近日@@,网络安全@@审查办公室依法对美光公司在@@华销售产品进行了网络安全@@审查@@。美光公司是@@一@@家以美国为基地的半导体公司@@。公司的主要产品有闪存@@、动态随机访问存储器@@(DRAM)、静态随机访问存储器@@(SRAM)等@@。
经网络安全@@审查办公室审查发现@@,美光公司产品存在@@较严重网络安全@@问题隐患@@,对我国关键信息基础设施供应链造成重大安全风险@@,影响我国国家安全@@。为此@@,网络安全@@审查办公室依法作出不予通过网络安全@@审查的结论@@。按照@@《网络安全@@法@@》等@@法律法规@@,我国内关键信息基础设施的运营@@者应停止采购美光公司产品@@。
以下就我国@@2022年@@新修订的@@《网络安全@@审查办法@@@@》有关网络安全@@审查的客体与重点对象做简要解析@@。
2022年@@新修订的@@《网络安全@@审查办法@@@@》第一@@条规定@@:“为了确保关键信息基础设施供应链安全@@,保障网络安全@@和@@数据@@安全@@@@,维护国家安全@@,根据@@《中华人民共和@@国国家安全法@@@@》《中华人民共和@@国网络安全@@法@@@@》《中华人民共和@@国数据@@安全@@法@@@@》《关键信息基础设施安全保护条例@@》,制定本办法@@。”
从上述立法目的看@@,《网络安全@@审查办法@@@@》的上位法涉及三@@部法律和@@一@@部国务院条例@@,修订后的@@《网络安全@@审查办法@@@@》在@@《国家安全法@@》和@@《网络安全@@法@@》的基础上@@,增加了@@《数据@@安全@@法@@》和@@《关键信息基础设施安全保护条例@@》,其中@@《数据@@安全@@法@@》明确提出@@“国家建立数据@@安全@@审查制度@@”;《关键信息基础设施安全保护条例@@》要求@@“关键信息基础设施的运营@@者采购网络产品和@@服务@@@@可能影响国家安全的@@,应当按照@@国家网络安全@@规定通过安全审查@@”。
《网络安全@@审查办法@@@@》第二@@条规定@@,关键信息基础设施运营@@者@@(以下简称运营@@者@@)采购网络产品和@@服务@@@@,数据@@处理者@@(以下称运营@@者@@)开展数据@@处理活动@@,影响或可能影响国家安全的@@,应当按照@@本办法进行网络安全@@审查@@。
根据@@上述规定@@,《网络安全@@审查办法@@@@》审查的客体有两大类@@,一@@是@@关键信息基础设施运营@@者@@采购网络产品和@@服务@@@@@@;二@@是@@数据@@处理者@@开展数据@@处理活动@@@@,这两类客体是@@网络安全@@审查法律关系主体@@的权利和@@义务指向的对象@@,只要这两类客体的行为或结果影响或可能影响国家安全的@@@@,必须依法进行国家网络安全@@审查@@。
关于网络安全@@审查@@,修订后的@@《网络安全@@审查办法@@@@》主要针对关键信息基础设施运营@@者@@采购网络产品和@@服务@@@@@@,以及网络平台@@运营@@者开展数据@@处理活动@@@@,影响或者可能影响国家安全的风险因素@@。根据@@《网络安全@@审查办法@@@@》第十条@@的规定@@,网络安全@@审查重点评估相关对象或者情形的以下国家安全风险因素@@:(一@@)产品和@@服务使用后带来的关键信息基础设施被非法控制@@@@、遭受干扰或者破坏@@的风险@@;(二@@)产品和@@服务供应中断对关键信息基础设施业务连续性的危害@@;(三@@)产品和@@服务的安全性@@、开放性@@、透明性@@、来源@@的多样性@@,供应渠道的可靠性以及因为政治@@、外交@@、贸易等@@因素导致供应中断的风险@@;(四@@)产品和@@服务提供者遵守中国法律@@、行政法规@@、部门规章情况@@;(五@@)核心数据@@@@、重要数据@@@@或者大量个人信息被窃取@@、泄露@@、毁损以及非法利用@@@@、非法出境的风险@@;(六@@)上市存在@@关键信息基础设施@@、核心数据@@@@、重要数据@@@@或者大量个人信息被外国政府影响@@、控制@@、恶意利用的风险@@,以及网络信息安全风险@@;(七@@)其他可能危害关键信息基础设施安全@@、网络安全@@和@@数据@@安全@@的因素@@。
