沈逸：网络安全如何审查，读懂这三部法律就明白了

【视频/观察者网专栏作者 沈逸】

为了防范国家数据安全风险，维护国家安全，保障公共利益，网络安全审查办公室启动了对一家企业的网络安全审查。其中提到了三部法律，《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《网络安全审查办法》。我们不聊企业本身，借这个机会谈一谈这三部法律。

从数据安全的角度去看，我们如何在信息时代保障国家安全？从顶层设计到具体执行工作，目前已经构成了一个比较完整的连贯体系。

首先来看《国家安全法》。1993年2月22日第七届全国人大常委会第三十次会议通过这部法律，中华人民共和国主席令第六十八号公布实施。到2014年，十二届全国人大常委会第十一次会议通过了《反间谍法》，《国家安全法》相应废止。2015年7月1日十二届全国人大代表常委会第十五次会议审议通过，中华人民共和国主席令第29号公布《中华人民共和国国家安全法》。我们这次引用的是2015年这一部《国家安全法》。

《国家安全法》涉及的几个章节和条款跟这次审查相关。

总则

第二条 国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态，以及保障持续安全状态的能力。

也就是说，我们是从状态和能力两个方向定义国家安全的。状态包括客观、主观的状态，同时涉及主权和领土完整，也有人民福祉和社会经济、可持续发展的利益，以及国家其他的重大利益。“其他”是因为时代在发展，国家在不同时期会产生新的不同利益需求，如果没有穷尽而法条上又没有一个“其他”，这部法的适用性就会受到影响。

第六条 国家制定并不断完善国家安全战略，全面评估国际、国内安全形势，明确国家安全战略的指导方针、中长期目标、重点领域的国家安全政策、工作任务和措施。

国家安全的核心主体是主权国家的安全，最重要的行为体是国家本身，在涉及国家安全这个问题上，国家是起主导作用的。

第八条 维护国家安全，应当与经济社会发展相协调。

国家安全工作要统筹内外部安全、国土安全和国民安全、传统安全和非传统安全、自身安全和共同安全，也就是说国家在做任何安全工作的时候，已经在统筹安全和发展之间的辩证关系，不用担心哪一条国家没想到。

第十一条 中华人民共和国公民、一切国家机关和武装力量、各政党和各人民团体、企业事业组织和其他社会组织，都有维护国家安全的责任和义务。

责任和义务包括企事业组织的责任和义务，任何人、任何主体在承担自己的责任、履行自己的义务时，都会涉及到代价问题。国家安全在一定程度上要求相关主体能自觉妥当地处理个体和集体之间的关系。国家安全讲的是集体安全状态，如果个体纯粹从个体自我中心出发面对集体的安全要求，要追逐或者是实现某种绝对化不受任何约束和限制的安全，追求一种绝对的自由，将个体的利益凌驾于集体之上，不愿意为集体承担义务，那在当下社会可能会遇到各种各样的问题，不管是在中国还是在任何地方。

跟这次事情直接相关的，

第二章 维护国家安全任务

第二十五条 国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。

全球范围信息技术革命背景下，数据是数字时代像工业革命时期石油一样的战略级资源，重要性是不言而喻的。

第四节 审查监管

第五十九条 国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

《国家安全法》在国家安全层面是最顶级的上位法，有了国家安全审查的制度，国家就建立国家安全、审查和监管的制度和机制，下面就有了网络安全审查办法。

中华人民共和国第十二届全国人民代表大会常务委员会第二十四次会议于2016年11月7日通过《中华人民共和国网络安全法》，2017年6月1日起实行。该法是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定的。

总则

第二条 在中华人民共和国境内建设、运营、维护和使用网络，以及网络安全的监督管理，适用本法。

所以不管何种所有制结构的数字经济相关企业，在中华人民共和国境内的这些活动建设、运营、维护和使用网络都使用这个办法。

第五条 国家采取措施，监测、防御、处置来源于中华人民共和国境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治网络违法犯罪活动，维护网络空间安全和秩序。

第八条 国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

网络本身是横向的，功能性涵盖不同行政条线，网络安全依法管理的一个难题，就是行政部门的职权是条线的。所以要进行有效的跨部门协作，要有一个负责统筹和协调的单位，这个部门就是国家网信部。

第二节 关键信息基础设施的运行安全

第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

国家对关键信息基础设施在网络安全等级、保护制度的基础上实行重点保护，也就是关键信息基础设施有双重保障，第一重保障是等级保护；除此之外，还有重点保护。

“关键信息基础设施”中有一个弹性定义，是务实地面对信息技术革命一个非常显著的特点。一些东西的重要性、基础设施、设施的重要性是否属于国家网络安全范畴，随时间变化和用户数的变化是量变引发质变的。一开始它可能不属于传统意义上一些立刻会对国家安全产生影响的设施，但是一定阶段后，它收集了足够充分的数据，汇总起来会变成战略级的情报资源。不仅是中国，对各个国家来说都需要保留弹性，对于关键基础设施要有一个弹性的外延以确保能够顺应时代变化和发展需求。

第三十七条　关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

第三十七条是关于跨境数据流动的问题，即数据交付。关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据均应当在境内存储，也就是所谓的数据本地化。但是不能轻易使用“数据本地化”这个词，各个国家都采取叫做本国关键数据，或者说本国所产生数据进行本地化的存储，有人把它称为网络空间的巴尔干化或者碎片化。

在最理想状态下，假设各个国家之间都是好人，不存在像美国这样的恶霸级的国家，整天想在全球网络空间做一些其他国家网络战略数据的截取和不当利用的话，理论上说全球数据的自由流动和应用符合市场发展。

