網(wǎng)絡(luò)安全審查在數(shù)安條例中的總體地位

　　首先，數(shù)安條例對數(shù)據(jù)安全審查的上位法依據(jù)在于《數(shù)據(jù)安全法》第二十四條——國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。

　　其次，中央網(wǎng)信辦通過【國家互聯(lián)網(wǎng)信息辦公室關(guān)于《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》公開征求意見的通知】，將數(shù)據(jù)安全審查納入根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查之中。

　　現(xiàn)在，數(shù)安條例進一步完善了《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》中對“影響或者可能影響國家安全的數(shù)據(jù)處理活動”的界定。待數(shù)安條例正式通過，就預(yù)示著《數(shù)據(jù)安全法》中規(guī)定的額數(shù)據(jù)安全審查制定正式確立。

　　根據(jù)《網(wǎng)絡(luò)安全法》建立的網(wǎng)絡(luò)安全審查，在絕大多數(shù)情況下僅是針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者（特殊情況下，相關(guān)部門可以主動發(fā)起審查）；但在《數(shù)據(jù)安全法》中不是這樣，其是對所有處理數(shù)據(jù)的主體而言的一項制度。

　　因此數(shù)安條例將（囊括數(shù)據(jù)安全審查的）網(wǎng)絡(luò)安全審查的條款，放在了“第二章一般規(guī)定”之中，并沒有放在關(guān)于個人信息保護、重要數(shù)據(jù)安全、數(shù)據(jù)跨境安全管理、互聯(lián)網(wǎng)平臺運營者義務(wù)等章節(jié)之中，其用意可見一斑——一是對于所有數(shù)據(jù)處理者來說，都應(yīng)當注意其是否需要申報網(wǎng)絡(luò)安全審查；二是網(wǎng)絡(luò)安全審查所關(guān)注的數(shù)據(jù)處理活動，既包括涉及個人信息，又包括涉及重要數(shù)據(jù)，還包括特定情形的跨境。

　　影響或者可能影響國家安全的數(shù)據(jù)處理活動

　　在《數(shù)據(jù)安全法》中，“影響或者可能影響國家安全”有待展開?！毒W(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》做出了初步的界定，數(shù)安條例則提出了更豐富的內(nèi)涵。

　　《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》數(shù)安條例

　　第六條 掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。

　　第十三條 數(shù)據(jù)處理者開展以下活動，應(yīng)當按照國家有關(guān)規(guī)定，申報網(wǎng)絡(luò)安全審查：

　?。ㄒ唬﹨R聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；

　?。ǘ┨幚硪话偃f人以上個人信息的數(shù)據(jù)處理者赴國外上市的；

　?。ㄈ?shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的；

　?。ㄋ模┢渌绊懟蛘呖赡苡绊憞野踩臄?shù)據(jù)處理活動。

　　大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心，應(yīng)當向國家網(wǎng)信部門和主管部門報告。

　　第一個應(yīng)該關(guān)注的點是：數(shù)安條例在第十三條中列出的第一項：“匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源”，仔細分析這個定義會發(fā)現(xiàn)，第十三條第一項提出的數(shù)據(jù)資源，范疇要比重要數(shù)據(jù)、核心數(shù)據(jù)來的寬。

　　第十三條第一項

　　匯聚掌握大量關(guān)系國家安全、經(jīng)濟發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者

　　重要數(shù)據(jù)

　　重要數(shù)據(jù)是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

　　核心數(shù)據(jù)

　　核心數(shù)據(jù)是指關(guān)系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù)。

　　第二個應(yīng)該關(guān)注的點是：申報的條件?！坝绊懟蛘呖赡苡绊憞野踩背霈F(xiàn)在第一項、第三項、第四項，但是沒有出現(xiàn)在第二項。這樣的差異值得高度重視。

　　換句話說：“處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市的”是個客觀條件；但第一項、第三項、第四項，還需要數(shù)據(jù)處理者在申報之前主動做一次判斷——“影響或者可能影響國家安全”。只有評估后發(fā)現(xiàn)“影響或者可能影響國家安全”，才需要申報。如果評估后發(fā)現(xiàn)不影響國家安全的，是不需要申報的。

　　因此，“處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市”，直接被認定為“影響或者可能影響國家安全”。其他情形，還需要做個案分析。

　　第三個關(guān)注的點是：“大型互聯(lián)網(wǎng)平臺運營者在境外設(shè)立總部或者運營中心、研發(fā)中心”，應(yīng)當向國家網(wǎng)信部門和主管部門報告。這句話的意思是，如果有這樣的行為，主動權(quán)不在于運營者是否“去申報”網(wǎng)絡(luò)安全審查，也不需要運營者預(yù)先判斷是否“影響或者可能影響國家安全”，而是——國家網(wǎng)信部門和主管部門直接強制性地要求運營者必須報告。

　　因此從文本分析來看，“在境外設(shè)立總部或者運營中心、研發(fā)中心”的行為在立法者認知中具有更高程度的風(fēng)險等級。

　　但里面也有一些疑問：重要數(shù)據(jù)的處理者能否赴國外上市？數(shù)安條例中僅規(guī)定“處理一百萬人以上個人信息的數(shù)據(jù)處理者赴國外上市”，再關(guān)聯(lián)到“數(shù)據(jù)處理者赴香港上市”中，并不區(qū)分個人信息或重要數(shù)據(jù)，那是否可以推測出——重要數(shù)據(jù)處理者不應(yīng)到國外上市？當然，這個問題也能被“其他影響或者可能影響國家安全的數(shù)據(jù)處理活動”所囊括，但總之，希望立法者厘清。

