大數(shù)據(jù)已成為國家創(chuàng)新戰(zhàn)略、國家安全戰(zhàn)略、國家產(chǎn)業(yè)發(fā)展戰(zhàn)略以及國家信息網(wǎng)絡(luò)安全戰(zhàn)略的交叉領(lǐng)域。在這樣的背景下,數(shù)據(jù)跨境傳輸?shù)群弦?guī)問題引起廣泛的關(guān)注,數(shù)據(jù)權(quán)的歸屬和國家安全的關(guān)聯(lián)不容忽視。
2021年,網(wǎng)絡(luò)安全審查辦公室就曾發(fā)布《關(guān)于對“滴滴出行”啟動(dòng)網(wǎng)絡(luò)安全審查的公告》,隨后,應(yīng)用商店下架“滴滴出行”App。這一事件背后也折射出我國數(shù)據(jù)安全治理面臨的嚴(yán)峻形勢,尤其是數(shù)據(jù)跨境流動(dòng)帶來的安全風(fēng)險(xiǎn)。
1月4日,國家網(wǎng)信辦、國家發(fā)改委等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》(以下簡稱“辦法”),并自2022年2月15日起施行。新修訂內(nèi)容更加針對了數(shù)據(jù)處理活動(dòng),聚焦國家數(shù)據(jù)安全風(fēng)險(xiǎn),明確運(yùn)營者赴國外上市的網(wǎng)絡(luò)安全審查要求。一個(gè)數(shù)據(jù)嚴(yán)監(jiān)管的時(shí)代正在到來。
將數(shù)據(jù)納入審查范圍
作為2020年6月實(shí)施之后的一次重要修訂,《辦法》既是貫徹落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》等一系列法律法規(guī)的有效實(shí)踐,也是不斷完善國家網(wǎng)絡(luò)安全審查制度、適應(yīng)國際國內(nèi)網(wǎng)絡(luò)安全新形勢的重要舉措,更是保障人民群眾切身利益和維護(hù)國家安全的現(xiàn)實(shí)需要。
從審查主體的變化來看,與上版《辦法》相比,新版《辦法》第二條內(nèi)容為“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù),網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動(dòng),影響或者可能影響國家安全的,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查”,將被審查主體由此前的“數(shù)據(jù)處理者”改為“網(wǎng)絡(luò)平臺運(yùn)營者”。
同時(shí),新版《辦法》要求網(wǎng)絡(luò)平臺運(yùn)營者開展數(shù)據(jù)處理活動(dòng),影響或者可能影響國家安全的應(yīng)按照新版《審查辦法》進(jìn)行網(wǎng)絡(luò)安全審查。這意味著,除了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)外,網(wǎng)絡(luò)運(yùn)營者開展影響或者可能影響國家安全的數(shù)據(jù)處理活動(dòng),也將在網(wǎng)絡(luò)安全審查范圍內(nèi)。
具體來看,《辦法》第七條明確,掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺運(yùn)營者赴國外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)。這意味著,在相當(dāng)大的范圍內(nèi),大部分網(wǎng)絡(luò)平臺若出現(xiàn)跨境、海外資本運(yùn)作等問題,都會(huì)受到《辦法》的規(guī)制。事實(shí)上,到了出海上市這一步的平臺,用戶也很少有低于百萬的。這個(gè)規(guī)定實(shí)際上代表著,網(wǎng)絡(luò)安全審查已經(jīng)成為平臺出海上市的“規(guī)定動(dòng)作”。
可以看出,相較于上版《辦法》,新版《辦法》在多處新增了“數(shù)據(jù)安全”“數(shù)據(jù)處理活動(dòng)安全性”等表述。畢竟自1994年接入國際互聯(lián)網(wǎng)至今,我國已成為全球最為龐大、生機(jī)勃勃的數(shù)字社會(huì)。作為互聯(lián)網(wǎng)應(yīng)用大國,我國各類互聯(lián)網(wǎng)平臺眾多,既有為社會(huì)提供金融支付、通信交流等基礎(chǔ)性服務(wù)的互聯(lián)網(wǎng)平臺;也有專注于視聽、求職、打車、貨運(yùn)、購物等的領(lǐng)域性互聯(lián)網(wǎng)平臺。
這些平臺或掌握了海量的公民個(gè)人數(shù)據(jù),或在一個(gè)領(lǐng)域內(nèi)掌握具有壟斷性的用戶信息?;ヂ?lián)網(wǎng)平臺掌握的數(shù)據(jù)一旦發(fā)生泄漏,將會(huì)嚴(yán)重危害公民個(gè)人信息安全,將給不法分子實(shí)施詐騙、非法營銷等活動(dòng)提供便利;甚至對一些特定領(lǐng)域的個(gè)人信息進(jìn)行有針對性地分析,能夠得出我國社會(huì)經(jīng)濟(jì)運(yùn)行的敏感信息,一旦泄漏將會(huì)影響國家安全。
此外,此次《辦法》修訂在擴(kuò)大審查范圍的同時(shí),也對審查的工作機(jī)制、工作流程等進(jìn)行了適當(dāng)調(diào)整。
