第50期
中國《網絡安全審查辦法》與《數據安全管理辦法》徵求意見稿之觀察
壹、新聞重點
中國國家互聯網信息辦公室(簡稱網信辦)於2019年5月24日及28日接連公布《網絡安全審查辦法》與《數據安全管理辦法》徵求意見稿。[1]這是網信辦會同相關單位依據《網絡安全法》起草、規範維護關鍵基礎設施安全以及資料安全的監督性文件,並向社會大眾進行為期一個月的公開徵詢意見。
貳、安全意涵
一、強化中共中央網絡與信息化委員會的主導角色
在《網絡安全審查辦法》與《數據安全管理辦法》徵求意見稿中,分別於第四條及第五條,指出由中共中央網絡安全與信息化委員會統一領導網路安全及資料安全相關審查工作。此項敘述與2017年《網絡安全法》頒布實施後,於2017年6月1日試行實施之《網絡產品與服務安全審查辦法》(以下簡稱試行辦法)相關條文描述有所差異。[2]試行辦法的第五條,明定由網信辦會同有關部門成立網絡安全審查委員會,負責審議相關政策。而新公布之《網絡安全審查辦法》正式頒布實施後,試行辦法亦將作廢。相關條文敘述的差異,反映了2018年中共《深化黨和國家機構改革方案》將中央網絡與信息化領導小組改組為委員會,顯示中共對網路極為重視。以黨領政的精神於此兩辦法明白展現,即使是細部網路與資料安全審查規範,亦由黨主導。
二、重視跨境資料傳輸與關鍵基礎設施供應鏈安全
此兩份徵求意見稿顯示中國對跨境資料傳輸以及資料保護的重視,並將資料安全視為國安議題。在《網絡安全審查辦法》徵求意見稿第六條,明定關鍵基礎設施採用產品應申報網絡安全審查之各項條件,其中第二項為「大量個人信息和重要數據洩漏、丟失、毀損或出境」,將資料出境列入,這可能是對試行辦法並未說明網絡安全審查適用條件之回應。
此外,《數據安全管理辦法》徵求意見稿的第四條表示,「國家採取措施、監測、防禦、處置來源於中華人民共和國境內外的數據安全風險和威嚇」,表示此辦法將適用於跨境資料傳輸,並賦予對潛在國家安全風險採取必要應對之權限。另在二十八條明定「網絡運營者發布、共享、交易或向境外提供重要數據前,應當評估可能帶來之安全風險,並報經行業主管監管部門同意;行業主管監管部門不明確的,應經省級網信部門批准。向境外提供個人信息按有關規定執行」進一步限制跨境資料傳輸,透過相關條文的模稜兩可,給予監管單位極大的彈性。
《網絡安全審查辦法》徵求意見稿亦將關鍵基礎設施的供應鏈安全納入重要審查項目。其第十條第三項強調「產品和服務的可控性、透明性以及供應鏈安全,包括因為政治、外交、貿易等非技術因素導致產品和服務中斷的可能性」,第六項則涉及「產品和服務提供者受外國政府資助、控制等情況」,顯示中國可能對於關鍵基礎設施採購外國產品與服務進行嚴格審查,並以供應鏈安全為由擴大對於外國產品與服務的限制。
參、趨勢研判
一、美中就關鍵基礎設施安全與跨境資料傳輸相互對峙
《網絡安全審查辦法》與《數據安全管理辦法》徵求意見稿之相關條文敘述,極可能是對於美國政府近期一連串措施之回應。其中《網絡安全審查辦法》第十條的審查項目,似是針對美國川普總統於2019年5月15日簽署之行政命令。該命令宣布美國進入緊急狀態,為保護國家安全,賦予商務部權力禁止「對國家安全構成不可接受風險」的交易。美國商務部進一步將華為及旗下七十家相關企業列入產業安全局(Bureau of Industry and Security, BIS)的出口管制實體清單(entity list),限制美國企業與華為等相關企業貿易。對此,中國商務部在2019年5月31日宣布將建立「不可靠實體清單」制度作為反制,並表示具體措施將在近期公布。[3]
至於跨境資料傳輸,除《數據安全管理辦法》外,具體規範資料需在境內落地的《個人信息和重要數據出境安全評估辦法》,自2017年4月17日徵求意見稿公布後,遲遲未正式頒布實施,據信即是美中貿易談判過程中,美方對於資料落地表達異議。但雙方現已進入對峙狀態,中方下一步可能就會要求加強落實資料落地,衝擊中國境內的美國網路服務業者。
二、中國網路相關法律以及標準逐步完備
在魯煒落馬後,接任網信辦主任的徐麟及現任的莊榮文均為習近平親信,鞏固領導核心,且徐、莊二人行事低調,網信辦作為統籌協調相關單位制定工作機制的角色,逐漸走向規範化。自《網絡安全法》頒布實施後,中國在網路管理相關法律以及標準逐步完備,如《網絡安全審查辦法》與《數據安全管理辦法》徵求意見稿此種對外公開徵求意見的做法,亦已成為常態。
