網(wǎng)絡(luò)安全新政出臺，數(shù)據(jù)監(jiān)管持續(xù)收緊

林蔭

隨著互聯(lián)網(wǎng)的滲透率不斷提高，網(wǎng)絡(luò)安全已成為全球關(guān)注問題。中國網(wǎng)絡(luò)安全事件自2015年以來迅速增多，至2020年，網(wǎng)絡(luò)安全事件接收和處理總數(shù)每年均超過10萬起，網(wǎng)絡(luò)安全形勢十分嚴(yán)峻，增強網(wǎng)絡(luò)安全建設(shè)刻不容緩。

網(wǎng)絡(luò)安全受到國家戰(zhàn)略層面的高度重視。自2020年以來，相關(guān)條例的出臺尤為頻繁，推出多項法律法規(guī)，旨在提高全民對于網(wǎng)絡(luò)安全的重視，提高國家網(wǎng)絡(luò)安全防護能力，并為網(wǎng)絡(luò)安全產(chǎn)業(yè)的發(fā)展注入強有力的政策支持與發(fā)展活力。

各國紛紛出臺網(wǎng)絡(luò)平臺監(jiān)管措施

如今，信息技術(shù)和人類生產(chǎn)生活深度交匯融合，各類數(shù)據(jù)迅猛增長、海量聚集，數(shù)據(jù)安全已成為事關(guān)國家安全與經(jīng)濟社會發(fā)展的重大問題。

北京理工大學(xué)法學(xué)院教授洪延青舉例道，2018年，F(xiàn)acebook主動對第三方程序開放寬松的API數(shù)據(jù)接口，最終導(dǎo)致8700萬人的個人信息流轉(zhuǎn)至劍橋分析公司，背后還牽扯到更為吊詭的政治密謀。這一事件震驚全球，并暴露出網(wǎng)絡(luò)系統(tǒng)本身的安全，并不足以防范安全風(fēng)險。

國際重點國家和地區(qū)為防范網(wǎng)絡(luò)安全、數(shù)據(jù)安全等風(fēng)險，紛紛出臺監(jiān)管措施。

一直以來，歐盟對大型網(wǎng)絡(luò)平臺企業(yè)堅持嚴(yán)格治理的態(tài)度。根據(jù)《歐盟外商直接投資審查條例》，歐盟從關(guān)鍵基礎(chǔ)設(shè)施、關(guān)鍵技術(shù)、關(guān)鍵供應(yīng)、敏感信息等方面，審查非歐盟投資對歐盟成員國國家安全和公共秩序的風(fēng)險。2018年，歐盟《通用數(shù)據(jù)保護條例》正式實施。該法案要求不論數(shù)據(jù)控制者、處理者及其處理行為在歐盟境內(nèi)還是境外，只要處理的是歐盟境內(nèi)居民的數(shù)據(jù)，均適用此法案，對數(shù)據(jù)實施“長臂管理”。2020年，歐盟發(fā)布《數(shù)字服務(wù)法案》和《數(shù)字市場法案》提案，針對大型網(wǎng)絡(luò)平臺，明確監(jiān)管內(nèi)容和方式，設(shè)定了確保公平競爭等責(zé)任義務(wù)，以構(gòu)建更加安全、透明和值得信賴的在線網(wǎng)絡(luò)環(huán)境。

美國近年來改革一系列法案要求，利用審查等手段維護本國大型網(wǎng)絡(luò)平臺企業(yè)及技術(shù)全球領(lǐng)先地位。2018年，美國先后通過《外國投資風(fēng)險審查現(xiàn)代化法案》和《針對審查涉及外國人士和關(guān)鍵技術(shù)的若干交易的試點規(guī)定》。2021年2月，美國總統(tǒng)拜登簽署《美國供應(yīng)鏈行政令》，要求六大部門在一年內(nèi)提交國防、公共衛(wèi)生、信息技術(shù)、能源、交通和農(nóng)業(yè)供應(yīng)鏈安全審查報告。同年6月，拜登又簽署《關(guān)于保護美國人敏感數(shù)據(jù)不受外國競爭對手侵犯的行政令》，要求采取規(guī)范的決策框架和嚴(yán)格的實證分析，防范交易可能對美國國家安全和美國人民帶來的風(fēng)險。

