【建立国家数据安全审查制度】
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
【释义】
本条明确了建立国家数据安全审查制度的要求,是建立健全数据安全治理体系的重要组成部分。数据是国家基础性战略资源,在国际竞争中发挥的效用日益提升,对数据的掌控能力是衡量国家竞争力的关键因素,而同时数据安全问题也与国家主权、安全与发展利益息息相关。因此,对与国家安全相关的数据处理活动进行国家安全审查与处置,是管控国家数据安全风险的必要手段。当前我国已通过《国家安全法》《网络安全法》《外商投资法》《密码法》等法律法规,建立起包括网络安全审查、外商投资审查等在内的国家安全审查体系。具体而言,《国家安全法》第四章“国家安全制度”的第59条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。《数据安全法》第24条是对上述条款中“网络信息技术产品和服务”进行安全审查的关键要素,与《网络安全法》中第35条关于关键信息基础设施的国家安全审查的规定相衔接融合,同时也体现于《网络安全审查办法》第9条的规定,即产品和服务使用后带来的重要数据被窃取、泄露、毁损的风险属于网络安全审查的内容之一。在此背景下,数据安全审查与网络安全审查、外商投资审查等之间存在着融合与交汇,因此数据安全审查的审查对象、审查范围、审查机构、审查内容、审查标准、审查程序等都需要未来相关配套法规的细化和补充,但是当下也可以从上述关联规定中进行一定程度的探析。
根据本条规定,数据安全审查性质仅限于国家安全审查,即只有在数据处理活动影响或者可能影响国家安全的情况下才实施数据安全审查。这也就意味着我国的国家数据安全审查并不是常规常态的审查,也不会针对所有数据,只有在数据处理活动可能影响国际安全的情况下才会启动。《国家安全法》第2条明确规定 “国家安全”是指“国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力”。这种规定实际上也在一定程度上规范了国家数据安全审查的范围。另外,本条还规定有关机构依法作出的数据安全审查决定为最终决定,这意味着其为法定行政终局行为,该决定一经作出即告生效,不会进入行政复议或行政诉讼程序。相关审查对象不能够对此决定要求申请行政复议或行政诉讼。这种规定有利于维护国家安全审查决定的确定性,避免因为不确定性影响“数据处理者”利益。
根据相关法律规定以及本法第2条规定,数据安全审查的对象可以基本推定为在本国境内开展的涉及国家安全的数据处理活动,既包括线上的数据活动,也包括线下的数据活动。而且本条对进行数据活动主体并未做出限制,也就是说不论数据处理者来源地是国内抑或国外,都同等适用数据安全审查制度,不实行差别待遇。网络安全审查的内容重点在于信息技术产品和服务的安全性和可控性,数据安全审查的主要内容可能更关注数字环境的安全性和数据利用的可控性,二者之间对此价值定位具有一定相似性。[4]审查程序方面,《网络安全审查办法》作出了相应的规定,具体而言,第一步应由运营者预判后进行审查申报;第二步由网络安全审查办公室确定是否进行审查,如果确定审查,则要在规定时间内完成初步审查并向网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;第三步由上述相关部门书面回复网络安全审查办公室,审查意见一致时将直接反馈给运营者,否则进入特别程序。无论是上述程序规定还是相关审查标准重点要求,我国的网络安全审查办法之规定是合理且高度透明的,有效平衡了维护安全与自由贸易之间的关系,为数据安全审查机制提供了良好的制度基础,因此数据安全审查在程序、标准等方面都可以对其进行借鉴。
【关联规定】
《中华人民共和国国家安全法》第59~61条,《中华人民共和国网络安全法》第35条,《中华人民共和国外商投资法》第35条,《中华人民共和国密码法》第27条,《网络安全审查办法》,《关键信息基础设施保护条例(征求意见稿)》第31条
(撰稿人:徐实、赵精武)