但觀察網信辦2019年1月10日公布之《區塊鏈信息服務管理規定》,其2018年10月19日公布之徵求意見稿與正式公布實施的管理規定完全一致,顯示公開徵詢意見徒具形式,距國際網路治理經公開徵詢並多次修正至最終版本的一般程序仍有距離。
除網信辦外,主要負責技術標準之工業與信息化部科技司,亦陸續公布各項《通信行業標準報批公示》,於標準發布前向大眾徵詢意見,其中包括資源公鑰基礎建設(Resource Public Key Infrastructure, RPKI)等目前網路技術發展前端的標準規範。[4]此種做法,可能是仿照國際網路重要標準開發與推動的網際網路工程任務組(Internet Engineering Taskforce, IETF)的徵求意見書(Request For Comment, RFC),於形式上達到相近的公開透明程序,或可回應各方對於中國通信標準規範黑箱作業之質疑。
另外,公安部在2019年5月13日同國家市場監督管理總局公布《網絡安全等級保護制度2.0國家標準》,將規範標準範圍擴大至雲計算、行動網路、物聯網以及工業控制系統等領域。[5]網信辦與公安部在近年專項行動如「淨網2019」密切合作,但在網路安全審查上的權責,兩單位可能有部分重疊,未來如何協同運作將是一項挑戰。
附表、中國公布之網路管理相關辦法與技術標準
單位
|
公布日期
|
名稱
|
網信辦
|
2016年11月7日
|
《網絡安全法》
|
網信辦
|
2017年2月4日
|
《網絡產品與服務安全審查辦法(徵求意見稿)》
|
網信辦
|
2017年4月11日
|
《個人信息和重要數據出境安全評估辦法(徵求意見稿)》
|
網信辦
|
2017年5月2日
|
《網絡產品與服務安全審查辦法(試行)》
|
網信辦
|
2017年7月11日
|
《關鍵信息基礎設施安全保護條例(徵求意見稿)》
|
網信辦
|
2018年10月19日
|
《區塊鏈信息服務管理規定(徵求意見稿)》
|
網信辦
|
2018年12月26日
|
《金融信息服務管理規定》
|
網信辦
|
2019年1月10日
|
《區塊鏈信息服務管理規定》
|
網信辦
|
2019年5月24日
|
《網絡安全審查辦法(徵求意見稿)》
|
網信辦
|
2019年5月28日
|
《數據安全管理辦法(徵求意見稿)》
|
工信部科技司
|
2019年1月25日
|
《54項通信行業標準報批公示》
|
工信部科技司
|
2019年5月17日
|
《16項通信行業標準報批公示》
|
公安部
|
2007年6月22日
|
《信息安全等級保護管理辦法》
|
公安部
|
2018年6月27日
|
《網絡安全等級保護條例(徵求意見稿)》
|
公安部
|
2019年5月16日
|
《網絡安全等級保護制度2.0國家標準》
|
資料來源:杜貞儀整理自公開資訊。
[1] 〈國家互聯網資訊辦公室關於《網路安全審查辦法(徵求意見稿)》公開徵求意見的通知〉,中華人民共和國國家互聯網信息辦公室,2019年5月24日,https://tinyurl.com/yyszyoej;〈國家互聯網資訊辦公室關於《資料安全管理辦法(徵求意見稿)》公開徵求意見的通知〉,中華人民共和國國家互聯網信息辦公室,2019年5月28日,https://tinyurl.com/y25dstk8。
[2] 〈網絡產品與服務安全審查辦法(試行)〉,中華人民共和國國家互聯網信息辦公室,2017年5月2日,http://www.cac.gov.cn/2017-05/02/c_1120904567.htm。
[3] 〈商務部:中國將建立「不可靠實體清單」制度,具體措施近期出台〉,《環球網》,2019年5月31日,http://world.huanqiu.com/exclusive/2019-05/14963517.html。
[4] 〈16項通信行業標準報批公示〉,中華人民共和國工業和信息化部,2019年5月17日,http://www.miit.gov.cn/n1278117/n1648113/c6960565/content.html。
[5] 張漢青,〈網絡安全等級保護制度2.0標準正式發布〉,《經濟參考報》,2019年5月16日,http://dz.jjckb.cn/www/pages/webpage2009/html/2019-05/16/content_53487.htm。