調(diào)整內(nèi)容包括:增加證監(jiān)會(huì)作為網(wǎng)絡(luò)安全審查工作機(jī)制成員單位,明確網(wǎng)絡(luò)安全審查辦公室收到合格申報(bào)材料的時(shí)間為審查開始時(shí)間,增加上市申請文件作為上市審查申報(bào)材料的一部分,增加上市活動(dòng)帶來的數(shù)據(jù)安全風(fēng)險(xiǎn)作為國家安全風(fēng)險(xiǎn)考慮的因素之一,延長特別審查的工作時(shí)限至90個(gè)工作日等。
從總體上看,審查機(jī)制和流程延用了原有審查制度框架,針對新納入赴國外上市審查這一變化進(jìn)行了有針對性地優(yōu)化,審查制度在實(shí)踐中也不斷得到完善。
不論是從《辦法》的出臺來看,還是從《辦法》的修定來看,辦法都不是一個(gè)全新、突然出現(xiàn)的產(chǎn)物,而是有“前身”,有背景的。
顯然,網(wǎng)絡(luò)安全審查制度的根本目標(biāo)在于維護(hù)國家安全。但早在《國家安全法》和《網(wǎng)絡(luò)安全法》中即對國家安全審查制度進(jìn)行了確立,并最終作為《網(wǎng)絡(luò)安全審查辦法》的立法背景予以確認(rèn)?!稊?shù)據(jù)安全法》的出臺進(jìn)一步重申了數(shù)據(jù)安全審查制度,《網(wǎng)絡(luò)安全審查辦法》正式稿也將其吸納為制定依據(jù)之一。
比如,《國家安全法》第59條規(guī)定,要建立國家安全審查和監(jiān)管的制度,其中特別提到對影響或者可能影響國家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行國家安全審查——這是最主要的一個(gè)依據(jù)?!毒W(wǎng)絡(luò)安全法》第35條也規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施的國家安全審查機(jī)制”,但通過以后也一直未得到很好落實(shí)。
在此基礎(chǔ)上,監(jiān)管機(jī)構(gòu)通過多層次的立法嘗試,逐步探索出網(wǎng)絡(luò)安全審查的基本監(jiān)管框架。包括在2017年網(wǎng)信辦公開征求意見的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(征求意見稿)》中,首次提出網(wǎng)信辦將會(huì)同11個(gè)部門成立網(wǎng)絡(luò)安全審查委員會(huì),負(fù)責(zé)審議網(wǎng)絡(luò)安全審查的重要政策,統(tǒng)一組織網(wǎng)絡(luò)安全審查工作,協(xié)調(diào)網(wǎng)絡(luò)安全審查相關(guān)重要問題。
網(wǎng)絡(luò)安全審查委員會(huì)的組織架構(gòu)最終在正式版本的《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》中確立,該試行辦法作為《網(wǎng)絡(luò)安全法》的重要配套規(guī)章,與《網(wǎng)絡(luò)安全法》一同正式實(shí)施。直至2020年,該試行辦法才被《網(wǎng)絡(luò)安全審查辦法》所取代,而前述網(wǎng)絡(luò)安全審查委員會(huì)也被網(wǎng)絡(luò)安全審查辦公室取代其職能。
因此,可以說,《辦法》是對兩部重要法律的進(jìn)一步落實(shí),是對《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》的升級。《辦法》的出臺始終密切圍繞維護(hù)國家安全這一目的,在有限的可能涉及國家安全的領(lǐng)域內(nèi)默默無聞地進(jìn)行監(jiān)管,直到2021年7月2日網(wǎng)絡(luò)安全審查辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦公室關(guān)于對“滴滴出行”啟動(dòng)網(wǎng)絡(luò)安全審查的公告》。由于滴滴與民眾出行的密切相關(guān)性,網(wǎng)絡(luò)安全審查制度乃至其背后的國家安全利益才首次進(jìn)入公眾視野,并引發(fā)強(qiáng)烈關(guān)注。
《辦法》的出臺和修定也是大數(shù)據(jù)時(shí)代的必然趨勢。實(shí)際上,部分發(fā)達(dá)國家很早就建立了網(wǎng)絡(luò)安全審查體系,早在2016年4月,歐洲議會(huì)就出臺了《一般數(shù)據(jù)保護(hù)條例》(GDPR),對內(nèi)擴(kuò)大數(shù)據(jù)主體的權(quán)利,對外提高對于數(shù)據(jù)輸出的審查標(biāo)準(zhǔn),以規(guī)范數(shù)據(jù)傳輸和主權(quán)問題。
美國網(wǎng)絡(luò)安全審查主要包括兩大類,一類是采購部門的網(wǎng)絡(luò)安全審查,針對網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)的采購,規(guī)定擬進(jìn)入國家安全系統(tǒng)的信息產(chǎn)品,以及嵌入了信息安全功能的相關(guān)產(chǎn)品和服務(wù),必須通過強(qiáng)制性評估認(rèn)證。二是職能部門的網(wǎng)絡(luò)安全審查,具體做法是建立起聯(lián)邦政府業(yè)務(wù)系統(tǒng)安全檢查制度,以及開展云計(jì)算服務(wù)安全評估等。
