基础设施|《网络安全审查办法》：严把风险防控关( 二 )

有何特色？网络安全审查需要企业自查把关
《网络安全审查办法》从关键信息基础设施的运营者采购网络产品和服务，以及数据处理者开展数据处理活动的安全性和可能带来的国家安全风险两大视角，确立了网络与数据安全审查的原则。《网络安全审查办法》第三条明确了网络安全审查的“四个相结合”原则：一是坚持防范网络安全风险与促进先进技术应用相结合；二是坚持过程公正透明与知识产权保护相结合；三是事前审查与持续监管相结合；四是企业承诺与社会监督相结合。
值得注意的是，保障网络安全和数据安全，维护国家安全和发展利益是关键信息基础设施运营者和数据处理者的法定主体责任。因此，网络与数据安全审查应当以企业自查把关为前提，并对其网络产品和服务的采购活动以及数据处理活动的安全性、合法性、风险性作出承诺，有效预防和化解国家安全风险，同时要接受社会的监督。
《网络安全审查办法》要求，关键信息基础设施运营者申报网络安全审查的采购活动时，应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，并承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。与此同时，关键信息基础设施运营者还应当督促产品和服务提供者履行在网络安全审查中作出的上述承诺。
如何把握？重点关注涉及安全风险因素
国家网络安全审查，主要针对关键信息基础设施运营者采购网络产品和服务，以及网络平台运营者开展数据处理活动，影响或者可能影响国家安全的风险因素。
根据《网络安全审查办法》第十条的规定，网络安全审查重点评估相关对象或者情形的以下国家安全风险因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
从上述影响或者可能影响国家安全风险因素和审查权重上看，《网络安全审查办法》第十条（一）至（四）主要强调与关键信息基础设施相关的网络产品和服务引发的国家安全风险因素。需要指出的是，并不是关键信息基础设施运营者采购的所有网络产品和服务均需要进行国家网络安全审查，《网络安全审查办法》所指的“网络产品和服务”主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
《网络安全审查办法》第十条（五）、（六）主要是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险，以及上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险等。目前，我国数据立法将数据分为一般数据、重要数据、核心数据，这个数据分类的方法主要是基于数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度。