李天航：從“網絡安全審查”看中國網絡和數據治理的法律體系

2021-07-06

【採訪/觀察者網周遠方】

觀察者網：近日，有幾家網絡出行平台接受網絡安全審查，引起關注。實際上，去年以來，中國就連續出台一系列關於網絡和數據的法律法規，能否請您梳理一下目前中國的網絡安全和數據治理體系？

**李天航：**中國網絡和數據相關的法律法規體系經歷了長期發展的過程，最早可以追溯到1994年的《計算機信息系統保護條例》、2000年9月公佈實施的國務院《電信條例》。真正聚焦到互聯網領域，是從2017年6月1日實行《網絡安全法》開始的，這是一個標誌性的事件，後續圍繞網絡和數據領域，陸續出台了涵蓋即時通訊、社交網絡、電子商務、網絡交易等，包括互聯網內容治理等方面的很多法律法規。

但是跟《網絡安全法》直接配套相關的文件之一，其實就是去年4月，由國家互聯網信息辦公室、國家發改委等12個部門聯合發佈的《網絡安全審查辦法》。

網絡安全審查對應的上位法律有二，一是《國家安全法》的第25條和第59條，兩個法條主要聚焦網絡領域的國家安全內容，尤其是第59條：

“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。”

二是《網絡安全法》，對應《國家安全法》的這兩條內容，出台了相應的規定，明確了“關鍵信息基礎設施運營者”（也可簡稱“CIIO”，關鍵信息基礎設施也可簡稱“CII”）的概念，如果CIIO要採購網絡產品和服務，可能影響國家安全，就要進行國家安全審查，由網信部門牽頭的辦公室來實施。

這兩部上位法相關內容的細化，就形成了《網絡安全審查辦法》，它從程序上做了比較細緻的規定，但我們認為還需要進一步的標準化。

從整體看，中國網絡數據領域的法律體系是以三部法律為基礎的，分別是《網絡安全法》、《數據安全法》和《個人信息保護法》，我們形象地稱它為“三足鼎立”，其中《網絡安全法》已經公佈實施；《數據安全法》已經公佈，今年9月1日正式實施；《個人信息保護法》據説會在今年8月人大常委會會議上審議，基本上已經進展到三審三讀的階段，一般認為不出意外的話會通過，經過3-6個月間隔期後正式生效。這三部法律出台後，中國互聯網領域基礎性的法律法規框架體系就已完成，其他法律、法規、部門規章、地方性法規等等，都會在這三部法律組成的體系之下，繼續細化具體的內容，逐步覆蓋互聯網、個人信息和數據活動的方方面面。

觀察者網：具體從《網絡安全審查辦法》來説，它是網絡安全法體系下的政府規章，規定的問題比較細節，能否介紹一下這部規章涉及哪些內容？

**李天航：**根據《網絡安全法》第35條，《網絡安全審查辦法》針對的主體首先是“關鍵信息基礎設施運營者”。對關鍵信息基礎設施的界定來源於《網絡安全法》第31條的規定：

國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。

國家鼓勵關鍵信息基礎設施以外的網絡運營者自願參與關鍵信息基礎設施保護體系。

法條用列舉加概括的方式，界定了“關鍵信息基礎設施”，對應地，某大公司這次既然受到網絡安全審查，就意味着它必然已經被認定為CIIO。具體來看，該公司一是運營公共交通，二是聚集了大量個人信息，被界定為關鍵信息基礎設施運營者的角度既有可能是因為其屬於交通行業，也有可能因為匯聚了大量的個人信息，以及其運營系統被認為是“其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”，但到底是哪個維度，目前還沒有看到相關信息。

從該公司被認定為CIIO，我認為對其他企業應該也有一個啓發，就是掌握了大量的個人信息和數據的平台型企業，被認定為CIIO的概率是非常大的。即使有些企業現在沒有被認定，但不排除將來會被認定。

因為從時間線上來看，《網絡安全法》是網信辦牽頭的，但到底是由網信辦還是其他部門來負責CII的監督管理，此前一直沒有確定。但是去年公安部下發了《關於貫徹網絡安全等級保護制度和關鍵信息基礎設施安全保護條例的指導意見》（公網安[2020]1960號）文（俗稱“1960號文”），明確了公安機關作為CII保護的牽頭保護部門。責任部門明確之後，對社會上大量主體是否是CIIO的認定很快就會鋪開，另外，儘快出台《關鍵信息基礎設施保護條例》的概率也會非常大。

明確了CIIO的概念，再來看《網絡安全審查辦法》第2條：

關鍵信息基礎設施運營者（以下簡稱運營者）採購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。

第20條：

本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。

也就是説，CIIO採購上述這些類型的設備和服務，都要受到審查，作為CIIO，首先要預判所採購的產品和服務是否可能會對國家安全產生影響，如果認為可能，應該要主動申報網絡安全審查。從目前的公開信息看，我們無法得知某企業是否主動申報了網絡安全審查，但從種種跡象猜測，可能是一個被動行為。

