大数据已成为国家创新战略、国家安全战略、国家产业发展战略以及国家信息网络安全战略的交叉领域。在这样的背景下,数据跨境传输等合规问题引起广泛的关注,数据权的归属和国家安全的关联不容忽视。
2021年,网络安全审查办公室就曾发布《关于对“滴滴出行”启动网络安全审查的公告》,随后,应用商店下架“滴滴出行”App。这一事件背后也折射出我国数据安全治理面临的严峻形势,尤其是数据跨境流动带来的安全风险。
1月4日,国家网信办、国家发改委等十三部门联合修订发布《网络安全审查办法》(以下简称“办法”),并自2022年2月15日起施行。新修订内容更加针对了数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求。一个数据严监管的时代正在到来。
将数据纳入审查范围
作为2020年6月实施之后的一次重要修订,《办法》既是贯彻落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》等一系列法律法规的有效实践,也是不断完善国家网络安全审查制度、适应国际国内网络安全新形势的重要举措,更是保障人民群众切身利益和维护国家安全的现实需要。
从审查主体的变化来看,与上版《办法》相比,新版《办法》第二条内容为“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”,将被审查主体由此前的“数据处理者”改为“网络平台运营者”。
同时,新版《办法》要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应按照新版《审查办法》进行网络安全审查。这意味着,除了关键信息基础设施运营者采购网络产品和服务外,网络运营者开展影响或者可能影响国家安全的数据处理活动,也将在网络安全审查范围内。
具体来看,《办法》第七条明确,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报。这意味着,在相当大的范围内,大部分网络平台若出现跨境、海外资本运作等问题,都会受到《办法》的规制。事实上,到了出海上市这一步的平台,用户也很少有低于百万的。这个规定实际上代表着,网络安全审查已经成为平台出海上市的“规定动作”。
可以看出,相较于上版《办法》,新版《办法》在多处新增了“数据安全”“数据处理活动安全性”等表述。毕竟自1994年接入国际互联网至今,我国已成为全球最为庞大、生机勃勃的数字社会。作为互联网应用大国,我国各类互联网平台众多,既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。
这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民个人信息安全,将给不法分子实施诈骗、非法营销等活动提供便利;甚至对一些特定领域的个人信息进行有针对性地分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。
此外,此次《办法》修订在扩大审查范围的同时,也对审查的工作机制、工作流程等进行了适当调整。
调整内容包括:增加证监会作为网络安全审查工作机制成员单位,明确网络安全审查办公室收到合格申报材料的时间为审查开始时间,增加上市申请文件作为上市审查申报材料的一部分,增加上市活动带来的数据安全风险作为国家安全风险考虑的因素之一,延长特别审查的工作时限至90个工作日等。
从总体上看,审查机制和流程延用了原有审查制度框架,针对新纳入赴国外上市审查这一变化进行了有针对性地优化,审查制度在实践中也不断得到完善。
不论是从《办法》的出台来看,还是从《办法》的修定来看,办法都不是一个全新、突然出现的产物,而是有“前身”,有背景的。
显然,网络安全审查制度的根本目标在于维护国家安全。但早在《国家安全法》和《网络安全法》中即对国家安全审查制度进行了确立,并最终作为《网络安全审查办法》的立法背景予以确认。《数据安全法》的出台进一步重申了数据安全审查制度,《网络安全审查办法》正式稿也将其吸纳为制定依据之一。
比如,《国家安全法》第59条规定,要建立国家安全审查和监管的制度,其中特别提到对影响或者可能影响国家安全的网络信息技术产品和服务进行国家安全审查——这是最主要的一个依据。《网络安全法》第35条也规定“关键信息基础设施的国家安全审查机制”,但通过以后也一直未得到很好落实。