　　香港上市和國外上市的區(qū)別

　　從前文分析可以看出，相比于國外上市，立法者無疑對赴香港上市給出了一定的優(yōu)待。

　　說的更清楚些，就是赴國外上市且本身在國內(nèi)的個人用戶數(shù)超過100萬，一定要申報。赴香港上市，哪怕個人用戶數(shù)超過100萬，處理者需要預(yù)先判斷下國家安全風(fēng)險，然后根據(jù)評估結(jié)果，決定是否申報網(wǎng)絡(luò)安全審查。

　　但業(yè)界在學(xué)習(xí)數(shù)安條例相關(guān)規(guī)定時，往往會提出，那我怎么知道我會不會涉及國家安全風(fēng)險呢，因此我還是都去申報網(wǎng)絡(luò)安全審查吧，如此以下，數(shù)安條例給出的“優(yōu)待”就不復(fù)存在了。

　　對此問題有三個方面的回答：

　　第一，網(wǎng)絡(luò)安全審查中一直強調(diào)的預(yù)先判斷的要求。預(yù)判是個網(wǎng)絡(luò)安全審查工作的基本原則，在《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》第五條有清晰的體現(xiàn)。

　　因此，預(yù)判本身就是個法定義務(wù)。

　　第二，國家網(wǎng)信部門本身就已經(jīng)預(yù)見到給與數(shù)據(jù)處理者預(yù)判的自由，會導(dǎo)致一些風(fēng)險漏報的情況，其有明確的制度措施，具體見數(shù)安條例第三十二條，

　　第三十二條 處理重要數(shù)據(jù)或者赴境外上市的數(shù)據(jù)處理者，應(yīng)當自行或者委托數(shù)據(jù)安全服務(wù)機構(gòu)每年開展一次數(shù)據(jù)安全評估，并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設(shè)區(qū)的市級網(wǎng)信部門，年度數(shù)據(jù)安全評估報告的內(nèi)容包括：

　?。ㄒ唬┨幚碇匾獢?shù)據(jù)的情況；

　　（二）發(fā)現(xiàn)的數(shù)據(jù)安全風(fēng)險及處置措施；

　　（三）數(shù)據(jù)安全管理制度，數(shù)據(jù)備份、加密、訪問控制等安全防護措施，以及管理制度實施情況和防護措施的有效性；

　　（四）落實國家數(shù)據(jù)安全法律、行政法規(guī)和標準情況；

　　（五）發(fā)生的數(shù)據(jù)安全事件及其處置情況；

　?。┕蚕?、交易、委托處理、向境外提供重要數(shù)據(jù)的安全評估情況；

　　（七）數(shù)據(jù)安全相關(guān)的投訴及處理情況；

　　（八）國家網(wǎng)信部門和主管、監(jiān)管部門明確的其他數(shù)據(jù)安全情況。

　　數(shù)據(jù)處理者應(yīng)當保留風(fēng)險評估報告至少三年。

　　依據(jù)部門職責(zé)分工，網(wǎng)信部門與有關(guān)部門共享報告信息。

　　因此，即便是預(yù)判不會涉及國家安全的，國家網(wǎng)信部門也能從年度數(shù)據(jù)安全評估報告中得知相關(guān)的情況，并可根據(jù)情況隨時可以要求開展網(wǎng)絡(luò)安全審查。

　　所以換言之，已經(jīng)在香港或國外上市的企業(yè)，是否可以天然地認為自己不需要接受網(wǎng)絡(luò)安全審查了呢？這個問題，希望立法者厘清。

　　第三，來一起看看罰則。

　　違反了第十三條規(guī)定（即沒有準確預(yù)判，或者預(yù)判后沒有申報的）

　　第六十條 數(shù)據(jù)處理者不履行第九條、第十條、第十一條、第十二條、第十三條、第十四條、第十五條、第十八條的規(guī)定，由有關(guān)主管部門責(zé)令改正，給予警告，可以并處五萬元以上五十萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員可以處一萬元以上十萬元以下罰款；

　　拒不改正或者導(dǎo)致危害數(shù)據(jù)安全等嚴重后果的，處五十萬元以上二百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)、停業(yè)整頓、吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照，對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

　　違反第三十二條規(guī)定

　　第六十二條 數(shù)據(jù)處理者不履行第二十八條、第二十九條、第三十條、第三十一條、第三十二條、第三十三條規(guī)定的數(shù)據(jù)安全保護義務(wù)的，由有關(guān)部門責(zé)令改正，給予警告，對違法處理重要數(shù)據(jù)的系統(tǒng)及應(yīng)用，責(zé)令暫?；蛘呓K止提供服務(wù)；

　　拒不改正的，并處二百萬元以下罰款，對直接負責(zé)的主管人員和其他直接責(zé)任人員處五萬元以上二十萬元以下罰款。

　　有前款規(guī)定的違法行為，情節(jié)嚴重的，由有關(guān)部門責(zé)令改正，沒收違法所得，并處二百萬元以上五百萬元以下罰款，并可以責(zé)令暫停相關(guān)業(yè)務(wù)或者停業(yè)整頓、通報有關(guān)主管部門吊銷相關(guān)業(yè)務(wù)許可證或者吊銷營業(yè)執(zhí)照；對直接負責(zé)的主管人員和其他直接責(zé)任人員處二十萬元以上一百萬元以下罰款。

　　我們可以看出，違反第三十二條年度報告的規(guī)定，情節(jié)嚴重時的罰則比違反第十三條的罰則更加嚴重。