审查制度正式实施,应全面准确把握赴外上市申报网络安全审查的条件

小贝案语

■  感恩虎年与您的第一次遇见!本期的文章涉及一项于昨日实施的重大制度——网络安全审查制度。根据《网络安全审查办法》第七条的规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。该条引起了广泛关注,被认为是判断赴国外上市是否需要申报网络安全审查的条件,但如果仅以“100万用户个人信息”为判断依据,可能是对网络安全审查制度的片面理解。本文对此作了分析。

 

2月15日,修订后的《网络安全审查办法》正式实施。事实上,这已经是网络安全审查制度第三次发布正式文件(第一次是20176月实施《网络产品和服务安全审查办法(试行)》,第二次是20206月实施《网络安全审查办法》,第三次是此次实施修订后的《网络安全审查办法》),也是第四次对这项制度进行大力宣贯(除伴随三次发布文件进行的宣贯外,2014522日,新华社曾发布《我国将推出网络安全审查制度维护国家网络安全》)。但任何一次,都不比此次引发关注之强烈。其中一个重要原因,是《网络安全审查办法》将网络平台运营者开展数据处理活动纳入审查范围,且对赴国外上市提出了明确的申报网络安全审查要求。

 

 

《网络安全审查办法》第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

 

这被广泛认为是赴国外上市申报网络安全审查的条件。最近一段时间,一些咨询机构辅导拟上市企业时,把握的也是这一门槛。一些拟赴国外上市的企业认为自身不需要申报网络安全审查,也是依据“100万个人信息”作判断。

 

我们认为,从网络安全审查制度的核心要义看,这个理解是不全面的。如按这一思路准备网络安全审查申报材料,很可能会出现较大偏差,因为以上过程忽视了对“重要数据”的研判。拟赴国外上市企业,在判断是否需要申报网络安全审查时,应同时判断是否掌握100万用户个人信息,以及是否掌握重要数据,两者同等重要。

 

原因有三个:

 

一、要从网络安全审查制度的目的看。网络安全审查制度是为了维护国家安全,关注的是国家安全风险,这是其区别于很多网络安全制度的重要特征。那么,重要数据和100万用户个人信息相比,哪一个对国家安全的影响大呢?答案是显然的。202111月,《网络数据安全管理条例(征求意见稿)》明确,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据100万个人信息当然也有可能关系国家安全,但“个人信息”的定义本质上不是从国家安全角度考虑的。因此,如果100万用户个人信息是赴国外上市申报网络安全审查的门槛,则重要数据更应该是。

 

二、要从网络安全审查办法的修订思路看。新修订的《网络安全审查办法》主要增加了对网络平台运营者开展数据处理活动的关注,影响或者可能影响国家安全的要进行网络安全审查。重要数据当然影响国家安全,故掌握重要数据的企业赴国外上市,自然属于网络安全审查制度的关注范围。但个人信息未必一定关系国家安全,需要有一个定量或定性的门槛设置,故《网络安全审查办法》第七条提到了“100万用户个人信息”。第七条只是一个需要强调的特定情况,但这不意味着排除了对重要数据处理者赴国外上市的网络安全审查要求。

 

而且,当前的网络安全审查制度本来就对重要数据高度关注,从未将“100万用户个人信息”单列。《网络安全审查办法》第十条“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素”中,已经明确提出,要评估“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”,以及“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”。试想,如果在申报时都没有将掌握重要数据作为研判条件,则何来之后对重要数据安全风险的评估呢?

 

三、要从立法趋势看。202111月,《网络数据安全管理条例(征求意见稿)》分别设立了两章“个人信息保护”和“重要数据安全”。条例第二十六条指出,数据处理者处理100万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。这说明,除了要遵循常规的个人信息保护规定外,如果处理100万人以上个人信息,则因其具有特殊的重要性,故而要遵循对重要数据的很多管理规定。这意味着,100万人以上个人信息的重要特性与重要数据有很多相同点。即,当一个涉及国家安全的文件中提到“100万人个人信息”时,其关切点来自“重要数据”的国家安全考量,而与“个人信息”所反映的个人权益没有直接关系。

 

综上,在某种程度上,“重要数据”可能比“100万用户个人信息”在网络安全审查中的意义更为重大。我们认为,所有无论准备赴美还是赴港上市的企业,都应当研判是否掌握重要数据,并在相关报告中明确上市过程对重要数据带来的安全影响。

 

《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。该条还规定,各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。

 

为落实法律要求,全国信息安全标准化技术委员会正在组织编制《信息安全技术重要数据识别指南》。目前,该标准正在委员会的官网征求意见。作为主要起草人,我们曾以《国标〈重要数据识别指南〉起草发生重大修改》为题,对标准作了解读。

 

因此,虽然重要数据的国标尚在征求意见,但已有一定的成熟度,可以支撑网络安全审查或其他相关工作的开展,全面推进网络安全审查的条件已经基本具备。

小贝结语

■  基于我们的研究,我们对当前一些企业准备网络安全审查申报材料的过程提出了建议,特别是对如何理解申报网络安全审查的条件,提出了此前社会流传和媒体报道中都未强调的观点。但这个观点完全属于个人意见,只代表了小贝说安全团队的粗浅认识,仅供参考。

总编辑|小贝

(本文内容全篇转载自“小贝说安全”微信公众号,如有不妥请联系后台处理)

小贝说安全-微信公众号

 

微信号|xiaobeisaq

扫描二维码关注

乾跃科技-微信公众号

 

微信号|qianyueinfo

扫描二维码关注

前一个:
后一个:
创建时间:2022-07-13 13:39
浏览量:0
收藏