监管正在缩紧–《网络安全审查办法》修订草案征求意见稿公布

在中国网络安全、数据安全与个人信息保护的立法框架内，仅二十二条的《网络安全审查办法》（“《办法》”）是在《网络安全法》基础上制订的直接指引规范网络安全审查程序的行政法规。其具有重要的法律地位及层级，同时又与行政、执法实务管理紧密相连。在该份文件中，从其立法核心来看，国家安全是重要考量因素。

而就在2021年7月12日，国家互联网信息办公室公布了《网络安全审查办法（修订草案征求意见稿）》(“《征求意见稿》”)，是《网络安全审查办法》2020年6月1日实施以来首次就修订征求意见。

就本次修订的内容来看，近日滴滴出行公司因数据安全问题而遭网络安全审查并下架的事件对本次征求意见稿产生了巨大的影响。

具体而言，2021年6月11日，滴滴出行这家在中国合并了uber具有垄断地位的独角兽企业正式在美国递交招股书申请上市，仅在短短20天后在6月30日滴滴就成功登录纽约交易所。而随即在2021年7月2日，中国国家网信办以滴滴涉嫌严重违法违规收集使用个人信息为由，启动了对滴滴出行的网络安全审查，要求滴滴旗下所有app下架整改，审查期间停止新用户注册，截至本文发稿之日仍未恢复。

本次对滴滴的审查是《网络安全法》生效以来，中国有关部门首次依照《办法》公开启动的网络安全审查程序。滴滴涉嫌将用户数据打包发给美国引发的数据安全、数据出境的争议可能是导致其受网络安全审查的直接原因。

征求意见稿第六条直接添加了：“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”，很难不让人联想到前述事件。

此外，征求意见稿还将原定应在45日内完成的特别审查程序直接延长到了三个月，显然国家有关部门在本次对滴滴的网络安全审查中吸收了第一手实务经验。

在征求意见稿第10条，对于网络安全的审查要素，从原先表述为对“重要数据被窃取、泄露、毁损”的审查细化到对“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的”风险的审查 ，将个人信息、用户数据纳入了审查及保护对象之中，产生了鲜明的指向性，将为网络安全审查程序的启动提供了切实的抓手。

尽管本次公布的仅仅是修订草案，该草案的内容在后续审议中是否会变更不得而知。但从征求意见稿的内容背后可看出，滴滴事件让中国政府意识到了互联网巨头所掌握的用户数据背后潜在的国家安全问题，并显示了政府对于此类数据出境安全问题监管的迫切及重视。随着2021年9月1日后《数据安全法》的生效、后续各相关的法规及办法的出台，在目前躁动的国际政治的背景下，可以预见中国政府对于网络安全的重视及监管将达到空前的程度，各企业宜做好准备，应对监管的缩紧。