专家解读《网络安全审查办法》：不必视为华为事件反制利器，向国(2)

我认为中国的立法者其实已经意识到这是一个问题，即强调自主可控其实可能是不太能实现的，最起码这是不经济的， 因为技术都需要进行分工，每个国家在某种技术上可能都有优势，光刻机就是一个典型。再如 5G、人工智能技术，也不可能中国全都拥有。

谈自主可控，是静态的角度去理解，谈供应链安全，则是动态的要求。比如说欧盟、日本、韩国，相对我们会认为他们更能达到供应链安全的要求，即不会随便找个理由来卡中国及中国的企业。两者有联系但是差异很大。

DeepTech： 它是此前法规的延续和聚焦，但是不同于以往的是，它参与的部门数量却非常之多？

何渊： 是的，基本上主要的部委都参与了，甚至包括央行、商务部等等，一般很少会有这样一个程度，所以这个《办法》会涉及很重要的一个制度。

根据此前的《网络安全法》第 8 条的规定，国家网信部门负责统筹协调网络安全工作和相关监督管理工作。国务院电信主管部门、公安部门和其他有关机关依照本法和有关法律、行政法规的规定，在各自职责范围内负责网络安全保护和监督管理工作。

会动用这么多部门，其实也是在参考国际经验。

它的前身《网络产品和服务安全审查办法（试行）》涉及的面特别宽泛，涵盖公共安全、网络安全、国家安全，但是新的网络安全审查办法非常聚焦，本质上聚焦于国家安全，这一点是很明确的，即只审查国家安全，不负责诸如个人信息保护等等，这些都不是它的重点。而且办法聚焦于重要数据、关键信息设施，以及供应链的安全，其实是很明确界定了边界。

原来的范围太大，那现在明确下来聚焦国家安全审查这一件事，一旦提升到国家安全角度，以上部门都是相关的。

办法的三个关键词，第一个是关键信息技术设施，第二个供应链安全，第三个是国家安全，与上述部委都是相关的。

图丨AI 时代下的黑客正朝两个方向发展：愚弄 AI 系统和利用 AI 发起攻击（来源：CB Insights）

DeepTech： 涉及关键信息基础设施的，无论中资还是外资公司，都需要自己去衡量需不需要提交审查，这种流程的逻辑是什么？

何渊： 原来的做法我们叫做 政府的规制 ，但现在特别提到的一个概念是 治理的现代化 。慢慢地要让市场主体决定，这可能也是未来非常大的一个变化，即企业自己要承担起这个责任，行判断，或者称为发挥市场的更重要作用，市场主体自行决定要不要申报。

但这后面还跟着一句话，叫做事后强监管，相较于原先的事前监管，事前事中给企业更多的自由，你自己来判断，但是如果出问题，对不起，事后要强监管，也可能处罚的力度就会很大，目前审查办法因为法律效力的层级问题，无权规定很多的罚则，基本还是沿用《网络安全法》和《国家安全法》。

从法律的角度来说，我觉得应当积极吸收欧盟、美国的一些关于事后处罚的经验，尤其是合作治理的理论，这种事后监管模式在网络安全领域是重要趋势。

在美国，处罚的力度甚至是可以由企业和 FTC（联邦贸易委员）形成和解协议，即罚多少我们来讨论，例如之前的剑桥分析事件，最后 FTC 罚 Facebook 50 亿美元。这种行政和解协议，不依照法律来一板一眼地单方实施处罚，而是双方，监管者与被监管者谈出来的，我觉得这种方式在对数据治理领域可能会更好，对企业来说可以更加主动地去实现合规。

我一直都觉得合规不是靠政府的强力逼出来的，而主要靠企业的自我规制。当然政府事后的强监管处罚的力度很重要，为什么一些国内企业在数据隐私、网络安全上不重视，原因是处罚力度太低，只罚个十万元，企业基于成本收益的分析，自然是会选择不遵守的，但如果是说像欧盟一样几千万美元甚至上亿、几十亿美元，那企业就要掂量掂量，所以会主动去做一些合规体系。

在大数据时代、人工智能时代，政府监管机构人数毕竟有限，如何去监管？需要考虑到这和传统行业是不太一样，其实难以对从事新经济和新基建的企业进行全程监控的。

未来，这种趋势可能全球都会比较普遍，不仅美国这么做，欧盟其实也会去这么做。

近年来我们也看到，诸如欧盟对 Facebook 动辄数亿美元的处罚，全球的处罚额度都会越来越高，预示强监管时代必然来临， 对于企业来说，数据合规就会变成一个“合则生，不合则亡”的问题。

根据审查办法，网络安全审查办公室设在国家互联网信息办公室。具体工作委托中国网络安全审查技术与认证中心承担。整个其实就是一套非常完整的体系，要放在完整的数据法律体系下来看待这个问题，从最顶层的国家安全、网络安全，然后到个人信息保护法、数据安全法，再加关键信息基础设施的安全保护条例，到审查办法，再到一系列针对各个行业领域的国家标准，如修改案马上要生效的个人信息安全规范等等，整个体系会在一两年之中变得非常完善，我们必须要放到整个数据法律体系下来看这个问题，就能理解为什么要让企业来自我规制，为何要实现政府和企业的合作治理，它是在这样一种逻辑下产生的。

DeepTech： 你提到的三个变化，是怎么体现国际化的？

何渊： 体现在用国际通行的法律语言来表达来维护国家网络安全。

此前的一些说法是有一些问题的，比如说审查程序不明确，审查理由不明确。这个办法则是对这些问题的进一步细化，让所有的从事网络和服务的厂商有明确的法律依据，明白应该怎么做。