4008708893
我国网络安全审查制度的持续优化与加强,不仅体现了国家对数据安全与网络安全的高度重视,更为构建稳固的数据安全和网络安全保障体系奠定了坚实的制度基础。这一系列举措将有效促进数据资源的合法合规利用,维护国家主权、安全和发展利益,推动数字经济在更加安全、健康的环境中蓬勃发展。2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版《审查办法》)开始施行,新修订内容针对数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求,为构建完善国家网络安全审查机制,切实保障国家安全提供了有力抓手。
一、审查对象新增数据处理活动,突出赴国外上市申报审查
判断影响或者可能影响国家安全的数据处理活动,可从数据处理活动是否存在或疑似存在危害国家安全行为,或者是否存在国家安全风险等方面进行判断,例如掌握100万用户个人信息的运营者赴国外上市,掌握核心数据或重要数据的运营者赴国外上市,掌握我国禁止或限制出口技术的运营者赴国外上市,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立等数据处理活动,一旦影响或者可能影响国家安全的,都可能成为网络安全审查的对象。
二、审查评估聚焦国家数据安全风险因素
运营者开展影响或可能影响国家安全的数据处理活动,可能带来多种国家数据安全风险,新版《审查办法》在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在国家安全或公共利益风险:一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据的完整性和可用性。三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及国家安全、公共利益或个人权益的数据,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境,应通过国家网信部门组织的数据出境安全评估。
(二)外国政府影响、控制、恶意利用和网络信息安全风险
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(SEC)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(PCAOB)检查,披露上市公司的审计细节、工作底稿等信息。在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。
随着新版《数据安全审查办法》的正式颁布,我国数据安全治理工作迈入了一个崭新的发展阶段。该办法明确要求,所有涉及核心数据、重要数据以及大规模个人信息的网络运营主体,在进行数据处理活动时,必须显著提升国家安全意识,预先评估并识别数据处理过程中可能引发的国家安全风险。一旦发现数据处理活动可能对国家安全构成影响或潜在威胁,应立即向网络安全审查办公室提交报告,并视情况申请进行网络安全审查,以此作为主动防范和化解潜在国家安全风险的重要举措。
(来源: 中国网信网 )
