M88 app安全立法加速——《M88 app安全法（草案二次审议稿）》发布

在提交至第十三届全国人大常委会第二十八次会议审议后，《M88 app安全法（草案二次审议稿）》（“《二审稿》”）于2021年4月29日正式发布向社会征求意见至2021年5月28日。

《M88 app安全法（草案）》 （“《一审稿》”）为第十三届全国人大常委会第二十次会议讨论后于2020年7月3日发布，《二审稿》在此基础上进行了相应的调整和补充。

《M88 app安全法》出台后将成为以《国家安全法》为代表的国家安全法律体系的重要组成部分，也将与《网络安全法》及同日发布二审稿的《个人信息保护法》一起组成信息领域的基础性法律体系。

一、《二审稿》重大变化

相比《一审稿》，《二审稿》依然保持了原有的总共七章的体例，全文共53条，相较《一审稿》仅增加了2条。

其中比较重要的改变包括：

• 《一审稿》提出国家应对M88 app实行分类分级保护，而《二审稿》更明确提出国家建立M88 app分类分级保护制度，对M88 app进行分级保护，并确定重要M88 app目录，加强对重要M88 app的保护（第二十条）；

• 强调网络安全等级保护制度，规定开展M88 app处理活动应当在网络安全等级保护制度的基础上，建立相关管理制度（第二十六条）；

• 新增关键信息基础设施运营者重要M88 app出境将按照《网络安全法》开展安全评估，对其他M88 app处理者在境内收集和产生的重要M88 app亦将制定专门的出境安全管理办法（第三十条）。但重要M88 app仍未明确定义，而是留待上述重要M88 app目录予以确认；

• 《一审稿》提出了限制境外执法机构调取境内M88 app，《二审稿》在此基础上新增了对境外司法机构调取境内M88 app的限制，要求必须经过主管机关批准后方可提供出境（第三十五条）；

• 违反M88 app安全保护义务的罚款金额显著提高，《二审稿》下违反M88 app安全保护义务的企业的罚款金额上限从《一审稿》的人民币100万元提高至人民币500万元，并可责令暂停业务、停业整顿、吊销许可或营业执照，对直接责任人员的罚款金额从《一审稿》的人民币10万元上调至人民币50万元（第四十四条）；

• 新增不配合公安、国安调取M88 app时的法律责任，最高处人民币50万元罚款，直接责任人员的罚款最高为人民币10万元（第四十六条）；

  
  

• 新增未经批准向境外司法、执法机构提供M88 app的法律责任，最高为人民币100万元罚款，直接责任人员的罚款最高为人民币20万元（第四十六条）。

下文我们将详细讲解《二审稿》相关内容。

二、 适用范围

《二审稿》规定，在中华共和国境内开展的M88 app处理活动及其安全监管，适用本法。在域外适用上，进一步规定，在中华人民共和国境外开展M88 app处理活动，损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的，依法追究法律责任。（第二条） 但如何“依法追究法律责任”，目前在《二审稿》中并未明确说明。

《二审稿》规定，“M88 app”是指任何以电子或者非电子形式对信息的记录；而“M88 app处理”是指M88 app的收集、存储、使用、加工、传输、提供、公开等。（第三条）

根据上述定义，“M88 app”所涵盖的范围十分广泛、在目前政务、企业逐步向数字化转型的过程之中，几乎会囊括生产、经营、管理各方各面所产生的信息记录。《二审稿》附则进一步规定，涉及国家秘密与个人信息的M88 app处理活动，分别适用《中华人民共和国保守国家秘密法》等法律行政法规和个人信息保护法律、行政法规的规定，因此《一审稿》并不包括对于国家秘密、也不特别适用于个人信息的M88 app活动。但是，《二审稿》所涉及的M88 app的边界、特别是在实践之中如何对于企业的业务实践适用，仍需进一步界定。例如，《二审稿》要求对M88 app进行分级分类保护，仅针对重要M88 app制定了相关具体义务（如本文第六部分所述），而对于除重要M88 app之外的其他M88 app是否仍需相应规制、以及规制的重点及规则可能需后续进一步明确。

《二审稿》规定，M88 app安全是指通过采取必要措施，确保M88 app处于有效保护和合法利用的状态，以及保障持续安全状态的能力。（第三条）从整个《二审稿》的内容来看，此处的M88 app安全既包含宏观国家安全层面、亦包括组织与个人落实M88 app安全措施的微观层面。

