左曉棟：《網(wǎng)絡(luò)安全審查辦法》的修訂，發(fā)生在對(duì)滴滴等赴美上市企業(yè)審查期間，且其條款針對(duì)企業(yè)赴國(guó)外上市作了明確規(guī)定，所以大家很容易將這兩件事關(guān)聯(lián)起來(lái)，公眾的關(guān)注點(diǎn)也很容易停留在這上面。事實(shí)上，這次修訂是一次重大制度設(shè)計(jì)。

首先，《修訂草案》中相關(guān)上市要求條款是在落實(shí)最近中辦、國(guó)辦最近印發(fā)的《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》精神。該意見(jiàn)要求“加強(qiáng)跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī)”。

其次，更重要和更實(shí)質(zhì)性的，《修訂草案》是為了落實(shí)《數(shù)據(jù)安全法》第二十四條的要求。該條提出，國(guó)家建立數(shù)據(jù)安全審查制度，對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。企業(yè)赴國(guó)外上市只是可能出現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)的一種具體情形，所以從整體上說(shuō)，《修訂草案》是為了建立數(shù)據(jù)安全審查制度。

《數(shù)據(jù)安全法》將在2021年9月1日實(shí)施，此次審查辦法的修訂，表明數(shù)據(jù)安全法進(jìn)入實(shí)施前緊鑼密鼓的準(zhǔn)備階段，法律中設(shè)立的各項(xiàng)重大制度將逐步通過(guò)法規(guī)和細(xì)則予以落實(shí)。

左曉棟：關(guān)于網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度的關(guān)系，社會(huì)上有幾種疑問(wèn)。一是：這兩個(gè)制度是同一個(gè)部門實(shí)施嗎？在網(wǎng)絡(luò)安全審查制度已經(jīng)由國(guó)家網(wǎng)信部門實(shí)施的情況下，數(shù)據(jù)安全審查制度是否由中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)的辦事機(jī)構(gòu)或國(guó)家安全機(jī)關(guān)實(shí)施？二是：如果數(shù)據(jù)安全審查制度也由國(guó)家網(wǎng)信部門實(shí)施，那么網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度會(huì)合并實(shí)施嗎？

這些疑問(wèn)涉及到部門職責(zé)，需要權(quán)威部門給出解答。但有幾個(gè)事實(shí)是清晰的。一是中央網(wǎng)信辦已經(jīng)成立了一個(gè)新的局，即“網(wǎng)絡(luò)數(shù)據(jù)管理局”，最近的新聞中已經(jīng)披露了該局的一些公開活動(dòng)；二是《修訂草案》所有新修訂內(nèi)容都明確指向了對(duì)數(shù)據(jù)處理活動(dòng)影響國(guó)家安全風(fēng)險(xiǎn)的審查，且在《修訂草案》中這本身屬于網(wǎng)絡(luò)安全審查的一部分。這兩個(gè)事實(shí)應(yīng)該能夠部分回答社會(huì)上的上述疑問(wèn)。

另外，從技術(shù)上講，至少有以下三點(diǎn)也是明確的：

（1）《數(shù)據(jù)安全法》第二十四條提出數(shù)據(jù)安全審查制度的立法宗旨，就是防范數(shù)據(jù)處理活動(dòng)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)，這與《修訂草案》的變動(dòng)是一致的。

（2）網(wǎng)絡(luò)安全和數(shù)據(jù)安全不可能絕對(duì)剝離，且很多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)自數(shù)據(jù)處理活動(dòng)，網(wǎng)絡(luò)安全審查制度天然應(yīng)當(dāng)包括對(duì)數(shù)據(jù)處理活動(dòng)的審查。即使在修訂之前的《網(wǎng)絡(luò)安全審查辦法》中，也已經(jīng)考慮了“重要數(shù)據(jù)被竊取、泄露、損毀的風(fēng)險(xiǎn)”。因此，如將兩者嚴(yán)格分開甚至放在不同部門，本身有違科學(xué)規(guī)律。

（3）在國(guó)家已經(jīng)建立了整套網(wǎng)絡(luò)安全審查制度的前提下，不太可能也沒(méi)有必要另起爐灶重新建立一個(gè)數(shù)據(jù)安全審查辦公室、重新指定技術(shù)支撐機(jī)構(gòu)，這在資源上也是浪費(fèi)，且因技術(shù)上的部分重合必然帶來(lái)職責(zé)交叉。

當(dāng)然，數(shù)據(jù)安全審查制度的建立是一個(gè)需要不斷探索的過(guò)程，我認(rèn)為這次只是一個(gè)開頭，并不表明這個(gè)制度已經(jīng)完全建立起來(lái)了、所有的問(wèn)題都解決了。但是其邁出了最重要的第一步，相信這個(gè)制度會(huì)隨著時(shí)間發(fā)展不斷健全完善。

