本月中,,美國(guó)商務(wù)部宣布對(duì)華為的禁令升級(jí),,中方的反制手段成為了接下來(lái)的焦點(diǎn)之一,。此時(shí),,有不少人將目光投向了一個(gè)將于 6 月 1 日正式實(shí)施的新法規(guī)——《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱“審查辦法”),。
作為 2017 年實(shí)施的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》的升級(jí)版,,其最早在今年4月發(fā)布。
根據(jù)官方介紹,,這是一項(xiàng)與網(wǎng)絡(luò)安全法相配套的重要辦法,,會(huì)重點(diǎn)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,,應(yīng)當(dāng)在與產(chǎn)品和服務(wù)提供方正式簽署合同前申報(bào)網(wǎng)絡(luò)安全審查,。
審查辦法全文 14 條,,只有 2000 余字,,聯(lián)合簽發(fā)部門卻多達(dá) 12 個(gè),對(duì)于科技產(chǎn)業(yè)尤其信息產(chǎn)業(yè)從業(yè)者來(lái)說(shuō),,需要額外關(guān)注,。
不過(guò)在數(shù)據(jù)法律學(xué)者,、上海交通大學(xué)數(shù)據(jù)法律研究中心執(zhí)行主任何淵看來(lái),,它的到來(lái)并不突然,。
過(guò)去幾年,,何淵一直在研究和比較中國(guó)與國(guó)際的數(shù)據(jù)安全立法,,并參與到國(guó)內(nèi)多家科技公司的數(shù)據(jù)合規(guī)體系建設(shè)中。在接受 DeepTech 采訪時(shí),,中國(guó)和國(guó)際上其他國(guó)家如何發(fā)展自己的數(shù)據(jù)安全法律體系,,成為他解讀該辦法的出發(fā)點(diǎn)?! ?/p>
他特別強(qiáng)調(diào)的是,,要真正理解辦法的出臺(tái),需避開(kāi)將其視為特定事件反制手段的誤區(qū),,取而代之的是將重點(diǎn)放在三個(gè)關(guān)鍵詞上:關(guān)鍵信息基礎(chǔ)設(shè)施,、供應(yīng)鏈的安全、國(guó)家安全,?! ?/p>
這三個(gè)關(guān)鍵詞對(duì)應(yīng)著三個(gè)變化,面向更加開(kāi)放的中國(guó)市場(chǎng),,這些變化正在指明國(guó)外,、國(guó)內(nèi)科技企業(yè),在通往數(shù)據(jù)安全,、網(wǎng)絡(luò)安全的道路上,,哪些是坑,哪些是燈,?!?/p>
“對(duì)于企業(yè)來(lái)說(shuō),合規(guī)會(huì)變成一個(gè)‘合則生,,不合則亡’的問(wèn)題”,,他說(shuō),?! ?/p>
DeepTech:如何理解《審查辦法》的出臺(tái)背景?
何淵:這個(gè)辦法并不是一個(gè)全新,、突然出現(xiàn)的產(chǎn)物,,而是有“前身”的,是對(duì)此前方案的提升,,即對(duì)《網(wǎng)絡(luò)安全法》和《國(guó)家安全法》的進(jìn)一步落實(shí),。前身是 2017 年實(shí)施的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》的升級(jí)版,這兩部法律是依據(jù),?! ?/p>
DeepTech:有說(shuō)法說(shuō)這是針對(duì)華為事件的一種反制,。
何淵:現(xiàn)在一些媒體解讀審查辦法會(huì)是一種反制,,我個(gè)人覺(jué)得這種解讀是有問(wèn)題的,。
從我個(gè)人的角度來(lái)說(shuō)堅(jiān)決反對(duì)中國(guó)去這么做的,,因?yàn)槲仪懊嬉呀?jīng)下了一個(gè)結(jié)論,,這是不符合中國(guó)國(guó)情的,只有全球化,,包括貿(mào)易的全球化,,才是最符合中國(guó)的根本利益?!?/p>
所以,,聲稱網(wǎng)絡(luò)安全審查辦法要去針對(duì)某個(gè)具體的企業(yè),某個(gè)具體的行業(yè),,我并不認(rèn)同,。
它其實(shí)是一直在計(jì)劃內(nèi)的一個(gè)產(chǎn)物,,只是立法需要各個(gè)部委之間要形成一個(gè)共識(shí),,需要時(shí)間,往前追溯它的形成都是一步一腳印的,,現(xiàn)在剛好在這個(gè)時(shí)間點(diǎn)推出,。
DeepTech:一個(gè)關(guān)鍵的變化是從技術(shù)的自主可控轉(zhuǎn)變?yōu)楣?yīng)鏈安全,,但是這兩個(gè)部分應(yīng)該是有交集,?