但这是理想化状态，在人类大同世界里面可以实现的。现在是分开的本地化存储，其中数据的本地化存储的需求和跨境业务之间有矛盾，所以条文中讲了，“因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。”我们还是要寻找国家安全和发展利益之间的均衡，所谓统筹安全跟发展就是这个意思，各国具体做法其实都差不多。

第四十九条　网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。

网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。

2020年4月13日，国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局12个部门联合制定了《网络安全审查办法》。

第一条 为了确保关键信息基础设施供应链安全，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，制定本办法。

目的是什么？开宗明义，它引入了供应链安全的概念，不仅就系统和软件本身，在整个构成的软件和硬件包括产业本身的供应链上强调了维护国家安全。

第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。

其中“可能影响”表明，防范国家数据安全风险弹性很大，认知是有共识的，但是共识受外部环境的影响很大，需要保持相当的弹性，因为这是国家安全实践的需求。

第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

审查的内容是什么，早就有人想到了。有些老外整天说这东西是不是会侵犯知识产权，这边也有，然后事前审查与持续监管相结合，企业承诺和社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

第四条 在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

第五条 运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。

关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。

《国家安全法》中提到企事业单位有维护国家安全的义务和责任。包括维护国家安全的自觉、国家安全的意识、预判风险的能力，是责任和义务的体现。而关键信息基础设施保护的工作部门，应该制定本行业本领域的预判指南。两方面讲，个人要主动配合，相关的主管部门要出指南。依据指南可以降低交易成本、提升效率。

第六条 对于申报网络安全审查的采购活动，运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或必要的技术支持服务等。

其中会有一些特殊的点，如果涉及到企业到别的地方去、境外公司机构享受或购买一些特殊服务时，不仅会涉及商业上的合作关系，也涉及到主权国家间的关系、安全、态势变化。比如像美国动不动通过它的立法机构和纷繁的法律体系，到这来薅一把，开一堆冠冕堂皇的理由要求把你工作底稿、内部数据拿给它。对运营者来说，国家安全和商业利益之间要形成一个均衡就变得非常重要。对我们的政府来说，要发展出更加健全和完善的体系帮助这些行为体更好地应对这些特殊的挑战，

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。

当世界上存在一个霸权国家动不动就利用自己在供应链和服务领域的优势，对其他国家颐指气使，动辄损害其他国家核心利益安全的时候，它就成为了全球商业界的共同的敌人，因为它极大增加了商业的成本，扰乱了一个正常的市场秩序。

第十四条 网络安全审查办公室要求提供补充材料的，运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。

这些大体上要求在30个工作日内完成初步审查，情况复杂的可以延长15个工作日。如果发现材料不全，被要求补充材料，如果不配合是不会进行下去的。

第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

第十五条有另外一套机制，针对不自觉的对象，有主动的介入。按照这条推论，最近通知的出台应该是经过了由成员机制的成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会并且得到批准之后，这份通知才出来的。

如果企业自觉的话，应该是在通过国家网络安全审查之后才做后续一系列动作，但现在后续动作做完了，这个通知还是出现了，也就是说它前面没有主动申报，没有等到网络安全审查完成。所以这个案例值得深度观察。

第十六条 参与网络安全审查的相关机构和人员应严格保护企业商业秘密和知识产权，对运营者、产品和服务提供者提交的未公开材料，以及审查工作中获悉的其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或用于审查以外的目的。

第十七条 运营者或网络产品和服务提供者认为审查人员有失客观公正，或未能对审查工作中获悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。

第十八条 运营者应当督促产品和服务提供者履行网络安全审查中作出的承诺。

网络安全审查办公室通过接受举报等形式加强事前事中事后监督。

在这个过程中，用细化的第十六条、第十七条，第十八条讲了权益的保障，提供救济渠道，履行承诺。也许有些人会认为保障机制比较粗糙，但是从时间角度上说，它的可操作性是相当强的。

第十九条 运营者违反本办法规定的，依照《中华人民共和国网络安全法》第六十五条的规定处理。

第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务。

第十九条中，违反规定者责令停用未经网络安全审查的产品和服务，处以采购金额1倍以上、10倍以下的相关罚。第二十条明确了所提到的网络产品和服务。

第二十一条 涉及国家秘密信息的，依照国家有关保密规定执行。

第二十二条 本办法自2020年6月1日起实施，《网络产品和服务安全审查办法（试行）》同时废止。

这次事件会成为一个非常经典的案例，最后的结果还有待后续的观察。对于国家相关部门已经直接介入的事件，我们对它的具体内容没有必要进行过多的讨论，最后的结果会告诉我们相当多的东西。

但是从这个案例引申出去的这三部法律，对所有关注中国网络安全、关注中华人民共和国政府如何在复杂的国际、国内形势中，在信息技术革命背景下，考虑自身的信息化和数字经济的发展需求以及国家网络安全维护的正当需求之间达成一个均衡，然后持续将网络安全实践和各项工作推进将是一个极其重要的观察案例。

此外，这个案例对于《网络安全审查办法》的运行效果和产生作用，以及如何在变动的环境中保障国家安全也会形成充分认识。对于相关企业来说，如何在这样一个复杂的环境当中如中美之间的战略性态势找到一个合适的均衡点，决定自己业务的展开，为国家安全承担责任，履行保障国家安全的义务，都是具有非常重要参考价值的。

（整理/观察者网 赵珺婕）

本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。

　　网站声明：本文“沈逸：网络安全如何审查，读懂这三部法律就明白了”资源信息来自互联网，以学习交流为目的，整合法律法规、政府官网及互联网相关知识，不拥有所有权，不承担相关法律责任。如果发现有涉嫌抄袭的内容，请联系我们，并提交问题、链接及权属信息，一经查实，本站将立刻删除涉嫌侵权内容。