近日，網(wǎng)絡(luò)安全審查辦公室依法對美光公司在華銷售產(chǎn)品進(jìn)行了網(wǎng)絡(luò)安全審查。美光公司成立于1978年，是一家全球領(lǐng)先的半導(dǎo)體制造商，其總部位于美國愛達(dá)荷州博伊西。美光公司的主營業(yè)務(wù)為生產(chǎn)半導(dǎo)體器件，包括動(dòng)態(tài)隨機(jī)存取存儲(chǔ)器，閃存和固態(tài)驅(qū)動(dòng)器，其主要產(chǎn)品包括DRAM、NAND快閃存儲(chǔ)器、CMOS影像感測器、其它半導(dǎo)體元件和內(nèi)存模組等。

經(jīng)網(wǎng)絡(luò)安全審查辦公室審查發(fā)現(xiàn)，美光公司產(chǎn)品存在較嚴(yán)重網(wǎng)絡(luò)安全問題隱患，對我國關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈造成重大安全風(fēng)險(xiǎn)，影響我國國家安全。為此，網(wǎng)絡(luò)安全審查辦公室依法作出不予通過網(wǎng)絡(luò)安全審查的結(jié)論。按照《網(wǎng)絡(luò)安全法》等法律法規(guī)，我國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)停止采購美光公司產(chǎn)品。

以下就我國2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》有關(guān)網(wǎng)絡(luò)安全與數(shù)據(jù)安全審查的合規(guī)問題做簡要解析。

2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》第一條規(guī)定：“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國家安全，根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，制定本辦法。”

從上述立法目的看，《網(wǎng)絡(luò)安全審查辦法》的上位法涉及三部法律和一部國務(wù)院條例，修訂后的《網(wǎng)絡(luò)安全審查辦法》在《國家安全法》和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，增加了《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，其中《數(shù)據(jù)安全法》明確提出“國家建立數(shù)據(jù)安全審查制度”；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當(dāng)按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。

《網(wǎng)絡(luò)安全審查辦法》第二條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡稱運(yùn)營者）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者（以下稱運(yùn)營者）開展數(shù)據(jù)處理活動(dòng)，影響或可能影響國家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。

根據(jù)上述規(guī)定，《網(wǎng)絡(luò)安全審查辦法》審查的客體有兩大類，一是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)；二是數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng)，這兩類客體是網(wǎng)絡(luò)安全審查法律關(guān)系主體的權(quán)利和義務(wù)指向的對象，只要這兩類客體的行為或結(jié)果影響或可能影響國家安全的，必須依法進(jìn)行國家網(wǎng)絡(luò)安全審查。

首先，關(guān)于網(wǎng)絡(luò)安全審查，修訂后的《網(wǎng)絡(luò)安全審查辦法》主要針對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，以及網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國家安全的風(fēng)險(xiǎn)因素。根據(jù)《網(wǎng)絡(luò)安全審查辦法》第十條的規(guī)定，網(wǎng)絡(luò)安全審查重點(diǎn)評估相關(guān)對象或者情形的以下國家安全風(fēng)險(xiǎn)因素：（一）產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風(fēng)險(xiǎn)；（二）產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨?、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；（四）產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；（五）核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；（六）上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)；（七）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。

從上述影響或者可能影響國家安全風(fēng)險(xiǎn)因素和合規(guī)審查權(quán)重上看，《網(wǎng)絡(luò)安全審查辦法》第十條（一）至（四）主要強(qiáng)調(diào)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)引發(fā)的國家安全風(fēng)險(xiǎn)因素。需要指出的是，并不是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需要進(jìn)行國家網(wǎng)絡(luò)安全審查，《網(wǎng)絡(luò)安全審查辦法》所指的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

其次，關(guān)于數(shù)據(jù)安全審查，《網(wǎng)絡(luò)安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡(luò)安全審查重點(diǎn)評估的五大國家安全風(fēng)險(xiǎn)因素的基礎(chǔ)上新增了兩項(xiàng)重要內(nèi)容：一是核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；二是上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。同時(shí)，新增加一條并列為《網(wǎng)絡(luò)安全審查辦法》第七條，即“掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺運(yùn)營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查?！斑@是一條強(qiáng)制性規(guī)定，也是一條不可逾越的紅線，任何網(wǎng)絡(luò)平臺運(yùn)營者都必須嚴(yán)格遵守。

《網(wǎng)絡(luò)安全審查辦法》第十條（五）（六）主要是針對核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)，以及上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國政府影響、控制、惡意利用的風(fēng)險(xiǎn)等。目前，我國數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，這個(gè)數(shù)據(jù)分類的方法主要是基于數(shù)據(jù)對國家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度。