相比《一审稿》，《二审稿》的本部分主要是将规制对象从“M88 app活动”调整为“M88 app处理活动”，并完善了“M88 app处理”、“M88 app安全”的定义，用词更为准确；并且明确了对M88 app处理活动的安全监管也适用该法。

三、 《二审稿》与网络、安全法律体系的衔接

M88 app安全要素是国家安全、网络安全的重要组成部分。

《国家安全法》原则性的规定，国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现……M88 app的安全可控（第二十五条）。

《网络安全法》亦要求企业应履行网络安全等级保护义务，采取M88 app分类、重要M88 app备份和加密等措施（第二十一条）。我们注意到，《二审稿》与上述法律及其相关配套法规（及征求意见稿）的规定的协调及衔接仍需进一步观察，例如：

• 《二审稿》规定的重要M88 app相关保护义务与《网络安全法》、《M88 app安全管理办法（征求意见稿）》中相关定义及规定的衔接；

• 《二审稿》规定的M88 app出口管制制度与2020年出台的《出口管制法》的出口管制要求、《网络安全法》、《M88 app安全管理办法（征求意见稿）》及《个人信息保护法（草案二审稿）》规定的M88 app出境的相关要求的衔接；

• 《二审稿》规定的M88 app安全审查制度与《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》的关联。

四、 M88 app安全与发展并行的原则

《二审稿》在总则之中首先明确了国家保护个人、组织与M88 app有关的权益，鼓励M88 app合理有效利用，保障M88 app依法有序自由流动，促进以M88 app为关键要素的数字经济发展（第五条）。

接着，《二审稿》在第二章中明确对于M88 app开发利用的支持，强调M88 app安全和促进M88 app开发利用并重。相关支持措施包括实施大M88 app战略、推进M88 app基础设施建设、制定数字经济发展规划（第十四条）；加强M88 app开发利用和M88 app安全技术研究（第十五条）；促进M88 app人才培养（第十九条）等鼓励和支持数字经济发展、M88 app开发利用的总体战略和方针，也同时要求推进M88 app开发利用技术和M88 app安全标准体系建设（第十六条）；促进M88 app安全检测评估及认证（第十七条）、建立健全M88 app交易管理制度（第十八条）。

可见，从《二审稿》的制度设计，意在鼓励和建立各种M88 app相关的制度支持措施，并结合对于M88 app的管理和要求，以促进和协调数字经济与M88 app安全之间的平衡有序发展。

本部分《二审稿》并未在《一审稿》基础上作出实质性变动。

五、M88 app安全执法主体及工作职责

《二审稿》第六条、第七条明确了M88 app安全的监管与不同执法单位的工作职责。中央国家安全领导机构承担M88 app安全工作的决策与统筹协调作用，并制定、指导实施国家M88 app安全战略和重大方针政策。此外：

• 各地区、各部门对本地区、本部门工作中产生、汇总、加工的M88 app及M88 app安全负主体责任；

• 工业、电信、交通、金融、自然资源、卫生健康、教育、科技等行业主管部门承担本行业、本领域M88 app安全监管职责；

• 公安机关、国家安全机关在各自职责范围内承担M88 app安全监管职责；

• 国家网信部门负责统筹协调网络M88 app安全和相关监管工作。

相较于《一审稿》，《二审稿》本部分增加了交通行业主管部门承担行业内M88 app安全监管职责，我们理解该变化与自动驾驶、网联汽车的蓬勃发展有密切关联；《二审稿》还将“国防科技工业”修改为“科技”，扩大了对科技领域的M88 app监管范围。

六、M88 app安全的基本制度体系

作为M88 app安全领域的基本法律，《二审稿》创设了一系列M88 app领域的基本制度，构建我国M88 app安全制度的基本框架，为未来M88 app安全制度体系的发展与完善奠定基础。这些基本制度与《一审稿》基本保持一致，具体包括：

1.M88 app分级分类保护及重要M88 app保护制度

《二审稿》规定国家建立M88 app分类分级保护制度，根据M88 app在经济社会发展中的重要程度，以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者公民、组织合法权益造成的危害程度,对M88 app实行分类分级保护，并确定重要M88 app目录，加强对重要M88 app的保护。各地区、各部门应当按照M88 app分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要M88 app具体目录，对列入目录的M88 app进行重点保护。（第二十条）

