按照2021年7月2日《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》（以下简称“《公告》”）的要求，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》（以下简称“《国家安全法》”）、《中华人民共和国网络安全法》（以下简称“《网络安全法》”）、《网络安全审查办法》（以下简称“《办法》”），7月16日国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，对“滴滴出行”实施网络安全审查。为配合网络安全审查，防范风险扩大，审查期间“滴滴出行”被要求停止新用户注册，并因“滴滴出行”App存在严重违法违规收集个人信息问题要求应用商店下架“滴滴出行”App。

“滴滴出行”（以下简称“滴滴”）被实施网络安全审查，市场猜测和传言不断，诸如将数据打包给美国、滴滴有独董是美国退役军官、采购了关键网络产品或服务没有申报、出现了数据安全问题等，每天都有滴滴“泄密”的新闻挂在微博热搜。

可以看出，政府和舆论对滴滴最大的担忧更多在于其数据出境存在安全风险。结合国家网信办《公告》中首句“为防范国家数据安全风险”，以及滴滴随后回应：“全面梳理和排查网络安全风险，持续完善网络安全体系和技术能力”等表述，再叠加美国政府对于赴美上市的中国企业所要求的“披露高质量的信息披露和财务报告”、“披露VIE（直译为可变利益实体，国内也称协议控制结构或新浪结构）的风险”、“披露与中国监管环境有关的风险” （注：美国时间2021年7月26日，SEC民主党委员Allison Lee表示，在美国上市的中国企业，必须在定期报告中披露其被中国政府干预业务的风险，这是自滴滴上市事件以来，SEC首次有高级别官员对外评论）等长臂管辖权和持续性信息披露要求等中美监管冲突因素，笔者认为，此次触发网络安全审查办公室依职权对滴滴启动网络安全审查可能的诱因，主要有二：一是滴滴作为关键信息基础设施运营者（以下简称“CIIO”）的特殊身份；二是产品和服务使用后，存在关键信息基础设施（以下简称“CII”）被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险。

值得注意的是，此次网络安全审查的法律依据，本应适用的法律条文是《数据安全法》第23条：“国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。”但由于《数据安全法》目前尚未生效（《数据安全法》将于2021年9月1日正式生效），故实施网络安全审查实际直接适用的法律依据是《办法》第15条：“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查”。其上位法依据是《国家安全法》第59条：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险”，以及《网络安全法》第35条：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。其中，《办法》第15条是《网络安全法》第35条在实施层面的细化。

根据《办法》要求，滴滴将面临45个工作日或更长时间的网络安全审查。在滴滴被实施网络安全审查的同时，7月5日，根据《网络安全审查办法》，网络安全审查办公室还对“运满满”、“货车帮”、“BOSS直聘”实施了网络安全审查，并要求其停止新用户注册。它们均是近期赴美上市的互联网平台公司。可以预见，未来针对平台公司、大型企业的网络安全审查将和个人信息保护、反垄断、反不正当竞争调查一样，成为平台企业、大型企业特别是互联网企业监管的标配。

那么，究竟什么是网络安全审查？如何判断一家企业是否会面临网络安全审查？实践中又该如何保障CII供应链安全与数据合规？企业如何设计数据合规路径来适应即将生效的《数据安全法》有关法律规制？

网络安全审查是由《网络安全法》规定的，针对CIIO采购可能影响国家安全的网络产品和服务而采取的监管审查，其本质上属于《国家安全法》规定的国家安全审查的一部分。为落实网络安全审查制度，2020年4月13日，网信办联合国家发展和改革委员会、工业和信息化部等11部门发布了《办法》，并已于同年6月1日生效。

在网络安全审查中，一个关键的前提是判断企业是否属于CIIO。只有具备CIIO身份，才可能会面临网络安全审查。由于《办法》中CIIO是指经关键信息基础设施保护工作部门认定的运营者，而这一概念又与CII密切相关，因此判断何种设施属于CII便成了识别CIIO身份的关键。

