从知网被查看网络安全审查
自2022年《网络安全审查办法》生效之后,知网成为公开层面首次被进行网络安全审查的企业。据启信宝显示,知网的运行主体为同方知网,而同方知网是由知网国际控股有限公司100%控股,后者为一家设立在开曼群岛的纯外资企业。知网的特殊股权结构与所掌握的重要数据之间的矛盾,对企业的合规具有启示意义,本文尝试以此为切入点,就网络安全审查进行简要分析。
一、网络安全审查制度的概述
从2017年6月1日开始实施的《网络产品和服务安全审查办法(试行)》到2020年6月1日正式施行的《网络安全审查办法》。2021年在对滴滴出行、BOSS直聘等企业进行具体审查后,结合《数据安全法》和《关键信息基础设施安全保护条例》等上位法的规定,2022年新版的《网络安全审查办法》(以下简称《办法》)开始施行。根据《办法》的规定,启动网络安全审查有两种方式,一种为主动申报,一种为依职权审查,具体运转过程可见下方图示。
网络安全审查的判断因素:1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;2.产品和服务供应中断对关键信息基础设施业务连续性的危害;3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;4.产品和服务提供者遵守中国法律、行政法规、部门规章情况;5.核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。(《网络安全审查办法》第10条)
笔者理解,面对国内外大型互联网平台大规模收集、存储并违规出境我国公民个人信息风险,以及外国政府将提供数据作为市场准入和资本上市的前提条件的现实背景,在可预见的将来网络安全审查将成为数据安全治理中的常态化因素。关键信息基础设施运营者及网络平台运营者应当以网络安全审查的关注重心为合规指引,逐步提高对网络安全及数据安全的要求,全面构建数据合规体系。
另注:因近日《数据出境安全评估办法》生效,本文借此对网络安审查与数据出境安全评估作简要对比如下。
项目 | 网络安全审查 | 数据出境安全评估 |
义务主体 | 关键信息基础设施运营者 l采购网络产品和服务 网络平台运营者 l掌握100万用户个人信息且赴国外上市 | 关键信息基础设施运营者 l向境外提供个人信息 数据处理者 l向境外提供重要数据 l处理100万人以上个人信息且向境外提供个人信息 l自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息且向境外提供个人信息 |
提交材料 | [1]申报书 [2]关于影响或者可能影响国家安全的分析报告 [3]采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件 [4]其他 | [1] 申报书 [2] 数据出境风险自评估报告 [3] 数据处理者与境外接收方拟订立的法律文件 [4] 其他 |
侧重法益 | 国家安全 | 国家安全、公共利益、个人或者组织合法权益 |
评估事项 | [1]产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险; [2]产品和服务供应中断对关键信息基础设施业务连续性的危害; [3]产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; [4]产品和服务提供者遵守中国法律、行政法规、部门规章情况; [5]核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险; [6]上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险; [7] 其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。 | [1]数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; [2]出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; [3]境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; [4]数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; [5]与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; [6]其他可能影响数据出境安全的事项。 |
启动时间 | 关键信息基础设施运营者 l采购网络产品和服务时 网络平台运营者 l赴国外上市前 | 关键信息基础设施运营者 l向境外提供个人信息前 数据处理者 l向境外提供重要数据及个人信息前(与上市无必然联系) |
审查主体 | 中央网络安全和信息化委员会领导,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 | 国家网信部门、省级网信部门、专业机构等 |