《二审稿》未明确M88 app分级分类保护的具体要求，但对于重要M88 app的处理提出了特别的要求：（1）重要M88 app的处理者应明确M88 app安全负责人和管理机构（第二十六条）；（2）重要M88 app处理者应定期对M88 app活动开展风险评估，并向有关主管部门报送风险评估报告，评估报告应包含所掌握的重要M88 app的种类、数量，开展M88 app处理活动的情况，面临的M88 app安全风险及其应对措施等（第二十九条）； （3）关键信息基础设施的运营者出境重要M88 app适用《网络安全法》；其他M88 app处理者出境重要M88 app将由国家网信部门会同国务院有关部门制定出境安全管理办法（第三十条）。如上文第一部分所述，第（3）点为《二审稿》新增内容。

对重要M88 app的规制由《网络安全法》于2016年首次提出，主要对关键信息基础设施运营者收集的重要M88 app提出M88 app本地化及重要M88 app出境安全评估的要求。此后发布的相关征求意见稿，例如《信息安全技术 M88 app出境安全评估指南》（征求意见稿）、《M88 app安全管理办法（征求意见稿）》对各类重要M88 app进行了列举及定义，《M88 app安全管理办法（征求意见稿）》对重要M88 app的处理也提出了相应要求。

《二审稿》将建立对重要M88 app的处理规则，体现了重要M88 app管理制度的不断深化。但《二审稿》仍未能对重要M88 app做出明确的定义，而是留待各地区、部门、行业出台相关清单，反映了在实践中对M88 app进行分类、定义的复杂性。

2.M88 app安全风险管控制度

《二审稿》要求国家建立统一、高效权威的M88 app安全风险评估、报告、信息共享、监测预警机制，加强M88 app安全风险信息的获取、分析、研判、预警工作。（第二十一条）此制度的具体内容及相关政府部门及企业的义务仍有待于未来相关配套法规的细化和补充。

3.M88 app安全应急处置机制

国家建立M88 app安全应急处置机制。发生M88 app安全事件，有关主管部门应当依法启动应急预案，采取相应的应急处置措施，防止危害扩大，消除安全隐患，并及时向社会发布与公众有关的警示信息（第二十二条）。此规定如何与《突发事件应对法》等现有法规的衔接需进一步观察。

4.M88 app安全审查制度

国家建立M88 app安全审查制度，对影响或者可能影响国家安全的M88 app活动进行国家安全审查。依法作出的安全审查决定为最终决定。（第二十三条）。

《二审稿》未明确M88 app安全审查制度的具体内容。进一步的，其与现有《外商投资法》规定的外商投资安全审查制度及《网络安全审查办法》中规定的针对关键信息基础设施运营者的相关安全审查制度的关系需进一步观察。

5.M88 app出口管制制度

国家对与履行国际义务和维护国家安全相关的属于管制物项的M88 app依法实施出口管制度。2020年10月17日发布的《出口管制法》规定了对货物、技术、服务等物项的出口管制要求，并对出口管制进行了定义。

此外，《网络安全法》、《M88 app安全管理办法（征求意见稿）》及《个人信息保护法（草案二审稿）》分别规定了关键信息基础设施运营者、网络运营者重要M88 app及个人信息的M88 app出境安全评估要求，但相关具体细则尚未明确。M88 app出口管制及M88 app出境安全评估制度之间的配合及衔接有待未来立法的进一步明确。

6.歧视性措施反制机制

对在M88 app和M88 app开发利用技术等有关投资、贸易方面对我国采取歧视性措施的，根据实际情况采取反制措施（第二十五条）。

七、 M88 app安全保护义务

《二审稿》第四章规定了单位及个人在国家M88 app安全保护体系下应遵守的各项义务，这些基本义务包括：

• 开展M88 app处理活动应依照法律、法规的规定，在网络安全等级保护制度的基础上，建立健全流程M88 app安全管理制度、组织开展M88 app安全教育培训、采取相应的技术措施和其他必要措施，保障M88 app安全（第二十六条）；

• 对M88 app活动进行风险监测，发现M88 app安全缺陷、漏洞等风险时立即采取补救措施；发生M88 app安全事件发生后应立即采取处置措施，按照规定及时告知用户并向主管部门报告（第二十八条）；

