南方周末记者 罗欢欢

2021年7月9日，网信办下架了与滴滴相关的25款App。

IC photo　❘图

2021年7月2日，在滴滴赴美上市的第三天，网信办公告对滴滴进行网络安全审查。

IC photo　❘图

紧随滴滴，2021年7月5日，运满满、货运帮、BOSS直聘被实施网络安全审查，它们都是6月赴美上市的企业。

IC photo　❘图

★网信办、发改委、工信部、公安部等十二家机关单位中任何一家认为有危害国家安全的风险，都可以按程序报批后启动网络安全审查。

“我认为这次审查主要关注的是，重要数据和公民个人信息的出境安全风险。”

从根本上来看，这次修订是为了落实数据安全法的要求，建立国家的数据安全审查制度。

2021年7月2日，国家网信办官网公告称，“为防范国家数据安全风险，对‘滴滴出行实施网络安全审查”。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。

这是2020年6月《网络安全审查办法》实施以来，网信办首次公开对某一家企业进行网络安全审查。这也是滴滴（股票代码NYSE：DIDI）在美股上市的第三天，受此消息影响，股价一度下跌超过8%。

7月9日，网信办发布通告称，“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题，要求在应用商店下架，同时各网站、平台不得为这25款应用提供访问和下载服务。

次日，国家网信办对外公布了《网络安全审查办法（修订草案征求意见稿）》（以下简称修订案），公开向社会征集意见。

修订案在多方面进行了重要调整。例如，对比过去仅要求“关键基础设施运营者”申报，新增了“数据处理者”也要申报。工作机制成员单位，增加了中国证监会。

更重要的是，对赴境外上市公司的审查提出了新要求：要求掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。在申报材料中，新增要求提供拟提交的IPO材料等。

在审查内容上，针对国外上市公司新增两条：一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险；二是国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

预备在海外上市的公司申报审查材料后，网络安全审查办公室会在10个工作日内确定是否需要审查并书面通知运营者。此次修订案对特别审查程序的审查时间进行了修改，由过去的“45个工作日”改为“三个月内完成”。

为何在这个时间点启动对滴滴的调查？《网络安全审查办法》的修订案制定思路如何？　网信办的一系列动作释放了哪些信号？

南方周末记者就这些问题专访了中国信息安全研究院副院长左晓栋，他曾参与过多部网络安全重大政策法规的研究起草工作。

十二家机关单位可启动网络安全审查

南方周末：这是《网络安全审查办法》实施以来，首次对企业进行网络安全审查吗？

左晓栋：早在《网络安全审查办法》出台之前，2017年5月已经印发了《网络产品和服务安全审查办法（试行）》，从2017年6月1日开始试行。

《网络安全审查办法》颁布之前，这个试行办法已经试行了三年之久。《网络安全审查办法》出台至今，正式实施也已经一年之久。四年里，这绝对不会是第一次对企业进行网络安全审查。据我所知，之前也有企业进行过网络安全审查。

南方周末：什么情况下会对企业启动网络安全审查？

左晓栋：对这个事情有很多猜测，其中一个说法是按照《网络安全审查办法》，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。大家都猜测，滴滴是不是关键性基础设施？为什么要对它进行审查？　实际上，这个理解是不全面的。

我举个最极端的例子，假如有一款产品存在着很大的安全隐患，使用的时候可能会严重危害国家安全，难道这款产品就没人可以管它了吗？非得等着哪个关键基础设施的运营者去采购的时候，再通过程序进入网络安全审查吗？　显然不可能。

事实上，《网络安全审查办法》第十五条就明确规定，网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

南方周末：网络安全审查工作机制成员单位有哪些单位？

左晓栋：由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

也就是说，这十二家机关单位中任何一家认为有危害国家安全的风险，都可以按程序报批后启动网络安全审查。

关注信息出境的安全风险

南方周末：网络安全审查的内容是什么？会对企业哪些情况进行审查？

左晓栋：只要这个产品和服务可能对国家安全带来风险，都有可能要接受审查。至于产品和服务提供商是国内还是国外，是一视同仁的。只要可能会为中国网络安全带来严重风险，按照文件规定都应该接受审查。

网络安全审查重点评估关键信息基础设施运营者，采购网络产品和服务可能带来的国家安全风险。包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

南方周末：网络安全审查办公室是一个什么样的机构？

左晓栋：网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

南方周末：按照审查办法规定，网络安全审查工作是否由中国网络安全审查技术与认证中心承担？

左晓栋：根据审查办法，网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心承担。

中国网络安全审查技术与认证中心只是网络安全审查的技术支持单位，它的上级主管单位是国家市场监管总局。由于承担的是技术支撑工作，所以，名字是网络安全审查技术与认证中心，而不是网络安全审查与认证中心。

