【采訪/觀察者網(wǎng) 周遠(yuǎn)方】

觀察者網(wǎng)：近日，有幾家網(wǎng)絡(luò)出行平臺(tái)接受網(wǎng)絡(luò)安全審查，引起關(guān)注。實(shí)際上，去年以來，中國就連續(xù)出臺(tái)一系列關(guān)于網(wǎng)絡(luò)和數(shù)據(jù)的法律法規(guī)，能否請(qǐng)您梳理一下目前中國的網(wǎng)絡(luò)安全和數(shù)據(jù)治理體系？

李天航：中國網(wǎng)絡(luò)和數(shù)據(jù)相關(guān)的法律法規(guī)體系經(jīng)歷了長期發(fā)展的過程，最早可以追溯到1994年的《計(jì)算機(jī)信息系統(tǒng)保護(hù)條例》、2000年9月公布實(shí)施的國務(wù)院《電信條例》。真正聚焦到互聯(lián)網(wǎng)領(lǐng)域，是從2017年6月1日實(shí)行《網(wǎng)絡(luò)安全法》開始的，這是一個(gè)標(biāo)志性的事件，后續(xù)圍繞網(wǎng)絡(luò)和數(shù)據(jù)領(lǐng)域，陸續(xù)出臺(tái)了涵蓋即時(shí)通訊、社交網(wǎng)絡(luò)、電子商務(wù)、網(wǎng)絡(luò)交易等，包括互聯(lián)網(wǎng)內(nèi)容治理等方面的很多法律法規(guī)。

但是跟《網(wǎng)絡(luò)安全法》直接配套相關(guān)的文件之一，其實(shí)就是去年4月，由國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)改委等12個(gè)部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法》。

網(wǎng)絡(luò)安全審查對(duì)應(yīng)的上位法律有二，一是《國家安全法》的第25條和第59條，兩個(gè)法條主要聚焦網(wǎng)絡(luò)領(lǐng)域的國家安全內(nèi)容，尤其是第59條：

“國家建立國家安全審查和監(jiān)管的制度和機(jī)制，對(duì)影響或者可能影響國家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動(dòng)，進(jìn)行國家安全審查，有效預(yù)防和化解國家安全風(fēng)險(xiǎn)?！?

二是《網(wǎng)絡(luò)安全法》，對(duì)應(yīng)《國家安全法》的這兩條內(nèi)容，出臺(tái)了相應(yīng)的規(guī)定，明確了“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”（也可簡稱“CIIO”，關(guān)鍵信息基礎(chǔ)設(shè)施也可簡稱“CII”）的概念，如果CIIO要采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全，就要進(jìn)行國家安全審查，由網(wǎng)信部門牽頭的辦公室來實(shí)施。

這兩部上位法相關(guān)內(nèi)容的細(xì)化，就形成了《網(wǎng)絡(luò)安全審查辦法》，它從程序上做了比較細(xì)致的規(guī)定，但我們認(rèn)為還需要進(jìn)一步的標(biāo)準(zhǔn)化。

從整體看，中國網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域的法律體系是以三部法律為基礎(chǔ)的，分別是《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》，我們形象地稱它為“三足鼎立”，其中《網(wǎng)絡(luò)安全法》已經(jīng)公布實(shí)施；《數(shù)據(jù)安全法》已經(jīng)公布，今年9月1日正式實(shí)施；《個(gè)人信息保護(hù)法》據(jù)說會(huì)在今年8月人大常委會(huì)會(huì)議上審議，基本上已經(jīng)進(jìn)展到三審三讀的階段，一般認(rèn)為不出意外的話會(huì)通過，經(jīng)過3-6個(gè)月間隔期后正式生效。這三部法律出臺(tái)后，中國互聯(lián)網(wǎng)領(lǐng)域基礎(chǔ)性的法律法規(guī)框架體系就已完成，其他法律、法規(guī)、部門規(guī)章、地方性法規(guī)等等，都會(huì)在這三部法律組成的體系之下，繼續(xù)細(xì)化具體的內(nèi)容，逐步覆蓋互聯(lián)網(wǎng)、個(gè)人信息和數(shù)據(jù)活動(dòng)的方方面面。

觀察者網(wǎng)：具體從《網(wǎng)絡(luò)安全審查辦法》來說，它是網(wǎng)絡(luò)安全法體系下的政府規(guī)章，規(guī)定的問題比較細(xì)節(jié)，能否介紹一下這部規(guī)章涉及哪些內(nèi)容？

李天航：根據(jù)《網(wǎng)絡(luò)安全法》第35條，《網(wǎng)絡(luò)安全審查辦法》針對(duì)的主體首先是“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”。對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的界定來源于《網(wǎng)絡(luò)安全法》第31條的規(guī)定：

國家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國務(wù)院制定。

國家鼓勵(lì)關(guān)鍵信息基礎(chǔ)設(shè)施以外的網(wǎng)絡(luò)運(yùn)營者自愿參與關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系。

