5天后生效!专家解读《网络安全审查办法》:不必视为华为事件反制利器,而是向国际法律框架看齐

5天后生效!专家解读《网络安全审查办法》:不必视为华为事件反制利器,而是向国际法律框架看齐
麻省理工科技评论 2020-05-27

2020-05-27

6 月 1 日将正式实施的新法规——《网络安全审查办法》
6 月 1 日将正式实施的新法规——《网络安全审查办法》

本月中,美国商务部宣布对华为的禁令升级,中方的反制手段成为了接下来的焦点之一。此时,有不少人将目光投向了一个将于 6 月 1 日正式实施的新法规——《网络安全审查办法》(以下简称“审查办法”)。

作为 2017 年实施的《网络产品和服务安全审查办法(试行)》的升级版,其最早在今年4月发布。

5天后生效!专家解读《网络安全审查办法》:不必视为反制利器

图|网络安全审查办法披露(来源:中国网信网)

亚洲网根据官方介绍,这是一项与网络安全法相配套的重要办法,会重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。关键信息基础设施运营者,应当在与产品和服务提供方正式签署合同前申报网络安全审查。

审查办法全文 14 条,只有 2000 余字,联合签发部门却多达 12 个,对于科技产业尤其信息产业从业者来说,需要额外关注。

不过在数据法律学者、上海交通大学数据法律研究中心执行主任何渊看来,它的到来并不突然。

过去几年,何渊一直在研究和比较中国与国际的数据安全立法,并参与到国内多家科技公司的数据合规体系建设中。在接受 DeepTech 采访时,中国和国际上其他国家如何发展自己的数据安全法律体系,成为他解读该办法的出发点。

他特别强调的是,要真正理解办法的出台,需避开将其视为特定事件反制手段的误区,取而代之的是将重点放在三个关键词上:关键信息基础设施、供应链的安全、国家安全。

这三个关键词对应着三个变化,面向更加开放的中国市场,这些变化正在指明国外、国内科技企业,在通往数据安全、网络安全的道路上,哪些是坑,哪些是灯。

“对于企业来说,合规会变成一个‘合则生,不合则亡’的问题”,他说。

亚洲网以下 QA 为主要解读内容:

DeepTech:如何理解《审查办法》的出台背景?
何渊:这个办法并不是一个全新、突然出现的产物,而是有“前身”的,是对此前方案的提升,即对《网络安全法》和《国家安全法》的进一步落实。前身是 2017 年实施的《网络产品和服务安全审查办法(试行)》的升级版,下面两部法律是依据。

依据之一,《国家安全法》第 59 条规定,要建立国家安全审查和监管的制度,其中特别提到对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查。这是最主要的一个依据。

依据之二,《网络安全法》第 35 条规定“关键信息基础设施的国家安全审查机制”,但通过以后也一直未得到很好落实。它特别强调的一个概念是,关键信息技术设施的运营者采购网络产品和服务,如果可能影响国家安全的,应该由网信部门和国务院的相关部门组织进行网络安全审查。

所以,审查办法是对两部重要法律的进一步落实,是对《网络产品和服务安全审查办法(试行)》的升级,倒不一定是去针对美国或者针对其他国家。

国家层面其实一直就有完善数据、网络安全法律体系的计划,在我看来这是一种国际化表现。因为近年来,包括欧盟、美国在内,其实都有这样类似的制度。因此我认为新的办法只是对这样一种制度的法律化而已。

这样的一个办法升级版,其实比之前版本更聚焦了,主要体现在以下三个重要变化中:

其一:从“重要网络和服务”到“关键信息基础设施”。
其二:立法目的从“自主的安全可控”到“供应链的安全”。
其三:审查重点从“国家安全和公共利益”到仅聚焦“国家安全”。

原来强调技术的自主可控,现在强调供应链的安全,这两种说法差别很大,尤其是对于在中国从事业务的外企来说,其实是利好。因为强调自主可控的话,外资的产品其实是没有机会的。

现在调整为供应链安全,也就是说外资企业还是有很大空间的,只要通过国家安全审查。而且强调供应链安全其实不仅仅针对外资,中国本土的网络产品如果威胁国家安全的话,同样也要进行审查。也就是说这并非是对外资采取特殊做法,即不管是外资中资,只要威胁到关键信息基础设施,对国家安全有风险,那么就要进行审查。

在我看来,这是一种更加开放的态度,是常态化、制度化、透明化地去做开放这件事情。

尤其对外资来说,这不是关上门,而是要继续开门,是门开得更大的一种表现,即我把我的底线、逻辑,都摊开告诉你,只要对中国的发展有利,不会影响中国的供应链安全或者影响国家安全,你的产品、服务,你外资企业,中国统统欢迎。包括中国要大力去发展的新经济和新基建,其实也不会排除外资投资。中国一直都是主张推动全球化,无论一带一路,还是海上丝绸之路,这种思路从最高层来说还是很明确清晰的。