审查期限 | 具体见上图所示 | 5+7+45+N 5:省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。 7:国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 45:国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估 N:情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 |
复评规定 | 无,只可向有关部门举报失职行为 | 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 |
二、重点问题分析
(一)网络安全审查的对象
1.必须主动申报的主体
(1)关键信息基础设施运营者[1]——采购网络产品和服务[2]影响或可能影响国家安全的
注释:我国《网络安全法》第35条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。《关键信息基础设施安全保护条例》第19条在沿用《网络安全法》第35条的基础上,增设“运营者应当优先采购安全可信的网络产品和服务”。2022年生效的《办法》第2条承继了该规定,并进一步为关键信息基础设施的运营者设立了主动申报的义务。
关键信息基础设施的范围由重要行业和领域的主管部门、监督管理部门制定的认定规则所确定,且运营者会收到认定结果通知,故关键信息基础设施的范围以事先认定为原则。又因为目前相关规定的细则尚未公布,笔者建议暂时参照《国家网络安全检查操作指南》的规定:一是确定关键业务,二是确定支撑关键业务的信息系统或工业控制系统,三是根据关键业务对信息系统或工业控制系统的依赖程度,以及信息系统发生网络安全事件后可能造成的损害认定关键信息基础设施。因关键业务的范围由行业主管部门确定,目前尚不明确,只能依据各行业的过往实践经验确定,本文于此不述。下文的表格可供参考。
类型 | 认定标准(择一即可) |
网站类 | 1.县级(含)以上党政机关网站 2.重点新闻网站 3.日访问量超过100万人次的网站 4.一旦发生网络安全事故,可能造成以下影响之一的: (1)影响超过100万人工作、生活; (2)影响单个地市级行政区30%以上人口的工作、生活; (3)造成超过100万人个人信息泄露 (4)造成大量机构、企业敏感信息泄露 (5)造成大量地理、人口、资源等国家基础数据泄露 (6)严重损害政府形象、社会秩序,或危害国家安全 |
平台类 | 1.注册用户超过1000万,或活跃用户(每日至少登录一次)数超过100万 2.日均成交订单额或交易额超过1000万元 3.一旦发生网络安全事故,可能造成以下影响之一的 (1)造成1000万元以上的直接经济损失 (2)直接影响超过1000万人工作、生活 (3)造成超过100万人个人信息泄露 (4)造成大量机构、企业敏感信息泄露 (5)造成大量地理、人口、资源等国家基础数据泄露 (6)严重损害政府形象、社会秩序,或危害国家安全 |
生产业务类 | 1.地市级以上政府机关面向公众服务的业务系统,或与医疗、安防、消防、应急指挥、生产调度、交通指挥等相关的城市管理系统 2.规模超过1500个标准机架的数据中心 3.一旦发生安全事故,可能造成以下影响之一的: (1)应当单个地市级行政区30%以上人口的工作、生活 (2)影响10万人用水、用电、用气、用油、取暖或交通出行等 (3)导致5人以上死亡或50人以上重伤 (4)直接造成5000万元以上经济损失 (5)造成超过100万人个人信息泄露 (6)造成大量机构、企业敏感信息泄露 (7)造成大量地理、人口、资源等国家基础数据泄露 (8)严重损害政府形象、社会秩序,或危害国家安全 |
责任规定:《关键信息基础设施安全保护条例》第41条(双罚制)、《网络安全法》第65条(双罚制)
(2)网络平台运营者[3]——掌握超过100万用户个人信息的网络平台运营者赴国外上市
注释:《数据出境安全评估办法》第4条第3项规定了处理个人信息达到一百万人的个人信息处理者向境外提供个人信息需进行数据出境安全评估。《个人信息保护法》第40条规定达到国家网信部门规定数量的个人信息处理者向境外提供个人信息的,需通过国家网信部门组织的安全评估。笔者认为,网络安全审查与数据出境安全评估是从不同的角度进行的规制,两者之间不能互相替代。数据安全审查的目标以数据的完整性、保密性、可用性为原则,以安全等级保护为依据,重点禁止未经授权的访问、使用、披露、破坏、修改或销毁。网络安全审查则聚焦于应对互联网的发展以及网络社会到来所面临的信息安全等新挑战[4],目的在于使网络系统的硬件、软件及其系统中的数据收到保护,不因偶然因素的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠地运行,网络服务不中断。[5]简单而言,网络安全受到侵害,不一定危及数据安全;数据安全受到侵害,也可能不危及网络安全。[6]根据《网络数据安全管理条例(征求意见稿)》第32条的规定,赴境外上市的数据处理者在网络安全审查后,还需每年度进行一次数据安全评估。
责任规定:《数据安全法》第46条(双罚制)、《个人信息保护法》第40、66条(双罚制)、《网络数据安全管理条例(征求意见稿)》第62条(双罚制)
2.建议关注主体
核心数据[7]、重要数据[8]的处理者