觀察者網：目前有一些輿論認為，這次網絡安全審查的啓動，是《網絡安全審查辦法》自去年出台後的首個案例，這是否屬實？如果是的話，是否傳遞出一些信號？

**李天航：**確實有這樣的説法，目前從公開檢索渠道來看的話，確實沒有檢索到其他案例。

這傳遞出一個什麼樣的信號？我們認為，首先就是國家要重點關注互聯網領域的安全，尤其是關鍵信息基礎設施的供應鏈安全。

《網絡安全法》和《網絡安全審查辦法》更多是要規範CIIO採購網絡產品和服務；同時還應該看到，不久前剛剛公佈的《數據安全法》第24條，明確了：

國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。依法作出的安全審查為最終決定。

也就是説，數據安全領域的國家安全審查決定不具備可訴性，相關市場主體對於國家相關部門做出的最終決定，無法通過複議、訴訟等渠道救濟。所以企業對數據安全領域的國家安全審查必需重視起來。

上述網絡安全領域和數據安全領域的安全審查，就對標了《國家安全法》第25條和第59條的內容，這兩項審查制度彰顯了國家對互聯網領域和數據領域安全領域的國家安全越來越重視，這也會是今後執法的一個焦點。對企業來説，只要經營活動對國家安全可能有一定的影響，國家都會介入進行安全審查。

國家在互聯網領域和數據安全領域的主導，會是一種新常態。

那麼對掌握大量數據和資源的大型平台型企業來説，在這方面肯定要多加關注，對經營環境的變化要有預判，要主動配合國家網絡安全體系的建設，而不能被動等待執法機關的工作，否則對自身經營業務將產生不利影響。

觀察者網：您剛才提到了平台型企業，這個名詞最近曝光度很高，那麼平台的概念和“關鍵基礎設施運營者”的概念，兩者之間有怎樣的關係？

**李天航：**平台型企業不是一個法律概念，但是“關鍵信息基礎設施運營者”是一個法定概念。企業搭建平台來為供求雙方提供服務，比如滴滴、阿里、京東，都是典型的平台型企業。

由於平台型企業天然彙集大量數據，從某種程度上看，一個平台往往就能反映一個社會生態圈，能夠映射一個社會的部分運行情況，關乎社會公共利益和國家安全的一部分運行情況，也會在平台上得以映射。同時，基本上所有平台型企業，都是通過互聯網技術來實現經營，所以他們的業務平台網絡和系統，就有可能是“關鍵信息基礎設施”。

運營“關鍵信息基礎設施”當然會產生很多利益，這個我們先不講，從義務上來講，我國已經建立了網絡安全等級保護制度，對於CIIO來説，在“等保”的基礎上，還要進行重點保護的話，比如在網絡建設的過程中，就要做到“三同步”，必須保證安全技術措施同步規劃、同步建設、同步使用。在網絡運營過程中，必須設置專門的安全管理負責人，要對負責人和關鍵崗位人員進行對比調查、定期培訓、技能考核、簽訂安全和保密協議，對重要系統和數據庫進行容災備份，等等。

這在我們將來出台的《關鍵信息技術設施保護條例》肯定會更加細化具體。

還有最關鍵一點，就是數據出境。《網絡安全法》第37條規定，

關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

也就是CIIO在中國境內收集的個人信息和重要數據首先要做到本地存儲，數據要出境必須滿足因業務需要確需向境外提供，並且還要通過安全評估，如果通不過，就不能對外提供。

還有CIIO應當自行或者委託網絡安全服務機構對它的網絡安全性和可能存在的風險，每年至少進行一次評估，將評估報告報送相關部門。

觀察者網：既然法律法規對CIIO的要求這麼高，這種嚴格的管理和義務會不會成為一道門檻，限制後來者進入這個行業？

**李天航：**如果從法律意義上談到准入或者門檻的話，一般是指行政許可，事前審批才能進入，但我們剛才談的其實不是批准的問題，也不是政府設置門檻或許可，而是想進入的企業必須做到的合規義務，做不到就要面臨處罰，可能還要面臨責令停業整頓。比如這一次，某平台就被暫停了新用户註冊，並且下架APP。

這不是政府審批許可，而是相關經營者必須要自行符合的條件。

另一方面來説，你説的也有一定道理，從我們實際服務企業的經驗來看，在新的業態和法律環境下，提前做好合規性，確實能夠為企業帶來競爭優勢。

2021年6月29日，上海，實拍2021網絡安全博覽會。圖片來源：視覺中國

觀察者網：我們剛剛談了這麼多對CIIO的限制，那麼從互聯網、大數據、人工智能技術的發展角度來説，技術的進步帶來的社會價值是顯而易見的，如何在技術發展、經濟效益和安全合規之間做好平衡？

