本文转载自:观察者网(ID:guanchacn)
近日,网络安全审查办公室对几大平台启动“网络安全审查”,让数据安全这个话题再次进入公众视野。
目前,构建我国网络安全审查的法律体系是怎样的?网络安全审查是不是意味着所有平台都会被涉及,审查的边界和标准是什么?对提升我国网络数据安全以及平台企业全球竞争力又有哪些助益?
观察者网专访网络安全和数据合规专家,汇业律师事务所高级合伙人李天航,对此进行解读。
► 采访 观察者网 周远方
观察者网:近日,有几家网络出行平台接受网络安全审查,引起关注。实际上,去年以来,中国就连续出台一系列关于网络和数据的法律法规,能否请您梳理一下目前中国的网络安全和数据治理体系?
李天航:中国网络和数据相关的法律法规体系经历了长期发展的过程,最早可以追溯到1994年的《计算机信息系统保护条例》、2000年9月公布实施的国务院《电信条例》。真正聚焦到互联网领域,是从2017年6月1日实行《网络安全法》开始的,这是一个标志性的事件,后续围绕网络和数据领域,陆续出台了涵盖即时通讯、社交网络、电子商务、网络交易等,包括互联网内容治理等方面的很多法律法规。
但是跟《网络安全法》直接配套相关的文件之一,其实就是去年4月,由国家互联网信息办公室、国家发改委等12个部门联合发布的《网络安全审查办法》。
网络安全审查对应的上位法律有二,一是《国家安全法》的第25条和第59条,两个法条主要聚焦网络领域的国家安全内容,尤其是第59条:
“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”
二是《网络安全法》,对应《国家安全法》的这两条内容,出台了相应的规定,明确了“关键信息基础设施运营者”(也可简称“CIIO”,关键信息基础设施也可简称“CII”)的概念,如果CIIO要采购网络产品和服务,可能影响国家安全,就要进行国家安全审查,由网信部门牵头的办公室来实施。
这两部上位法相关内容的细化,就形成了《网络安全审查办法》,它从程序上做了比较细致的规定,但我们认为还需要进一步的标准化。
从整体看,中国网络数据领域的法律体系是以三部法律为基础的,分别是《网络安全法》、《数据安全法》和《个人信息保护法》,我们形象地称它为“三足鼎立”,其中《网络安全法》已经公布实施;《数据安全法》已经公布,今年9月1日正式实施;《个人信息保护法》据说会在今年8月人大常委会会议上审议,基本上已经进展到三审三读的阶段,一般认为不出意外的话会通过,经过3-6个月间隔期后正式生效。这三部法律出台后,中国互联网领域基础性的法律法规框架体系就已完成,其他法律、法规、部门规章、地方性法规等等,都会在这三部法律组成的体系之下,继续细化具体的内容,逐步覆盖互联网、个人信息和数据活动的方方面面。
观察者网:具体从《网络安全审查办法》来说,它是网络安全法体系下的政府规章,规定的问题比较细节,能否介绍一下这部规章涉及哪些内容?
李天航:根据《网络安全法》第35条,《网络安全审查办法》针对的主体首先是“关键信息基础设施运营者”。对关键信息基础设施的界定来源于《网络安全法》第31条的规定:
国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
国家鼓励关键信息基础设施以外的网络运营者自愿参与关键信息基础设施保护体系。
法条用列举加概括的方式,界定了“关键信息基础设施”,对应地,某大公司这次既然受到网络安全审查,就意味着它必然已经被认定为CIIO。具体来看,该公司一是运营公共交通,二是聚集了大量个人信息,被界定为关键信息基础设施运营者的角度既有可能是因为其属于交通行业,也有可能因为汇聚了大量的个人信息,以及其运营系统被认为是“其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”,但到底是哪个维度,目前还没有看到相关信息。
从该公司被认定为CIIO,我认为对其他企业应该也有一个启发,就是掌握了大量的个人信息和数据的平台型企业,被认定为CIIO的概率是非常大的。即使有些企业现在没有被认定,但不排除将来会被认定。
因为从时间线上来看,《网络安全法》是网信办牵头的,但到底是由网信办还是其他部门来负责CII的监督管理,此前一直没有确定。但是去年公安部下发了《关于贯彻网络安全等级保护制度和关键信息基础设施安全保护条例的指导意见》(公网安[2020]1960号)文(俗称“1960号文”),明确了公安机关作为CII保护的牵头保护部门。责任部门明确之后,对社会上大量主体是否是CIIO的认定很快就会铺开,另外,尽快出台《关键信息基础设施保护条例》的概率也会非常大。
明确了CIIO的概念,再来看《网络安全审查办法》第2条:
关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
第20条:
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
也就是说,CIIO采购上述这些类型的设备和服务,都要受到审查,作为CIIO,首先要预判所采购的产品和服务是否可能会对国家安全产生影响,如果认为可能,应该要主动申报网络安全审查。从目前的公开信息看,我们无法得知某企业是否主动申报了网络安全审查,但从种种迹象猜测,可能是一个被动行为。
观察者网:目前有一些舆论认为,这次网络安全审查的启动,是《网络安全审查办法》自去年出台后的首个案例,这是否属实?如果是的话,是否传递出一些信号?
