近日，網(wǎng)絡(luò)安全審查辦公室依法對美光公司在華銷售產(chǎn)品進行了網(wǎng)絡(luò)安全審查。美光公司是一家以美國為基地的半導(dǎo)體公司。公司的主要產(chǎn)品有閃存、動態(tài)隨機訪問存儲器（DRAM）、靜態(tài)隨機訪問存儲器（SRAM）等。

　　經(jīng)網(wǎng)絡(luò)安全審查辦公室審查發(fā)現(xiàn)，美光公司產(chǎn)品存在較嚴重網(wǎng)絡(luò)安全問題隱患，對我國關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈造成重大安全風險，影響我國國家安全。為此，網(wǎng)絡(luò)安全審查辦公室依法作出不予通過網(wǎng)絡(luò)安全審查的結(jié)論。按照《網(wǎng)絡(luò)安全法》等法律法規(guī)，我國內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的運營者應(yīng)停止采購美光公司產(chǎn)品。

　　以下就我國2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》有關(guān)網(wǎng)絡(luò)安全審查的客體與重點對象做簡要解析。

　　2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》第一條規(guī)定：“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護國家安全，根據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，制定本辦法?！?/p>

　　從上述立法目的看，《網(wǎng)絡(luò)安全審查辦法》的上位法涉及三部法律和一部國務(wù)院條例，修訂后的《網(wǎng)絡(luò)安全審查辦法》在《國家安全法》和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，增加了《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》，其中《數(shù)據(jù)安全法》明確提出“國家建立數(shù)據(jù)安全審查制度”；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全的，應(yīng)當按照國家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。

　　《網(wǎng)絡(luò)安全審查辦法》第二條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運營者（以下簡稱運營者）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者（以下稱運營者）開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，應(yīng)當按照本辦法進行網(wǎng)絡(luò)安全審查。

　　根據(jù)上述規(guī)定，《網(wǎng)絡(luò)安全審查辦法》審查的客體有兩大類，一是關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)；二是數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，這兩類客體是網(wǎng)絡(luò)安全審查法律關(guān)系主體的權(quán)利和義務(wù)指向的對象，只要這兩類客體的行為或結(jié)果影響或可能影響國家安全的，必須依法進行國家網(wǎng)絡(luò)安全審查。

　　關(guān)于網(wǎng)絡(luò)安全審查，修訂后的《網(wǎng)絡(luò)安全審查辦法》主要針對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，以及網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的風險因素。根據(jù)《網(wǎng)絡(luò)安全審查辦法》第十條的規(guī)定，網(wǎng)絡(luò)安全審查重點評估相關(guān)對象或者情形的以下國家安全風險因素：（一）產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風險；（二）產(chǎn)品和服務(wù)供應(yīng)中斷對關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因為政治、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風險；（四）產(chǎn)品和服務(wù)提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況；（五）核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；（六）上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網(wǎng)絡(luò)信息安全風險；（七）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。

　　從上述影響或者可能影響國家安全風險因素和審查權(quán)重上看，《網(wǎng)絡(luò)安全審查辦法》第十條（一）至（四）主要強調(diào)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)引發(fā)的國家安全風險因素。需要指出的是，并不是關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需要進行國家網(wǎng)絡(luò)安全審查，《網(wǎng)絡(luò)安全審查辦法》所指的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計算機和服務(wù)器、大容量存儲設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計算服務(wù)，以及其他對關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

　　關(guān)于數(shù)據(jù)安全審查，《網(wǎng)絡(luò)安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡(luò)安全審查重點評估的五大國家安全風險因素的基礎(chǔ)上新增了兩項重要內(nèi)容：一是核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險；二是上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險，以及網(wǎng)絡(luò)信息安全風險。同時，新增加一條并列為《網(wǎng)絡(luò)安全審查辦法》第七條，即“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查?！边@是一條強制性規(guī)定，也是一條不可逾越的紅線，任何網(wǎng)絡(luò)平臺運營者都必須嚴格遵守。

　　《網(wǎng)絡(luò)安全審查辦法》第十條（五）（六）主要是針對核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險，以及上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息被外國政府影響、控制、惡意利用的風險等。目前，我國數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，這個數(shù)據(jù)分類的方法主要是基于數(shù)據(jù)對國家安全、公共利益或者個人、組織合法權(quán)益的影響和重要程度。

　　2021年11月，國家網(wǎng)信辦公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》明確提出，國家對個人信息和重要數(shù)據(jù)進行重點保護，對核心數(shù)據(jù)實行嚴格保護?！昂诵臄?shù)據(jù)”主要指關(guān)系國家安全、國民經(jīng)濟命脈、重要民生和重大公共利益等的數(shù)據(jù)；“重要數(shù)據(jù)”是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益的數(shù)據(jù)。

　　“重要數(shù)據(jù)”主要包括以下七類數(shù)據(jù)：一是未公開的政務(wù)數(shù)據(jù)、工作秘密、情報數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；二是出口管制數(shù)據(jù)，出口管制物項涉及的核心技術(shù)、設(shè)計方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領(lǐng)域?qū)野踩?、?jīng)濟競爭實力有直接影響的科學技術(shù)成果數(shù)據(jù)；三是國家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護或者控制傳播的國家經(jīng)濟運行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計數(shù)據(jù)等；四是工業(yè)、電信、能源、交通、水利、金融、國防科技工業(yè)、海關(guān)、稅務(wù)等重點行業(yè)和領(lǐng)域安全生產(chǎn)、運行的數(shù)據(jù)，關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù)；五是達到國家有關(guān)部門規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國家基礎(chǔ)數(shù)據(jù)；六是國家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運行及其安全數(shù)據(jù)，國防設(shè)施、軍事管理區(qū)、國防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù)；七是其他可能影響國家政治、國土、軍事、經(jīng)濟、文化、社會、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。[2] 上述七類重要數(shù)據(jù)不包括國家秘密和個人信息，但基于海量個人信息形成的統(tǒng)計數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。

　　如何識別重要數(shù)據(jù)？國家市場監(jiān)督管理總局和國家標準化委員會發(fā)布的《重要數(shù)據(jù)識別指南》確立了六項應(yīng)遵循的基本原則：

　　一是聚焦安全影響：從國家安全、經(jīng)濟運行、社會穩(wěn)定、公共健康和安全等角度識別重要數(shù)據(jù)，只對組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù)；

　　二是突出保護重點：通過對數(shù)據(jù)分級，明確安全保護重點，使一般數(shù)據(jù)充分流動，重要數(shù)據(jù)在滿足安全保護要求前提下有序流動，釋放數(shù)據(jù)價值；

　　三是銜接既有規(guī)定：充分考慮地方已有管理要求和行業(yè)特色，與地方、部門已經(jīng)制定實施的有關(guān)數(shù)據(jù)管理政策和標準規(guī)范緊密銜接；

　　四是綜合考慮風險：根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素，綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風險，從保密性、完整性、可用性、真實性、準確性等多個角度識別數(shù)據(jù)的重要性；

　　五是定量定性結(jié)合：以定量與定性相結(jié)合的方式識別重要數(shù)據(jù)，并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法；

　　六是動態(tài)識別復(fù)評：隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化，動態(tài)識別重要數(shù)據(jù)，并定期復(fù)查重要數(shù)據(jù)識別結(jié)果。

　?。ㄍ醮簳煟赫憬髮W網(wǎng)絡(luò)空間安全學院教授、中國科協(xié)網(wǎng)絡(luò)與數(shù)據(jù)法治決策咨詢首席專家、工信部信息通信經(jīng)濟專家委員會委員。）

更多精彩，請關(guān)注“官方微信”