左曉棟：滴滴被審查之初，的確很多人猜測(cè)是因?yàn)榈蔚伪涣袨榱岁P(guān)鍵信息基礎(chǔ)設(shè)施。因?yàn)榫W(wǎng)絡(luò)安全審查的啟動(dòng)條件是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)產(chǎn)品和服務(wù)時(shí)可能影響國(guó)家安全。甚至為此還引發(fā)了很多“陰謀論”。

事實(shí)上，這與滴滴是否被列為關(guān)基沒(méi)有必然關(guān)系，因?yàn)榫W(wǎng)絡(luò)安全審查的啟動(dòng)還有第二種條件，即網(wǎng)絡(luò)安全審查機(jī)制成員單位認(rèn)為網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全。數(shù)據(jù)處理活動(dòng)，顯然是一種“網(wǎng)絡(luò)服務(wù)”。

因此，對(duì)滴滴等企業(yè)啟動(dòng)安全審查，法律依據(jù)是充分的。

不同的是，滴滴等這些企業(yè)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，主要是數(shù)據(jù)安全風(fēng)險(xiǎn)，且因企業(yè)赴美上市而引發(fā)。因此，雖然法律依據(jù)充分，但舉一反三，盡快建立我國(guó)數(shù)據(jù)安全審查制度，針對(duì)特定領(lǐng)域的安全風(fēng)險(xiǎn)作出制度性安排，并針對(duì)企業(yè)赴國(guó)外上市等特殊場(chǎng)景明確制度細(xì)則，就成了當(dāng)務(wù)之急。

數(shù)據(jù)安全法的確還沒(méi)有生效，但審查辦法的修訂也有一個(gè)過(guò)程。修訂完成開始實(shí)施時(shí)，一定會(huì)和數(shù)據(jù)安全法的生效日期保持協(xié)調(diào)，也就是2021年9月1日。

左曉棟：應(yīng)當(dāng)從數(shù)據(jù)安全法的實(shí)施范圍出發(fā)去理解“數(shù)據(jù)處理者”。《數(shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開等。這意味著，所有涉及上述數(shù)據(jù)處理活動(dòng)的主體，只要其活動(dòng)影響或可能影響國(guó)家安全，都應(yīng)當(dāng)接受網(wǎng)絡(luò)安全審查。從這個(gè)角度而言，修訂后的網(wǎng)絡(luò)安全審查辦法的規(guī)范對(duì)象較廣。

當(dāng)然，對(duì)實(shí)施范圍的理解也要結(jié)合網(wǎng)絡(luò)安全審查辦法的特性。網(wǎng)絡(luò)安全審查是一種重要的威懾手段，既然是“威懾”，那就不可能輕易、頻繁使用。所以，雖然沒(méi)有規(guī)定哪類數(shù)據(jù)處理活動(dòng)一定可以豁免網(wǎng)絡(luò)安全審查，但也不可能每一次的數(shù)據(jù)處理活動(dòng)都要進(jìn)行審查。但我個(gè)人認(rèn)為，今后在這個(gè)問(wèn)題上有必要制定進(jìn)一步的細(xì)則?！缎抻啿莅浮返诹鶙l規(guī)定，掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市要申報(bào)網(wǎng)絡(luò)安全審查，這是一種明確的啟動(dòng)條件。但其他情形下數(shù)據(jù)處理活動(dòng)進(jìn)入網(wǎng)絡(luò)安全審查程序的啟動(dòng)條件是什么呢？評(píng)判標(biāo)準(zhǔn)是什么呢？這有待后續(xù)明確。

至于審查辦法的修訂稿實(shí)施后，哪些企業(yè)需要補(bǔ)充申報(bào)網(wǎng)絡(luò)安全審查，或者主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查，需要等待政策進(jìn)一步的規(guī)定。但可以明確的是，從現(xiàn)在起，所有的數(shù)據(jù)處理者，特別是掌握了批量個(gè)人信息或重要數(shù)據(jù)的大型互聯(lián)網(wǎng)企業(yè)、公共服務(wù)機(jī)構(gòu)，以及已經(jīng)在國(guó)外上市的互聯(lián)網(wǎng)企業(yè)，要自行組織或者委托專業(yè)機(jī)構(gòu)對(duì)本企業(yè)數(shù)據(jù)處理的合規(guī)性，特別是其數(shù)據(jù)處理是否可能影響國(guó)家安全，抓緊開展自查。

