数据出境评估与产品安全审查不是要限制外企进入中国市场
来源:南方都市报 更新时间:2017-06-01

网络安全之权威释疑

《网络安全法》今日起施行,有外国机构担心关于数据流动的限制条款会导致贸易壁垒,阻碍外国企业、技术、产品进入中国市场。对此,国家互联网信息办公室(简称国家网信办)网络安全协调局负责人回应,制定、实施《网络安全法》目的是维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。

阻断违法信息与支持信息跨境自由流动不矛盾

《网络安全法》通过后,部分条款引发讨论。针对这些条款,国家网信办网络安全协调局负责人主动释疑。例如,《网络安全法》第四十七条规定,“网络运营者应当加强对其用户发布的信息的管理,发现法律、行政法规禁止发布或者传输的信息的,应当立即停止传输该信息。”这是否会侵害个人隐私,妨碍网上言论自由?有公众提出疑问。

国家网信办网络安全协调局负责人解释,要从两点理解这条规定:其一,针对的是用户公开发布的信息,而不是个人通信信息,不会损害个人隐私。其二,要求停止传输的是违法信息,不存在妨碍言论自由问题。中国在推进互联网发展,加强互联网管理过程中,充分保障人权和言论自由,充分尊重广大人民群众的知情权、参与权、表达权和监督权。同时,也强调任何人、任何机构都应该对自己在网上的言行负责,个人的自由不应以损害他人的自由和社会公共利益为代价,任何人和机构都有义务自觉维护网络秩序,自觉维护网络安全。

《网络安全法》第五十条也是受关注度较高的条款。该条款要求,采取技术措施和其他必要措施阻断来源于境外的非法信息的传播。有人担心,这意味着要严格管控国外网站,限制信息跨境流动。

“现实世界中,无论是企业还是个人,进入哪个国家就要遵从哪个国家的法律法规要求,违法行为都将受到法律的制裁。网络空间也不例外,在中国境内网络上传播的信息必须符合中国法律的规定。”该负责人说,采取技术措施和其他必要措施阻断违法信息在境内传播,是国家网络空间主权的体现,是维护国家安全和广大人民群众利益的客观要求,“我们支持信息跨境自由流动,但这要以不损害他国网络空间主权为条件,阻断违法信息进入本国网络空间与支持信息跨境自由流动不矛盾。”

数据出境评估审查并非限制国外技术产品进中国市场

根据《网络安全法》规定,关键信息基础设施运营者在中华人民共和国境内收集产生的个人信息和重要数据,应当在境内存储。企业要将大量的此类数据转移至境外,必须先经过监管机构的评估。

有媒体报道,一些外国从业者担心《网络安全法》类似规定会制造贸易壁垒,限制国外企业、技术和产品进入中国市场。有外国协会和机构建议推迟实施《网络安全法》。对此,国家网信办网络安全协调局负责人回应,借鉴国际通行做法,根据本国国情,制定相关法律、行政法规,并依法对网络进行管理,完全是各国主权范围内的事情。制定、实施《网络安全法》目的是要维护国家网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的权益,而不是要限制国外企业、技术、产品进入中国市场,不是要限制数据依法有序自由流动。

那么,个人信息和重要数据在境内存储,会不会限制数据跨境流动,影响国际贸易?该负责人介绍,落实法律要求注意把握几点:首先,这是对关键信息基础设施运营者提出的要求,而不是对所有网络运营者的要求。其次,规定指涉的只限于个人信息和重要数据,不是所有的数据。这里的“重要数据”是对国家而言,并非针对企业和个人。

此外,对于确需出境的数据,法律作了制度上的安排,经过安全评估,被认为不会危害国家安全和社会公共利益的,可以出境。特别要说明的是,拨打国际电话、发送国际电子邮件、通过互联网跨境购物以及其他个人主动行为,视为已经个人信息主体同意。

与数据出境规定一样,5月2日发布的《网络产品和服务安全审查办法(试行)》也让部分外国企业心存担忧。其中规定,关系国家安全的网络和信息系统采购的重要网络产品和服务,应当经过网络安全审查。这会不会给国外企业带来不公平待遇,形成事实上的技术壁垒?

