您的位置 : 环球研究 / 环球评论 / 新闻详情
网络安全审查系列 | 之四:其他企业网络安全审查的评估、准备与应对
2022年07月07日孟洁 | 张淑怡 | 周子川

我们在本系列的前三篇文章中,围绕网络安全审查制度的发展脉络及概况,以及赴香港和美国上市过程中应当注意的问题作出了全面的介绍和分析。实际上,上市活动中的网络安全审查一直是社会各界高度关注的焦点问题,然而自2022年6月23日某知名学术期刊企业被宣布启动网络安全审查以来,非赴境外上市企业如何提前预备或应对可能触发的网络安全审查也已经成为一大现实问题。对此,本文在前三篇文章的基础上,围绕非赴境外上市背景的企业如何准备并应对网络安全审查展开分析。分文分为五部分,第一部分根据法律法规的规定及此前案例,分析容易触发网络安全审查的企业所具备的要素;第二部分分析在网络安全审查的背景下,不同业务类型的企业主体如何进行事先评估与准备;第三部分分析当企业被依职权或者被投诉举报而触发网络安全审查的应对措施;第四部分分析网络安全审查后的持续合规巩固;第五部分为全文总结。

 

一、易触发网络安全审查的重点对象

 

2022年6月23日,网络安全审查办公室约谈某知名学术期刊数据库负责人,宣布对其启动网络安全审查。至此,由网络安全审查办公室依职权启动网络安全审查的情形在实践中也已得到落实。结合2022年2月开始实施的《网络安全审查办法》(简称“《审查办法》”)等法律法规,以及自2021年以来报导的网络安全审查案例,我们认为关键信息基础设施运营者(也即CIIO)、掌握大量个人信息的企业、掌握重要数据及核心数据的企业以及掌握敏感信息的企业是易触发网络安全审查的重点对象。

 

(一)关键信息基础设施运营者

 

关键信息基础设施运营者是《审查办法》明确规定的重点审查对象之一,也是《审查办法》第二条规定的“当事人”之一。《审查办法》开篇,即在第一条指出办法修订的目的之一即是“为了确保关键信息基础设施供应链安全”,而《关键信息基础设施安全保护条例》(简称“《保护条例》”)则是《审查办法》的制定依据之一。同时,《审查办法》第二条和第五条均明确地指出了关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。实际上,通过我们在本系列的第一篇文章中对“网络安全审查制度演进”的概述即可发现,自2017年生效实施的《网络安全法》以来,关键信息基础设施运营者即为关注重点,在此后的《关键信息基础设施安全保护条例》与《审查办法》,均重申并细化了《网络安全法》的该条规定。由此可见,关键信息基础设施运营者是易触发被要求进行审查的重要对象。

 

目前,根据《保护条例》第八条至第十条的规定可知,重要行业和领域(如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等)的主管部门、监督管理部门是负责关键信息基础设施安全保护工作的部门(“保护工作部门”),保护工作部门应当制定本行业、本领域关键信息基础设施的认定规则,根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。换言之,在目前的制度下,关键信息基础设施运营者是由有关监管部门认定并通知的,而非企业自主判断并认定的。而在实践中,哪些主体会被认定为关键信息基础设施主管部门一般是不对社会公开发布的,只有被通知的运营者自身了解详情。故我们在此建议,一方面,《保护条例》提及的公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等行业领域的从业者应具有高度警觉,关注本领域保护工作部门的最新监管动态。另一方面,对于《保护条例》虽未提及但同样关系到国家安全、国计民生、公共利益的重点行业及领域企业而言,其应针对本行业/领域的重点安全问题做出提前分析,必要时应会同行业专家共同预判监管走向;同时,企业应时刻关注本行业/领域及类似行业/领域的最新通知,以便进一步调整自身的行动方案。总之,关键信息基础设施运营者应当高度关注自身的网络安全责任义务,并依照《审查办法》在采购网络产品和服务前预判该产品和服务投入使用后可能带来的国家安全风险,对于影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

 

(二)掌握大量个人信息的企业

 

