近日，國家互聯網信息辦公室（以下簡稱“網信辦”）發布了《關于<網絡安全審查辦法（修訂草案征求意見稿）>公開征求意見的通知》（以下簡稱《征求意見稿》），對《網絡安全審查辦法》內容提出了重要修訂。從此次修訂的變化，能夠看出網絡安全和數據安全發展情勢的變化，也可讀出其對數據安全政策和產業的影響。

　　內容修訂情況：一條主線

　　此次《征求意見稿》相比之前的《網絡安全審查辦法》，其核心修訂，也是最為重要的內容變化是加強了對數據安全的關注和規范。具體表現在以下三個方面。

　　一是將數據安全法增加為立法依據。《征求意見稿》第一條規定：“依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》，制定本辦法”，將《中華人民共和國數據安全法》增加為制定依據，直接表明了本次修訂的主旨就是通過網絡安全審查制度、機制加強對數據安全相關行為的規范。這不僅僅是法規間銜接的要求，更是切實強化數據安全的必然舉措。

　　二是將數據處理活動作為重點規范對象。《征求意見稿》第二條規定：“數據處理者（以下稱運營者）開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查”。可見，下一步《網絡安全審查辦法》的管理范圍將有很大拓展，其在規范主體、規范行為兩大方面都有擴大。結合近期國家主管部門先后宣布對多家互聯網廠商進行審查的情況來看，辦法修訂生效后，也極有可能成為主管部門加強數據安全執法行動在操作層面的主要法律依據。

　　三是對數據運營者作出了定量描述。《征求意見稿》第六條規定：“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”。從該條規定可以看出，《征求意見稿》將掌握一定數量個人信息的企業赴國外上市，作為應當進行網絡安全審查的一種數據處理行為，而且從相關修訂條文比重來看，滿足特定條件的國內企業赴國外上市很可能成為下一步網絡安全審查的重點規范。

　　此外，《征求意見稿》還涉及到其他重要內容補充修訂，如：將證監會增加進審查機制、審查提交材料增加了“擬提交的IPO材料”、特別審查程序由45天延長至3個月等。可見，這些修訂內容，也均與數據安全的修訂直接相關。

　　內容修訂分析：三個要素

　　《征求意見稿》立足數據安全主線，其修訂內容還充分反映了與數據安全存在密切關聯的三個邏輯要素。

　　（一）數據安全審查——明確機制

　　首先從法理上看，加強數據安全管理、完善數據安全審查機制是落實《數據安全法》的重要步驟。6月10日頒布的《數據安全法》即將于9月1日正式生效施行，此次《征求意見稿》將數據安全相關內容作為修訂重點，無疑是數據安全法正式實施前的一項重要制度準備。《數據安全法》第二十四條明確規定：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查”，盡管此處的“國家安全審查”的方式和范圍尚不得而知，但網絡安全審查作為國家安全審查的重要組成部分應該是沒有異議的。將數據安全納入網絡安全審查范疇，在具體操作中也符合管理效率原則和網絡安全保障工作實情。

　　其次從數據安全的雙重含義來看，在審查中不應偏廢。理解數據安全應包含兩層含義，一個是數據信息本身的安全屬性要求，即通常所說的機密性、完整性、可用性、真實性、可控性等屬性，可稱之為直接安全或內在安全；另一個是因對數據的不當處理行為而帶來的安全風險，可以稱之為間接安全或外在安全。《網絡安全審查辦法》此前對于第一種情形即數據的內在安全性已經作出了規定，如第九條第一款“產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險”。而此次《征求意見稿》對于數據安全的補充修訂，很大程度上是對數據安全的第二層含義，即外在安全性的貫徹。可見，《征求意見稿》對數據安全進行的補充修訂，其實質上是完善了數據安全的定義涵蓋，而非無根據的隨意擴展。因此從本質邏輯上看，數據安全的兩個方面均是安全審查的重要對象，二者是一致的也是不可分割的。

