基础设施|《网络安全审查办法》:严把风险防控关

为落实《数据安全法》等法律法规的要求 , 国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等十三部门联合修订发布了《网络安全审查办法》 , 自2022年2月15日起施行 。 该办法强化了对网络平台运营者赴国外上市可能带来国家安全风险 , 对掌握超过100万用户个人信息的网络平台运营者赴国外上市 , 施行强制性网络安全审查 。
为何修订?有力承接落实上位法法律规定
国家安全审查是《国家安全法》设立的一项基础性国家安全审查和监管的制度和机制 。 《国家安全法》第五十九条规定:“国家建立国家安全审查和监管的制度和机制 , 对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目 , 以及其他重大事项和活动 , 进行国家安全审查 , 有效预防和化解国家安全风险 。 ”网络安全审查制度与数据安全审查制度是《网络安全法》《数据安全法》和《关键信息基础设施安全保护条例》确立的两项重要国家安全审查制度 。
2020年6月1日施行的《网络安全审查办法》(以下简称原《审查办法》)第二条提出:“关键信息基础设施运营者(以下简称‘运营者’)采购网络产品和服务 , 影响或可能影响国家安全的 , 应当按照本办法进行网络安全审查 。 ”可见 , 原《审查办法》中的网络安全审查 , 主要是依据《网络安全法》针对关键信息基础设施运营者采购网络产品和服务 , 影响或可能影响国家安全情形的安全审查制度 。
随着《数据安全法》于2021年9月1日正式实施 , 影响或者可能影响国家安全的数据处理活动也将面临国家安全审查 。 由于原《审查办法》只涉及了《网络安全法》中的“网络安全审查”制度 , 没有涉及《数据安全法》中的“数据安全审查”内容 , 因此有必要在原《审查办法》的基础上增加数据安全审查的内容 。
新修订的《网络安全审查办法》第一条规定:“为了确保关键信息基础设施供应链安全 , 保障网络安全和数据安全 , 维护国家安全 , 根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》 , 制定本办法 。 ”
从上述立法目的看 , 《网络安全审查办法》的上位法涉及三部法律和一部国务院条例 , 修订后的《网络安全审查办法》在《国家安全法》和《网络安全法》的基础上 , 增加了《数据安全法》和《关键信息基础设施安全保护条例》的法律依据 。 其中《数据安全法》明确提出“国家建立数据安全审查制度”;《关键信息基础设施安全保护条例》要求“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的 , 应当按照国家网络安全规定通过安全审查” 。
这里需要说明 , 《网络安全法》和《关键信息基础设施安全保护条例》均要求关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的 , 应当通过国家安全审查 。 但是《网络安全法》于2017年6月1日开始实施 , 当时尚没有出台《网络安全审查办法》 , 《网络安全法》第三十五条规定:“关键信息基础设施的运营者采购网络产品和服务 , 可能影响国家安全的 , 应当通过国家网信部门会同国务院有关部门组织的国家安全审查 。 ”《网络安全法》实施后的三年 , 《网络安全审查办法》于2020年6月1日实施 , 正式确立了网络安全审查的规则和适用 。 因此 , 2021年9月1日开始实施的《关键信息基础设施安全保护条例》第十九条则规定:“采购网络产品和服务可能影响国家安全的 , 应当按照国家网络安全规定通过安全审查 。 ”《网络安全法》仅规定“应当通过国家网信部门会同国务院有关部门组织的国家安全审查”;《关键信息基础设施安全保护条例》则要求“应当按照国家网络安全规定通过安全审查” , 更强调了依网络安全审查规则通过安全审查 。