近年，中國對于網(wǎng)絡(luò)平臺的監(jiān)管要求也逐步從“審慎包容”轉(zhuǎn)向“強化督查”。2017年，國家網(wǎng)信辦印發(fā)《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》。2020年，經(jīng)試行3年后，正式印發(fā)《網(wǎng)絡(luò)安全審查辦法》（下稱《辦法》）。實施僅一年半后，為應(yīng)對一年以來新的形勢變化，官方便發(fā)布修訂稿。今年伊始，網(wǎng)信辦聯(lián)合13部門修訂發(fā)布新版《辦法》，自2月15日起施行。

據(jù)中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心工程師齊越介紹，此次《辦法》的修訂在擴大審查范圍的同時，也對審查的工作機制、工作流程等方面進行了適當(dāng)調(diào)整。網(wǎng)絡(luò)安全審查是國家安全審查的重要組成部分，出于適應(yīng)國際國內(nèi)網(wǎng)絡(luò)安全新形勢、促進平臺經(jīng)濟穩(wěn)定健康發(fā)展的需要，適時進行制度修訂和調(diào)整，體現(xiàn)了制度不斷向前發(fā)展的趨勢。

《辦法》聚焦網(wǎng)絡(luò)平臺的數(shù)據(jù)處理活動

網(wǎng)信辦有關(guān)負責(zé)人表示，原《辦法》自2020年6月1日施行以來，通過對關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購活動進行審查和對部分重要產(chǎn)品等發(fā)起審查，對于保障關(guān)鍵信息基礎(chǔ)設(shè)施供應(yīng)鏈安全，維護國家安全發(fā)揮了重要作用。

談及網(wǎng)絡(luò)安全審查與數(shù)據(jù)安全審查之間的關(guān)系，該負責(zé)人介紹，《辦法》第二十二條明確，國家對數(shù)據(jù)安全審查另有規(guī)定的，應(yīng)當(dāng)同時符合其規(guī)定。2021年9月1日，《數(shù)據(jù)安全法》正式施行，明確規(guī)定國家建立數(shù)據(jù)安全審查制度，網(wǎng)信辦據(jù)此對《網(wǎng)絡(luò)安全審查辦法》進行了修訂?！掇k法》將網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動影響或者可能影響國家安全等情形納入網(wǎng)絡(luò)安全審查范圍。

根據(jù)《數(shù)據(jù)安全法》，數(shù)據(jù)處理活動包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等活動，《辦法》重點聚焦的是網(wǎng)絡(luò)平臺運營者開展上述數(shù)據(jù)處理活動。中國信息安全研究院副院長左曉棟稱：“網(wǎng)絡(luò)安全審查是落實《數(shù)據(jù)安全法》的要求，是在網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域的安全審查，而整個《數(shù)據(jù)安全法》的范圍更廣?！?/p>

中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心高級工程師吳迪指出，網(wǎng)絡(luò)平臺運營者將用戶與數(shù)據(jù)作為一種新資本，把數(shù)據(jù)化和商品化作為平臺的核心運行機制。若缺乏監(jiān)管，可能會影響到國家的政治、經(jīng)濟、社會安全，從而引發(fā)新的國家安全風(fēng)險。

“信息化時代，個人信息保護已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實的利益問題之一。《數(shù)據(jù)安全法》為中國數(shù)據(jù)安全領(lǐng)域帶來了基礎(chǔ)性法律，《個人信息保護法》明確了個人信息處理的規(guī)則。在對數(shù)據(jù)安全認識的逐步深化及國際博弈的巨大壓力之下，此次修訂《辦法》更是恰逢其時?！焙檠忧喾Q。