李天航:确实有这样的说法,目前从公开检索渠道来看的话,确实没有检索到其他案例。
这传递出一个什么样的信号?我们认为,首先就是国家要重点关注互联网领域的安全,尤其是关键信息基础设施的供应链安全。
《网络安全法》和《网络安全审查办法》更多是要规范CIIO采购网络产品和服务;同时还应该看到,不久前刚刚公布的《数据安全法》第24条,明确了:
国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查为最终决定。
也就是说,数据安全领域的国家安全审查决定不具备可诉性,相关市场主体对于国家相关部门做出的最终决定,无法通过复议、诉讼等渠道救济。所以企业对数据安全领域的国家安全审查必需重视起来。
上述网络安全领域和数据安全领域的安全审查,就对标了《国家安全法》第25条和第59条的内容,这两项审查制度彰显了国家对互联网领域和数据领域安全领域的国家安全越来越重视,这也会是今后执法的一个焦点。对企业来说,只要经营活动对国家安全可能有一定的影响,国家都会介入进行安全审查。
国家在互联网领域和数据安全领域的主导,会是一种新常态。
那么对掌握大量数据和资源的大型平台型企业来说,在这方面肯定要多加关注,对经营环境的变化要有预判,要主动配合国家网络安全体系的建设,而不能被动等待执法机关的工作,否则对自身经营业务将产生不利影响。
观察者网:您刚才提到了平台型企业,这个名词最近曝光度很高,那么平台的概念和“关键基础设施运营者”的概念,两者之间有怎样的关系?
李天航:平台型企业不是一个法律概念,但是“关键信息基础设施运营者”是一个法定概念。企业搭建平台来为供求双方提供服务,比如滴滴、阿里、京东,都是典型的平台型企业。
由于平台型企业天然汇集大量数据,从某种程度上看,一个平台往往就能反映一个社会生态圈,能够映射一个社会的部分运行情况,关乎社会公共利益和国家安全的一部分运行情况,也会在平台上得以映射。同时,基本上所有平台型企业,都是通过互联网技术来实现经营,所以他们的业务平台网络和系统,就有可能是“关键信息基础设施”。
运营“关键信息基础设施”当然会产生很多利益,这个我们先不讲,从义务上来讲,我国已经建立了网络安全等级保护制度,对于CIIO来说,在“等保”的基础上,还要进行重点保护的话,比如在网络建设的过程中,就要做到“三同步”,必须保证安全技术措施同步规划、同步建设、同步使用。在网络运营过程中,必须设置专门的安全管理负责人,要对负责人和关键岗位人员进行对比调查、定期培训、技能考核、签订安全和保密协议,对重要系统和数据库进行容灾备份,等等。
这在我们将来出台的《关键信息技术设施保护条例》肯定会更加细化具体。
还有最关键一点,就是数据出境。《网络安全法》第37条规定,
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
也就是CIIO在中国境内收集的个人信息和重要数据首先要做到本地存储,数据要出境必须满足因业务需要确需向境外提供,并且还要通过安全评估,如果通不过,就不能对外提供。
还有CIIO应当自行或者委托网络安全服务机构对它的网络安全性和可能存在的风险,每年至少进行一次评估,将评估报告报送相关部门。
观察者网:既然法律法规对CIIO的要求这么高,这种严格的管理和义务会不会成为一道门槛,限制后来者进入这个行业?
李天航:如果从法律意义上谈到准入或者门槛的话,一般是指行政许可,事前审批才能进入,但我们刚才谈的其实不是批准的问题,也不是政府设置门槛或许可,而是想进入的企业必须做到的合规义务,做不到就要面临处罚,可能还要面临责令停业整顿。比如这一次,某平台就被暂停了新用户注册,并且下架APP。
这不是政府审批许可,而是相关经营者必须要自行符合的条件。
另一方面来说,你说的也有一定道理,从我们实际服务企业的经验来看,在新的业态和法律环境下,提前做好合规性,确实能够为企业带来竞争优势。
观察者网:我们刚刚谈了这么多对CIIO的限制,那么从互联网、大数据、人工智能技术的发展角度来说,技术的进步带来的社会价值是显而易见的,如何在技术发展、经济效益和安全合规之间做好平衡?