5天后生效!专家解读《网络安全审查办法》:不必视为反制利器

图丨《麻省理工科技评论》2020 年“全球十大突破性技术”之一——防黑互联网(来源:麻省理工科技评论)

DeepTech:有说法说这是针对华为事件的一种反制。

何渊:现在一些媒体解读审查办法会是一种反制,我个人觉得这种解读是有问题的。

包括我自己研究的思路,以及我们的咨询报告,我个人观点一直都很明确的,即在数据安全和数据隐私这一块,我们不必自立一个与欧美完全不同的标准,相反,要深入,要进一步国际化,去借鉴欧美的一些经验,去和欧美框架对标,甚至后续要去主导、引领国际主流标准,而非自己把门一关,去做孤立的数据立法。我觉得中国不会这么做,最根本的原因是不符合中国的根本利益。

我们是务实主义的,即首先要发展经济,如果没有欧美一流的厂商,一流的技术进来,怎么实现所谓的新经济、新基建?不管是传统基建,到新基建,中国都是采取非常开放的态度,希望外面的高科技、高技术进来,现在特殊的情况下美国采取了非常紧缩的一种态度,与美国现在 5G 和所处地位是有关系的,美国用国家安全来对中国公司进行审查,甚至在 Zoom 这家美资企业只要涉及华人就认为有安全的问题,显然属于比较极端的态势。

从我个人的角度来说坚决反对中国去这么做的,因为我前面已经下了一个结论,这是不符合中国国情的,只有全球化,包括贸易的全球化,才是最符合中国的根本利益。

所以,声称网络安全审查办法要去针对某个具体的企业,某个具体的行业,我并不认同。

它其实是一直在计划内的一个产物,只是立法需要各个部委之间要形成一个共识,需要时间,往前追溯它的形成都是一步一脚印的,现在刚好在这个时间点推出。

亚洲网至于要对外资进行限制或者是对某些国家的一些公司进行限制,更需要去关心的是商务部的不可靠实体清单,而非网络安全审查办法。中国商务部的不可靠实体清单正是对应美国制裁华为的实体清单的。

我认为,将审查办法往反制的方向去想是有误的,也不符合现实情况。

5天后生效!专家解读《网络安全审查办法》:不必视为反制利器

图 | 华为零部件占比(来源:日经中文网)

DeepTech:一个关键的变化是从技术的自主可控转变为供应链安全,但是这两个部分应该是有交集?
何渊:肯定是有交集,但是为什么要这样改?

如果对技术有了解的话,在 5G 和人工智能时代,所有技术都由中国自主来完成,这种可能性是没有的,这是全球化的时代。

我认为中国的立法者其实已经意识到这是一个问题,即强调自主可控其实可能是不太能实现的,最起码这是不经济的,因为技术都需要进行分工,每个国家在某种技术上可能都有优势,光刻机就是一个典型。再如 5G、人工智能技术,也不可能中国全都拥有。

谈自主可控,是静态的角度去理解,谈供应链安全,则是动态的要求。比如说欧盟、日本、韩国,相对我们会认为他们更能达到供应链安全的要求,即不会随便找个理由来卡中国及中国的企业。两者有联系但是差异很大。

DeepTech:它是此前法规的延续和聚焦,但是不同于以往的是,它参与的部门数量却非常之多?
何渊:是的,基本上主要的部委都参与了,甚至包括央行、商务部等等,一般很少会有这样一个程度,所以这个《办法》会涉及很重要的一个制度。

根据此前的《网络安全法》第 8 条的规定,国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定,在各自职责范围内负责网络安全保护和监督管理工作。

会动用这么多部门,其实也是在参考国际经验。

它的前身《网络产品和服务安全审查办法(试行)》涉及的面特别宽泛,涵盖公共安全、网络安全、国家安全,但是新的网络安全审查办法非常聚焦,本质上聚焦于国家安全,这一点是很明确的,即只审查国家安全,不负责诸如个人信息保护等等,这些都不是它的重点。而且办法聚焦于重要数据、关键信息设施,以及供应链的安全,其实是很明确界定了边界。

原来的范围太大,那现在明确下来聚焦国家安全审查这一件事,一旦提升到国家安全角度,以上部门都是相关的。

办法的三个关键词,第一个是关键信息技术设施,第二个供应链安全,第三个是国家安全,与上述部委都是相关的。

5天后生效!专家解读《网络安全审查办法》:不必视为反制利器

图丨AI 时代下的黑客正朝两个方向发展:愚弄 AI 系统和利用 AI 发起攻击(来源:CB Insights)

DeepTech:涉及关键信息基础设施的,无论中资还是外资公司,都需要自己去衡量需不需要提交审查,这种流程的逻辑是什么?

