近日，網(wǎng)絡(luò)安全審查辦公室依法對(duì)美光公司在華銷售產(chǎn)品進(jìn)行了網(wǎng)絡(luò)安全審查。美光公司是一家以美國(guó)為基地的半導(dǎo)體公司。公司的主要產(chǎn)品有閃存、動(dòng)態(tài)隨機(jī)訪問存儲(chǔ)器（DRAM）、靜態(tài)隨機(jī)訪問存儲(chǔ)器（SRAM）等。

　　經(jīng)網(wǎng)絡(luò)安全審查辦公室審查發(fā)現(xiàn)，美光公司產(chǎn)品存在較嚴(yán)重網(wǎng)絡(luò)安全問題隱患，對(duì)我國(guó)關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈造成重大安全風(fēng)險(xiǎn)，影響我國(guó)國(guó)家安全。為此，網(wǎng)絡(luò)安全審查辦公室依法作出不予通過網(wǎng)絡(luò)安全審查的結(jié)論。按照《網(wǎng)絡(luò)安全法》等法律法規(guī)，我國(guó)內(nèi)關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)停止采購(gòu)美光公司產(chǎn)品。

　　以下就我國(guó)2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》有關(guān)網(wǎng)絡(luò)安全審查的客體與重點(diǎn)對(duì)象做簡(jiǎn)要解析。

　　2022年新修訂的《網(wǎng)絡(luò)安全審查辦法》第一條規(guī)定：“為了確保關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，保障網(wǎng)絡(luò)安全和數(shù)據(jù)安全，維護(hù)國(guó)家安全，根據(jù)《中華人民共和國(guó)國(guó)家安全法》《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，制定本辦法?！?/p>

　　從上述立法目的看，《網(wǎng)絡(luò)安全審查辦法》的上位法涉及三部法律和一部國(guó)務(wù)院條例，修訂后的《網(wǎng)絡(luò)安全審查辦法》在《國(guó)家安全法》和《網(wǎng)絡(luò)安全法》的基礎(chǔ)上，增加了《數(shù)據(jù)安全法》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，其中《數(shù)據(jù)安全法》明確提出“國(guó)家建立數(shù)據(jù)安全審查制度”；《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》要求“關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全的，應(yīng)當(dāng)按照國(guó)家網(wǎng)絡(luò)安全規(guī)定通過安全審查”。

　　《網(wǎng)絡(luò)安全審查辦法》第二條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱運(yùn)營(yíng)者）采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，數(shù)據(jù)處理者（以下稱運(yùn)營(yíng)者）開展數(shù)據(jù)處理活動(dòng)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。

　　根據(jù)上述規(guī)定，《網(wǎng)絡(luò)安全審查辦法》審查的客體有兩大類，一是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)；二是數(shù)據(jù)處理者開展數(shù)據(jù)處理活動(dòng)，這兩類客體是網(wǎng)絡(luò)安全審查法律關(guān)系主體的權(quán)利和義務(wù)指向的對(duì)象，只要這兩類客體的行為或結(jié)果影響或可能影響國(guó)家安全的，必須依法進(jìn)行國(guó)家網(wǎng)絡(luò)安全審查。

　　關(guān)于網(wǎng)絡(luò)安全審查，修訂后的《網(wǎng)絡(luò)安全審查辦法》主要針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，以及網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的風(fēng)險(xiǎn)因素。根據(jù)《網(wǎng)絡(luò)安全審查辦法》第十條的規(guī)定，網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估相關(guān)對(duì)象或者情形的以下國(guó)家安全風(fēng)險(xiǎn)因素：（一）產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或者破壞的風(fēng)險(xiǎn)；（二）產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；（四）產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況；（五）核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；（六）上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)；（七）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全的因素。