从上述影响或者可能影响国家安全风险因素和@@审查权重上看@@,《网络安全@@审查办法@@@@》第十条@@(一@@)至@@(四@@)主要强调与关键信息基础设施相关网络产品和@@服务@@引发的国家安全风险因素@@。需要指出的是@@@@,并不是@@关键信息基础设施运营@@者@@采购的所有网络产品和@@服务@@均需要进行国家网络安全@@审查@@,《网络安全@@审查办法@@@@》所指的@@“网络产品和@@服务@@”主要指核心网络设备@@、重要通信产品@@、高性能计算机和@@服务器@@、大容量存储设备@@、大型数据@@库和@@应用软件@@@@、网络安全@@设备@@、云计算服务@@,以及其他对关键信息基础设施安全@@、网络安全@@和@@数据@@安全@@有重要影响的网络产品和@@服务@@@@。
关于数据@@安全@@审查@@,《网络安全@@审查办法@@@@》第十条@@在@@原@@《审查办法@@》第九条网络安全@@审查重点评估的五@@大国家安全风险因素的基础上@@新增了两项重要内容@@:一@@是@@核心数据@@@@@@、重要数据@@@@或者大量个人信息被窃取@@、泄露@@、毁损以及非法利用@@@@、非法出境的风险@@;二@@是@@上市存在@@关键信息基础设施@@@@、核心数据@@@@、重要数据@@@@或者大量个人信息被外国政府影响@@、控制@@、恶意利用的风险@@,以及网络信息安全风险@@。同时@@,新增加一@@条并列为@@《网络安全@@审查办法@@@@》第七@@条@@,即@@“掌握超过@@100万用户个人信息的网络平台@@运营@@者赴国外上市@@,必须向网络安全@@审查办公室申报网络安全@@审查@@。”这是@@一@@条强制性规定@@,也是@@一@@条不可逾越的红线@@,任何网络平台@@运营@@者都必须严格遵守@@。
《网络安全@@审查办法@@@@》第十条@@(五@@)(六@@)主要是@@针对核心数据@@@@@@、重要数据@@@@或大量个人信息被窃取@@、泄露@@、毁损以及非法利用@@@@、非法出境的风险@@,以及上市存在@@关键信息基础设施@@@@、核心数据@@@@、重要数据@@@@或者大量个人信息被外国政府影响@@、控制@@、恶意利用的风险@@等@@@@。目前@@,我国数据@@立法将数据@@分为一@@般数据@@@@、重要数据@@@@、核心数据@@@@,这个数据@@分类的方法主要是@@基于数据@@对国家安全@@、公共利益或者个人@@、组织合法权益的影响和@@重要程度@@。
2021年@@11月@@,国家网信办公布的@@《网络数据@@安全@@管理条例@@(征求意见稿@@)》明确提出@@,国家对个人信息和@@重要数据@@@@进行重点保护@@,对核心数据@@@@实行严格保护@@。“核心数据@@@@”主要指关系国家安全@@、国民经济@@命脉@@、重要民生和@@重大公共利益等@@的数据@@@@;“重要数据@@@@”是@@指一@@旦遭到篡改@@、破坏@@、泄露@@或者非法获取@@、非法利用@@,可能危害国家安全@@、公共利益的数据@@@@。