• 采取合法、正当的方式获取M88 app（第三十一条）；

• 配合公安、国家安全机关因维护国家安全或侦察犯罪调取M88 app的要求（第三十四条）；

• 境外司法、执法机构要求调取存储于境内M88 app的，非经主管机关批准，不得提供（第三十五条）。

除上述基本义务外，《二审稿》提出，法律、行政法规规定提供M88 app处理相关服务应当取得行政许可的，服务提供者应当依法取得许可。（第三十三条）但《二审稿》并未说明什么样的M88 app处理服务需要取得许可，这一点仍有待于立法机关的解释和配套法规予以明确。

《二审稿》还对M88 app交易中介服务商提出了特别的M88 app安全义务：

• 从事M88 app交易中介服务的机构应要求M88 app提供方说明M88 app来源并审核交易双方身份、留存审核、交易记录；我们认为：从事M88 app业务的供应商及M88 app业务交易的中介平台应充分关注此项要求（第三十二条）。

八、政务M88 app的开放与安全要求

在我国电子政府稳步推进的大背景下，政务M88 app的安全保护刻不容缓，一方面需要不断推进政务M88 app的透明开放，提升社会治理水平；一方面政务M88 app因其特殊性，同样关系到国家安全一旦被滥用或非法泄露，也会对国家和社会产生危害。在此背景下，《二审稿》第五章对政务M88 app的安全与开放做出了明确要求。包括国家机关应在法定职责范围内从事M88 app活动、应建立健全M88 app安全管理制度、及时准确公开政务M88 app、建设安全可控的政务M88 app开放平台等。

特别需要注意的是，第三十九条、第四十二条规定，国家机关、或法律法规授权的具有管理公共事务职能的组织为履行法定职责而委托他人建设、维护电子政务系统，存储、加工政务M88 app，或者向他人提供政务M88 app，应经过严格的批准程序，并应当监督受托方、M88 app接收方履行相应的M88 app安全保护义务。基于此，与政府机关或上述组织进行合作，或为其提供服务的第三方供应商应特别关注此项审批要求，具体的审批程序有待进一步观察。

九、 违反M88 app安全义务的法律责任

如上文所述，《二审稿》第六章大幅提高了违反各项M88 app安全义务所对应的法律责任。第四十三条规定了主管部门在监管过程中发现M88 app活动有较大安全风险的，可对相关组织与个人进行约谈。此外，该章针对开展M88 app处理活动的组织与个人、M88 app交易中介机构的经营者、国家机关及国家工作人员等不同主体违反《二审稿》中规定的相应义务所承担的法律责任进行了详细规定。相比起《一审稿》，《二审稿》还对不配合公安、国安机关的M88 app调取要求，或未经批准向境外司法、执法机构提供M88 app的情形，规定了明确的法律责任。

十、我们的观察

《M88 app安全法》作为我国第一部有关M88 app安全的专门法律，为我国M88 app安全治理体系建立了立法基础及制度框架，确立了M88 app安全保护和基本思路和大致方针。

考虑到《二审稿》所涉及领域的广泛性、复杂性，在《二审稿》原则规定的基础上，其如何与现有《网络安全法》、正在起草的《个人信息保护法》等法律及其配套规定的衔接，如何相应配套设计、落地各项具体的M88 app安全制度，如何在M88 app安全的前提下、实现数字经济的稳步有序发展，都是巨大的挑战、也可以预见未来实践之中的诸多议题。

M88 app活动对于企业的经营、城市的发展、政务的推进，尤其是在大M88 app、人工智能、云计算、区块链等新型科技领域和数字经济领域不断快速发展的大背景下至关重要。《网络安全法》于2017年生效后，为企业的M88 app活动已提出了新的合规框架。但规制主要集中于个人信息与重要M88 app领域，尚未进行统一的M88 app安全立法，且对于重要M88 app领域的法律和执法框架也一直仍在探索和形成。

《二审稿》的出台无疑将为各类企事业单位、以及政务过程之中合法、安全的利用、处理M88 app提供基本的法律依据与参考，将进一步促进内外部的M88 app安全合规工作、落实各项M88 app安全义务。

对于各行业，尤其是可能涉及重要M88 app的金融、能源、水利等关键行业的企业而言，需要紧密关注M88 app分类及重要M88 app保护制度，完善M88 app安全风险预防机制、M88 app安全事件应急处理机制等；就交易平台而言，应加强对于M88 app来源及交易双方的审核机制；对于为各类企事业单位提供M88 app处理和服务的企业而言，《二审稿》规定的各项制度也将直接影响其未来的经营模式和义务。

我们将持续关注《二审稿》的进展。