目前,《审查办法》以及2021年发布的《网络数据安全管理条例(征求意见稿)》(简称“《网数条例(征求意见稿)》”)均提及了网络安全审查中的个人信息数量条件。但二者的表述存在区别,《网数条例(征求意见稿)》规定“处理一百万人以上个人信息的数据处理者赴国外上市的”应当申报网络安全审查,而《审查办法》第七条则规定“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”在此我们认为:一方面应当注意虽然两部文件均在上市的语境下谈论触发网络安全审查的个人信息数量这一条件,但从网络安全审查的制度目标与实际运作看,企业应当将其处理的个人信息主体的数量作为衡量自身是否容易触发网络安全审查的影响因素之一,而非仅在上市的语境下关注“一百万”的个人信息数量标准。另一方面,相较于《网数条例(征求意见稿)》所述的“处理”,《审查办法》使用了“掌握”一词,虽然“处理”延续了《数据安全法》及《个人信息保护法》的用词,但“掌握”则更为泛化地描述企业对个人信息的持有状态,而其外延更具有延展性和包容度,在监管趋严的当下,“掌握”也更能达到对企业真实控制个人信息的实际状态进行定义的目的。因此,对于在实践中掌握大量个人信息(如达到一百万及以上个人信息主体数量)的企业,应当注意其可能成为触发网络安全审查的主体。

 

在实践中,对于直接面向个人用户端(To C)的企业,或是间接收集并使用或存储(如云服务企业、SaaS技术服务提供方)个人用户信息的企业而言,通过全面的个人信息数据梳理即可判断自身掌握个人信息的大致数量,例如直接为个人消费者提供服务的电子商务平台、为个人用户提供服务的即时通信类平台等。但对于面向企业端(To B)提供服务的企业而言,则在判断其实际掌握的个人信息方面存在较大的难度与不确定性。我们在《赴美上市中概股企业的网络安全审查应对》中曾分析认为,虽然B端用户的个人信息通常是B端最终用户提供的,但也由网络平台运营者“掌握”,因此需要计入100万的范围。在此,我们建议此类企业也通过对自身情况进行梳理,将不同来源的数据和数据类型进行分类,最大程度明确自身所掌握的个人信息数量,并通过隐私政策等披露处理(或掌握)个人信息的情况,采取有效措施落实个人信息保护的合规。此外,若相关企业主体虽不掌握大量个人信息,但却掌握一定数量的敏感个人信息的,相关企业主体也应当引起高度重视并严格落实网络安全、数据安全与个人信息保护的合规义务。例如,虽然整体数量在100万以下,但却掌握着个人生物识别信息(如面部识别信息、指纹声纹、遗传信息)的医药科技企业或人工智能企业;又如掌握着政府部门或军事国防区域等涉密或敏感地区人员的行踪轨迹、地理位置信息的企业。

 

(三)掌握重要数据及核心数据的企业

 

虽然《审查办法》并未直接规定涉及重要数据的企业应当主动申报网络安全审查,但《网络安全法》《审查办法》以及《网数条例(征求意见稿)》均明确规定了“影响或者可能影响国家安全”是触发网络安全审查的根本原因。诞生自《国家安全法》下“国家安全审查制度”的网络安全审查,其制度定位即为实现对网络信息及数据领域“影响或者可能影响国家安全”的技术/服务/行为的监督管理。同时,根据《网数条例(征求意见稿)》,重要数据是指“一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。”因此,对于掌握着重要数据的企业而言,不能忽视其重要数据处理行为“影响或者可能影响国家安全”的性质,以及因此存在的触发网络安全审查的可能性。

 

