左曉棟：《網(wǎng)絡(luò)安全審查辦法》的修訂，發(fā)生在對滴滴等赴美上市企業(yè)審查期間，且其條款針對企業(yè)赴國外上市作了明確規(guī)定，所以大家很容易將這兩件事關(guān)聯(lián)起來，公眾的關(guān)注點也很容易停留在這上面。事實上，這次修訂是一次重大制度設(shè)計。

首先，《修訂草案》中相關(guān)上市要求條款是在落實最近中辦、國辦最近印發(fā)的《關(guān)于依法從嚴(yán)打擊證券違法活動的意見》精神。該意見要求“加強(qiáng)跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關(guān)法律法規(guī)”。

其次，更重要和更實質(zhì)性的，《修訂草案》是為了落實《數(shù)據(jù)安全法》第二十四條的要求。該條提出，國家建立數(shù)據(jù)安全審查制度，對影響或者可能影響國家安全的數(shù)據(jù)處理活動進(jìn)行國家安全審查。企業(yè)赴國外上市只是可能出現(xiàn)數(shù)據(jù)安全風(fēng)險的一種具體情形，所以從整體上說，《修訂草案》是為了建立數(shù)據(jù)安全審查制度。

《數(shù)據(jù)安全法》將在2021年9月1日實施，此次審查辦法的修訂，表明數(shù)據(jù)安全法進(jìn)入實施前緊鑼密鼓的準(zhǔn)備階段，法律中設(shè)立的各項重大制度將逐步通過法規(guī)和細(xì)則予以落實。

左曉棟：關(guān)于網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度的關(guān)系，社會上有幾種疑問。一是：這兩個制度是同一個部門實施嗎？在網(wǎng)絡(luò)安全審查制度已經(jīng)由國家網(wǎng)信部門實施的情況下，數(shù)據(jù)安全審查制度是否由中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)的辦事機(jī)構(gòu)或國家安全機(jī)關(guān)實施？二是：如果數(shù)據(jù)安全審查制度也由國家網(wǎng)信部門實施，那么網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度會合并實施嗎？

這些疑問涉及到部門職責(zé)，需要權(quán)威部門給出解答。但有幾個事實是清晰的。一是中央網(wǎng)信辦已經(jīng)成立了一個新的局，即“網(wǎng)絡(luò)數(shù)據(jù)管理局”，最近的新聞中已經(jīng)披露了該局的一些公開活動；二是《修訂草案》所有新修訂內(nèi)容都明確指向了對數(shù)據(jù)處理活動影響國家安全風(fēng)險的審查，且在《修訂草案》中這本身屬于網(wǎng)絡(luò)安全審查的一部分。這兩個事實應(yīng)該能夠部分回答社會上的上述疑問。

另外，從技術(shù)上講，至少有以下三點也是明確的：

（1）《數(shù)據(jù)安全法》第二十四條提出數(shù)據(jù)安全審查制度的立法宗旨，就是防范數(shù)據(jù)處理活動帶來的國家安全風(fēng)險，這與《修訂草案》的變動是一致的。

（2）網(wǎng)絡(luò)安全和數(shù)據(jù)安全不可能絕對剝離，且很多網(wǎng)絡(luò)安全風(fēng)險來自數(shù)據(jù)處理活動，網(wǎng)絡(luò)安全審查制度天然應(yīng)當(dāng)包括對數(shù)據(jù)處理活動的審查。即使在修訂之前的《網(wǎng)絡(luò)安全審查辦法》中，也已經(jīng)考慮了“重要數(shù)據(jù)被竊取、泄露、損毀的風(fēng)險”。因此，如將兩者嚴(yán)格分開甚至放在不同部門，本身有違科學(xué)規(guī)律。

（3）在國家已經(jīng)建立了整套網(wǎng)絡(luò)安全審查制度的前提下，不太可能也沒有必要另起爐灶重新建立一個數(shù)據(jù)安全審查辦公室、重新指定技術(shù)支撐機(jī)構(gòu)，這在資源上也是浪費，且因技術(shù)上的部分重合必然帶來職責(zé)交叉。

