由國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部等十三個部門聯(lián)合發(fā)布的《網(wǎng)絡(luò)安全審查辦法（2021）》（以下簡稱《辦法》）今日施行。《辦法》共二十三條，在《網(wǎng)絡(luò)安全審查辦法（2020）》的基礎(chǔ)上，根據(jù)《中華人民共和國國家安全法》、《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》法規(guī)的要求，修訂了網(wǎng)絡(luò)安全審查的范圍及審查程序、考慮因素等內(nèi)容。

安恒信息董事長范淵接受央視新聞采訪，對《辦法》實施后申報網(wǎng)絡(luò)安全審查的三種情況進行了解釋說明?！掇k法》要求關(guān)鍵信息基礎(chǔ)運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的應(yīng)該預(yù)判該產(chǎn)品和服務(wù)投入使用后可能帶來的國家安全風(fēng)險，影響或者可能影響國家安全的應(yīng)當(dāng)向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。

接下來，本文從關(guān)基保護和數(shù)據(jù)安全全球現(xiàn)狀出發(fā)，重在解讀《辦法》亮點內(nèi)容、以及《辦法》實施后企業(yè)應(yīng)當(dāng)采取的數(shù)據(jù)安全合規(guī)措施。

關(guān)基保護和數(shù)據(jù)安全

被推向國際斗爭第一線

當(dāng)前，數(shù)字革命正推動著全球生產(chǎn)模式的變革，數(shù)據(jù)已經(jīng)成為全球政府和企業(yè)最核心資產(chǎn)。以關(guān)鍵基礎(chǔ)設(shè)施攻擊、數(shù)據(jù)安全攻擊為代表的高破壞、強針對性攻擊被推向國際斗爭的第一線。

近年來，黑客組織和一些國家或地區(qū)有組織、有預(yù)謀地針對他國關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)絡(luò)攻擊頻率明顯增高。如俄羅斯衛(wèi)星通訊社2021年7月12日消息，稱“2021年上半年，俄羅斯關(guān)鍵基礎(chǔ)設(shè)施遭到的攻擊次數(shù)是去年的兩倍多（增加150%）。與此同時，40%的攻擊由網(wǎng)絡(luò)犯罪分子實施，60%由國家資助的行為體實施?！?

圖1 近年來全球重大關(guān)基設(shè)施被攻擊事件（部分）

在數(shù)據(jù)安全領(lǐng)域，以美國為例，2020年5月國會發(fā)布《外國公司問責(zé)法》，要求對來自中國的公司提高上市門檻，加強信息披露要求，其要求獲取的企業(yè)審計底稿有可能使企業(yè)掌握的敏感數(shù)據(jù)悉數(shù)流失國外。

在此波瀾詭譎的國際網(wǎng)絡(luò)空間安全形勢下，《辦法》修訂恰逢其時，增加將網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查范圍，并明確要求掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市必須申報網(wǎng)絡(luò)安全審查。這些修訂，對相關(guān)法律法律的落地實施都提供了良好促進作用，為切實保障國家安全提供了有力抓手。

《辦法》亮點內(nèi)容解讀

總體而言，與上版相比，《辦法》將網(wǎng)絡(luò)安全審查的范圍拓展至網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動，審查考慮要素也基于審查范圍的擴大，增加了核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息。并對赴國外上市情形做出了明確規(guī)定，即要求掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市需經(jīng)過審查，使得監(jiān)管更加完善。

1社會廣泛關(guān)切的赴國外上市審查問題

1)?審查對象：掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者；

2)?觸發(fā)條件：境內(nèi)企業(yè)國外直接發(fā)行上市、境內(nèi)企業(yè)國外間接發(fā)行上市。特別的是，《辦法》中雖未明確提及赴港上市，但是涉及數(shù)據(jù)出境的，仍可能需要按照數(shù)據(jù)出境安全評估的有關(guān)規(guī)定進行評估；