但由于我国尚未发布关于CII的明确识别标准，这一问题亦在实践中深深困扰着企业。

准确地识别企业的相关设施是否属于CII、企业是否属于CIIO，是判断企业是否可能会面临网络安全审查的重要前提。

《网络安全法》第31条对CII进行了规定：“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”

2017年7月10日，网信办发布了《关键信息基础设施安全保护条例（征求意见稿）》，通过“定义+列举”的形式进一步规定了CII，包括下列单位运行、管理的，一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的网络设施和信息系统：“（一）政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；（二）电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；（三）国防科工、大型装备、化工、食品药品等行业领域科研生产单位；（四）广播电台、电视台、通讯社等新闻单位；（五）其他重点单位。”

仅根据该征求意见稿仍难以准确判断，该征求意见稿提出的制定“关键信息基础设施识别指南”也尚未出台，实践中企业在CII判断方面存在诸多困惑。比如，如果企业不属于上述单位范围，其运行、管理的网络设施和信息系统是否一定不属于CII？企业虽属于上述单位范畴，其运行、管理的网络设施和信息系统是否均属于CII？

尽管当前CII的范围尚未公布，但根据《关于检查<中华人民共和国网络安全法><全国人民代表大会常务委员会关于加强网络信息保护的决定>实施情况的报告》（以下简称“《报告》”中：“ 2016年，国家互联网信息办公室等部门组织开展了关键信息基础设施摸底排查工作，对1.1万个重要信息系统安全运行状况进行抽查和技术检测，完成了对金融、能源、通信、交通、广电、教育、医疗、社保等多个重点行业的网络安全风险评估”、“目前全行业共确定关键网络设施和重要信息系统11,590个”、“深入推进网络安全等级保护。……其中三级以上重要信息系统1.7万个，基本涵盖了所有关键信息基础设施……”所述2016年的摸底排查工作情况可知，当前的CII范围有明显扩大的趋势，且CII的范围在一段时间内或作为保密事项不对外公布。

根据上述《报告》，一般可以推断较为接近CII的范围，即在“等保”三级以上的系统有较大可能被认定为CII。需要说明的是，尽管“等保”是针对“系统级”的测评体系/标准，但现阶段对于“组织级”的CII仍然具有很强的参照作用。而业界一般则按照两个相对简单的标准来判断是否属于CII：一是数据是否足够重要，二是用户基础是否足够大。

简单来说，网络安全审查有两种启动条件，一种是CIIO采购网络产品和服务，认为可能影响国家安全的，主动进行网络安全审查申报。根据《办法》，一般情况下应由企业主动申请进行审查，但从目前情况看，遭遇网络安全审查的几家企业并没有主动申报。

另一种是网络安全审查机制成员单位认为影响或者可能影响国家安全的，也可依职权启动网络安全审查。网络安全审查办公室设在国家网信办，包括网信办在内共有12个部委联合组成国家网络安全审查工作机制，如果《网络安全审查办法（修订草案征求意见稿）》得以通过，该机制成员单位将会增加至13个部委（新增证监会）。

但网络安全审查制度作为维护国家网络安全的重要制度，其主要作用是“威慑”，并不会时常启动，一旦企业如滴滴一样被动接受网络安全审查，则意味着企业的产品或服务很可能存在巨大的网络安全风险或数据安全风险。

为了更好适应网络安全和数据安全监管需要，就在7月2日在网络安全审查办公室依据《办法》对滴滴启动网络安全审查之后，作为即将生效《数据安全法》的配套规定，网信办旋即于7月10日公布了《网络安全审查办法（修订草案征求意见稿）》。

