近日,网络安全审查办公室依法对美光公司在华销售产品进行了网络安全审查。美光公司是一家以美国为基地的半导体公司。公司的主要产品有闪存、动态随机访问存储器(DRAM)、静态随机访问存储器(SRAM)等。
经网络安全审查办公室审查发现,美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。为此,网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。
以下就我国2022年新修订的《网络安全审查办法》有关网络安全审查的客体与重点对象做简要解析。
2022年新修订的《网络安全审查办法》第一条规定:“为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》,制定本办法。”
从上述立法目的看,《网络安全审查办法》的上位法涉及三部法律和一部国务院条例,修订后的《网络安全审查办法》在《国家安全法》和《网络安全法》的基础上,增加了《数据安全法》和《关键信息基础设施安全保护条例》,其中《数据安全法》明确提出“国家建立数据安全审查制度”;《关键信息基础设施安全保护条例》要求“关键信息基础设施的运营者采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”。
《网络安全审查办法》第二条规定,关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
根据上述规定,《网络安全审查办法》审查的客体有两大类,一是关键信息基础设施运营者采购网络产品和服务;二是数据处理者开展数据处理活动,这两类客体是网络安全审查法律关系主体的权利和义务指向的对象,只要这两类客体的行为或结果影响或可能影响国家安全的,必须依法进行国家网络安全审查。
关于网络安全审查,修订后的《网络安全审查办法》主要针对关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展数据处理活动,影响或者可能影响国家安全的风险因素。根据《网络安全审查办法》第十条的规定,网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
从上述影响或者可能影响国家安全风险因素和审查权重上看,《网络安全审查办法》第十条(一)至(四)主要强调与关键信息基础设施相关网络产品和服务引发的国家安全风险因素。需要指出的是,并不是关键信息基础设施运营者采购的所有网络产品和服务均需要进行国家网络安全审查,《网络安全审查办法》所指的“网络产品和服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
关于数据安全审查,《网络安全审查办法》第十条在原《审查办法》第九条网络安全审查重点评估的五大国家安全风险因素的基础上新增了两项重要内容:一是核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;二是上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。同时,新增加一条并列为《网络安全审查办法》第七条,即“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”这是一条强制性规定,也是一条不可逾越的红线,任何网络平台运营者都必须严格遵守。
《网络安全审查办法》第十条(五)(六)主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险,以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等。目前,我国数据立法将数据分为一般数据、重要数据、核心数据,这个数据分类的方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度。
2021年11月,国家网信办公布的《网络数据安全管理条例(征求意见稿)》明确提出,国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。“核心数据”主要指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据;“重要数据”是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。
“重要数据”主要包括以下七类数据:一是未公开的政务数据、工作秘密、情报数据和执法司法数据;二是出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;三是国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;四是工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;五是达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;六是国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;七是其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。[2] 上述七类重要数据不包括国家秘密和个人信息,但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。
如何识别重要数据?国家市场监督管理总局和国家标准化委员会发布的《重要数据识别指南》确立了六项应遵循的基本原则:
一是聚焦安全影响:从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据,只对组织自身而言重要或敏感的数据不属于重要数据,如企业的内部管理相关数据;
二是突出保护重点:通过对数据分级,明确安全保护重点,使一般数据充分流动,重要数据在满足安全保护要求前提下有序流动,释放数据价值;
三是衔接既有规定:充分考虑地方已有管理要求和行业特色,与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接;
四是综合考虑风险:根据数据用途、面临威胁等不同因素,综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险,从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性;
五是定量定性结合:以定量与定性相结合的方式识别重要数据,并根据具体数据类型、特性不同采取定量或定性方法;
六是动态识别复评:随着数据用途、共享方式、重要性等发生变化,动态识别重要数据,并定期复查重要数据识别结果。
作者系:浙江大学网络空间安全学院教授、中国科协网络与数据法治决策咨询首席专家、工信部信息通信经济专家委员会委员。