吴鸣
7月2日,网络安全审查办公室发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
之后,网络安全审查办公室又宣布对“运满满”“货车帮”“BOSS直聘”进行网络安全审查。
这是自《网络安全审查办法》发布以来的首次公开审查行动。
网络安全审查是《国家安全法》规定的“国家安全审查”制度在网络领域的落实和细化,《网络安全法》明确了应对关键信息基础设施运营者采购的网络产品和服务进行安全审查。
2020年6月,为了落实《国家安全法》和《网络安全法》的要求,国家互联网信息办公室等12部门联合制定的《网络安全审查办法》(《办法》)正式生效实施,主要目标是实现关键信息基础设施的供应链安全,维护我国国家安全。《办法》确立了网络安全审查的工作机制,即在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共同建立。
《办法》生效之后,网络安全审查办公室首次公开审查的对象是近期赴美上市公司,主要审查关键点聚焦于“数据安全”问题。
开展网络安全审查主要源于滴滴、BOSS直聘以及拥有“运满满”和“货车帮”的满帮集团等赴美上市公司潜在的数据安全风险较大。7月6日,中办、国办公布《关于依法从严打击证券违法活动的意见》,其中明确“加强跨境监管合作”和“加强中概股监管”,可视为对此次审查行动表明了态度。《意见》要求“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规……压实境外上市公司信息安全主体责任”,体現出对境外上市公司数据安全风险的高度重视。
企业为了顺利完成在美国上市的目的,会不会通过跨境数据流动的方式向境外的上市监管部门提供有关企业运营的数据,这是公众关注的焦点问题。我国《网络安全法》中已经明确了跨境数据流动的基本管理原则,即关键信息基础设施运营者在境内收集的个人信息和重要数据应当遵守“本地化存储+出境安全评估”的要求。
以滴滴为例,作为一家主要提供出行服务的公司,滴滴拥有近5亿用户,日订单达到4000多万,收集和掌握了大量的用户个人信息(如姓名、住址、手机号、银行卡号等)以及地图数据等重要数据。依据《网络安全法》第三十七条,如果没有开展安全评估或另有其他规定,这些数据就不得传输到境外。
长期以来,美国的低水平个人数据保护和“数据霸权主义”人尽皆知,不仅因为频频调取企业数据而多次被微软、谷歌、苹果等发起诉讼和抗议,而且通过出台《澄清境外数据合法使用法》(以下称为《云法》),赋予美国政府机构直接调取本国企业存储在境外数据的权力,对企业的安全发展、数据所在国的国家安全和数据主权均构成侵犯。企业在美上市之后,受美国资本和美国政府控制的可能性更大,运营数据存在被美国政府调取的可能性提高,在美国境外运营中收集和产生的数据可能因为受到《云法》的规制而被调取。
当今时代,数据是数字经济发展的关键,是主要国家和地区竞相争夺的资源。数字经济时代,数据已经成为经济发展的重要驱动力和关键生产要素,主要国家和地区在传统领域的博弈已经逐步过渡到了数据主权的博弈,均在采取多种多样的方式确保数据被吸引到境内被本国所用,同时限制本国境内的数据非法流到其他国家。
欧盟在2020年2月出台了《数据战略》,明确提出要重振欧盟的技术主权地位,同时要通过投资、政策支持等多种方式吸引更多的数据到欧盟,以实现数据方面的主导地位。
美国在汇集数据方面实现了“里应外合”的态势。首先,互联网产业发展的巨大优势天然就具有将全球的数据汇集到美国的优势,据统计,美国境内存储的数据占据了全球数据量的90%左右。其次,美国不断通过出口管制、外资安全审查、重要数据管理等方式限制美国境内数据流到其他国家。另外,美国《云法》等确立的长臂管辖机制从另一个角度实现了最大限度将境外数据存到境内的目标。
开展互联网业务的大型平台成为数据安全的重点监管对象。大型互联网平台在发展过程中不断进行业务拓展,吸引大量用户使用平台产品和服务,同时也收集和产生了海量的个人信息和多种类型数据。这些个人信息和数据中涉及个人隐私利益、社会公共利益、国家安全利益等重点方面,一旦泄露,后果不堪设想。
在此背景下,数据安全被置于关乎国家安全的关键地位,“确保数据安全”出现在多个中央文件和多个重要场合,被重点强调。当前,我们正在逐步完善数据安全相关立法,通过《国家安全法》《网络安全法》《数据安全法》《个人信息保护法》等多部法律构建我国整体网络安全立法体系,同时也设置了我国数据安全的基本底线。
而在主要立法出台之后,相关要求的切实落实还有待有关部门和企业的共同努力。
一方面,有关部门可以针对法律的基本要求和原则进一步细化和落实。如,待《数据安全法》于9月1日正式生效之后,加强对平台数据安全的定期和不定期审查力度,实时关注大型平台可能产生的数据安全风险问题;同时针对企业的跨境数据传输行为尽早出台更加细化的管理办法,明确企业将数据传输到境外应当遵守的规则,为企业跨境传输数据提供安全有保障的可行路径。
另一方面,相关企业应当从各个方面做到合法合规,《数据安全法》生效之后,我国的数据安全工作将步入新阶段,日常安全保障、数据安全审查、跨境数据流动、境外机构调取数据等问题将有更加明确的要求,企业应当根据《数据安全法》的要求提前做好合规,从人员培训、组织完善、系统升级、技术提升等方面做到切实履行相关义务,全力维护我国整体数据安全体系。
责编:郭芳guofang@ceweekly.cn
美编:孙珍兰