　　（二）國外上市——重要審查場景

　　從《征求意見稿》內容側重上不難發現，國外上市是其明確列出的數據運營者所從事的、可能影響國家安全的一種主要行為。加強對特定企業赴國外上市的安全監管，不僅是為了落實《關于依法從嚴打擊證券違法活動的意見》政策要求，更是為管控國外上市帶來數據安全風險隱患的客觀需要。

　　盡管對“國外上市”含義的具體界定還有待進一步明確，而僅從近期主管部門宣布啟動的幾起網絡安全審查來看，企業在國外上市的行為，會極大加劇相關重要數據面臨的安全風險、以及被政治化歪曲利用的可能。

　　以美國為例，目前美國證券交易相關的管理規定主要包括《塞班斯法案（Sarbanes-Oxley Act）》、《外國公司問責法案（Holding Foreign Companies Accountable Act）》等，其要求上市公司的核心披露義務主要涉及“財務和管理弱點報告”和“審計底稿”等。這些披露材料乍看似乎與事關安全的重要數據、核心數據等沒有太直接的聯系，深入分析則會發現，安全隱患主要來源于兩個方面。一方面，要求披露的內容本身可能包含某些安全敏感數據，如“審計底稿”通常包括被審計對象的組織機構及管理人員結構、重要合同、董事會會議紀要等，其中可能會包含我國行業數據和消費者信息，能反映我國關鍵信息基礎的運行等情況，若任由美國收集難免影響到我國家安全利益。另一方面，也是風險最大的情況，即在美上市的公司除了負擔直接的信息披露義務之外，還有面臨各種調查的潛在風險。美國建立了相對體系化的審查調查機制，主導部門包括商務部（貿易調查）、司法部（不正當競爭調查、海外反腐敗調查、知識產權調查等）等，一旦上市公司被納入相關的審查調查，其調查的內容范圍就極有可能擴大，也就會加大相關重要數據暴露或被政治化歪曲等的風險。

　　（三）個人信息——界定審查對象

　　《征求意見稿》對于數據安全的修訂，還有很重要的一條線索就是個人信息保護。從字面上理解，似乎數據安全和個人信息保護的界線相對清晰，前者屬于公法范疇，側重保護公共利益；后者屬于私法范疇，側重保護個人隱私。但二者的密切聯系也不容忽視。

　　首先，掌握個人信息的數量，將直接影響數據運營者的行為性質。正如前所述《征求意見稿》第六條規定了：“掌握超過100萬用戶個人信息的運營者赴國外上市”的時候，要必須向網絡安全審查辦公室申報網絡安全審查。可見，按照《征求意見稿》該條內容理解，個人信息的定量情況將直接決定著數據運營者的海外上市行為是否影響國家安全，是判定數據運營者在海外上市能否觸發網絡安全審查的先決條件。

　　其次，個人信息在一定條件下，將直接轉化為重要數據。因為二者在某些情況下存在一定的交集，如特定人物的個人信息、特定群體個人信息的匯聚等都有可能使個人信息轉化為重要或核心數據，這些數據因能夠反映地區或行業、設施運行情況，從而必須納入國家安全的視野范圍加以保護。例如網絡上曝光的對某些國家部委工作人員上下班出行情況的分析，這些出行信息具有很強的個人屬性，本屬于個人信息的范疇，但對這些信息進行匯聚和分類分析，就成了能夠反映國家重要機構運行情況的數據，就不能再單純視作個人信息了。在此意義上也可看出，個人信息與數據安全關系密不可分。

　　影響分析：構建數據安全供需發展新格局

　　當前“十四五”規劃已經開局，將《征求意見稿》與即將生效的《數據安全法》結合起來并置于“十四五”新發展格局大背景中進行思考，對經濟社會發展、產業提振將有更加實際的意義。“十四五”規劃明確部署了新發展格局的實施路徑：“把實施擴大內需戰略同深化供給側結構性改革有機結合起來，以創新驅動、高質量供給引領和創造新需求，加快構建以國內大循環為主體、國內國際雙循環相互促進的新發展格局”，此次網絡安全審查制度的修訂，也將從供給、需求兩個方面對數據安全發展帶來積極影響，推動我國數據安全行業發展新格局的加速構建。

