当前,网络空间的安全风险愈加严峻复杂,数据泄露、技术风险和网络攻击等问题对网络安全治理提出了新挑战。2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称《办法》)正式施行。“修订《办法》既是适应国际国内网络安全新形势的必然举措,也是进一步落实2021年新实施的《数据安全法》和《关键信息基础设施安全保护条例》的必然要求。”中国社科院法学所副研究员周辉在接受人民网记者采访时强调。
严守数据安全防线 推动审查制度落地实施
网络安全形势严峻多变,新修订的《办法》在加强网络安全治理方面有哪些亮点?对此,周辉表示,此次修订后的新《办法》明确了网络安全审查与数据安全的关系,规定数据安全也是网络安全审查制度的重要内容,同时将数据安全风险作为网络安全审查的重要审查因素。
“除将网络平台运营者开展的数据处理活动及特定网络平台运营者赴国外上市等情形纳入审查范围外,新《办法》还明确要求在审查过程中关注核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险,以及上市存在关键信息基础设施,核心数据、重要数据或大量个人信息被外国政府影响、控制、恶意利用的风险及网络信息安全风险等。”
此外,周辉补充称,新《办法》还对审查工作机制和审查程序进行了修订,增加了中国证券监督管理委员会作为国家网络安全审查工作机制成员,延长了特别审查程序的一般期限,并专门规定了审查期间当事人有按照网络安全审查要求采取预防和消减风险的措施的义务。这些调整既有利于修订后的审查制度落地实施,也能更有效地防范网络安全风险。
承担平台运营责任 健全数据安全管理制度
《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查。“用户规模巨大的网络平台运营者掌握大量数据和个人信息,一旦发生安全事件将对国家安全造成严重影响。”周辉强调,网络平台运营者应当充分认识到数据安全的重要性,全面主动承担数据安全责任。
对于平台运营着如何推进数据安全合规建设,周辉建议:首先,在网络安全等级保护制度的基础上,依法建立健全全流程数据安全管理制度,组织开展数据安全教育培训,根据业务需要采取相应的技术措施和其他必要措施,加强收集和产生的重要数据的出境安全管理,严格防范产品和服务因政治、外交、贸易等因素导致供应中断的风险,严格避免核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用,切实确保数据安全;其次,网络平台运营者开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施,发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告;最后,平台运营者也可以与相关部门建立联系渠道,保持沟通,就数据安全及审查工作相关事宜积极询问、主动配合。
坚持“四个相结合” 有效防范网络安全风险
良法还需善治。《办法》第三条提出了网络安全审查应坚持的“四个相结合”,即“防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合”,为《办法》的落地实施提供了行动指南。
在周辉看来,《办法》的有效落实也需要多方主体共同参与、积极协作:既要有监管部门依法严格履职,也要有关键基础设施提供者、网络平台运营者主动合规,还需要社会公众的舆论参与和监督。
他强调,“网络安全审查具有高度专业性和复杂性,国家网络安全审查工作机制各成员单位、相关部门要加强对网络安全审查当事人的具体指引,不断提高当事人合规能力和水平;网络运营和数据处理活动具有高度技术性,网络安全审查相关工作量大、任务重,国家网络安全审查工作机制各成员单位、相关部门要支持研发网络安全审查监管技术产品、合规技术产品,不断提高网络安全审查和合规的效能。”