看中国网络和数据治理的法律体系

未知 2021-07-06 09:30

看中国网络和数据治理的法律体系

记者：近日，有几家网络出行平台接受网络安全审查，引起关注。实际上，去年以来，中国就连续出台一系列关于网络和数据的法律法规，能否请您梳理一下目前中国的网络安全和数据治理体系？

李天航：中国网络和数据相关的法律法规体系经历了长期发展的过程，最早可以追溯到1994年的《计算机信息系统保护条例》、2000年9月公布实施的国务院《电信条例》。真正聚焦到互联网领域，是从2017年6月1日实行《网络安全法》开始的，这是一个标志性的事件，后续围绕网络和数据领域，陆续出台了涵盖即时通讯、社交网络、电子商务、网络交易等，包括互联网内容治理等方面的很多法律法规。

但是跟《网络安全法》直接配套相关的文件之一，其实就是去年4月，由国家互联网信息办公室、国家发改委等12个部门联合发布的《网络安全审查办法》。

网络安全审查对应的上位法律有二，一是《国家安全法》的第25条和第59条，两个法条主要聚焦网络领域的国家安全内容，尤其是第59条：

“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。”

二是《网络安全法》，对应《国家安全法》的这两条内容，出台了相应的规定，明确了“关键信息基础设施运营者”（也可简称“CIIO”，关键信息基础设施也可简称“CII”）的概念，如果CIIO要采购网络产品和服务，可能影响国家安全，就要进行国家安全审查，由网信部门牵头的办公室来实施。

这两部上位法相关内容的细化，就形成了《网络安全审查办法》，它从程序上做了比较细致的规定，但我们认为还需要进一步的标准化。

从整体看，中国网络数据领域的法律体系是以三部法律为基础的，分别是《网络安全法》、《数据安全法》和《个人信息保护法》，我们形象地称它为“三足鼎立”，其中《网络安全法》已经公布实施；《数据安全法》已经公布，今年9月1日正式实施；《个人信息保护法》据说会在今年8月人大常委会会议上审议，基本上已经进展到三审三读的阶段，一般认为不出意外的话会通过，经过3-6个月间隔期后正式生效。这三部法律出台后，中国互联网领域基础性的法律法规框架体系就已完成，其他法律、法规、部门规章、地方性法规等等，都会在这三部法律组成的体系之下，继续细化具体的内容，逐步覆盖互联网、个人信息和数据活动的方方面面。

记者：具体从《网络安全审查办法》来说，它是网络安全法体系下的政府规章，规定的问题比较细节，能否介绍一下这部规章涉及哪些内容？

李天航：根据《网络安全法》第35条，《网络安全审查办法》针对的主体首先是“关键信息基础设施运营者”。对关键信息基础设施的界定来源于《网络安全法》第31条的规定：

国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。

法条用列举加概括的方式，界定了“关键信息基础设施”，对应地，某大公司这次既然受到网络安全审查，就意味着它必然已经被认定为CIIO。具体来看，该公司一是运营公共交通，二是聚集了大量个人信息，被界定为关键信息基础设施运营者的角度既有可能是因为其属于交通行业，也有可能因为汇聚了大量的个人信息，以及其运营系统被认为是“其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”，但到底是哪个维度，目前还没有看到相关信息。

从该公司被认定为CIIO，我认为对其他企业应该也有一个启发，就是掌握了大量的个人信息和数据的平台型企业，被认定为CIIO的概率是非常大的。即使有些企业现在没有被认定，但不排除将来会被认定。

因为从时间线上来看，《网络安全法》是网信办牵头的，但到底是由网信办还是其他部门来负责CII的监督管理，此前一直没有确定。但是去年公安部下发了《关于贯彻网络安全等级保护制度和关键信息基础设施安全保护条例的指导意见》（公网安[2020]1960号）文（俗称“1960号文”），明确了公安机关作为CII保护的牵头保护部门。责任部门明确之后，对社会上大量主体是否是CIIO的认定很快就会铺开，另外，尽快出台《关键信息基础设施保护条例》的概率也会非常大。

明确了CIIO的概念，再来看《网络安全审查办法》第2条：