何淵:肯定是有交集,但是為什么要這樣改,?
認(rèn)為中國(guó)的立法者其實(shí)已經(jīng)意識(shí)到這是一個(gè)問(wèn)題,,即強(qiáng)調(diào)自主可控其實(shí)可能是不太能實(shí)現(xiàn)的,最起碼這是不經(jīng)濟(jì)的,,因?yàn)榧夹g(shù)都需要進(jìn)行分工,,每個(gè)國(guó)家在某種技術(shù)上可能都有優(yōu)勢(shì),光刻機(jī)就是一個(gè)典型,。再如 5G,、人工智能技術(shù),也不可能中國(guó)全都擁有,?!?/p>
DeepTech:它是此前法規(guī)的延續(xù)和聚焦,但是不同于以往的是,它參與的部門數(shù)量卻非常之多,?
何淵:是的,,基本上主要的部委都參與了,甚至包括央行,、商務(wù)部等等,,一般很少會(huì)有這樣一個(gè)程度,所以這個(gè)《辦法》會(huì)涉及很重要的一個(gè)制度,。
DeepTech:涉及關(guān)鍵信息基礎(chǔ)設(shè)施的,,無(wú)論中資還是外資公司,都需要自己去衡量需不需要提交審查,,這種流程的邏輯是什么,?
何淵:原來(lái)的做法我們叫做政府的規(guī)制,但現(xiàn)在特別提到的一個(gè)概念是治理的現(xiàn)代化,。慢慢地要讓市場(chǎng)主體決定,,這可能也是未來(lái)非常大的一個(gè)變化,即企業(yè)自己要承擔(dān)起這個(gè)責(zé)任,,行判斷,,或者稱為發(fā)揮市場(chǎng)的更重要作用,市場(chǎng)主體自行決定要不要申報(bào),?! ?/p>
但這后面還跟著一句話,叫做事后強(qiáng)監(jiān)管,,相較于原先的事前監(jiān)管,,事前事中給企業(yè)更多的自由,你自己來(lái)判斷,,但是如果出問(wèn)題,,對(duì)不起,事后要強(qiáng)監(jiān)管,,也可能處罰的力度就會(huì)很大,,目前審查辦法因?yàn)榉尚ЯΦ膶蛹?jí)問(wèn)題,無(wú)權(quán)規(guī)定很多的罰則,,基本還是沿用《網(wǎng)絡(luò)安全法》和《國(guó)家安全法》,。
從法律的角度來(lái)說(shuō),,我覺(jué)得應(yīng)當(dāng)積極吸收歐盟,、美國(guó)的一些關(guān)于事后處罰的經(jīng)驗(yàn),尤其是合作治理的理論,,這種事后監(jiān)管模式在網(wǎng)絡(luò)安全領(lǐng)域是重要趨勢(shì)。
未來(lái),,這種趨勢(shì)可能全球都會(huì)比較普遍,,不僅美國(guó)這么做,歐盟其實(shí)也會(huì)去這么做,?! ?/p>
近年來(lái)我們也看到,諸如歐盟對(duì) Facebook 動(dòng)輒數(shù)億美元的處罰,,全球的處罰額度都會(huì)越來(lái)越高,,預(yù)示強(qiáng)監(jiān)管時(shí)代必然來(lái)臨,對(duì)于企業(yè)來(lái)說(shuō),,數(shù)據(jù)合規(guī)就會(huì)變成一個(gè)“合則生,,不合則亡”的問(wèn)題。