**李天航：**從社會學的角度來講，技術發展是一個不可逆的過程，是一個不可阻止的方向，技術發展對社會生活帶來大量的便利。

近代以來，技術的發展更多是通過經濟利益的驅動來實現的，這個過程中確實會伴生一些負面影響，包括一些安全事件甚至技術被應用於違法犯罪。這更多要通過法律法規中的一些禁止性規定來實現。我們要提前防範一些不利影響，就要通過法律規定對企業提前設定一些相關義務，來強化企業的社會責任。

觀察者網：某中國大型網約車平台，到美國上市，它也把自己掌握的大量數據作為自身在資本市場講故事的一大優勢，但是今天中國、歐洲和美國都非常強調數據治理問題，在跨法域經營過程中，CIIO應該怎樣做好合規工作？

**李天航：**第一，該網約車平台目前還沒有跨法域經營，它作為一家主要在中國經營的企業，所有數據首先是存儲在本地的，但是它在美國上市，也不可避免地會涉及到一些數據出境問題。因為美國證券市場對於上市公司有很高的信息披露要求，包括必須根據美國公認會計原則編報其財務報表、必需根據美國證券法律規定，對公司重大信息及時披露等，這勢必涉及到一些該公司在中國境內的經營情況數據，是否能夠出境的問題。這涉及《數據安全法》以及金融領域有關數據出境的交叉管理制度，企業必須要高度重視，並聘請專業的機構協助處理。

第二，對於一些已經“走出去”，實現跨法域經營的中國公司來説，國際數據治理的大環境正在迅速變化，各個國家都在通過制定本國法律保護本國國民的個人信息、重要的數據等，尤其是在個人信息保護領域，類似歐盟制定的GDPR之類的法律法規正成為一種常態。如果這些企業採取的是一體化的網絡架構和數據治理模式，如統一的數據中心，這就必然會面臨數據/個人信息所在國法律有關數據出境的約束，同時，在中國取得的數據如果存儲於中國以外的其他國家的數據中心，也必須符合中國《網絡安全法》、《數據安全法》等等關於數據出境的合規要求。

觀察者網：全球化時代，數據流動和治理也是一個全球性的課題，中國目前在這方面處於怎樣的水平，前景怎樣？

**李天航：**首先，在國際數據治理層面上，目前還沒有做通過國際公法、國際公約、雙邊/多邊條約的方式，或者這個領域的全球組織或者國際化組織。更多都是通過各國國內法的形式治理，在本國法律之下做出相應的規定和約束。

在此基礎上，我們國家的立法起步時間上可能會晚於某些國家，但是一定程度上也具有後發優勢。同時，我們也可以通過比較研究的方法，歐美國家怎麼立法，我們可以根據自己的研究和實際情況借鑑。

在這方面，雖然中國立法起步比較晚，但是從一些規制性措施來看，我們國家的法律經常有一個關鍵性的原則，就是對等原則，包括《數據安全法》也遵循這個原則，別的國家對我們採取什麼限制性約束性的措施，中國也會做一個相應對等的設置。另外，出於國家安全和個人信息保護的角度，我們也做了相應的法律規定和約束。

所以，中國的相關立法水平其實並不會落後於其他國家。

觀察者網：那麼從影響力層面來説呢？正像您説的，目前全球數據治理還沒有到國際公法時代，還處於一種各國“割據”狀態，那麼一國法律的影響力就至關重要。中國基於自身近20年在互聯網領域的飛速發展，市場容量非常大、網絡基礎設施建設水平領先，出現了一批走出去的大型企業，中國市場對國外大企業的吸引力也很強，這些因素是否會為中國網絡治理的影響力加分，中國是否會參與國際治理和話語體系建設？

**李天航：**是的，全球經濟一體化和信息技術一體化進程在加速，雖然中國的網絡基礎設施建設對互聯網治理水平不是起一個決定性影響作用，但它其實推動了中國社會整體治理水平的提升。中國基礎建設建設其實逐步領先於其他國家，那麼對於我們的相關法律治理水平和制度體系的要求會更高，這有可能推動我們國家的治理水平逐步高於其他國家，我覺得這是一個大趨勢。

目前，我們國家正在積極參與到網絡與數據領域的國際治理和話語體系建設中，不久前的6月29日，中國常駐聯合國代表張軍剛剛表示，應制定各國普遍接受的網絡空間國際規則，反對搞小圈子和集團政治，反對搞科技霸權。中國正在通過聯合國和安理會這個全球性組織，倡導各國應踐行真正的多邊主義，在聯合國框架下建立各方平等參與、開放包容、可持續的網絡安全治理進程。