在此基础上,监管机构通过多层次的立法尝试,逐步探索出网络安全审查的基本监管框架。包括在2017年网信办公开征求意见的《网络产品和服务安全审查办法(征求意见稿)》中,首次提出网信办将会同11个部门成立网络安全审查委员会,负责审议网络安全审查的重要政策,统一组织网络安全审查工作,协调网络安全审查相关重要问题。
网络安全审查委员会的组织架构最终在正式版本的《网络产品和服务安全审查办法(试行)》中确立,该试行办法作为《网络安全法》的重要配套规章,与《网络安全法》一同正式实施。直至2020年,该试行办法才被《网络安全审查办法》所取代,而前述网络安全审查委员会也被网络安全审查办公室取代其职能。
因此,可以说,《办法》是对两部重要法律的进一步落实,是对《网络产品和服务安全审查办法(试行)》的升级。《办法》的出台始终密切围绕维护国家安全这一目的,在有限的可能涉及国家安全的领域内默默无闻地进行监管,直到2021年7月2日网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。由于滴滴与民众出行的密切相关性,网络安全审查制度乃至其背后的国家安全利益才首次进入公众视野,并引发强烈关注。
《办法》的出台和修定也是大数据时代的必然趋势。实际上,部分发达国家很早就建立了网络安全审查体系,早在2016年4月,欧洲议会就出台了《一般数据保护条例》(GDPR),对内扩大数据主体的权利,对外提高对于数据输出的审查标准,以规范数据传输和主权问题。
美国网络安全审查主要包括两大类,一类是采购部门的网络安全审查,针对网络信息技术产品和服务的采购,规定拟进入国家安全系统的信息产品,以及嵌入了信息安全功能的相关产品和服务,必须通过强制性评估认证。二是职能部门的网络安全审查,具体做法是建立起联邦政府业务系统安全检查制度,以及开展云计算服务安全评估等。
英国采用的是技术本位的网络安全审查,英国拥有世界上最严格的国家级安全评估中心,主要从事信息产品的安全认证,包括电信设备安全审查,对源代码进行的全面审查等,只有通过了相关安全认证,才能面向英国销售,否则就将被视为违法。
显然,不过是国际上诸如欧盟对Facebook动辄数亿美元的处罚,还是随着《办法》日臻完善,今后网络安全和数据安全的审查会更加完善和严格,一个数据安全、网络安全强监管时代即将到来。
推动企业向合规主动发展
数据安全、网络安全强监管时代的到来,也将给企业带来新的变化。
显然,无论是否应主动申报网络安全审查,可能被认定为网络运营者、数据处理者或个人信息处理者的赴境外上市企业均不可忽视履行网络安全与数据合规义务。正如《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》,要求境内企业境外发行上市的,应严格遵守网络安全、数据安全等国家安全法律法规和有关规定。若企业在网络安全和数据合规方面存在巨大缺陷,亦可能对赴境外上市进程造成影响。
这也意味着,在未来,企业将要承担更多数据合规的责任,发挥市场更重要的作用,即市场主体自行决定要不要申报——这种方式或许将推动企业可以更加主动地去实现合规。
比如,欧盟、美国就存在一些关于事后处罚的经验,尤其是合作治理的理论。在美国,处罚的力度甚至是可以由企业和FTC(联邦贸易委员)形成和解协议,即罚多少由双方来讨论。此前的剑桥分析事件,最后FTC处罚了Facebook 50亿美元。这种行政和解协议,不依照法律来一板一眼地单方实施处罚,而是双方,监管者与被监管者谈出来的。
对比近期网易云、嘀嗒出行、顺丰同城、喜马拉雅、商汤科技等赴香港上市企业的招股章程,就可以发现网络安全和数据合规相关内容占有一席之地,甚至处于非常重要的地位。如顺丰同城在其“风险因素”章节,即详细描述了与其业务相关的网络安全和数据合规风险:
“我们或第三方因使用信息而可能造成的隐私保护不当问题或事件,均可能会损害我们的声誉及品牌,或使我们受政府法规及其他法律义务的限制,并可能对我们的业务、财务状况及经营业绩产生重大不利影响。”
随着数据时代的到来,数据主权已然成为国家主权的外延,守住国家数据主权,把握数据话语权成为新时代不可回避的议题。数据权包含数据主权和数据权利,数据主权体现数据的战略性,保障国家独立自主和不受干涉地促进互联网行业的繁荣。
在这样的背景下,国家也愈发重视数据主权、网络安全和国家主权的保护。2022年2月15日生效的《网络安全审查办法》正是通过完善法律控制技术风险这一路径的生动注脚。可以预见,在2022年,网数领域的各项制度将逐步落地,以应对数字社会、平台经济发展中出现的各类新型网络安全风险,切实维护互联网时代每一位用户的数据安全,切实维护我们的国家网络主权和安全。