李天航:从社会学的角度来讲,技术发展是一个不可逆的过程,是一个不可阻止的方向,技术发展对社会生活带来大量的便利。
近代以来,技术的发展更多是通过经济利益的驱动来实现的,这个过程中确实会伴生一些负面影响,包括一些安全事件甚至技术被应用于违法犯罪。这更多要通过法律法规中的一些禁止性规定来实现。我们要提前防范一些不利影响,就要通过法律规定对企业提前设定一些相关义务,来强化企业的社会责任。
观察者网:某中国大型网约车平台,到美国上市,它也把自己掌握的大量数据作为自身在资本市场讲故事的一大优势,但是今天中国、欧洲和美国都非常强调数据治理问题,在跨法域经营过程中,CIIO应该怎样做好合规工作?
李天航:第一,该网约车平台目前还没有跨法域经营,它作为一家主要在中国经营的企业,所有数据首先是存储在本地的,但是它在美国上市,也不可避免地会涉及到一些数据出境问题。因为美国证券市场对于上市公司有很高的信息披露要求,包括必须根据美国公认会计原则编报其财务报表、必需根据美国证券法律规定,对公司重大信息及时披露等,这势必涉及到一些该公司在中国境内的经营情况数据,是否能够出境的问题。这涉及《数据安全法》以及金融领域有关数据出境的交叉管理制度,企业必须要高度重视,并聘请专业的机构协助处理。
第二,对于一些已经“走出去”,实现跨法域经营的中国公司来说,国际数据治理的大环境正在迅速变化,各个国家都在通过制定本国法律保护本国国民的个人信息、重要的数据等,尤其是在个人信息保护领域,类似欧盟制定的GDPR之类的法律法规正成为一种常态。如果这些企业采取的是一体化的网络架构和数据治理模式,如统一的数据中心,这就必然会面临数据/个人信息所在国法律有关数据出境的约束,同时,在中国取得的数据如果存储于中国以外的其他国家的数据中心,也必须符合中国《网络安全法》、《数据安全法》等等关于数据出境的合规要求。
观察者网:全球化时代,数据流动和治理也是一个全球性的课题,中国目前在这方面处于怎样的水平,前景怎样?
李天航:首先,在国际数据治理层面上,目前还没有做通过国际公法、国际公约、双边/多边条约的方式,或者这个领域的全球组织或者国际化组织。更多都是通过各国国内法的形式治理,在本国法律之下做出相应的规定和约束。
在此基础上,我们国家的立法起步时间上可能会晚于某些国家,但是一定程度上也具有后发优势。同时,我们也可以通过比较研究的方法,欧美国家怎么立法,我们可以根据自己的研究和实际情况借鉴。
在这方面,虽然中国立法起步比较晚,但是从一些规制性措施来看,我们国家的法律经常有一个关键性的原则,就是对等原则,包括《数据安全法》也遵循这个原则,别的国家对我们采取什么限制性约束性的措施,中国也会做一个相应对等的设置。另外,出于国家安全和个人信息保护的角度,我们也做了相应的法律规定和约束。
所以,中国的相关立法水平其实并不会落后于其他国家。
观察者网:那么从影响力层面来说呢?正像您说的,目前全球数据治理还没有到国际公法时代,还处于一种各国“割据”状态,那么一国法律的影响力就至关重要。中国基于自身近20年在互联网领域的飞速发展,市场容量非常大、网络基础设施建设水平领先,出现了一批走出去的大型企业,中国市场对国外大企业的吸引力也很强,这些因素是否会为中国网络治理的影响力加分,中国是否会参与国际治理和话语体系建设?