　　（一）強化數據安全供給：技術創新、管理機制缺一不可

　　數據安全的供給側主要偏重于構建數據安全保障能力，包括管理規范、技術手段、管理隊伍等要素供給能力。

　　從管理規范供給能力看。一方面現有的數據安全管理法規政策之間將進一步銜接，從國家近期相繼發布《關于依法從嚴打擊證券違法活動的意見》（兩辦）、《征求意見稿》、《數字經濟對外投資合作工作指引》（商務部、中央網信辦、工信部聯合印發）等重磅政策法規不難看出，數據安全與證券跨境監管、關鍵基礎設施采購等的關系正在更加緊密地協同。另一方面，數據安全管理法規體系的健全工作將進一步提速，覆蓋面也將逐步擴展，如關鍵基礎設施數據處理活動風險評估管理、境外發行證券的保密和檔案管理、跨境信息提供機制與流程管理、跨境審計監管合作等。

　　從技術手段供給能力來看。將有力促進數據安全相關技術產品和服務能力的創新發展，圍繞不同層面需求，數據安全產品技術和服務供給能力將進一步深化。在滿足企事業單位自身數據安全保護需求方面，重點發展方向包括：數據防泄露、數據脫敏、數據庫防火墻，以及以數據資產識別、管理為核心的數據安全管理平臺等；在滿足主管部門監管需求方面，重點發展方向包括：數據分級分類管理、敏感數據發現、數據安全風險評估、數據安全審計、數據追蹤溯源等；在滿足公共數據安全能力提升需求方面，重點發展方向包括：數據安全災備、數據安全培訓、數據安全運營等服務保障能力。

　　從管理隊伍供給能力來看。數據安全在審查工作中的重要性日益增強，管理隊伍的專業化水平將亟待同步提升。與之相適應的數據安全隊伍供給體系重點方向將包括：數據安全類專業人才培養體系、選拔任用機制、培訓實戰體系、績效考核機制等。

　　（二）拓展數據安全需求：多管齊下應用引領

　　數據安全的需求側主要偏重于建立數據安全應用體系，可歸納為三個“需求”：管理需求、合規需求和攻防需求。未來圍繞數據安全需求的挖掘，不僅是主管部門引導數據安全健康有序發展的重要依據，也是深化數據安全技術創新和壯大數據安全產業能力的重要方向。

　　01 管理需求

　　對數據要做到“心中有數”。“底數不清”往往是出現數據安全問題的重要根源之一，明確數據安全管理需求的重點就是要做到對自身數據及其安全情況有較為清晰的了解。這類需求將主要圍繞數據分類、數據分級、數據資產構成分析、數據防護現狀分析等展開。

　　02 合規需求

　　數據安全應符合“法規紅線”。網絡安全等級保護、關鍵信息基礎設施保護、保密管理等制度規范，對于數據都提出了相應的安全要求及相應防護手段。除了等保、關基、保密等傳統合規要求之外，針對數據應用的重要典型場景，如工業數據、交通數據、能源數據等，也將成為法規關注的重點需求領域。

　　03 攻防需求

　　數據安全當滿足“實戰有效”。數據安全保障手段的最終目的是其能夠化解潛在數據風險或有效防御數據攻擊。在此類需求方面，除了事中防御和事后補救手段之外，事前的發現、檢驗需求將成為數據安全建設需求的重中之重，與之相對應的數據安全態勢監測、數據安全仿真檢測、數據安全保護實效檢驗等也將日益受到更多關注。

　　“東方欲曉，莫道君行早”。《征求意見稿》匯總各方面意見后的最終內容如何，仍需拭目以待。而其對于我國網絡安全審查制度的完善、對于社會各界數據安全保護意識提升的影響已經顯現并將持續，數據安全政策法規體系和數據安全技術產業也將以此為契機，迎來發展的新階段。