2021年11月，國家網(wǎng)信辦公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》明確提出，國家對個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)?！昂诵臄?shù)據(jù)“，主要指關(guān)系國家安全、國民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)；”重要數(shù)據(jù)“，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

“重要數(shù)據(jù)”主要包括以下七類數(shù)據(jù)：一是未公開的政務(wù)數(shù)據(jù)、工作秘密、情報(bào)數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；二是出口管制數(shù)據(jù)，出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟(jì)競爭實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)；三是國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等；四是工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù)，關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù)；五是達(dá)到國家有關(guān)部門規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù)；六是國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù)，國防設(shè)施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù)；七是其他可能影響國家政治、國土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。^[2] 上述七類重要數(shù)據(jù)不包括國家秘密和個(gè)人信息，但基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。

如何識別重要數(shù)據(jù)？國家市場監(jiān)督管理總局和國家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的《重要數(shù)據(jù)識別指南》確立了六項(xiàng)應(yīng)遵循的基本原則：

一是聚焦安全影響：從國家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等角度識別重要數(shù)據(jù)，只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù)。

二是突出保護(hù)重點(diǎn)：通過對數(shù)據(jù)分級，明確安全保護(hù)重點(diǎn)，使一般數(shù)據(jù)充分流動(dòng)，重要數(shù)據(jù)在滿足安全保護(hù)要求前提下有序流動(dòng)，釋放數(shù)據(jù)價(jià)值。

三是銜接既有規(guī)定：充分考慮地方已有管理要求和行業(yè)特色，與地方、部門已經(jīng)制定實(shí)施的有關(guān)數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范緊密銜接。

四是綜合考慮風(fēng)險(xiǎn)：根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素，綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險(xiǎn)，從保密性、完整性、可用性、真實(shí)性、準(zhǔn)確性等多個(gè)角度識別數(shù)據(jù)的重要性。

五是定量定性結(jié)合：以定量與定性相結(jié)合的方式識別重要數(shù)據(jù)，并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法。

六是動(dòng)態(tài)識別復(fù)評：隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化，動(dòng)態(tài)識別重要數(shù)據(jù)，并定期復(fù)查重要數(shù)據(jù)識別結(jié)果。

事實(shí)上，網(wǎng)絡(luò)安全的核心是數(shù)據(jù)安全，在數(shù)據(jù)對各領(lǐng)域的重要性與日俱增的同時(shí)，數(shù)據(jù)風(fēng)險(xiǎn)與數(shù)據(jù)安全問題也愈發(fā)突出，給人類和社會(huì)帶來了前所未有的挑戰(zhàn)。在此背景下，數(shù)據(jù)出境的安全問題不僅關(guān)乎數(shù)據(jù)本身作為重要生產(chǎn)要素的開發(fā)利用與安全問題，還與國家主權(quán)、國家安全、個(gè)人信息權(quán)益、社會(huì)公共利益等休戚相關(guān)。我國于2022年9月1日起正式實(shí)施《數(shù)據(jù)出境安全評估辦法》（以下簡稱《辦法》）。

《辦法》第一條規(guī)定，為了規(guī)范數(shù)據(jù)出境活動(dòng)，保護(hù)個(gè)人信息權(quán)益，維護(hù)國家安全和社會(huì)公共利益，促進(jìn)數(shù)據(jù)跨境安全、自由流動(dòng)，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)，制定本辦法。從上述立法目的看，《辦法》體現(xiàn)了總體國家安全觀，其中“規(guī)范、保護(hù)、維護(hù)、促進(jìn)”這四個(gè)關(guān)鍵詞在立法目的中是一種遞進(jìn)關(guān)系，規(guī)范數(shù)據(jù)出境活動(dòng)是核心，只有在規(guī)范數(shù)據(jù)出境活動(dòng)的基礎(chǔ)上，方能保護(hù)個(gè)人信息權(quán)益和維護(hù)國家安全和社會(huì)公共利益，最終實(shí)現(xiàn)促進(jìn)數(shù)據(jù)跨境安全和自由流動(dòng)之目的。

 中美兩國應(yīng)該在數(shù)據(jù)安全跨境流動(dòng)加強(qiáng)對話溝通，關(guān)鍵是增進(jìn)雙方的互信，在互信互利的基礎(chǔ)上建立網(wǎng)絡(luò)空間雙邊合作機(jī)制，推動(dòng)形成公平、開放、合作、共贏的數(shù)字安全新秩序。

作者系：浙江大學(xué)網(wǎng)絡(luò)空間安全學(xué)院教授、中國科協(xié)網(wǎng)絡(luò)與數(shù)據(jù)法治決策咨詢首席專家、工信部信息通信經(jīng)濟(jì)專家委員會(huì)委員。

關(guān)注本公眾號：