洪延青指出，新一輪數(shù)據(jù)治理中，國家不僅僅作為制度供給者，更是作為獨立的利益主體登場。而網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者除了其對外宣稱和向用戶展示的“規(guī)定動作”之外，不應(yīng)進行關(guān)于數(shù)據(jù)的“自選動作”，更不得損害用戶對自己信息的自主權(quán)、支配權(quán)。

《辦法》將赴國外上市的互聯(lián)網(wǎng)平臺納入審查范圍

隨著經(jīng)濟全球化步伐的加快，中國企業(yè)選擇到國外上市融資的情況逐漸增多。以美國為例，2018年以來，每年有超30家“中概股”企業(yè)在美掛牌上市，約占美國新上市公司的20%。2021年這一數(shù)據(jù)達到峰值，僅上半年就有38家中企在美上市，其中具有網(wǎng)絡(luò)平臺屬性的企業(yè)超過一半。

如何在促進企業(yè)發(fā)展的同時，保障國家安全和數(shù)據(jù)安全，迫切需要在制度層面明確企業(yè)主體責(zé)任。此次《辦法》修訂的最大亮點，是把網(wǎng)絡(luò)平臺運營者赴國外上市納入網(wǎng)絡(luò)安全審查。

“擬上市的企業(yè)往往會應(yīng)國外證券監(jiān)管機構(gòu)、證券交易所等要求，在上市過程中提供或披露涉及國內(nèi)平臺運營的數(shù)據(jù)，這一過程將包括數(shù)據(jù)傳輸、提供、公開等行為。一旦這些數(shù)據(jù)發(fā)生泄露或被非法利用，將可能影響國家安全。”齊越指出。

齊越舉例道，2021年7月，網(wǎng)絡(luò)安全審查辦公室發(fā)起針對滴滴出行、BOSS直聘等的審查，即是因為這些掌握大量數(shù)據(jù)的平臺在國外上市，可能帶來相關(guān)網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險，進而危害國家安全。為應(yīng)對日趨嚴(yán)峻的網(wǎng)絡(luò)安全形勢，網(wǎng)絡(luò)安全審查制度必須與時俱進。

中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心高級工程師唐旺指出，大多互聯(lián)網(wǎng)平臺以上市，特別是赴國外上市作為發(fā)展的主要目標(biāo)。而當(dāng)前，一些國家出于保護本國投資者的目的，通過法律要求在其國內(nèi)上市的企業(yè)披露業(yè)務(wù)經(jīng)營數(shù)據(jù)。這個理由一旦被濫用，索要數(shù)據(jù)的邊界將不受限制，給國家安全帶來巨大威脅。

此次《辦法》的修訂，提出“掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查”的要求，目的是對計劃赴國外上市互聯(lián)網(wǎng)平臺進行充分的國家安全層面上的風(fēng)險評估，一旦發(fā)現(xiàn)有違反國家網(wǎng)絡(luò)安全、數(shù)據(jù)安全的要求，將禁止赴國外上市。

“這將有效化解互聯(lián)網(wǎng)平臺因赴國外上市而帶來的國家安全風(fēng)險。同時，也能促進各大互聯(lián)網(wǎng)平臺遵守國家網(wǎng)絡(luò)安全、數(shù)據(jù)安全等各方面要求，提高全社會對網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重視程度?！碧仆Q。

中國網(wǎng)絡(luò)安全審查認證中心工程師劉金芳提醒道，網(wǎng)絡(luò)平臺運營者作為國家安全責(zé)任主體的一部分，一是應(yīng)加強國家安全的主體責(zé)任意識，防范上市給國家安全帶來的風(fēng)險；二是掌握關(guān)鍵信息基礎(chǔ)設(shè)施、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息的企業(yè)赴國外上市，存在被外國政府影響、控制、惡意利用的風(fēng)險，應(yīng)積極主動申報網(wǎng)絡(luò)安全審查。