　　從上述影響或者可能影響國(guó)家安全風(fēng)險(xiǎn)因素和審查權(quán)重上看，《網(wǎng)絡(luò)安全審查辦法》第十條（一）至（四）主要強(qiáng)調(diào)與關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)網(wǎng)絡(luò)產(chǎn)品和服務(wù)引發(fā)的國(guó)家安全風(fēng)險(xiǎn)因素。需要指出的是，并不是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)的所有網(wǎng)絡(luò)產(chǎn)品和服務(wù)均需要進(jìn)行國(guó)家網(wǎng)絡(luò)安全審查，《網(wǎng)絡(luò)安全審查辦法》所指的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”主要指核心網(wǎng)絡(luò)設(shè)備、重要通信產(chǎn)品、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫(kù)和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全、網(wǎng)絡(luò)安全和數(shù)據(jù)安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

　　關(guān)于數(shù)據(jù)安全審查，《網(wǎng)絡(luò)安全審查辦法》第十條在原《審查辦法》第九條網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估的五大國(guó)家安全風(fēng)險(xiǎn)因素的基礎(chǔ)上新增了兩項(xiàng)重要內(nèi)容：一是核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)；二是上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)，以及網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)。同時(shí)，新增加一條并列為《網(wǎng)絡(luò)安全審查辦法》第七條，即“掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查?！边@是一條強(qiáng)制性規(guī)定，也是一條不可逾越的紅線，任何網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者都必須嚴(yán)格遵守。

　　《網(wǎng)絡(luò)安全審查辦法》第十條（五）（六）主要是針對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露、毀損以及非法利用、非法出境的風(fēng)險(xiǎn)，以及上市存在關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或者大量個(gè)人信息被外國(guó)政府影響、控制、惡意利用的風(fēng)險(xiǎn)等。目前，我國(guó)數(shù)據(jù)立法將數(shù)據(jù)分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)，這個(gè)數(shù)據(jù)分類的方法主要是基于數(shù)據(jù)對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益的影響和重要程度。

　　2021年11月，國(guó)家網(wǎng)信辦公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》明確提出，國(guó)家對(duì)個(gè)人信息和重要數(shù)據(jù)進(jìn)行重點(diǎn)保護(hù)，對(duì)核心數(shù)據(jù)實(shí)行嚴(yán)格保護(hù)。“核心數(shù)據(jù)”主要指關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生和重大公共利益等的數(shù)據(jù)；“重要數(shù)據(jù)”是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國(guó)家安全、公共利益的數(shù)據(jù)。

　　“重要數(shù)據(jù)”主要包括以下七類數(shù)據(jù)：一是未公開的政務(wù)數(shù)據(jù)、工作秘密、情報(bào)數(shù)據(jù)和執(zhí)法司法數(shù)據(jù)；二是出口管制數(shù)據(jù)，出口管制物項(xiàng)涉及的核心技術(shù)、設(shè)計(jì)方案、生產(chǎn)工藝等相關(guān)的數(shù)據(jù)，密碼、生物、電子信息、人工智能等領(lǐng)域?qū)?guó)家安全、經(jīng)濟(jì)競(jìng)爭(zhēng)實(shí)力有直接影響的科學(xué)技術(shù)成果數(shù)據(jù)；三是國(guó)家法律、行政法規(guī)、部門規(guī)章明確規(guī)定需要保護(hù)或者控制傳播的國(guó)家經(jīng)濟(jì)運(yùn)行數(shù)據(jù)、重要行業(yè)業(yè)務(wù)數(shù)據(jù)、統(tǒng)計(jì)數(shù)據(jù)等；四是工業(yè)、電信、能源、交通、水利、金融、國(guó)防科技工業(yè)、海關(guān)、稅務(wù)等重點(diǎn)行業(yè)和領(lǐng)域安全生產(chǎn)、運(yùn)行的數(shù)據(jù)，關(guān)鍵系統(tǒng)組件、設(shè)備供應(yīng)鏈數(shù)據(jù)；五是達(dá)到國(guó)家有關(guān)部門規(guī)定的規(guī)?；蛘呔鹊幕?、地理、礦產(chǎn)、氣象等人口與健康、自然資源與環(huán)境國(guó)家基礎(chǔ)數(shù)據(jù)；六是國(guó)家基礎(chǔ)設(shè)施、關(guān)鍵信息基礎(chǔ)設(shè)施建設(shè)運(yùn)行及其安全數(shù)據(jù)，國(guó)防設(shè)施、軍事管理區(qū)、國(guó)防科研生產(chǎn)單位等重要敏感區(qū)域的地理位置、安保情況等數(shù)據(jù)；七是其他可能影響國(guó)家政治、國(guó)土、軍事、經(jīng)濟(jì)、文化、社會(huì)、科技、生態(tài)、資源、核設(shè)施、海外利益、生物、太空、極地、深海等安全的數(shù)據(jù)。[2] 上述七類重要數(shù)據(jù)不包括國(guó)家秘密和個(gè)人信息，但基于海量個(gè)人信息形成的統(tǒng)計(jì)數(shù)據(jù)、衍生數(shù)據(jù)有可能屬于重要數(shù)據(jù)。