该征求意见稿修订要点可以概括如下：一是增加了《数据安全法》作为立法依据及处罚依据；二是扩大网络安全审查范围，对于数据处理者开展数据处理活动，影响或可能影响国家安全的，纳入网络安全审查审查范围，落实《数据安全法》的数据安全审查制度；三是新增网络安全审查适用情形，掌握超过100万用户个人信息的运营者赴国外上市，须申报网络安全审查；四是网络安全审查重点从网络安全扩展至数据安全，增加对“核心数据、重要数据或大量个人信息”以及“关键信息基础设施”可能遭遇的数据安全风险因素的考量；五是将中国证券监督管理委员会纳入网络安全审查工作组；六是变更申报材料及审查时间，增补申报网络安全审查应提交的材料，特别审查程序由45个工作日延长为3个月。

限于篇幅和主题，本文不对上述修订变化进行详细阐释。但可以预见的是，未来若企业相关业务涉及处理个人信息或核心数据、重要数据的，应当重视网络安全审查的相关规定：一方面，企业内部应当按照《网络安全法》、《数据安全法》以及未来出台的《个人信息保护法》等相关法律规定做好个人信息保护及数据安全、网络安全工作；另一方面，在开展个人信息及核心数据、重要数据处理活动时，特别是涉及数据出境的，应当提前评估其安全风险，与相关监管部门保持良好沟通，避免面临相关法律风险。

另外，对于已经在国外上市的企业，亦需重视网络安全审查相关规定：一方面，企业需要对已发生的数据处理活动进行评估，若存在安全风险，应当及时采取补救措施；另一方面，未来企业在开展个人信息及核心数据、重要数据处理活动时，特别是涉及数据出境的，应当提前评估其安全风险，与相关监管部门保持良好沟通，履行相应的报告、评估、审查等义务，避免面临相关法律风险。

网络安全审查制度设立的基点，是为了保障CII的供应链安全。在《数据安全法》下，企业可从以下若干方面考虑数据安全及合规的落地实施工作。

一是企业做好数据合规工作，应重视法务、合规、技术等多个部门的协同配合。这一点其实也隐含在了《数据安全法》第3条“数据安全，是指通过采取必要措施，确保数据处于有效保护（笔者注：“有效保护”通常由IT/信息化等技术部门负责实施）和合法利用（笔者注：“合法利用”通常由法务部门负责实施）的状态，以及具备保障持续（笔者注：“保障持续”通常由合规部门负责实施）安全状态的能力”的相关表述中。

二是企业做好数据合规工作，网络安全完善、IT成熟等基础性条件是前提。这是因为在一个成熟的IT体系中，数据信息层处于整个IT体系的最顶层，从上到下依次是数据信息层、软件应用层、平台软件层（包括数据库、操作系统等）、基础设施层（包括服务器、磁盘柜、计算机网络等），因此，做好数据合规的前提是IT体系具备完善的基础性条件，数据合规并非一蹴而就，如果底层的基础条件不完备、不成熟，数据合规将无法真正落地和有效实施。笔者认为，这一点亦是做好数据合规的底层逻辑。

按照《数据安全法》生效时间以及IT体系搭建原则，大致可以分为3个阶段：

第1阶段为9月1日《数据安全法》正式生效之前，企业应明确负责人、开展基本的数据保护和个人信息保护意识培训、做好企业内部数据分类指南、梳理信息系统并明确结构性数据、梳理非结构性数据存储系统和位置、做好企业通用信息安全差距分析等基础准备工作；第2阶段为9月1日《数据安全法》正式实施至相关行业数据分类明确期间，这个阶段企业可以扩充数据保护团队、明确行动计划、针对核心系统建设数据保护的技术能力、企业基础信息安全控制补强、核心系统建设等级保护、安全运维团队及应急响应建设、做好行业数据分类和保护指南差距分析等；第3阶段为行业数据分类明确后的1-3年内，企业应根据行业定义的数据等级指南和保护指南补强企业现有控制、建立数据保护制度内部考核和定期审査制度等。

企业可以结合业务类型及流程，从合规风险预判、明确合规目标、交易前尽职调查、交易文本、运营中合规管理等合规操作全流程来保障供应链安全与数据合规。限于篇幅和不同企业业务的实际情况，此部分不再展开进行概括性介绍。