當(dāng)然，數(shù)據(jù)安全審查制度的建立是一個需要不斷探索的過程，我認(rèn)為這次只是一個開頭，并不表明這個制度已經(jīng)完全建立起來了、所有的問題都解決了。但是其邁出了最重要的第一步，相信這個制度會隨著時間發(fā)展不斷健全完善。

左曉棟：滴滴被審查之初，的確很多人猜測是因為滴滴被列為了關(guān)鍵信息基礎(chǔ)設(shè)施。因為網(wǎng)絡(luò)安全審查的啟動條件是關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購產(chǎn)品和服務(wù)時可能影響國家安全。甚至為此還引發(fā)了很多“陰謀論”。

事實上，這與滴滴是否被列為關(guān)基沒有必然關(guān)系，因為網(wǎng)絡(luò)安全審查的啟動還有第二種條件，即網(wǎng)絡(luò)安全審查機(jī)制成員單位認(rèn)為網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國家安全。數(shù)據(jù)處理活動，顯然是一種“網(wǎng)絡(luò)服務(wù)”。

因此，對滴滴等企業(yè)啟動安全審查，法律依據(jù)是充分的。

不同的是，滴滴等這些企業(yè)存在的網(wǎng)絡(luò)安全風(fēng)險，主要是數(shù)據(jù)安全風(fēng)險，且因企業(yè)赴美上市而引發(fā)。因此，雖然法律依據(jù)充分，但舉一反三，盡快建立我國數(shù)據(jù)安全審查制度，針對特定領(lǐng)域的安全風(fēng)險作出制度性安排，并針對企業(yè)赴國外上市等特殊場景明確制度細(xì)則，就成了當(dāng)務(wù)之急。

數(shù)據(jù)安全法的確還沒有生效，但審查辦法的修訂也有一個過程。修訂完成開始實施時，一定會和數(shù)據(jù)安全法的生效日期保持協(xié)調(diào)，也就是2021年9月1日。

左曉棟：應(yīng)當(dāng)從數(shù)據(jù)安全法的實施范圍出發(fā)去理解“數(shù)據(jù)處理者”?！稊?shù)據(jù)安全法》規(guī)定，數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。這意味著，所有涉及上述數(shù)據(jù)處理活動的主體，只要其活動影響或可能影響國家安全，都應(yīng)當(dāng)接受網(wǎng)絡(luò)安全審查。從這個角度而言，修訂后的網(wǎng)絡(luò)安全審查辦法的規(guī)范對象較廣。

當(dāng)然，對實施范圍的理解也要結(jié)合網(wǎng)絡(luò)安全審查辦法的特性。網(wǎng)絡(luò)安全審查是一種重要的威懾手段，既然是“威懾”，那就不可能輕易、頻繁使用。所以，雖然沒有規(guī)定哪類數(shù)據(jù)處理活動一定可以豁免網(wǎng)絡(luò)安全審查，但也不可能每一次的數(shù)據(jù)處理活動都要進(jìn)行審查。但我個人認(rèn)為，今后在這個問題上有必要制定進(jìn)一步的細(xì)則。《修訂草案》第六條規(guī)定，掌握超過100萬用戶個人信息的運營者赴國外上市要申報網(wǎng)絡(luò)安全審查，這是一種明確的啟動條件。但其他情形下數(shù)據(jù)處理活動進(jìn)入網(wǎng)絡(luò)安全審查程序的啟動條件是什么呢？評判標(biāo)準(zhǔn)是什么呢？這有待后續(xù)明確。

至于審查辦法的修訂稿實施后，哪些企業(yè)需要補(bǔ)充申報網(wǎng)絡(luò)安全審查，或者主動申報網(wǎng)絡(luò)安全審查，需要等待政策進(jìn)一步的規(guī)定。但可以明確的是，從現(xiàn)在起，所有的數(shù)據(jù)處理者，特別是掌握了批量個人信息或重要數(shù)據(jù)的大型互聯(lián)網(wǎng)企業(yè)、公共服務(wù)機(jī)構(gòu)，以及已經(jīng)在國外上市的互聯(lián)網(wǎng)企業(yè)，要自行組織或者委托專業(yè)機(jī)構(gòu)對本企業(yè)數(shù)據(jù)處理的合規(guī)性，特別是其數(shù)據(jù)處理是否可能影響國家安全，抓緊開展自查。