即使沒(méi)有網(wǎng)絡(luò)安全審查制度，相關(guān)企業(yè)也應(yīng)該重視這項(xiàng)工作。因?yàn)椤稊?shù)據(jù)安全法》第三十條已經(jīng)對(duì)重要數(shù)據(jù)處理者規(guī)定了“定期開展風(fēng)險(xiǎn)評(píng)估”的義務(wù)?！秱€(gè)人信息保護(hù)法（二審稿）》第五十四條也規(guī)定了“合規(guī)審計(jì)”的義務(wù)，第五十五條規(guī)定了“事前進(jìn)行風(fēng)險(xiǎn)評(píng)估”的義務(wù)。

左曉棟：有必要指出，網(wǎng)絡(luò)安全審查制度的實(shí)施從來(lái)就不是只“對(duì)外”或者“對(duì)內(nèi)”。這個(gè)制度一視同仁，目的是建立在開放環(huán)境下維護(hù)國(guó)家安全的能力。所謂“開放環(huán)境”，是指在全球化條件下，不可能閉關(guān)鎖國(guó)拒絕國(guó)外網(wǎng)絡(luò)產(chǎn)品和服務(wù)，但也不意味著國(guó)內(nèi)產(chǎn)品和服務(wù)就沒(méi)有風(fēng)險(xiǎn)。

另外還要指出，很多人將注意力放在審查滴滴是網(wǎng)絡(luò)安全審查制度首次彰顯威力，這種論斷有吸引眼球的嫌疑。加上前期的三年試行、去年一年的正式實(shí)施，這項(xiàng)制度已經(jīng)有四年之久的歷史了，怎么可能是第一次實(shí)施呢？又怎么可能只盯著國(guó)內(nèi)企業(yè)呢？因此，社會(huì)上炒作“首次”和“國(guó)內(nèi)企業(yè)”毫無(wú)意義。

《修訂草案》第六條的規(guī)定的確針對(duì)的國(guó)內(nèi)企業(yè)，因?yàn)樵趪?guó)外上市是一種特定的可能導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)的活動(dòng)，是當(dāng)前的一個(gè)熱點(diǎn)問(wèn)題，國(guó)外企業(yè)在美國(guó)上市管他干什么？但這不是《修訂草案》新增審查內(nèi)容的全部。甚至根據(jù)《數(shù)據(jù)安全法》第二條的規(guī)定，不但境內(nèi)的國(guó)外、國(guó)內(nèi)企業(yè)開展數(shù)據(jù)處理活動(dòng)要管，甚至境外的數(shù)據(jù)處理活動(dòng)如果影響我國(guó)國(guó)家安全，不排除也要進(jìn)行審查。

100萬(wàn)的確不是一個(gè)高門檻，對(duì)目前主流互聯(lián)網(wǎng)服務(wù)而言，用戶可以輕易超出100萬(wàn)。特別是企業(yè)到了可以上市的程度時(shí)，其用戶量更為可觀。但這個(gè)100萬(wàn)的數(shù)字并不是從企業(yè)經(jīng)營(yíng)規(guī)模或經(jīng)濟(jì)實(shí)力考慮的，而是綜合考慮了我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的實(shí)際情況、批量個(gè)人信息泄露后對(duì)國(guó)家安全和公共利益帶來(lái)的影響而確定的標(biāo)準(zhǔn)，主要考慮的是社會(huì)影響。實(shí)踐中，100萬(wàn)用戶已經(jīng)是很大的群體，發(fā)生個(gè)人信息安全事件的影響已經(jīng)相當(dāng)嚴(yán)重，所以說(shuō)這個(gè)門檻是相對(duì)合適的。

左曉棟：審查辦法修訂后，需要審查的情形增多，有的比較復(fù)雜，例如在國(guó)外上市這種情況。這次審查機(jī)制成員單位增加了證監(jiān)會(huì)，針對(duì)的也是這類情況。因此，特別審查程序的時(shí)間需要適當(dāng)延長(zhǎng)。

出于效率的考慮，常規(guī)審查程序的時(shí)長(zhǎng)沒(méi)有變化。所以總體而言，審查程序沒(méi)有本質(zhì)變化。

但也要看到，《修訂草案》畢竟擴(kuò)展了數(shù)據(jù)安全審查內(nèi)容，所以在具體的審查標(biāo)準(zhǔn)、技術(shù)手段、工作流程等方面，應(yīng)當(dāng)會(huì)做一些新的準(zhǔn)備。

當(dāng)然，一些人可能會(huì)關(guān)心，將來(lái)審查辦或?qū)彶榧夹g(shù)與認(rèn)證中心是不是會(huì)“忙不過(guò)來(lái)”？新增的工作肯定會(huì)有，但我認(rèn)為也不至于出現(xiàn)忙不過(guò)來(lái)的情況。這里面可能有個(gè)認(rèn)識(shí)上的誤區(qū)。如前所述，“審查”是一種非常規(guī)手段，不是“審計(jì)”，不是“評(píng)估”，不會(huì)事事審、時(shí)時(shí)審。