注释:最近出台的一系列规定都将重要数据与一百万以上的个人信息作同一级别处理,如《网络数据安全管理条例(征求意见稿)》第37条、《数据出境安全评估办法》第4条等。《办法》也在第10条的审查因素中列明,核心数据、重要数据等是审查的重点评估因素。以网络平台运营者为例,即使其不负有主动申报网络安全审查的义务,但只要其控制大量个人信息或者重要数据,就可能对国家安全或者公共安全造成影响,也就落入了《办法》第16条的范畴。如本次知网被调查事件,根据网络安全审查办公室的描述:知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。这些数据的安全将直接对国家安全产生重大影响,网络安全审查办公室可依职权申报中央网络安全和信息化委员会批准后进行审查。
1.关键信息基础设施运营者
笔者理解,运营者应及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。[9]在签订网络产品和服务合同时,应在合同中明确以下核心内容:(1)应当按照国家有关规定与网络产品和服务提供者签订保密协议;(2)应当明确提供者的技术支持和安全保密义务与责任,并对其义务与责任履行情况进行监督。(《关键信息基础设施安全保护条例》第20条)运营者的安全管理机构应当自行或者委托专业机构对预采购的产品和服务进行分析,并为可能的故障及风险预备补救措施,最大程度降低安全风险。在审查过程中,运营者应当配合审查工作的完成,按照网络安全审查要求采取预防和消减风险的措施。
2.网络平台运营者
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(SEC)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(PCAOB)检查,披露上市公司的审计细节、工作底稿等信息。在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。[10]
因此我们建议,为提高网络平台赴外上市的成功率,企业可主动将涉及大量个人及重要数据的业务剥离,并将相关数据进行本地化存储,最大程度消除或者避免赴境外上市对国家安全的影响。[11]同时,将数据进行本地化存储后,也可降低数据安全影响评估的风险,降低企业合规成本。
3.关于赴香港上市问题
在《网络数据安全管理条例(征求意见稿)》第13条明确区分赴香港上市与赴境外上市的背景下,《办法》第7条将赴香港上市排除其外。我们认为正式文件的出台,代表了网络安全审查的倾向,即赴香港上市的网络平台经营者不负有主动申报网络安全审查的义务。但诚如本文上文所言,《办法》第16条的兜底性规定,使得赴香港上市的平台运营者依然在审查的射程之内,企业仍应当做好风险预评估工作,不因申报义务的变更而降低要求。
[1] 关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。(《关键信息基础设施安全保护条例》第2条)
[2] 网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。(《网络安全审查办法》第21条)其范围可参考《网络关键设备和网络安全专用产品目录(第一批)》《网络关键设备和网络安全专用产品相关国家标准要求(征求意见稿)》的规定。
[3] 互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。(《网络数据安全管理条例(征求意见稿)》第73条第9项)《网络安全审查办法》中的“网络平台运营者”与《网络数据安全管理条例(征求意见稿)》中的“互联网平台运营者”应作同一理解。
[4] 王世伟:《论信息安全、网络安全、网络空间安全》,载《中国图书馆学报》2015年第2期,第72-84页。
[5] 上海社会科学院信息研究所:《信息安全词典》,上海辞书出版社2013年版。
[6] 杨力:《论数据安全的等保合规范式转型》,载《法学》2022年第6期,第21页。
[7] 核心数据指关系国家安全、国民经济命脉、重要民生、重大公共利益等数据。(《数据安全法》第21条)
[8] 重要数据指以电子方式存在的,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。(《信息安全技术 重要数据识别指南(征求意见稿)》第3.1条)
[9] 王昕、廉琪、屈光续:《贯彻<关键信息基础设施安全保护条例>加强供应链安全工作》,载《中国信息安全》2021年第1期,第41-42页。
[10] http://www.cac.gov.cn/2022-02/17/c_1646738974434057.htm
[11] 《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》第8条:“境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。 涉及安全审查的,应当依法履行相关安全审查程序。国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响”
本网站之内容旨在提供有关华诚的一般信息。本网站之内容不得被视为与访问者建立律师-客户关系,也不视为是为任何具体事宜提供法律意见。网站访问者应向律师咨询以获得专业法律意见。 对于任何争议的特定事实和情况,在没有获得恰当的法律或其他专业意见之前,本所客户和其他网站访问者不能将华诚网站上的任何信息作为采取行动与否的依据。