3)?審查方式：主動申報、主動審查；

4)?提交材料：包括申報書、關(guān)于影響或者可能影響國家安全的分析報告、上市申請文件以及其他需要的材料

5)?受理機構(gòu)：網(wǎng)絡(luò)安全審查辦公室，具體工作委托中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心承擔(dān)。

2明確規(guī)定了審查的啟動條件

由于赴國外上市問題引起的社會反響巨大，因此，外界普遍誤認為啟動審查的條件為某企業(yè)赴國外上市或其被列為關(guān)鍵新基礎(chǔ)設(shè)施。

根據(jù)《辦法》第十六條，網(wǎng)絡(luò)安全審查工作機制成員單位可提請申請，以及第十九條，可由社會舉報等。

顯然，審查的啟動條件與否屬于關(guān)鍵信息基礎(chǔ)設(shè)施、是否赴國外上市沒有必然聯(lián)系。

3審查期間要求企業(yè)暫停部分業(yè)務(wù)的問題

《辦法》第十六條明確規(guī)定：為了防范風(fēng)險，當(dāng)事人應(yīng)當(dāng)在審查期間按照網(wǎng)絡(luò)安全審查要求采取預(yù)防和消減風(fēng)險的措施。

顯然，為了防范風(fēng)險擴大，有權(quán)利采取一定的應(yīng)對措施，如某些被審查企業(yè)被要求停止注冊新用戶等，下架APP等。

4進一步明確了審查工作流程和時間期限

《辦法》關(guān)于關(guān)于審查程序和內(nèi)容方面，延長了特別審查程序的審查時間，增加了核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個人信息、上市企業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施等角度。具體的審查工作流程和期限如圖。

圖2 網(wǎng)絡(luò)安全審查流程圖

企業(yè)應(yīng)采取的數(shù)據(jù)安全合規(guī)措施

《辦法》實施后，推動國家數(shù)據(jù)安全治理進入新階段，有利于關(guān)鍵信息基礎(chǔ)設(shè)施運營者和網(wǎng)絡(luò)平臺運營者進一步強化數(shù)據(jù)安全建設(shè)意識。

《辦法》中關(guān)于數(shù)據(jù)處理活動參照《數(shù)據(jù)安全法》的規(guī)定，即數(shù)據(jù)處理活動包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動?！掇k法》重點聚焦的是網(wǎng)絡(luò)平臺運營者開展上述數(shù)據(jù)處理活動，影響或者可能影響國家安全的情形。

關(guān)于《辦法》實施后，企業(yè)應(yīng)當(dāng)如何滿足數(shù)據(jù)安全合規(guī)建設(shè)？安恒信息首席科學(xué)家劉博提到，企業(yè)和機構(gòu)需要考慮建設(shè)體系化的數(shù)據(jù)安全能力，重視數(shù)據(jù)安全的體系規(guī)劃。建議從“管理、技術(shù)、運營”三個維度開展，建立相應(yīng)的管理體系、技術(shù)保障以及常態(tài)化的數(shù)據(jù)安全運營，以實現(xiàn)利用數(shù)據(jù)安全技術(shù)更好地開展業(yè)務(wù)。

圖3 AiGuard數(shù)據(jù)安全保護體系框架邏輯圖

1建立健全管理體系

企業(yè)數(shù)據(jù)安全管理的成敗，主要取決主要領(lǐng)導(dǎo)是否重視、意識是否提升、全員是否參與、是否建立了一套完善數(shù)據(jù)安全管理體系。

為更好地制定和執(zhí)行數(shù)據(jù)安全相關(guān)要求，需要設(shè)計成立數(shù)據(jù)安全組織，按照“邊界分明、權(quán)責(zé)清晰”原則進一步明確數(shù)據(jù)安全各相關(guān)方職責(zé)，形成部門橫向協(xié)同有力的工作機制。

圖4? 數(shù)據(jù)安全組織架構(gòu)

