导读:近日,网络安全审查办公室对几大平台启动“网络安全审查”,让数据安全这个话题再次进入公众视野。 目前,构建我国网络安全审查的法律体系是怎样的?网络安全审查是不是意味着所有平台都会被涉及,审查的边界和标准是什么?对提升我国网络数据安全以及平台企业全球竞争力又有哪些助益? 观察者网专访网络安全和数据合规专家,汇业律师事务所高级合伙人李天航,对此进行解读。
【采访/观察者网 周远方】
观察者网:近日,有几家网络出行平台接受网络安全审查,引起关注。实际上,去年以来,中国就连续出台一系列关于网络和数据的法律法规,能否请您梳理一下目前中国的网络安全和数据治理体系?
李天航:中国网络和数据相关的法律法规体系经历了长期发展的过程,最早可以追溯到1994年的《计算机信息系统保护条例》、2000年9月公布实施的国务院《电信条例》。真正聚焦到互联网领域,是从2017年6月1日实行《网络安全法》开始的,这是一个标志性的事件,后续围绕网络和数据领域,陆续出台了涵盖即时通讯、社交网络、电子商务、网络交易等,包括互联网内容治理等方面的很多法律法规。
但是跟《网络安全法》直接配套相关的文件之一,其实就是去年4月,由国家互联网信息办公室、国家发改委等12个部门联合发布的《网络安全审查办法》。
网络安全审查对应的上位法律有二,一是《国家安全法》的第25条和第59条,两个法条主要聚焦网络领域的国家安全内容,尤其是第59条:
“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
二是《网络安全法》,对应《国家安全法》的这两条内容,出台了相应的规定,明确了“关键信息基础设施运营者”(也可简称“CIIO”,关键信息基础设施也可简称“CII”)的概念,如果CIIO要采购网络产品和服务,可能影响国家安全,就要进行国家安全审查,由网信部门牵头的办公室来实施。
这两部上位法相关内容的细化,就形成了《网络安全审查办法》,它从程序上做了比较细致的规定,但我们认为还需要进一步的标准化。
从整体看,中国网络数据领域的法律体系是以三部法律为基础的,分别是《网络安全法》、《数据安全法》和《个人信息保护法》,我们形象地称它为“三足鼎立”,其中《网络安全法》已经公布实施;《数据安全法》已经公布,今年9月1日正式实施;《个人信息保护法》据说会在今年8月人大常委会会议上审议,基本上已经进展到三审三读的阶段,一般认为不出意外的话会通过,经过3-6个月间隔期后正式生效。这三部法律出台后,中国互联网领域基础性的法律法规框架体系就已完成,其他法律、法规、部门规章、地方性法规等等,都会在这三部法律组成的体系之下,继续细化具体的内容,逐步覆盖互联网、个人信息和数据活动的方方面面。