2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)正式施行。“此次修订以维护数据安全为中心,要求超过100万用户个人信息的网络平台运营者赴国外上市时必须申报网络安全审查,以做‘加法’的方式,新增了不少亮点。”北京航空航天大学工业和信息化法治研究院研究员雷震文在接受采访时表示。
互联网产品与服务在为日常生活带来巨大便利的同时,也带来了安全漏洞、数据泄露等网络安全威胁。
《2020年中国互联网网络安全报告》指出,近年来网络产品和服务供应链安全形势愈加严峻,针对关键信息基础设施的信息窃取、攻击破坏等恶意活动持续增加,针对数据的网络攻击以及数据滥用问题日趋严重,数据安全风险在未来将更加突出。
“网络安全审查是网络安全领域的重要法律制度。”国家网信办有关负责人在介绍《办法》修订背景时表示,2021年9月1日,《数据安全法》正式施行,明确规定国家建立数据安全审查制度,据此对《办法》进行修订,主要目的是进一步保障网络安全和数据安全,维护国家安全。
在雷震文看来,再次修订《办法》可以从两个方面理解:一是应对网络安全新形势、新挑战的需要,多国网络空间博弈不断激烈,网络对抗与商业竞争和金融竞争逐渐融合,这给我国的网络安全维护带来了很多新问题;二是修订原《办法》能够为《数据安全法》相关规范的落实提供进一步的依据。
“此次修订以维护数据安全为中心,以做‘加法’的方式,新增了不少亮点。”雷震文认为,扩大网络安全审查适用的范围是本次修订的首要亮点。
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。
“作为社会数字基础设施的网络平台往往聚集着海量数据,其数据处理行为可能会对国家安全和社会公共利益产生直接的影响。”雷震文解释称,《办法》对网络平台运营者的安全审查主要集中在两个方面:一是对平台运营者开展数据处理活动的审查,二是就特定网络平台运营者赴国外上市进行安全审查。
“此外,《办法》对审查工作机制成员、审查重点评估的国家安全风险因素也进行了扩充。”雷震文介绍,《办法》增加了中国证券监督管理委员会作为国家网络安全审查工作机制成员,新增了网络安全审查重点评估中的国家安全风险因素。
“《办法》对审查程序相关的部分规范也作出了必要调整,一是延长了特别审查程序的期限,即由原来的45个工作日延长至90个工作日;二是新增关于当事人在审查期间的义务的规定。”雷震文强调,这对于进一步发挥网络安全审查制度的实际功能,切实防范和控制网络安全风险具有十分积极的意义。
“推行网络安全审查,加强风险识别和控制,是当前世界各主要国家防范网络安全风险的通行做法。”雷震文表示,此次《办法》的修订对于进一步扎实“篱笆”,有效应对数字社会、平台经济发展中出现的各类新型网络安全风险,对切实维护我国国家网络主权和安全具有积极的现实意义。
第48次《中国互联网络发展状况统计报告》显示,2021年上半年,工业和信息化部网络安全威胁和漏洞信息共享平台接报网络安全事件49605件。
“网络安全审查的主旨在于网络风险的识别与防范,是国家安全审查的重要组成部分。网络平台运营者是维护网络安全、国家安全的重要责任主体。”雷震文表示,保障数据安全与网络安全,要防患于未然。
对此,雷震文建议,网络平台运营者化解网络安全风险、国家安全风险,应该注意以下三个方面:首先,应提高安全意识、法治意识,尤其应正确理解和处理维护网络安全与促进自身发展之间的关系,坚持安全发展理念,筑牢网络安全的基石;其次,应不断增强对自身运营安全的管理和评估,积极对照《网络安全法》和《数据安全法》的相关规定以及《办法》第10条列出的安全风险因素,做好安全风险的预判和评估、管理工作;最后,积极主动申报和配合网络安全审查,凡符合《办法》规定的审查条件的当事人都应负有主动申报并配合审查办公室做好安全审查工作的义务。