同時應(yīng)當(dāng)配套建設(shè)相關(guān)的數(shù)據(jù)安全管理制度和規(guī)范，以支撐本單位的數(shù)據(jù)安全治理工作。相關(guān)數(shù)據(jù)安全管理制度和規(guī)范可以參考以下幾個方面：

表1 數(shù)據(jù)安全制度文件示例

2建立完善的數(shù)據(jù)安全技術(shù)體系和落地

同時，對于掌握100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者而言，由于歷史數(shù)據(jù)的累計，導(dǎo)致數(shù)據(jù)安全治理以及數(shù)據(jù)安全合規(guī)是一項繁重而龐雜的工作。

建議這些企業(yè)在繼續(xù)做好業(yè)務(wù)安全的基礎(chǔ)之上，通過建設(shè)智能化數(shù)據(jù)安全管理平臺，以實現(xiàn)相關(guān)數(shù)據(jù)安全治理流程的自動化。在技術(shù)層面實現(xiàn)對風(fēng)險核查（Check）能力、數(shù)據(jù)梳理（Ass or t）能力、數(shù)據(jù)保護（Protect）能力以及數(shù)據(jù)威脅監(jiān)控預(yù)警（Examine）能力4大核心能力的建設(shè)，實現(xiàn)對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀全生命周期的管理，最終建立“數(shù)據(jù)安全運營”的全過程自適應(yīng)安全支撐能力，直至達到整體智治的安全目標。

圖5 以“CAPE”為核心的數(shù)據(jù)安全技術(shù)能力建設(shè)全景圖

3建立常態(tài)化的數(shù)據(jù)安全運營體系

常態(tài)化的數(shù)據(jù)安全運營是對企業(yè)數(shù)據(jù)安全能力建設(shè)成果是否具備持續(xù)生命力的有效支撐，是企業(yè)是否持續(xù)合規(guī)的最有效的保障。在整體安全運營中，通過對安全組織、制度、技術(shù)、培訓(xùn)、檢查、合規(guī)等各子模塊的不斷研究、建設(shè)、服務(wù)和優(yōu)化，形成一個完整的循環(huán)體系，以全面提升企業(yè)數(shù)據(jù)安全管理能力，常態(tài)化的滿足數(shù)據(jù)合規(guī)要求。

圖6 安全運營示例

關(guān)于安恒信息數(shù)據(jù)安全

我國“十四五”規(guī)劃、“新基建”、《數(shù)據(jù)安全法》等法律法規(guī)明確要求構(gòu)建數(shù)據(jù)安全保障能力建設(shè)，持續(xù)深入推進數(shù)據(jù)要素安全管控和市場化，提升社會數(shù)據(jù)資源價值。相信隨著《網(wǎng)絡(luò)安全審查辦法（2021）》的出臺和落地實施，將進一步推動國家數(shù)據(jù)安全治理進入新階段，并有力促進了相關(guān)上位法的落地實施。

針對此次《辦法》的發(fā)布，安恒信息進行了深入的解讀，草擬了“合法合規(guī)應(yīng)對建議”，以提升法律意識為目的，從“管理、技術(shù)、運營”三個維度，分解法律法規(guī)、標準。安恒信息自成立以來深耕數(shù)據(jù)安全，在充分理解法律法規(guī)和地方監(jiān)管、行業(yè)主管、運營者等業(yè)務(wù)場景需求的基礎(chǔ)上，以“咨詢規(guī)劃”創(chuàng)建框架、以”技術(shù)產(chǎn)品”實現(xiàn)落地、以“運營服務(wù)”持續(xù)改進，形成合法合規(guī)應(yīng)對建議，提供全方位的數(shù)據(jù)安全合規(guī)方案。積極履行網(wǎng)安企業(yè)的社會責(zé)任，發(fā)揮技術(shù)優(yōu)勢，為維護國家網(wǎng)絡(luò)安全貢獻力量。