英國采用的是技術(shù)本位的網(wǎng)絡(luò)安全審查,英國擁有世界上最嚴(yán)格的國家級安全評估中心,主要從事信息產(chǎn)品的安全認(rèn)證,包括電信設(shè)備安全審查,對源代碼進(jìn)行的全面審查等,只有通過了相關(guān)安全認(rèn)證,才能面向英國銷售,否則就將被視為違法。
顯然,不過是國際上諸如歐盟對Facebook動(dòng)輒數(shù)億美元的處罰,還是隨著《辦法》日臻完善,今后網(wǎng)絡(luò)安全和數(shù)據(jù)安全的審查會(huì)更加完善和嚴(yán)格,一個(gè)數(shù)據(jù)安全、網(wǎng)絡(luò)安全強(qiáng)監(jiān)管時(shí)代即將到來。
推動(dòng)企業(yè)向合規(guī)主動(dòng)發(fā)展
數(shù)據(jù)安全、網(wǎng)絡(luò)安全強(qiáng)監(jiān)管時(shí)代的到來,也將給企業(yè)帶來新的變化。
顯然,無論是否應(yīng)主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查,可能被認(rèn)定為網(wǎng)絡(luò)運(yùn)營者、數(shù)據(jù)處理者或個(gè)人信息處理者的赴境外上市企業(yè)均不可忽視履行網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)義務(wù)。正如《國務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定(草案征求意見稿)》,要求境內(nèi)企業(yè)境外發(fā)行上市的,應(yīng)嚴(yán)格遵守網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國家安全法律法規(guī)和有關(guān)規(guī)定。若企業(yè)在網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)方面存在巨大缺陷,亦可能對赴境外上市進(jìn)程造成影響。
這也意味著,在未來,企業(yè)將要承擔(dān)更多數(shù)據(jù)合規(guī)的責(zé)任,發(fā)揮市場更重要的作用,即市場主體自行決定要不要申報(bào)——這種方式或許將推動(dòng)企業(yè)可以更加主動(dòng)地去實(shí)現(xiàn)合規(guī)。
比如,歐盟、美國就存在一些關(guān)于事后處罰的經(jīng)驗(yàn),尤其是合作治理的理論。在美國,處罰的力度甚至是可以由企業(yè)和FTC(聯(lián)邦貿(mào)易委員)形成和解協(xié)議,即罰多少由雙方來討論。此前的劍橋分析事件,最后FTC處罰了Facebook 50億美元。這種行政和解協(xié)議,不依照法律來一板一眼地單方實(shí)施處罰,而是雙方,監(jiān)管者與被監(jiān)管者談出來的。
對比近期網(wǎng)易云、嘀嗒出行、順豐同城、喜馬拉雅、商湯科技等赴香港上市企業(yè)的招股章程,就可以發(fā)現(xiàn)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)相關(guān)內(nèi)容占有一席之地,甚至處于非常重要的地位。如順豐同城在其“風(fēng)險(xiǎn)因素”章節(jié),即詳細(xì)描述了與其業(yè)務(wù)相關(guān)的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)風(fēng)險(xiǎn):
“我們或第三方因使用信息而可能造成的隱私保護(hù)不當(dāng)問題或事件,均可能會(huì)損害我們的聲譽(yù)及品牌,或使我們受政府法規(guī)及其他法律義務(wù)的限制,并可能對我們的業(yè)務(wù)、財(cái)務(wù)狀況及經(jīng)營業(yè)績產(chǎn)生重大不利影響。”
隨著數(shù)據(jù)時(shí)代的到來,數(shù)據(jù)主權(quán)已然成為國家主權(quán)的外延,守住國家數(shù)據(jù)主權(quán),把握數(shù)據(jù)話語權(quán)成為新時(shí)代不可回避的議題。數(shù)據(jù)權(quán)包含數(shù)據(jù)主權(quán)和數(shù)據(jù)權(quán)利,數(shù)據(jù)主權(quán)體現(xiàn)數(shù)據(jù)的戰(zhàn)略性,保障國家獨(dú)立自主和不受干涉地促進(jìn)互聯(lián)網(wǎng)行業(yè)的繁榮。
在這樣的背景下,國家也愈發(fā)重視數(shù)據(jù)主權(quán)、網(wǎng)絡(luò)安全和國家主權(quán)的保護(hù)。2022年2月15日生效的《網(wǎng)絡(luò)安全審查辦法》正是通過完善法律控制技術(shù)風(fēng)險(xiǎn)這一路徑的生動(dòng)注腳??梢灶A(yù)見,在2022年,網(wǎng)數(shù)領(lǐng)域的各項(xiàng)制度將逐步落地,以應(yīng)對數(shù)字社會(huì)、平臺經(jīng)濟(jì)發(fā)展中出現(xiàn)的各類新型網(wǎng)絡(luò)安全風(fēng)險(xiǎn),切實(shí)維護(hù)互聯(lián)網(wǎng)時(shí)代每一位用戶的數(shù)據(jù)安全,切實(shí)維護(hù)我們的國家網(wǎng)絡(luò)主權(quán)和安全。