11 月 14 日，国家互联网信息办公布了《网络数据安全管理条例（征求意见稿）》。

如何理解《条例》提出的网络安全审查要求？

【对应条款】

第十三条 数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或者可能影响国家安全的；

（四）其他影响或者可能影响国家安全的数据处理活动。

大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

【解读】

网络安全审查制度的上位法有两个。

一是《国家安全法》第五十九条：国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

二是《网络安全法》第三十五条：关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

为落实法律的要求，国家互联网信息办于 2017 年 5 月印发了《网络产品和服务安全审查办法（试行）》，表明我国正式建立了该项制度。

经过三年的运行，国家互联网信息办对试行的审查办法作了完善，于 2020 年 4 月印发了《网络安全审查办法》。

《网络安全审查办法》指出，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。

网络安全审查的重点是评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。

从《网络安全审查办法》的规定看，最初并没有对数据安全提出特别的关注。但随着数字经济的发展，数据安全对国家安全的影响不断上升，客观上需要将数据安全作为网络安全审查的重点考量。

为此，国家互联网信息办对《网络安全审查办法》进行了修订，并于 2021 年 7 月对《网络安全审查办法（修订草案）》公开征求意见。修订草案将网络安全审查的对象范围作了扩展。即，关键信息基础设施运营者采购网络产品和服务，数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。

网络安全审查办法修订草案也同步增加了与数据有关的国家安全风险描述：

网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；

（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险；

（七）其他可能危害关键信息基础设施安全和国家数据安全的因素。

理论上，在《国家安全法》和《网络安全法》已经为数据安全管理制度提供了充分的上位法依据的情况下，网络安全审查制度的具体对象、范围可以在部门规章中根据需要规定和调整。但为了强调数据安全对国家安全的重要性，有必要在《条例》中设立专门条款予以规定。

特别是，《条例》十三条新增的几种需要进行网络安全审查的情况，对当事方影响较大，应当通过法律或法规进行明确。这是为什么还要通过《条例》补充网络安全审查制度的原因。

需要指出，《条例》十三条的内容与《网络安全审查办法（修订草案）》不完全一致，相信《网络安全审查办法》的修订稿在最终发布时会作相应修改。