南方周末：为什么要停止新用户注册？

左晓栋：我认为这次审查主要关注的是，重要数据和公民个人信息的出境安全风险。停止新用户注册，我认为是对这个数据进行保护的一个措施。

建立国家数据安全审查制度

南方周末：7月10日，《网络安全审查办法》修订案开始征求意见，结合近日滴滴等企业接受网络安全审查的消息，该如何理解该办法修订的背景？

左晓栋：《网络安全审查办法》的修订，发生在对滴滴等赴美上市企业审查期间，且其条款针对国外上市作了明确规定，所以大家很容易将这两件事关联起来。

但从更深层次上理解，这些相关上市要求条款是在落实最近中办、国办印发的《关于依法从严打击证券违法活动的意见》，文件要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”。

从根本上来看，这次修订是为了落实《中华人民共和国数据安全法》第二十四条的要求，该条提出国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。

《中华人民共和国数据安全法》将在2021年9月1日实施，此次审查办法的修订，表明数据安全法进入实施前紧锣密鼓的准备阶段，法律中设立的重大制度将逐步通过法规和细则予以落实。

南方周末：这次审查办法的修订是否意味着，网络安全审查制度和数据安全审查制度合并实施了？

左晓栋：网络安全审查制度和数据安全审查制度的关系，这需要权威部门给出解读。但至少有以下几点是明确的：

（1）网络安全审查办法的修订，主要针对的是数据处理活动带来的国家安全风险，这是数据安全法中数据安全审查制度的立法宗旨。

（2）网络安全和数据安全不可能绝对剥离，且很多网络安全风险来自数据处理活动，网络安全审查制度天然应当包括对数据处理活动的审查。

（3）在国家已经建立了整套网络安全审查制度的前提下，不太可能也没有必要另起炉灶重新建立一个数据安全审查办公室、重新指定技术支撑机构。

当然，数据安全审查制度的建立是一个需要不断探索的过程，这次修订审查办法只是一个开头，相信这个制度会不断健全完善。

“100万主要考虑的是社会影响”

南方周末：对滴滴等企业审查在前，审查办法修订在后，且数据安全法还没有生效，社会上为此对审查的法律依据有些疑问。您对此如何评价？

左晓栋：滴滴被审查之初，的确很多人猜测是因为滴滴被列为关键信息基础设施。因为网络安全审查的启动条件是关键信息基础设施运营者采购产品和服务时可能影响国家安全。甚至为此还引发了很多“阴谋论”。

事实上，这与滴滴是否被列为关基没有必然关系，因为网络安全审查的启动还有第二种条件，即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全。

因此，对滴滴等企业启动安全审查，法律依据是充分的。

不同的是，滴滴等这些企业存在的网络安全风险，主要是数据安全风险，且因企业赴美上市而引发。因此举一反三，尽快建立我国数据安全审查制度，针对企业海外上市等特殊场景明确制度细则，就成了当务之急。

数据安全法的确还没有生效，但审查办法的修订也有一个过程，修订完成开始实施一定会和数据安全法的生效日期保持协调，也就是2021年9月1日。

南方周末：什么样的企业是“数据处理者”？修订案通过后，对目前已经在境外上市的互联网企业是否会产生影响？它们是否会纳入网络安全审查范围？

左晓栋：应当从数据安全法的实施范围出发去理解“数据处理者”。数据安全法规定，数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。

所有涉及数据处理活动的主体，只要影响或可能影响国家安全，都应当接受数据安全审查。从这个角度而言，修订后的网络安全审查办法的规范对象较广。

审查办法的修订稿实施后，哪些企业需要补充申报网络安全审查，或者主动提起网站安全审查，需要等待政策进一步的规定。

我认为，从现在起所有的数据处理者，特别是掌握了大量个人信息数据的基础互联网服务企业，要自行组织或者委托专业机构对本企业数据处理的合规性，特别是数据处理是否可能影响国家安全，抓紧开展自评估。

南方周末：新增的第六条“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，这里面100万用户的门槛并不高，是否意味着所有赴国外上市的企业都需要接受网络安全审查？

左晓栋：100万的确不是一个高门槛，但是从企业经营角度来讲，可能规模很大了才能上市，所以用户不会只是100万。

但是，从个人信息保护的角度而言，如果处理不当，100万用户也是很大一个群体。所以说这个门槛是相对合适的。

这是综合考虑了我国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的标准，主要考虑的是社会影响。

南方周末：特别审查程序从之前的45个工作日改为了3个月内完成，相当于在过去的基础上增加了1个月时间。这是否意味着审查程序会比过去更为复杂？

左晓栋：审查办法修订后，需要审查的情形增多，有的比较复杂，例如在国外上市这种情况。这次审查机制成员单位增加了证监会，针对的也是这类情况。

因此，特别审查程序的时间需要适当延长。当然，出于效率的考虑，常规审查程序的时长没有变化。