即使沒有網(wǎng)絡(luò)安全審查制度，相關(guān)企業(yè)也應(yīng)該重視這項工作。因為《數(shù)據(jù)安全法》第三十條已經(jīng)對重要數(shù)據(jù)處理者規(guī)定了“定期開展風(fēng)險評估”的義務(wù)?！秱€人信息保護(hù)法（二審稿）》第五十四條也規(guī)定了“合規(guī)審計”的義務(wù)，第五十五條規(guī)定了“事前進(jìn)行風(fēng)險評估”的義務(wù)。

左曉棟：有必要指出，網(wǎng)絡(luò)安全審查制度的實施從來就不是只“對外”或者“對內(nèi)”。這個制度一視同仁，目的是建立在開放環(huán)境下維護(hù)國家安全的能力。所謂“開放環(huán)境”，是指在全球化條件下，不可能閉關(guān)鎖國拒絕國外網(wǎng)絡(luò)產(chǎn)品和服務(wù)，但也不意味著國內(nèi)產(chǎn)品和服務(wù)就沒有風(fēng)險。

另外還要指出，很多人將注意力放在審查滴滴是網(wǎng)絡(luò)安全審查制度首次彰顯威力，這種論斷有吸引眼球的嫌疑。加上前期的三年試行、去年一年的正式實施，這項制度已經(jīng)有四年之久的歷史了，怎么可能是第一次實施呢？又怎么可能只盯著國內(nèi)企業(yè)呢？因此，社會上炒作“首次”和“國內(nèi)企業(yè)”毫無意義。

《修訂草案》第六條的規(guī)定的確針對的國內(nèi)企業(yè)，因為在國外上市是一種特定的可能導(dǎo)致數(shù)據(jù)安全風(fēng)險的活動，是當(dāng)前的一個熱點問題，國外企業(yè)在美國上市管他干什么？但這不是《修訂草案》新增審查內(nèi)容的全部。甚至根據(jù)《數(shù)據(jù)安全法》第二條的規(guī)定，不但境內(nèi)的國外、國內(nèi)企業(yè)開展數(shù)據(jù)處理活動要管，甚至境外的數(shù)據(jù)處理活動如果影響我國國家安全，不排除也要進(jìn)行審查。

100萬的確不是一個高門檻，對目前主流互聯(lián)網(wǎng)服務(wù)而言，用戶可以輕易超出100萬。特別是企業(yè)到了可以上市的程度時，其用戶量更為可觀。但這個100萬的數(shù)字并不是從企業(yè)經(jīng)營規(guī)?；蚪?jīng)濟(jì)實力考慮的，而是綜合考慮了我國互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的實際情況、批量個人信息泄露后對國家安全和公共利益帶來的影響而確定的標(biāo)準(zhǔn)，主要考慮的是社會影響。實踐中，100萬用戶已經(jīng)是很大的群體，發(fā)生個人信息安全事件的影響已經(jīng)相當(dāng)嚴(yán)重，所以說這個門檻是相對合適的。

左曉棟：審查辦法修訂后，需要審查的情形增多，有的比較復(fù)雜，例如在國外上市這種情況。這次審查機(jī)制成員單位增加了證監(jiān)會，針對的也是這類情況。因此，特別審查程序的時間需要適當(dāng)延長。

出于效率的考慮，常規(guī)審查程序的時長沒有變化。所以總體而言，審查程序沒有本質(zhì)變化。

但也要看到，《修訂草案》畢竟擴(kuò)展了數(shù)據(jù)安全審查內(nèi)容，所以在具體的審查標(biāo)準(zhǔn)、技術(shù)手段、工作流程等方面，應(yīng)當(dāng)會做一些新的準(zhǔn)備。

當(dāng)然，一些人可能會關(guān)心，將來審查辦或?qū)彶榧夹g(shù)與認(rèn)證中心是不是會“忙不過來”？新增的工作肯定會有，但我認(rèn)為也不至于出現(xiàn)忙不過來的情況。這里面可能有個認(rèn)識上的誤區(qū)。如前所述，“審查”是一種非常規(guī)手段，不是“審計”，不是“評估”，不會事事審、時時審。