“安全审查不针对特定国家和地区,没有国别差异,审查不会歧视国外技术和产品,不会限制国外产品进入中国市场。相反,安全审查会提高消费者对使用产品的信心,扩大企业市场空间。”国家网信办网络安全协调局负责人说,安全审查是为了提高网络产品和服务的安全可控水平,防范供应链安全风险,维护国家安全和公共利益。审查的重点是产品和服务的安全性、可控性,包括产品被非法控制、干扰和中断运行的风险,产品提供者非法收集用户信息的风险等。

关键信息基础设施保护办法有望近期公开征求意见

关键信息基础设施保护是《网络安全法》新设立的一项制度。《网络安全法》施行在即,关键信息基础设施保护如何实施?什么样的信息基础设施属于“关键”范畴?哪些企业属于关键信息基础设施运营者?目前,尚未出台的配套规定成为外界关注的另一焦点。

按照《网络安全法》中的表述,关键信息基础设施,即涉及国家安全、国计民生、公共利益的信息系统和设施,一旦遭到破坏可能造成严重危害。具体而言,关键信息基础设施遍及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。

业内人士分析,2015年乌克兰能源部门受袭导致大范围停电、2016年恶意软件攻击造成美国东海岸网络瘫痪,再到最近的WannaC ry勒索病毒全球爆发、不少中国高校受损严重,都是关键信息基础设施遭到破坏的典型案例。

国家网信办网络安全协调局负责人表示,从各国情况看,具体明确关键信息基础设施相当复杂,是一个在实践中不断完善、不断调整的过程。目前国家网信办正会同有关部门抓紧研究制定相关指导性文件和标准,指导相关行业领域明确关键信息基础设施的具体范围。

该负责人强调,加强关键信息基础设施保护要重点做好以下几方面工作:一是要加强工作统筹,强化顶层设计和整体防护,避免多头分散、各自为政的情况发生。二是要建立完善责任制,政府主要是加强指导监管,关键信息基础设施运营者要承担起保护的主体责任。三是要加强对从业人员的网络安全教育、技术培训和技能考核,切实提高网络安全意识和水平。四是要做好网络安全信息共享、应急处置等基础性工作,提升关键信息基础设施保护能力。五是要加强关键信息基础设施保护中的国际合作。

据了解,关键信息基础设施保护办法有望近期公开征求意见,个人信息和重要数据出境安全评估办法正在根据各方面意见修改完善。国家网信办网络安全协调局负责人建议相关企业、机构等抓紧做好法律实施的准备工作,自觉用法律规范网络行为。

此外,《网络安全法》规定,“网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。”这一规定如何实施?

国家网信办网络安全协调局负责人透露,国家互联网信息办公室、工业和信息化部、公安部、国家认监委即将发布第一批网络关键设备和网络安全专用产品目录。列入这一目录的设备和产品,应该按照有关国家标准的强制性要求,由具备资格的机构进行认证或检测。此前,已经按照国家有关规定检测符合要求或认证合格的,在有效期内无须进行认证或检测。

网络安全法亮点

明确网络空间主权的原则

网络主权是国家主权在网络空间的体现和延伸,网络主权原则是我国维护国家安全和利益,参与网络国际治理与合作所坚持的重要原则。

明确网络产品和服务提供者的安全义务

包括不得设置恶意程序,及时向用户告知安全缺陷、漏洞等风险,持续提供安全维护服务等。

明确网络运营者的安全义务

将现行的网络安全等级保护制度上升为法律,要求网络运营者按照网络安全等级保护制度的要求,采取相应的管理措施和技术防范等措施,履行相应的网络安全保护义务。

进一步完善个人信息保护规则
加强对公民个人信息的保护,防止公民个人信息数据被非法获取、泄露或者非法使用。

建立了关键信息基础设施安全保护制度

要求网络运营者采取数据分类、重要数据备份和加密等措施,防止网络数据被窃取或篡改。

确立了关键信息基础设施重要数据跨境传输的规则

要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据;确需在境外存储或者向境外提供的,应当按照规定进行安全评估。