李天航:是的,全球经济一体化和信息技术一体化进程在加速,虽然中国的网络基础设施建设对互联网治理水平不是起一个决定性影响作用,但它其实推动了中国社会整体治理水平的提升。中国基础建设建设其实逐步领先于其他国家,那么对于我们的相关法律治理水平和制度体系的要求会更高,这有可能推动我们国家的治理水平逐步高于其他国家,我觉得这是一个大趋势。
目前,我们国家正在积极参与到网络与数据领域的国际治理和话语体系建设中,不久前的6月29日,中国常驻联合国代表张军刚刚表示,应制定各国普遍接受的网络空间国际规则,反对搞小圈子和集团政治,反对搞科技霸权。中国正在通过联合国和安理会这个全球性组织,倡导各国应践行真正的多边主义,在联合国框架下建立各方平等参与、开放包容、可持续的网络安全治理进程。
观察者网:从数据治理来说,除了刚才说的三部法律,以及《网络安全审查办法》这样的部门规章,还有地方性法规,像深圳的电子产业是比较发达,也是比较有特点的;上海今后可能也会出地方规章,包括合肥现在集中了一些新能源车产业,是否也可能出一些有地方特点的规章?“试点”是中国治理体系中非常有特点的一个做法,能否从这个角度谈一下您的观察?
李天航:深圳的电子产业确实发达,但我认为这不是深圳出台互联网地方性法规的主要原因,可能对互联网影响更大的是腾讯在深圳,腾讯是最能凸显数字经济的一家企业,同时,深圳作为一个经济特区,有自身地方性的特色,深圳在数字经济化和经济数字化方面,走得相当靠前。
其次,地方性立法在国家法律和行政法规的框架之下,更多会结合地方性的特色,比如合肥确实可能对新能源车相关的内容做一些规则和约束;上海可能在数字政务这方面基础较好,出台这方面的地方性法规也是有可能的。
有些产业如果地方性特色比较明显,就不适合在全国层面统一推开去做,所以在数据治理上,将来就有可能形成国家法律法规+行业主管部门规章+地方人大和政府地方性立法的立体格局,对于这样一种纵横交织的治理体系,企业将来很可能面临更多的法律合规义务的挑战,不只要关注国家的法律法规,还要关注地方性的立法。
随着数字经济发展,中国对网络安全审查越来越重视。图片来源:视觉中国
观察者网:将来地方要打造特色产业生态,彰显比较优势,吸引优质企业,可能一部好的地方性法规也是一个竞争力?
李天航:对,其实《数据安全法》第14条规定,
省级以上人民政府应当将数字经济发展纳入本级国民经济和社会发展规划,并根据需要制定数字经济发展规划。
第27条规定,
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
本条中的“法规”就包括地方法规。
观察者网:最后一个问题,中国网络和数据治理体系还在推进之中,业界和相关企业应当关注哪些变化?能不能谈一下您的观察和对企业的建议?
李天航:我最近几年都专注于相关领域,我想用两个词来表述企业应当关注的大背景和大环境。
第一个词是“企业数字化转型”,第二个词是“数字经济新常态”。
数字经济新常态,是当前国家对整个经济发展形势的界定,“新常态要有新动力,数字经济在这方面可以大有作为”。数字化转型,就是企业应对数字经济新常态必须做好的功课,将来的世界,很可能是一个数字孪生的世界,所有企业都必须融入到互联网生态中去,网络和信息系统就是企业生存的基础。
那么,将来所有企业的所有经营行为,都必须受到《国家安全法》、《网络安全法》、《数据安全法》、《个人信息保护法》这四部法律为纲的立体法律框架体系的规范,撇开层级更高的《国家安全法》,“三足鼎立”的三部法律,都对企业提出了非常详细的义务性要求,而且每一项都可能会配套的出台相应的法规、规章等等。企业如果不能做到遵守,是无法生存的,所以企业必须要关注这些方面的内容。
既然如此,我们建议企业要有前瞻性,要主动拥抱这些法律法规,做好自己的数据合规工作。
调整自己的经营、运维和治理理念,甚至重塑自身业务模式,这不但能够预防很多行政甚至刑事处罚风险,而且某种程度上来说,合规能够成为企业的最大竞争力。如果能够事先做到合规,就能减小或者避免法律风险,如果业务模式有前瞻性,就无需在监管来临时重新去做大的调整。
观察者网:如果今天中国的数据和网络安全法律体系能够产生一个促使企业提前调整和规范自身行为的作用,我个人认为,能够达到很好的社会效益。
李天航:是的,反过来说,由于数字和网络技术的特点,企业在拥抱数字经济新常态的过程中,一定要抛弃传统的“碰到事情再搞定”,或者“找人帮忙搞定”的态度,互联网领域是一种“数字逻辑治理”,碰到事情的时候,没办法去人为干预,更没办法“搞定”。所以对社会治理来说,这是上了一个台阶,对企业来说,事前防御性的合规,可能才是最经济的一种做法。
1、本文只代表作者个人观点,不代表星火智库立场,仅供大家学习参考; 2、如若转载,请注明出处:https://www.xinghuozhiku.com/42065.html