“重要数据@@@@”主要包括以下七@@类数据@@@@:一@@是@@未公开的政务数据@@@@、工作秘密@@、情报数据@@和@@执法司法数据@@@@;二@@是@@出口管制数据@@@@,出口管制物项涉及的核心技术@@、设计方案@@、生产工艺等@@相关的数据@@@@,密码@@、生物@@、电子信息@@、人工智能等@@领域对国家安全@@、经济@@竞争实力有直接影响的科学技术成果数据@@@@;三@@是@@国家法律@@、行政法规@@、部门规章明确规定需要保护或者控制@@传播的国家经济@@运行@@数据@@@@、重要行业业务数据@@@@、统计数据@@等@@@@;四@@是@@工业@@、电信@@、能源@@、交通@@、水利@@、金融@@、国防科技@@工业@@、海关@@、税务等@@重点行业和@@领域安全生产@@、运行的数据@@@@,关键系统组件@@、设备供应链数据@@@@;五@@是@@达到国家有关部门规定的规模或者精度的基因@@、地理@@、矿产@@、气象等@@人口与健康@@、自然资源@@与环境国家基础数据@@@@;六@@是@@国家基础设施@@、关键信息基础设施建设运行及其安全数据@@@@,国防设施@@、军事@@管理区@@、国防科研生产单位等@@重要敏感区域的地理@@位置@@、安保情况等@@数据@@@@;七@@是@@其他可能影响国家政治@@、国土@@、军事@@、经济@@、文化@@、社会@@、科技@@、生态@@、资源@@、核设施@@、海外利益@@、生物@@、太空@@、极地@@、深海等@@安全的数据@@@@。[2] 上述七@@类重要数据@@@@不包括国家秘密和@@个人信息@@,但基于海量个人信息形成的统计数据@@@@、衍生数据@@有可能属于重要数据@@@@@@。
如何识别重要数据@@@@@@?国家市场监督管理总局和@@国家标准化委员会发布的@@《重要数据@@@@识别指南@@》确立了六@@项应遵循的基本原则@@:
一@@是@@聚焦安全影响@@:从国家安全@@、经济@@运行@@、社会@@稳定@@、公共健康和@@安全等@@角度识别重要数据@@@@@@,只对组织自身而言重要或敏感的数据@@不属于重要数据@@@@@@,如企业的内部管理相关数据@@@@;
二@@是@@突出保护重点@@:通过对数据@@分级@@,明确安全保护重点@@,使一@@般数据@@充分流动@@,重要数据@@@@在@@满足安全保护要求@@前提下有序流动@@,释放数据@@价值@@;
三@@是@@衔接既有规定@@:充分考虑地方已有管理要求@@和@@行业特色@@,与地方@@、部门已经制定实施的有关数据@@管理政策和@@标准规范紧密衔接@@;
四@@是@@综合考虑风险@@:根据@@数据@@用途@@、面临威胁等@@不同因素@@,综合考虑数据@@遭到篡改@@、破坏@@、泄露@@或者非法获取@@、非法利用@@等@@风险@@,从保密性@@、完整性@@、可用性@@、真实性@@、准确性等@@多个角度识别数据@@的重要性@@;
五@@是@@定量定性结合@@:以定量与定性相结合的方式识别重要数据@@@@@@,并根据@@具体数据@@类型@@、特性不同采取定量或定性方法@@;
六@@是@@动态识别复评@@:随着数据@@用途@@、共享方式@@、重要性等@@发生变化@@,动态识别重要数据@@@@@@,并定期复查重要数据@@@@识别结果@@。
(王春晖@@:浙江大学网络空间@@安全学院教授@@、中国科协网络与数据@@法治决策咨询@@首席专家@@、工信部信息通信经济@@专家委员会委员@@。)
更多@@精彩@@,请关注@@“官方微信@@”
国脉@@,是@@大数据@@治理@@@@、数字政府@@、营商环境@@、数字经济@@@@、欧宝娱乐靠谱吗 、产业服务等@@领域的专业提供商@@。创新提出@@“软件@@+咨询@@+数据@@+平台@@+创新业务@@”五@@位一@@体服务模型@@,拥有营商环境@@流程再造系统@@、营商环境@@督查与考核系统@@、政策智能服务系统@@、数据@@基因@@、数据@@母体@@、产业协作平台@@@@等@@几十项软件@@产品@@,长期为中国智慧城市@@@@、智慧政府和@@智慧企业提供专业咨询@@规划和@@数据@@服务@@,运营@@ob体育官网 、国脉@@数字智库@@、营商环境@@智库等@@系列行业专业平台@@@@,广泛服务于发改委@@、营商环境@@局@@、考核办@@、大数据@@局@@、行政审批局@@、优化办等@@政府客户和@@中央企业@@。
