三）產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險；（四）產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；（五）核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網(wǎng)絡信息安全風險；（七）其他可能危害關鍵信息基礎設施安全、網(wǎng)絡安全和數(shù)據(jù)安全的因素。

從上述影響或者可能影響國家安全風險因素和合規(guī)審查權(quán)重上看，《網(wǎng)絡安全審查辦法》第十條（一）至（四）主要強調(diào)與關鍵信息基礎設施相關網(wǎng)絡產(chǎn)品和服務引發(fā)的國家安全風險因素。需要指出的是，并不是關鍵信息基礎設施運營者采購的所有網(wǎng)絡產(chǎn)品和服務均需要進行國家網(wǎng)絡安全審查，《網(wǎng)絡安全審查辦法》所指的“網(wǎng)絡產(chǎn)品和服務”主要指核心網(wǎng)絡設備、重要通信產(chǎn)品、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全、網(wǎng)絡安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡產(chǎn)品和服務。

其次，關于數(shù)據(jù)安全審查，《網(wǎng)絡安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡安全審查重點評估的五大國家安全風險因素的基礎上新增了兩項重要內(nèi)容：一是核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網(wǎng)絡信息安全風險。同時，新增加一條并列為《網(wǎng)絡安全審查辦法》第七條，即“掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市，必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。“這是一條強制性規(guī)定，也是一條不可逾越的紅線，任何網(wǎng)絡平臺運營者都必須嚴格遵守。

《網(wǎng)絡安全審查辦法》第十條（五）（六）主要是針對核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險，以及上市存在關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前，我國數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，這個數(shù)據(jù)分類的方法主要是基于數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度。

2021年11月，國家網(wǎng)信辦公布的《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》明確提出，國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護?！昂诵臄?shù)據(jù)“，主要指關系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù)；”重要數(shù)據(jù)“，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

“重要數(shù)據(jù)”主要包括以下七類數(shù)據(jù)：一是未公開的政務數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；二是出口管制數(shù)據(jù)，出口管制物項涉及的核心技術、設計方案、生產(chǎn)工藝等相關的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術成果數(shù)據(jù)；三是國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護或者控制傳播的國家經(jīng)濟運行數(shù)據(jù)、重要行業(yè)業(yè)務數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等；四是工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關、稅務等重點行業(yè)和領域安全生產(chǎn)、運行的數(shù)據(jù)，關鍵系統(tǒng)組件、設備供應鏈數(shù)據(jù)；五是達到國家有關部門規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎數(shù)據(jù)；六是國家基礎設施、關鍵信息基礎設施建設運行及其安全數(shù)據(jù)，國防設施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù)；七是其他可能影響國家政治、國土、軍事、經(jīng)濟、文化、社會、科技、生態(tài)、資源、核設施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。^[2] 上述七類重要數(shù)據(jù)不包括國家秘密和個人信息，但基于海量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。

如何識別重要數(shù)據(jù)？國家市場監(jiān)督管理總局和國家標準化委員會發(fā)布的《重要數(shù)據(jù)識別指南》確立了六項應遵循的基本原則：

一是聚焦安全影響：從國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等角度識別重要數(shù)據(jù)，只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的內(nèi)部管理相關數(shù)據(jù)。

二是突出保護重點：通過對數(shù)據(jù)分級，明確安全保護重點，使一般數(shù)據(jù)充分流動，重要數(shù)據(jù)在滿足安全保護要求前提下有序流動，釋放數(shù)據(jù)價值。

三是銜接既有規(guī)定：充分考慮地方已有管理要求和行業(yè)特色，與地方、部門已經(jīng)制定實施的有關數(shù)據(jù)管理政策和標準規(guī)范緊密銜接。

四是綜合考慮風險：根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素，綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數(shù)據(jù)的重要性。

五是定量定性結(jié)合：以定量與定性相結(jié)合的方式識別重要數(shù)據(jù)，并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法。

六是動態(tài)識別復評：隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化，動態(tài)識別重要數(shù)據(jù)，并定期復查重要數(shù)據(jù)識別結(jié)果。

事實上，網(wǎng)絡安全的核心是數(shù)據(jù)安全，在數(shù)據(jù)對各領域的重要性與日俱增的同時，數(shù)據(jù)風險與數(shù)據(jù)安全問題也愈發(fā)突出，給人類和社會帶來了前所未有的挑戰(zhàn)。在此背景下，數(shù)據(jù)出境的安全問題不僅關乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題，還與國家主權(quán)、國家安全、個人信息權(quán)益、社會公共利益等休戚相關。我國于2022年9月1日起正式實施《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）。

《辦法》第一條規(guī)定，為了規(guī)范數(shù)據(jù)出境活動，保護個人信息權(quán)益，維護國家安全和社會公共利益，促進數(shù)據(jù)跨境安全、自由流動，根據(jù)《中華人民共和國網(wǎng)絡安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》等法律法規(guī)，制定本辦法。從上述立法目的看，《辦法》體現(xiàn)了總體國家安全觀，其中“規(guī)范、保護、維護、促進”這四個關鍵詞在立法目的中是一種遞進關系，規(guī)范數(shù)據(jù)出境活動是核心，只有在規(guī)范數(shù)據(jù)出境活動的基礎上，方能保護個人信息權(quán)益和維護國家安全和社會公共利益，最終實現(xiàn)促進數(shù)據(jù)跨境安全和自由流動之目的。

 中美兩國應該在數(shù)據(jù)安全跨境流動加強對話溝通，關鍵是增進雙方的互信，在互信互利的基礎上建立網(wǎng)絡空間雙邊合作機制，推動形成公平、開放、合作、共贏的數(shù)字安全新秩序。

作者系：浙江大學網(wǎng)絡空間安全學院教授、中國科協(xié)網(wǎng)絡與數(shù)據(jù)法治決策咨詢首席專家、工信部信息通信經(jīng)濟專家委員會委員。

關注本公眾號：