根据《数据安全法》的规定,我国实施重要数据目录制度,即各地区、各部门应当按照数据分类分级保护的保护要求,确定并编制本地区、本部门以及相关行业、领域的重要数据具体目录。目前,还未见有关部门向社会公布制定完成本地区或行业领域的重要数据目录。但《网数条例(征求意见稿)》则概括性地列出了七类重要数据类型[1],应当引起企业主体的关注。同时,已经有部分行业的主管部门通过发布部门规章的形式细化了本领域重要数据的类型。例如,《汽车数据安全管理若干规定(试行)》(简称“《汽车规定》”)明确了本领域的重要数据类型,[2]其中之一即为“重要敏感区域的地理信息、人员流量、车辆流量等数据”,因此对于提供用车租车类服务的企业主体而言,其可能掌握并实际处理着重要数据;又如“包含人脸信息、车牌信息等的车外视频、图像数据”也为《汽车规定》项下的重要数据类型,因而车企等相关汽车数据处理者或软件服务提供商也可能涉及对重要数据的处理。此外,虽然暂时没有官方发布的重要数据目录作为参考依据,但2022年1月,全国信息安全标准化技术委员会(以下简称“信安标委”)发布的《信息安全技术重要数据识别指南(征求意见稿)》规定了重要数据识别时应考量的基本原则和因素,同时也提出了识别重要数据时可采取的描述格式,因而其可成为企业主体自行主动识别重要数据的有力参考。

 

对于核心数据而言,《数据安全法》与《网数条例(征求意见稿)》均明确其关系到“国家安全、国民经济命脉、重要民生、重大公共利益”,实行比照重要数据更为严格的管理制度。因此我们理解,掌握并处理核心数据的企业也极易因自身行为“影响或者可能影响国家安全”而触发网络安全审查。2022年2月发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》提出了工业和信息化领域的核心数据的判断标准,但目前,同重要数据目录一样,核心数据的范围或目录也暂未公布。

 

(四)掌握敏感信息的企业

 

在6月23日网络安全审查办公室发布的对某知名学术期刊数据库启动网络安全审查的公告中,提及了该企业掌握着大量“重大项目、重要科技成果及关键技术动态等敏感信息”。据此可知,掌握大量“敏感信息”的企业也可成为触发网络安全审查的主体。目前,暂无法律法规对“敏感信息”的定义或范围作出规定,但根据网络安全审查办公室的公告,我们认为该等“敏感信息”包括了比较关键与重要的科技成果及相关研究数据,其中也可能涉及包括国家秘密的科学技术信息。对此,可参考国务院于2018年发布的《科学数据管理办法》,其规定的科学数据主要包括在自然科学、工程技术科学等领域,通过基础研究、应用研究、试验开发等产生的数据,以及通过观测监测、考察调查、检验检测等方式取得并用于科学研究活动的原始数据及其衍生数据。该办法同时对科学数据的采集、汇交、保存、共享、利用、保密及安全保护等作出了规定,并明确不得利用科学数据从事危害国家安全的活动。而有关数据也可能构成《保守国家秘密法》第九条规定的“科学技术中的秘密事项”。根据全国信息安全技术标准化技术委员会于2022年发布的《信息安全技术 重要数据识别指南(征求意见稿)》可知,重要数据不包括“国家秘密”;而《网数条例(征求意见稿)》则将“工作秘密”规定为重要数据。因此,目前由于没有清晰的定义,“敏感信息”存在边界尚不清晰的情况,其可能会与重要数据有所重合,故而企业需要特别留心。目前,虽然网络安全审查办公室启动网络安全审查所涉及“敏感信息”的具体所指为何还有待进一步观察,但掌握上述科学数据与国家秘密的企业也应当高度重视自身的数据处理行为以及对这类数据的保护手段和合规措施,以避免触发网络安全审查。

 

二、预防触发网络安全审查的事先自评估

 

目前,在《审查办法》的网络安全审查体系下,关键信息基础设施运营者应当对其采购网络产品和服务的情况进行安全评估并预判是否涉及影响国家安全的风险。此外,不同业务类型的企业也应当提前判断和评估自己当前的业务运营情况与数据处理活动是否涉及本领域“影响或者可能影响国家安全”的因素。如果经评估,上述任何一条有可能涉及“影响或者可能影响国家安全”的,则相关企业不但需要向网络安全审查办公室申报网络安全审查,还需要考虑终止采购或者与该网络产品/服务供应商停止合作、调整业务运营模式、立即修正数据处理活动并实施相关补救措施以消除影响或者危害。

