国家拟建立数据分类分级保护制度：数据处理者上市需申报网络安全审查

◎本刊特约观察员 王兴

11月14日，国家互联网信息办公室关于《网络数据安全管理条例（征求意见稿）》公开征求意见。根据《意见稿》，国家拟建立数据分类分级保护制度，按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度，将数据分为一般数据、重要数据、核心数据，不同级别的数据采取不同的保护措施。国家对个人信息和重要数据进行重点保护，对核心数据实行严格保护。各地区、各部门应当按照国家数据分类分级要求，对本地区、本部门以及相关行业、领域的数据进行分类分级管理。

从这次的《意见稿》不难看出，这其实是在建立一个自上而下的数据管理体系。根据这个管理体系，当前的一些问题就有了比较明确的管理规范。比如，企业境外上市的问题。根据该《意见稿》，“一百万人以上个人信息的数据处理者赴国外上市的”、“数据处理者赴香港上市，影响或者可能影响国家安全的”，要“申报网络安全审查”。也就是说，以后大的互联网企业想要在未经审查的情况下，到国外或香港上市，将成为不可能的事情。

早在今年7月2日，网络安全审查办公室对“滴滴出行”实施了网络安全审查；随后7月5日，网络安全审查办公室对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。这也是自2020年4月《网络安全审查办法》发布以来，正式开展的首轮审查行动。审查期间，上述平台均停止新用户注册。值得注意的是，滴滴、满帮集团、BOSS直聘都是今年6月份在美国上市，被实施网络安全审查后，股价均遭遇大跌。掌握超100万用户个人信息的运营者赴国外上市，必须申报网络安全审查。我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。

关键信息基础设施是经济社会运行的神经中枢，是网络安全的重中之重。保障关键信息基础设施安全，对于维护国家安全、保障经济社会健康发展、维护公共利益和公民合法权益具有重大意义。关键信息基础设施保护需要国家、行业、运营者共同努力。运营者是关键信息基础设施安全保护的责任主体。国务院出台的《关键信息基础设施安全保护条例》（以下简称《条例》）对运营者履行的安全保护义务给出了具体要求，在《网络安全法》的基础上，《条例》明确要求运营者主要负责人对关键信息基础设施安全负总责，领导关键信息基础设施安全保护和重大网络安全事件处置工作，组织研究解决重大网络安全问题。

《意见稿》的出台为关键信息基础设施依法保护提供了实操依据，将推动我国关键信息基础设施安全保护工作进入新阶段。