何渊:原来的做法我们叫做政府的规制,但现在特别提到的一个概念是治理的现代化。慢慢地要让市场主体决定,这可能也是未来非常大的一个变化,即企业自己要承担起这个责任,行判断,或者称为发挥市场的更重要作用,市场主体自行决定要不要申报。

但这后面还跟着一句话,叫做事后强监管,相较于原先的事前监管,事前事中给企业更多的自由,你自己来判断,但是如果出问题,对不起,事后要强监管,也可能处罚的力度就会很大,目前审查办法因为法律效力的层级问题,无权规定很多的罚则,基本还是沿用《网络安全法》和《国家安全法》。

从法律的角度来说,我觉得应当积极吸收欧盟、美国的一些关于事后处罚的经验,尤其是合作治理的理论,这种事后监管模式在网络安全领域是重要趋势。

亚洲网在美国,处罚的力度甚至是可以由企业和 FTC(联邦贸易委员)形成和解协议,即罚多少我们来讨论,例如之前的剑桥分析事件,最后 FTC 罚 Facebook 50 亿美元。这种行政和解协议,不依照法律来一板一眼地单方实施处罚,而是双方,监管者与被监管者谈出来的,我觉得这种方式在对数据治理领域可能会更好,对企业来说可以更加主动地去实现合规。

我一直都觉得合规不是靠政府的强力逼出来的,而主要靠企业的自我规制。当然政府事后的强监管处罚的力度很重要,为什么一些国内企业在数据隐私、网络安全上不重视,原因是处罚力度太低,只罚个十万元,企业基于成本收益的分析,自然是会选择不遵守的,但如果是说像欧盟一样几千万美元甚至上亿、几十亿美元,那企业就要掂量掂量,所以会主动去做一些合规体系。

在大数据时代、人工智能时代,政府监管机构人数毕竟有限,如何去监管?需要考虑到这和传统行业是不太一样,其实难以对从事新经济和新基建的企业进行全程监控的。

未来,这种趋势可能全球都会比较普遍,不仅美国这么做,欧盟其实也会去这么做。

近年来我们也看到,诸如欧盟对 Facebook 动辄数亿美元的处罚,全球的处罚额度都会越来越高,预示强监管时代必然来临,对于企业来说,数据合规就会变成一个“合则生,不合则亡”的问题。

根据审查办法,网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。整个其实就是一套非常完整的体系,要放在完整的数据法律体系下来看待这个问题,从最顶层的国家安全、网络安全,然后到个人信息保护法、数据安全法,再加关键信息基础设施的安全保护条例,到审查办法,再到一系列针对各个行业领域的国家标准,如修改案马上要生效的个人信息安全规范等等,整个体系会在一两年之中变得非常完善,我们必须要放到整个数据法律体系下来看这个问题,就能理解为什么要让企业来自我规制,为何要实现政府和企业的合作治理,它是在这样一种逻辑下产生的。

DeepTech:你提到的三个变化,是怎么体现国际化的?

何渊:体现在用国际通行的法律语言来表达来维护国家网络安全。

此前的一些说法是有一些问题的,比如说审查程序不明确,审查理由不明确。这个办法则是对这些问题的进一步细化,让所有的从事网络和服务的厂商有明确的法律依据,明白应该怎么做。

以关键信息基础设施的提法为例,这个概念是全球通用的概念。如新加坡的网络安全法,主要聚焦的就是关键信息基础设施,包括我们国家澳门地区的网络安全法同样也是如此。原来重要网络和服务的提法,是比较主观的概念。从“国家安全和公共利益”到仅聚焦“国家安全”也是这个逻辑。

所以这些变化从进一步论证,中国是要进一步走上国际化的,要跟欧盟、美国去对话,而非自说自话,用国际通用的语言来维护我们国家的网络安全。

我从与一些跨国五百强企业的交流中也了解到,这对他们来说是非常好的事情。

因为企业怕的就是法律政策一直悬浮着不知道如何落实,要去猜测监管机构要做什么,这是最麻烦的。

法律明确化、透明化,对他们来说是好事,而且相对而言,我个人觉得,相对于国内企业,跨国五百强企业受过欧美监管体系的教训,其合规体系可能会比很多国内企业做得好(当然不包括中国的头部企业)。这样看来,合规也就成为了一种市场竞争优势。

我接触到的是,中国的头部互联网企业其实非常期待这样的数据法律的出台。作为头部企业,他们有非常雄厚的资金能力,那么对他们来说建立一整套合规体系是没问题的,很多公司本来就已经在做这样的工作,因为他们的目标不仅仅是一家中国企业,而是要成为跨国公司,要去全球竞争,那么国内如果有这样一套法律框架倒逼他们去完善合规体系,将有利于他们在国际市场竞争,而在国内竞争上,也会对保障已有的竞争优势有作用,因为如果合规成本高了,中小企业相反会压力很大。

附:审查办法几大关键内容

1、什么是“关键信息基础设施”?

根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。

2、“关键信息基础设施”的范围是什么?

亚洲网根据《关键信息基础设施安全保护条例(征求意见稿)》第 18 条规定,下列网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。而根据第 19 条的规定,国家网信部门会同相关部门制定关键信息基础设施识别指南。

3、审查机构是谁?

设在国家互联网信息办公室的网络安全审查办公室,组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担。在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

4、审查启动机制是什么?

关键基础信息设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。

麻省理工科技评论

From Tech to Deeptech