觀察者網：從數據治理來説，除了剛才説的三部法律，以及《網絡安全審查辦法》這樣的部門規章，還有地方性法規，像深圳的電子產業是比較發達，也是比較有特點的；上海今後可能也會出地方規章，包括合肥現在集中了一些新能源車產業，是否也可能出一些有地方特點的規章？“試點”是中國治理體系中非常有特點的一個做法，能否從這個角度談一下您的觀察？

**李天航：**深圳的電子產業確實發達，但我認為這不是深圳出台互聯網地方性法規的主要原因，可能對互聯網影響更大的是騰訊在深圳，騰訊是最能凸顯數字經濟的一家企業，同時，深圳作為一個經濟特區，有自身地方性的特色，深圳在數字經濟化和經濟數字化方面，走得相當靠前。

其次，地方性立法在國家法律和行政法規的框架之下，更多會結合地方性的特色，比如合肥確實可能對新能源車相關的內容做一些規則和約束；上海可能在數字政務這方面基礎較好，出台這方面的地方性法規也是有可能的。

有些產業如果地方性特色比較明顯，就不適合在全國層面統一推開去做，所以在數據治理上，將來就有可能形成國家法律法規+行業主管部門規章+地方人大和政府地方性立法的立體格局，對於這樣一種縱橫交織的治理體系，企業將來很可能面臨更多的法律合規義務的挑戰，不只要關注國家的法律法規，還要關注地方性的立法。

隨着數字經濟發展，中國對網絡安全審查越來越重視。圖片來源：視覺中國

觀察者網：將來地方要打造特色產業生態，彰顯比較優勢，吸引優質企業，可能一部好的地方性法規也是一個競爭力？

**李天航：**對，其實《數據安全法》第14條規定，

省級以上人民政府應當將數字經濟發展納入本級國民經濟和社會發展規劃，並根據需要制定數字經濟發展規劃。

第27條規定，

開展數據處理活動應當依照法律、法規的規定，建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。利用互聯網等信息網絡開展數據處理活動，應當在網絡安全等級保護制度的基礎上，履行上述數據安全保護義務。

本條中的“法規”就包括地方法規。

觀察者網：最後一個問題，中國網絡和數據治理體系還在推進之中，業界和相關企業應當關注哪些變化？能不能談一下您的觀察和對企業的建議？

**李天航：**我最近幾年都專注於相關領域，我想用兩個詞來表述企業應當關注的大背景和大環境。

第一個詞是“企業數字化轉型”，第二個詞是“數字經濟新常態”。

數字經濟新常態，是當前國家對整個經濟發展形勢的界定，“新常態要有新動力，數字經濟在這方面可以大有作為”。數字化轉型，就是企業應對數字經濟新常態必須做好的功課，將來的世界，很可能是一個數字孿生的世界，所有企業都必須融入到互聯網生態中去，網絡和信息系統就是企業生存的基礎。

那麼，將來所有企業的所有經營行為，都必須受到《國家安全法》、《網絡安全法》、《數據安全法》、《個人信息保護法》這四部法律為綱的立體法律框架體系的規範，撇開層級更高的《國家安全法》，“三足鼎立”的三部法律，都對企業提出了非常詳細的義務性要求，而且每一項都可能會配套的出台相應的法規、規章等等。企業如果不能做到遵守，是無法生存的，所以企業必須要關注這些方面的內容。

既然如此，我們建議企業要有前瞻性，要主動擁抱這些法律法規，做好自己的數據合規工作。

調整自己的經營、運維和治理理念，甚至重塑自身業務模式，這不但能夠預防很多行政甚至刑事處罰風險，而且某種程度上來説，合規能夠成為企業的最大競爭力。如果能夠事先做到合規，就能減小或者避免法律風險，如果業務模式有前瞻性，就無需在監管來臨時重新去做大的調整。

觀察者網：如果今天中國的數據和網絡安全法律體系能夠產生一個促使企業提前調整和規範自身行為的作用，我個人認為，能夠達到很好的社會效益。

**李天航：**是的，反過來説，由於數字和網絡技術的特點，企業在擁抱數字經濟新常態的過程中，一定要拋棄傳統的“碰到事情再搞定”，或者“找人幫忙搞定”的態度，互聯網領域是一種“數字邏輯治理”，碰到事情的時候，沒辦法去人為干預，更沒辦法“搞定”。所以對社會治理來説，這是上了一個台階，對企業來説，事前防禦性的合規，可能才是最經濟的一種做法。

本文系觀察者網獨家稿件，文章內容純屬作者個人觀點，不代表平台觀點，未經授權，不得轉載，否則將追究法律責任。關注觀察者網微信guanchacn，每日閲讀趣味文章。