　　如何識(shí)別重要數(shù)據(jù)？國(guó)家市場(chǎng)監(jiān)督管理總局和國(guó)家標(biāo)準(zhǔn)化委員會(huì)發(fā)布的《重要數(shù)據(jù)識(shí)別指南》確立了六項(xiàng)應(yīng)遵循的基本原則：

　　一是聚焦安全影響：從國(guó)家安全、經(jīng)濟(jì)運(yùn)行、社會(huì)穩(wěn)定、公共健康和安全等角度識(shí)別重要數(shù)據(jù)，只對(duì)組織自身而言重要或敏感的數(shù)據(jù)不屬于重要數(shù)據(jù)，如企業(yè)的內(nèi)部管理相關(guān)數(shù)據(jù)；

　　二是突出保護(hù)重點(diǎn)：通過對(duì)數(shù)據(jù)分級(jí)，明確安全保護(hù)重點(diǎn)，使一般數(shù)據(jù)充分流動(dòng)，重要數(shù)據(jù)在滿足安全保護(hù)要求前提下有序流動(dòng)，釋放數(shù)據(jù)價(jià)值；

　　三是銜接既有規(guī)定：充分考慮地方已有管理要求和行業(yè)特色，與地方、部門已經(jīng)制定實(shí)施的有關(guān)數(shù)據(jù)管理政策和標(biāo)準(zhǔn)規(guī)范緊密銜接；

　　四是綜合考慮風(fēng)險(xiǎn)：根據(jù)數(shù)據(jù)用途、面臨威脅等不同因素，綜合考慮數(shù)據(jù)遭到篡改、破壞、泄露或者非法獲取、非法利用等風(fēng)險(xiǎn)，從保密性、完整性、可用性、真實(shí)性、準(zhǔn)確性等多個(gè)角度識(shí)別數(shù)據(jù)的重要性；

　　五是定量定性結(jié)合：以定量與定性相結(jié)合的方式識(shí)別重要數(shù)據(jù)，并根據(jù)具體數(shù)據(jù)類型、特性不同采取定量或定性方法；

　　六是動(dòng)態(tài)識(shí)別復(fù)評(píng)：隨著數(shù)據(jù)用途、共享方式、重要性等發(fā)生變化，動(dòng)態(tài)識(shí)別重要數(shù)據(jù)，并定期復(fù)查重要數(shù)據(jù)識(shí)別結(jié)果。

　?。ㄍ醮簳煟赫憬髮W(xué)網(wǎng)絡(luò)空間安全學(xué)院教授、中國(guó)科協(xié)網(wǎng)絡(luò)與數(shù)據(jù)法治決策咨詢首席專家、工信部信息通信經(jīng)濟(jì)專家委員會(huì)委員。）

更多精彩，請(qǐng)關(guān)注“官方微信”