 

(一)关键信息基础设施运营者的预判义务

 

《审查办法》第五条规定,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。对此,我们理解关键信息基础设施运营者对于其采购的网络产品和服务的国家安全风险,负有法定的预判义务,如果未履行此义务而导致应当申报网络安全审查而未申报的,则将面临《网络安全法》下责令停用和高额罚金的处罚措施。同时根据《审查办法》的定义,网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。而关键信息基础设施安全保护工作部门负责制定本行业、本领域预判指南,故关键信息基础设施运营者应当对本领域保护工作部门的预判指南保持高度关注。在目前实践中,有关保护工作部门暂未公布相关领域及行业的预判指南。对于关键信息基础设施运营者而言,可以关注中国网络安全审查技术与认证中心(CCRC)负责的“网络关键设备和网络安全专用产品安全认证”。该认证是依据《网络安全法》第二十三条的规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展的安全认证。2022年4月28日,国家互联网信息办公室(简称“网信办”)曾发布了最新的网络关键设备和网络安全专用产品安全认证和安全检测结果。关键信息基础设施运营者可持续关注CCRC对该类设备及产品认证目录的发布,以及暂停、撤销、注销认证的最新公告,同时也应当加强同本领域保护工作部门及CCRC的沟通,切实落实自身的预判义务。

 

此外,根据《审查办法》第十六条的规定,有关单位可依职权启动网络安全审查。而关键信息基础设施运营者作为“影响或者可能影响国家安全”的重要数据处理主体,也应当高度重视落实自身网络安全、数据安全与个人信息保护的合规义务,以避免触发由政府部门依职权采取的网络安全审查。为此,关键信息基础设施运营者在落实《保护条例》等法律法规下的法定义务的同时,也可参考公安部信息安全等级保护评估中心发布的“关键信息基础设施安全保护标准体系解析”,结合其中涉及的各类安全标准体系开展自查与评估工作。

 

(二)不同业务类型企业主体的事先评估工作

 

对于开展不同业务类型的企业主体而言,应当围绕作为网络安全审查内核的“影响或者可能影响国家安全”,结合本行业领域的监管重点提前评估自身的产品和业务。我们挑选几类典型企业予以简要分析。

 

1. App运营者

 

对于App运营者而言,最应当关注的重点即为用户个人信息保护问题。2021年网络安全审查办公室宣布对某网络约车类企业实施网络安全审查后即对其各系列App以“严重违法违规收集使用个人信息问题”为由要求其在应用商店下架。因此,各类型App运营者均应当注意自身App对用户个人信息的保护。除应当关注《个人信息保护法》及《个人信息安全规范(GB/T 35273-2020)》等规范性文件要求的个人信息保护重点合规义务外,还应当注意有关信息内容监管的最新动态。例如,2022年6月27日发布,并将于2022年8月1日正式实施的《互联网用户账号信息管理规定》明确了互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,保证信息内容安全;对于存在较大网络信息安全风险的,省级以上网信部门可以要求其采取暂停信息更新、用户账号注册或者其他相关服务等措施。又如,网信办于6月17日发布的《互联网跟帖评论服务管理规定(修订草案征求意见稿)》明确了跟帖评论服务提供者应落实安全管理主体责任,避免发生安全风险或安全事件。

 

同时,App运营者也应当关注监管部门的监管动态,对于专项整治或处罚通报予以足够重视。例如,工信部定期组织第三方检测机构对App进行检查,对于存在问题且未整改的App予以通报;又如,网信办于2022年开展的“清朗”系列专项行动,将对“网络直播、信息内容乱象、网络谣言、未成年网络环境、信息服务乱象、网络传播秩序、算法综合治理、春节网络环境、流量造假、账号造假”[3]等诸领域问题展开整治,相关主体也应注意落实2020年开始实施的《网络信息内容生态治理规定》的相关要求。此外,网信办于近期发布的《移动互联网应用程序信息服务管理规定》从“应用程序信息服务”的视角,对移动互联网应用程序提供者及移动互联网应用程序分发平台两大类App做出规制,这应当引起App运营者的关注。(具体可参见【环球合规与风控 | 《移动互联网应用程序信息服务管理规定》合规要点解读】

