近日，網絡安全審查辦公室依法對美光公司在華銷售產品進行了網絡安全審查。美光公司成立于1978年，是一家全球領先的半導體制造商，其總部位于美國愛達荷州博伊西。美光公司的主營業務為生產半導體器件，包括動態隨機存取存儲器，閃存和固態驅動器，其主要產品包括DRAM、NAND快閃存儲器、CMOS影像感測器、其它半導體元件和內存模組等。

經網絡安全審查辦公室審查發現，美光公司產品存在較嚴重網絡安全問題隱患，對我國關鍵信息基礎設施供應鏈造成重大安全風險，影響我國國家安全。為此，網絡安全審查辦公室依法作出不予通過網絡安全審查的結論。按照《網絡安全法》等法律法規，我國內關鍵信息基礎設施的運營者應停止采購美光公司產品。

以下就我國2022年新修訂的《網絡安全審查辦法》有關網絡安全與數據安全審查的合規問題做簡要解析。

2022年新修訂的《網絡安全審查辦法》第一條規定：“為了確保關鍵信息基礎設施供應鏈安全，保障網絡安全和數據安全，維護國家安全，根據《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》、《關鍵信息基礎設施安全保護條例》，制定本辦法。”

從上述立法目的看，《網絡安全審查辦法》的上位法涉及三部法律和一部國務院條例，修訂后的《網絡安全審查辦法》在《國家安全法》和《網絡安全法》的基礎上，增加了《數據安全法》和《關鍵信息基礎設施安全保護條例》，其中《數據安全法》明確提出“國家建立數據安全審查制度”；《關鍵信息基礎設施安全保護條例》要求“關鍵信息基礎設施的運營者采購網絡產品和服務可能影響國家安全的，應當按照國家網絡安全規定通過安全審查”。

《網絡安全審查辦法》第二條規定，關鍵信息基礎設施運營者（以下簡稱運營者）采購網絡產品和服務，數據處理者（以下稱運營者）開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。

根據上述規定，《網絡安全審查辦法》審查的客體有兩大類，一是關鍵信息基礎設施運營者采購網絡產品和服務；二是數據處理者開展數據處理活動，這兩類客體是網絡安全審查法律關系主體的權利和義務指向的對象，只要這兩類客體的行為或結果影響或可能影響國家安全的，必須依法進行國家網絡安全審查。

首先，關于網絡安全審查，修訂后的《網絡安全審查辦法》主要針對關鍵信息基礎設施運營者采購網絡產品和服務，以及網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的風險因素。根據《網絡安全審查辦法》第十條的規定，網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或者破壞的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險；（七）其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素。

從上述影響或者可能影響國家安全風險因素和合規審查權重上看，《網絡安全審查辦法》第十條（一）至（四）主要強調與關鍵信息基礎設施相關網絡產品和服務引發的國家安全風險因素。需要指出的是，并不是關鍵信息基礎設施運營者采購的所有網絡產品和服務均需要進行國家網絡安全審查，《網絡安全審查辦法》所指的“網絡產品和服務”主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全、網絡安全和數據安全有重要影響的網絡產品和服務。

其次，關于數據安全審查，《網絡安全審查辦法》第十條在原《審查辦法》第九條網絡安全審查重點評估的五大國家安全風險因素的基礎上新增了兩項重要內容：一是核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網絡信息安全風險。同時，新增加一條并列為《網絡安全審查辦法》第七條，即“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。“這是一條強制性規定，也是一條不可逾越的紅線，任何網絡平臺運營者都必須嚴格遵守。

《網絡安全審查辦法》第十條（五）（六）主要是針對核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險，以及上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前，我國數據立法將數據分為一般數據、重要數據、核心數據，這個數據分類的方法主要是基于數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度。

2021年11月，國家網信辦公布的《網絡數據安全管理條例（征求意見稿）》明確提出，國家對個人信息和重要數據進行重點保護，對核心數據實行嚴格保護。“核心數據“，主要指關系國家安全、國民經濟命脈、重要民生和重大公共利益等的數據；”重要數據“，是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數據。