此外，企业还要根据自身实际，在制度和技术上做好相应的准备，以“确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力”。

其中，制度上的准备包括但不限于：企业数据保护政策、企业个人信息保护（隐私保护）政策、企业系统风险管理政策（增加数据保护部分）、企业信息安全管理政策、企业隐私保护和信息安全意识培训、隐私和信息安全事件响应流程、数据留存制度、系统日志记录/分析指南、企业IT资产/数据资产注册制度、数据接入/外部导出/跨境传输登记制度、企业合规管理和内审制度等。

技术上的准备包括但不限于：内部/外部应用系统的梳理和识别、通用技术工具（身份认证，账号管理，权限管理，流程审批，日志管理，数据备份）、脱敏技术、加密技术、介质销毀、DLP和数据审计、应急响应流程和演练、监管合规要求跟踪、数据资产识别、数据资产地图、数据分类分级（保密级别/个人信息分类分级）等。

最后，企业还应对即将生效的《数据安全法》关于数据标准和指南、核心数据定义、重要数据跨境跟踪等相关内容进行持续的跟踪和观察。

1. 数据标准和指南

根据《数据安全法》第6条规定：“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。”其第10条规定：“相关行业组织按照章程，依法制定数据安全行为规范和团体标准，加强行业自律，指导会员加强数据安全保护，提高数据安全保护水平，促进行业健康发展。”

实践中，需要跟踪诸如《证券期货业数据分类分级指引》（JR/T 0158-2018〉、《金融业数据能力建设指引》（JR/T0218-2021）、《金融数据安全数据生命周期安全规范》（JR/T 0223-2021）、《公共数据安全分级指南》(DB 31DSJZ005-2020)、《工业数据分类分级指南（试行）》等其他行业主管部门定义的较成熟的行业数据分类分级和数据安全标准，同时亦需要跟踪本地公安的执法趋势和重点。

2. 核心数据定义

根据《数据安全法》第21条：“国家建立数据分类分级保护制度、数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录，加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、 重大公共利益等数椐属于国家核心数据，实行更加严格的管理制度”的规定，《数据安全法》在“重要数据”之上新定义了“国家核心数据”，且要求对国家核心数据，进行数据安全审核制度。因此，对于核心数据定义，还需要进一步跟踪明确。

3. 重要数据跨境

《数据安全法》第31条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

即，“重要数据”开始区分数据处理者为“关键基础设施的运营者”和“其他数据处理者”，需要结合北京、上海、海南等数据跨境试点，并根据国际形势和试点及细化情况保持跟踪观察。

“滴滴出行案”后，我国的网络安全审查很可能会全面收紧，直接原因是美国的长臂管辖带来数据外流隐患，如10%以上的股东有查询数据的权利或者企业迫于经济利益向PCAOB（Public Company Accounting Oversight Board，美国上市公司会计监督委员会）等相关部门提供数据，都将存在很大的数据安全隐患。

在国家竞争与博弈的宏观背景下，数据权利保护与数据流动的平衡、数据确权和利益分配机制的实现、国际数据秩序和竞争规则确立的过程中，网络安全和数据安全问题的重要性将会远远超过我们的传统认知范畴。网络安全和数据安全问题及保护亦会渗透在更为广阔的空间和场景，远不止日常的线上办公、生活领域。未来，网络安全和数据安全还会紧密关联到工业生产、虚拟现实、区块链、物联网、智慧城市等新领域。

随着CII供应链安全和数据安全问题愈发受到国家监管部门关注的态势下，除前述具体数据合规措施外，企业还应当提高对国家竞争与博弈的敏感性，特别是从宏观层面提升对CII供应链安全问题和数据安全的敏感性，提前做好自身数据合规建设与布局，既避免自身面临监管处罚而遭受重大损失，同时也要避免因自身数据安全问题导致国家安全风险。

* 感谢律师邱禹乔、实习生庞博对本稿作出的贡献。