 

最后,我们认为基于近年来陆续出台的法律法规、相关标准文件以及监管部门的态度,应当将“小程序”作为App的类型之一予以看待,并参照App的合规标准落实小程序的合规,以避免因小程序的安全与合规问题,而使得有关企业主体遭到监管处罚并带来更严重的后果。

 

2. AI企业/IoT企业

 

对于人工智能企业及物联网而言,其可能因业务需要,如算法训练等,涉及掌握并处理大量用户个人信息,甚至用户的“敏感个人信息”或“个人生物识别信息”。对于该类企业,一方面应保障产品功能和服务对数据的有效管理,提升安全性以保护用户隐私及敏感个人信息;另一方面,也需合规存储和管理收集的用户信息,充分保护用户的人脸、语音等生物识别信息。同时,应尽量避免该等敏感个人信息的境外存储或大量个人信息的出境(包括物理出境与境外访问),以确保对用户个人信息安全及国家安全的双重保护。此外,《互联网信息服务算法推荐管理规定》要求算法推荐服务提供者应当落实算法安全主体责任,包括建立安全评估监测、安全事件应急处置等管理制度和技术措施。算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。例如,应当杜绝非法利用算法进行“深度伪造”(Deepfake)或类似技术实施影响或者可能影响国家安全的行为。

 

3. 大数据企业

 

对于开展大数据业务的企业,由于其本身的业务类型即要求其处理多类型的大量数据,因而其更应当重视自身业务的综合合规,避免影响或者可能影响国家安全的行为或交易。对于大数据企业而言,若涉及到各类型数据的采买,则应当对来源和合法性有所确认,对涉嫌通过违法犯罪而获取的数据划定红线。此外,我们提醒大数据企业注意以下三点:第一,应全面禁止使用网络爬虫等侵犯个人信息和数据安全的技术获取数据;尤其应当避免侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统,或因获取计算机信息系统中存储、处理或者传输的数据,对计算机信息系统实施非法控制达到情节严重的情况而构成《刑法》第二百八十五条的非法侵入计算机信息系统罪以及非法获取计算机信息系统数据、非法控制计算机信息系统罪,以及因对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行而造成后果严重,而构成《刑法》第二百八十六条的破坏计算机信息系统罪。第二,企业内部针对信息安全的控制制度应具备应对监管和政策变动的能力;第三,重点关注第三方合作中的供应链安全、采购合同等数据安全问题。

 

4. 银行/互联网金融企业

 

金融领域的运营主体本身面对着本领域主管部门的“强监管”,而诸如商业银行在内的主体常因个人信息保护的不合规而面临主管机构的高额罚金和负面的社会舆论。银行金融类企业还应重点关注数据本地化的问题,根据《个人金融信息保护技术规范》的规定,若因业务需要,确需向境外机构提供个人金融信息的,除应符合国家法律法规及行业主管部门有关规定、获得个人金融信息主体明示同意以及明确并监督境外机构有效履行个人金融信息保密等职责义务外,还应特别注意依据国家、行业有关部门制定的办法与标准开展个人金融信息出境安全评估。此外,我们提醒相关主体还应注意以下三点:第一,应严格保障个人财产信息的保密性,严防个人信息泄露事件的发生;第二,依据《个人金融信息保护技术规范》等行业规范提升技术与管理水平;第三,加强网络安全事件的事前防护和事后处置,避免因用户个人信息泄露等网络安全事件而引发社会负面舆论浪潮。

 

5. 医疗企业

 

