|
原标题:5天后生效!专家解读《网络安全审查办法》:不必视为华为事件反制利器,而是向国际法律框架看齐 本月中,美国商务部宣布对华为的禁令升级,中方的反制手段成为了接下来的焦点之一。 此时,有不少人将目光投向了一个将于 6 月 1 日正式实施的新法规——《网络安全审查办法》(以下简称“审查办法”)。 作为 2017 年实施的《网络产品和服务安全审查办法(试行)》的升级版,其最早在今年4月发布。 图|网络安全审查办法披露(来源: 中国网信网) 根据官方介绍,这是一项与网络安全法相配套的重要办法,会重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。关键信息基础设施运营者,应当在与产品和服务提供方正式签署合同前申报网络安全审查。 审查办法全文 14 条,只有 2000 余字,联合签发部门却多达 12 个,对于科技产业尤其信息产业从业者来说,需要额外关注。 不过在数据法律学者、上海交通大学数据法律研究中心执行主任何渊看来,它的到来并不突然。 过去几年,何渊一直在研究和比较中国与国际的数据安全立法,并参与到国内多家科技公司的数据合规体系建设中。在接受 DeepTech 采访时,中国和国际上其他国家如何发展自己的数据安全法律体系,成为他解读该办法的出发点。 他特别强调的是,要真正理解办法的出台,需避开将其视为特定事件反制手段的误区,取而代之的是将重点放在三个关键词上: 关键信息基础设施、供应链的安全、国家安全。 这三个关键词 对应着三个变化,面向更加开放的中国市场,这些变化正在指明国外、国内科技企业,在通往数据安全、网络安全的道路上,哪些是坑,哪些是灯。 “对于企业来说,合规会变成一个‘合则生,不合则亡’的问题” ,他说。 以下 QA 为主要解读内容: DeepTech: 如何理解《审查办法》的出台背景? 何渊: 这个办法并不是一个全新、突然出现的产物,而是有“前身”的,是对此前方案的提升,即对《网络安全法》和《国家安全法》的进一步落实。前身是 2017 年实施的《网络产品和服务安全审查办法(试行)》的升级版,下面两部法律是依据。 依据之一,《国家安全法》第 59 条规定,要建立国家安全审查和监管的制度,其中特别提到对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查。这是最主要的一个依据。 依据之二,《网络安全法》第 35 条规定“关键信息基础设施的国家安全审查机制”,但通过以后也一直未得到很好落实。它特别强调的一个概念是,关键信息技术设施的运营者采购网络产品和服务,如果可能影响国家安全的,应该由网信部门和国务院的相关部门组织进行网络安全审查。 所以,审查办法是对两部重要法律的进一步落实,是对《网络产品和服务安全审查办法(试行)》的升级,倒不一定是去针对美国或者针对其他国家。 国家层面其实一直就有完善数据、网络安全法律体系的计划,在我看来这是一种国际化表现。因为近年来,包括欧盟、美国在内,其实都有这样类似的制度。因此我认为新的办法只是对这样一种制度的法律化而已。 这样的一个办法升级版,其实比之前版本更聚焦了,主要体现在以下三个重要变化中: 其一:从“重要网络和服务”到“关键信息基础设施”。 其二:立法目的从“自主的安全可控”到“供应链的安全”。 其三:审查重点从“国家安全和公共利益”到仅聚焦“国家安全”。 原来强调技术的自主可控,现在强调供应链的安全,这两种说法差别很大,尤其是对于在中国从事业务的外企来说,其实是利好。因为强调自主可控的话,外资的产品其实是没有机会的。 现在调整为供应链安全,也就是说外资企业还是有很大空间的 ,只要通过国家安全审查。而且强调供应链安全其实不仅仅针对外资,中国本土的网络产品如果威胁国家安全的话,同样也要进行审查。也就是说这并非是对外资采取特殊做法,即不管是外资中资,只要威胁到关键信息基础设施,对国家安全有风险,那么就要进行审查。 在我看来,这是一种更加开放的态度,是常态化、制度化、透明化地去做开放这件事情。 尤其对外资来说,这不是关上门,而是要继续开门,是门开得更大的一种表现,即我把我的底线、逻辑,都摊开告诉你,只要对中国的发展有利,不会影响中国的供应链安全或者影响国家安全,你的产品、服务,你外资企业,中国统统欢迎。包括中国要大力去发展的新经济和新基建,其实也不会排除外资投资。中国一直都是主张推动全球化,无论一带一路,还是海上丝绸之路,这种思路从最高层来说还是很明确清晰的。 图丨《麻省理工科技评论》2020 年“全球十大突破性技术”之一——防黑互联网(来源:麻省理工科技评论) DeepTech: 有说法说这是针对华为事件的一种反制。 何渊: 现在一些媒体解读审查办法会是一种反制,我个人觉得这种解读是有问题的。 包括我自己研究的思路,以及我们的咨询报告,我个人观点一直都很明确的,即在数据安全和数据隐私这一块,我们不必自立一个与欧美完全不同的标准,相反,要深入,要进一步国际化,去借鉴欧美的一些经验, 去和欧美框架对标,甚至后续要去主导、引领国际主流标准,而非自己把门一关,去做孤立的数据立法。 我觉得中国不会这么做,最根本的原因是不符合中国的根本利益。 我们是务实主义的,即首先要发展经济,如果没有欧美一流的厂商,一流的技术进来,怎么实现所谓的新经济、新基建?不管是传统基建,到新基建,中国都是采取非常开放的态度,希望外面的高科技、高技术进来,现在特殊的情况下美国采取了非常紧缩的一种态度,与美国现在 5G 和所处地位是有关系的,美国用国家安全来对中国公司进行审查,甚至在 Zoom 这家美资企业只要涉及华人就认为有安全的问题,显然属于比较极端的态势。 从我个人的角度来说坚决反对中国去这么做的,因为我前面已经下了一个结论,这是不符合中国国情的,只有全球化,包括贸易的全球化,才是最符合中国的根本利益。 所以,声称网络安全审查办法要去针对某个具体的企业,某个具体的行业,我并不认同。 它其实是一直在计划内的一个产物,只是立法需要各个部委之间要形成一个共识,需要时间,往前追溯它的形成都是一步一脚印的,现在刚好在这个时间点推出。 至于要对外资进行限制或者是对某些国家的一些公司进行限制,更需要去关心的是商务部的不可靠实体清单,而非网络安全审查办法。 中国商务部的不可靠实体清单正是对应美国制裁华为的实体清单的。 我认为,将审查办法往反制的方向去想是有误的,也不符合现实情况。 图 | 华为零部件占比(来源:日经中文网) DeepTech: 一个关键的变化是从技术的自主可控转变为供应链安全,但是这两个部分应该是有交集? 何渊: 肯定是有交集,但是为什么要这样改? 如果对技术有了解的话,在 5G 和人工智能时代,所有技术都由中国自主来完成,这种可能性是没有的,这是全球化的时代。 |