法條用列舉加概括的方式，界定了“關(guān)鍵信息基礎(chǔ)設(shè)施”，對(duì)應(yīng)地，某大公司這次既然受到網(wǎng)絡(luò)安全審查，就意味著它必然已經(jīng)被認(rèn)定為CIIO。具體來看，該公司一是運(yùn)營公共交通，二是聚集了大量個(gè)人信息，被界定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的角度既有可能是因?yàn)槠鋵儆诮煌ㄐ袠I(yè)，也有可能因?yàn)閰R聚了大量的個(gè)人信息，以及其運(yùn)營系統(tǒng)被認(rèn)為是“其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施”，但到底是哪個(gè)維度，目前還沒有看到相關(guān)信息。

從該公司被認(rèn)定為CIIO，我認(rèn)為對(duì)其他企業(yè)應(yīng)該也有一個(gè)啟發(fā)，就是掌握了大量的個(gè)人信息和數(shù)據(jù)的平臺(tái)型企業(yè)，被認(rèn)定為CIIO的概率是非常大的。即使有些企業(yè)現(xiàn)在沒有被認(rèn)定，但不排除將來會(huì)被認(rèn)定。

因?yàn)閺臅r(shí)間線上來看，《網(wǎng)絡(luò)安全法》是網(wǎng)信辦牽頭的，但到底是由網(wǎng)信辦還是其他部門來負(fù)責(zé)CII的監(jiān)督管理，此前一直沒有確定。但是去年公安部下發(fā)了《關(guān)于貫徹網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例的指導(dǎo)意見》（公網(wǎng)安[2020]1960號(hào)）文（俗稱“1960號(hào)文”），明確了公安機(jī)關(guān)作為CII保護(hù)的牽頭保護(hù)部門。責(zé)任部門明確之后，對(duì)社會(huì)上大量主體是否是CIIO的認(rèn)定很快就會(huì)鋪開，另外，盡快出臺(tái)《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》的概率也會(huì)非常大。

明確了CIIO的概念，再來看《網(wǎng)絡(luò)安全審查辦法》第2條：

關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡稱運(yùn)營者）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。

第20條：

本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

也就是說，CIIO采購上述這些類型的設(shè)備和服務(wù)，都要受到審查，作為CIIO，首先要預(yù)判所采購的產(chǎn)品和服務(wù)是否可能會(huì)對(duì)國家安全產(chǎn)生影響，如果認(rèn)為可能，應(yīng)該要主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查。從目前的公開信息看，我們無法得知某企業(yè)是否主動(dòng)申報(bào)了網(wǎng)絡(luò)安全審查，但從種種跡象猜測(cè)，可能是一個(gè)被動(dòng)行為。

觀察者網(wǎng)：目前有一些輿論認(rèn)為，這次網(wǎng)絡(luò)安全審查的啟動(dòng)，是《網(wǎng)絡(luò)安全審查辦法》自去年出臺(tái)后的首個(gè)案例，這是否屬實(shí)？如果是的話，是否傳遞出一些信號(hào)？

李天航：確實(shí)有這樣的說法，目前從公開檢索渠道來看的話，確實(shí)沒有檢索到其他案例。

這傳遞出一個(gè)什么樣的信號(hào)？我們認(rèn)為，首先就是國家要重點(diǎn)關(guān)注互聯(lián)網(wǎng)領(lǐng)域的安全，尤其是關(guān)鍵信息基礎(chǔ)設(shè)施的供應(yīng)鏈安全。

《網(wǎng)絡(luò)安全法》和《網(wǎng)絡(luò)安全審查辦法》更多是要規(guī)范CIIO采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)；同時(shí)還應(yīng)該看到，不久前剛剛公布的《數(shù)據(jù)安全法》第24條，明確了：

國家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國家安全審查。依法作出的安全審查為最終決定。

也就是說，數(shù)據(jù)安全領(lǐng)域的國家安全審查決定不具備可訴性，相關(guān)市場(chǎng)主體對(duì)于國家相關(guān)部門做出的最終決定，無法通過復(fù)議、訴訟等渠道救濟(jì)。所以企業(yè)對(duì)數(shù)據(jù)安全領(lǐng)域的國家安全審查必需重視起來。

上述網(wǎng)絡(luò)安全領(lǐng)域和數(shù)據(jù)安全領(lǐng)域的安全審查，就對(duì)標(biāo)了《國家安全法》第25條和第59條的內(nèi)容，這兩項(xiàng)審查制度彰顯了國家對(duì)互聯(lián)網(wǎng)領(lǐng)域和數(shù)據(jù)領(lǐng)域安全領(lǐng)域的國家安全越來越重視，這也會(huì)是今后執(zhí)法的一個(gè)焦點(diǎn)。對(duì)企業(yè)來說，只要經(jīng)營活動(dòng)對(duì)國家安全可能有一定的影響，國家都會(huì)介入進(jìn)行安全審查。

國家在互聯(lián)網(wǎng)領(lǐng)域和數(shù)據(jù)安全領(lǐng)域的主導(dǎo)，會(huì)是一種新常態(tài)。

那么對(duì)掌握大量數(shù)據(jù)和資源的大型平臺(tái)型企業(yè)來說，在這方面肯定要多加關(guān)注，對(duì)經(jīng)營環(huán)境的變化要有預(yù)判，要主動(dòng)配合國家網(wǎng)絡(luò)安全體系的建設(shè)，而不能被動(dòng)等待執(zhí)法機(jī)關(guān)的工作，否則對(duì)自身經(jīng)營業(yè)務(wù)將產(chǎn)生不利影響。