医疗企业在数据方面的风险在于处理的数据的敏感性。例如,2019年发布的《人类遗传资源管理条例》,将人类遗传资源分为两类:第一类是人类遗传资源材料,包括细胞、血液这些肉眼可见的遗传材料;另一类是人类遗传资源信息,是指利用人类遗传资源材料产生的数据等信息资料。对于人类遗传资源信息概念,目前其范围较广,如何确保相关遗传资源信息合规处理是企业面对的难题。此前,某知名医疗基因科技公司曾因未经许可将部分人类遗传资源信息通过互联网传输出境而遭到监管处罚。因此,对于医疗数据企业而言,应加强对各类医疗数据的保护,严格按照相关领域监管要求及网络安全、数据安全与个人信息保护的合规要求处理数据,避免可能因数据安全事件或不合规处理所带来的影响或者可能影响国家安全的问题。

 

三、网络安全审查的应对举措

 

在网络安全审查日益趋严的背景下,企业主体应当事先完成对自身业务合规的评估及整改,以最大程度避免触发网络安全审查。倘若企业主体被有关部门依职权启动网络安全审查,则也应当积极配合有关部门的工作以尽快完成相关整改要求,最大程度减小损失。

 

(一)法定配合义务

 

《审查办法》第十六条第二款规定,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。据此可知,配合有关部门开展审查是触发网络安全审查的企业主体的法定义务,而配合的内容可概括为采取“预防措施”和“消减风险的措施”。同时,《审查办法》第十条规定了网络安全审查重点评估的国家安全风险因素,此条既可理解为企业主动申报网络安全审查后网络安全审查办公室决定是否启动相关审查的依据,也可理解为对已经被开展网络安全审查的企业的审查要点。对于非关键信息基础设施运营者的企业主体而言,审查要点即包括:产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。此外,关键信息基础设施运营者的服务提供商的业务如可能对关键信息基础设施产生危害或不利影响,则也将成为网络安全审查办公室的关注重点。因此,我们建议已被开展网络安全审查的企业主体,应当结合上述规定与网络安全审查办公室在审查过程中提出的问题,积极采取预防措施和消除风险的措施,并持续配合监管部门完成整改。

 

(二)与各界展开积极沟通

 

除应当履行《审查办法》第十六条第二款规定的配合义务外,企业主体对其各层级人员均应开展相关培训以配合监管部门的问询谈话。为此,企业可在人员培训与回复问询方面寻求外部律师的协助。同时,在面对社会各界舆论时,外部律师也可以迅速从法律的角度起草、审阅对外的声明、回复,最大程度帮助企业面对监管质询和舆论危机。

 

(三)内部评估与差距分析

 

当企业实际触发网络安全审查后,立即启动内部评估并形成差距分析是十分必要的。对此,企业可自行或邀请外部律师对企业产品及业务线本身所涉及的数据类型进行摸底梳理,同时快速制定方案并开展整改。同时,触发网络安全审查并不意味着实际产生了“影响国家安全”的危害,因此企业应在内部整改的同时关注公布的审查结果,并就官方的审查结果开展后续工作。

 

四、网络安全审查结束后的持续巩固

 

(一)与监管部门的持续沟通

 

近日,曾于2021年被启动网络安全审查的两家企业在社交媒体平台上发布消息称,近一年来其认真配合国家网络安全审查,严肃对待审查中发现的安全问题并进行了全面的整改。经网络安全审查办公室同意,即日起恢复其产品的新用户注册。后续,该等公司将采取有效措施,切实保障平台设施安全和大数据安全。据此可以发现,目前的实践案例中,企业一旦被启动网络安全审查,时间跨度一般在一年左右,而在此期间企业将对网络安全审查办公室确定的问题开展整改工作,而网络安全审查也并非根据对外公布的具体时间安排即自然结束,企业需要在整改过程中与网络安全审查办公室沟通并取得其同意方可正常开展业务。

 

我们建议,对于企业主体而言,一方面应当在审查期间积极配合整改相关工作,并有针对性地发现、整顿、解决自身业务开展过程中的问题,了解触发网络安全审查的原因,并就此痛点展开持续性合规工作;另一方面也可以此为契机增强与监管部门的有效沟通,对监管部门指出的自身业务问题积极反思并与监管部门形成良性沟通与反馈机制,在避免未来出现相似问题的同时,也可更加明确地了解监管的实际侧重点,从而更为合规地开展业务。