“重要數據”主要包括以下七類數據：一是未公開的政務數據、工作秘密、情報數據和執法司法數據；二是出口管制數據，出口管制物項涉及的核心技術、設計方案、生產工藝等相關的數據，密碼、生物、電子信息、人工智能等領域對國家安全、經濟競爭實力有直接影響的科學技術成果數據；三是國家法律、行政法規、部門規章明確規定需要保護或者控制傳播的國家經濟運行數據、重要行業業務數據、統計數據等；四是工業、電信、能源、交通、水利、金融、國防科技工業、海關、稅務等重點行業和領域安全生產、運行的數據，關鍵系統組件、設備供應鏈數據；五是達到國家有關部門規定的規模或者精度的基因、地理、礦產、氣象等人口與健康、自然資源與環境國家基礎數據；六是國家基礎設施、關鍵信息基礎設施建設運行及其安全數據，國防設施、軍事管理區、國防科研生產單位等重要敏感區域的地理位置、安保情況等數據；七是其他可能影響國家政治、國土、軍事、經濟、文化、社會、科技、生態、資源、核設施、海外利益、生物、太空、極地、深海等安全的數據。^[2] 上述七類重要數據不包括國家秘密和個人信息，但基于海量個人信息形成的統計數據、衍生數據有可能屬于重要數據。

如何識別重要數據？國家市場監督管理總局和國家標準化委員會發布的《重要數據識別指南》確立了六項應遵循的基本原則：

一是聚焦安全影響：從國家安全、經濟運行、社會穩定、公共健康和安全等角度識別重要數據，只對組織自身而言重要或敏感的數據不屬于重要數據，如企業的內部管理相關數據。

二是突出保護重點：通過對數據分級，明確安全保護重點，使一般數據充分流動，重要數據在滿足安全保護要求前提下有序流動，釋放數據價值。

三是銜接既有規定：充分考慮地方已有管理要求和行業特色，與地方、部門已經制定實施的有關數據管理政策和標準規范緊密銜接。

四是綜合考慮風險：根據數據用途、面臨威脅等不同因素，綜合考慮數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數據的重要性。

五是定量定性結合：以定量與定性相結合的方式識別重要數據，并根據具體數據類型、特性不同采取定量或定性方法。

六是動態識別復評：隨著數據用途、共享方式、重要性等發生變化，動態識別重要數據，并定期復查重要數據識別結果。

事實上，網絡安全的核心是數據安全，在數據對各領域的重要性與日俱增的同時，數據風險與數據安全問題也愈發突出，給人類和社會帶來了前所未有的挑戰。在此背景下，數據出境的安全問題不僅關乎數據本身作為重要生產要素的開發利用與安全問題，還與國家主權、國家安全、個人信息權益、社會公共利益等休戚相關。我國于2022年9月1日起正式實施《數據出境安全評估辦法》（以下簡稱《辦法》）。

《辦法》第一條規定，為了規范數據出境活動，保護個人信息權益，維護國家安全和社會公共利益，促進數據跨境安全、自由流動，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，制定本辦法。從上述立法目的看，《辦法》體現了總體國家安全觀，其中“規范、保護、維護、促進”這四個關鍵詞在立法目的中是一種遞進關系，規范數據出境活動是核心，只有在規范數據出境活動的基礎上，方能保護個人信息權益和維護國家安全和社會公共利益，最終實現促進數據跨境安全和自由流動之目的。

 中美兩國應該在數據安全跨境流動加強對話溝通，關鍵是增進雙方的互信，在互信互利的基礎上建立網絡空間雙邊合作機制，推動形成公平、開放、合作、共贏的數字安全新秩序。

作者系：浙江大學網絡空間安全學院教授、中國科協網絡與數據法治決策咨詢首席專家、工信部信息通信經濟專家委員會委員。

關注本公眾號：