 

(二)构建长期合规计划

 

根据此前触发网络安全审查的案例可以发现,企业主体一旦被启动网络安全审查,其某些业务或产品将被按下“暂停键”,如App下架、暂停产品注册新用户等。实际上,对于企业主体而言,这是重新审视自身合规体系的搭建与落实的契机,而这对致力于长远发展的企业而言也至关重要。

 

近年来,各层级规范性文件及监管要求发布极为频繁,企业可在网络安全审查期间梳理自身的合规体系是否全部达到最新的合规要求,或是否已逐项落实相应的合规义务而非仅“停留在纸面”。例如,企业可在此期间落实《数据安全法》《个人信息保护法》以及《网数条例(征求意见稿)》等法律法规下的培训义务,组织开展对全体成员及数据安全相关的技术和管理人员合规培训,培养企业在网络安全乃至国家安全问题上的合规意识。又如,企业可针对其数据安全保护落实情况以及处理个人信息的合规情况进行合规审计,满足法律规定的审计义务。此外,如上文所述,企业可以提请网络产品与服务认证,同时对于数据处理活动也可以依据《数据安全管理认证实施规则》开展数据安全管理认证,且在提交认证前也可以委托专业人士进行评估和审计。

 

(三)杜绝触及监管红线

 

随着我国网络安全与数据保护的相关法律体系逐渐完善,相关的监管重点与红线愈发明晰。例如,对于作为数据处理者的企业主体而言,数据出境应当符合我国法律法规的要求。根据《数据安全法》第三十六条、《个人信息保护法》第四十一条的规定,非经中华人民共和国主管机关批准,包括个人信息处理者在内的数据处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的各类型数据。此外,各企业主体均应警惕境外商业主体对敏感信息的购买等获取需求,特别涉及如无线电信号、交通设施信息、军事区域信息等相关数据。企业主体对于该类数据的出境应严格遵守有关数据安全的法律法规,并与网信监管部门及国家安全部门主动沟通,以避免触犯刑事责任。例如,近期上海某信息科技公司受境外公司委托,采集并向境外传输大量高铁数据,相关责任人因涉嫌《中华人民共和国刑法》第111条规定的为境外刺探、非法提供情报罪而被逮捕。因此,企业应时刻关注监管红线,杜绝触碰影响或者可能影响国家安全的行为。

 

五、总结

 

网络安全审查制度诞生以来,包括企业主体、监管主体和第三方服务机构在内的社会各界均给予了足够的关注。随着2022年6月某知名学术期刊杂志被启动网络安全审查,我国的网络安全审查制度的运行及其可能在实践中呈现的样态逐渐全方位地展示在公众视野中。与此同时,网络安全审查的触发对象、启动原因、审查过程与审查结束后的持续监管跟进等问题,仍有待进一步的释明。对于企业主体而言,对监管部门的最新动态保持敏感度十分重要,但更为重要的是日常搭建并落实合规体系,了解本领域的监管尺度,并积极与有关部门展开沟通。倘若触发网络安全审查,企业主体也可沉着面对并积极整改,最大程度地减小损失和成本,为未来更为合规的业务发展蓄力。

 

注释:

[1]《网数条例(征求意见稿)》第七十三条(三):重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:

1.未公开的政务数据、工作秘密、情报数据和执法司法数据;

2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;

3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;

4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;

5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;

6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;

7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。

 [2]《汽车数据安全管理若干规定(试行)》第三条第六款:重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;

(二)车辆流量、物流等反映经济运行情况的数据;

(三)汽车充电网的运行数据;

(四)包含人脸信息、车牌信息等的车外视频、图像数据;

(五)涉及个人信息主体超过10万人的个人信息;

(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。

[3] 国新办举行2022年“清朗”系列专项行动新闻发布会,http://www.scio.gov.cn/xwfbh/xwbfbh/wqfbh/47673/48033/index.htm