中国经营报《等深线》记者 屈丽丽 北京报道
一场被触发的中概股监管风暴,让大量企业意识到,自己的头上又高悬起了一柄利剑,这就是数据安全。由此,网络安全审查、数据安全对很多企业来说,正成为当下不可回避的重要问题。
有相关企业合规部门的人士告诉《等深线》记者,之前数据安全等方面的问题,一般在企业内部都被视为合规部门的业务,通过合规部门和业务部门的相互协调而实现,但是,自这一场监管风暴触发以来,数据安全、网络安全等,已经成为公司战略层面的重要甚至是核心内容之一。“这与以前的情况是完全不同的。”一位互联网企业合规部门的人士说。
这并不是一柄全新的达摩克利斯剑,《网络安全法》、《民法典》、《数据安全法》、《刑法》、《电子商务法》、《消费者权益保护法》,以及正在制定中的《个人信息保护法》等构建了网络安全和数据安全领域近乎完整的法律体系,这一切,实际上早就存在。
而另一方面,各个地方已经推出或正在推出的《数据条例》也将进一步强化数据保护和利用中的规则。
北京大学法学院(互联网法律中心主任)张平教授告诉《等深线》记者,“无论是已经实施的《网络安全法》,还是正在制定过程中的《个人信息保护法》,都规定了县级以上行政主管(监管)部门在网络安全保护、个人信息保护方面的监督管理的职责。这对在全国范围内进行经营的企业来说,关注区域(属地)合规及其引发的法律风险同样不容回避。”
事实上,伴随地方数据“立法”风起云涌,一些头部企业开始担心由此带来的长臂管辖问题,以及县级以上行政主管部门的“处罚”是否可以重复进行的问题。
而在国际层面上,各国之间能否打造数字化的国际规则和秩序也正影响着企业之间的贸易和投资活动。
清华x-lab数权经济实验室主任钟宏也告诉记者,“数据即权力。伴随数字经济爆发,数据成为新的生产要素,数据的获得和使用将成为决定一个国家经济发展的关键资源。同时数据也是新的权力来源,数据的流通和管控可以成为影响国际政治关系的新的战略武器。传统国际贸易体系和构建于‘二战’后的国际治理体系,都已不适应数权时代的新要求,正在孕育崭新的数字化国际规则和秩序。”
“从欧盟的GDPR,到美国的CAPP及其各州的法律,再到APEC对数据和隐私保护问题的关注,不难看出,各国都将数据权利上升到前所未有的国家主权的高度,这可能会让数据保护制度成为国家间新的竞争领域以及贸易壁垒。”张平告诉记者。
面对国际国内的数据新秩序,国内企业到底该如何应对,他们面临怎样的困惑和问题,接下来国家相关法规、政策的细化方向又会有着怎样的趋势,企业如何更早地做出合规准备,对此,记者采访了来自资本、法律、技术等不同维度的专家学者,以及企业的经营管理人员,希望借此勾勒出一张数据安全面前的“企业合规地图”。
深圳的立法创新尝试
6月7日,《深圳经济特区数据条例》(以下简称《深圳数据条例》)正式对外公布,并将于明年1月1日起施行。可以说,这是国内数据领域首部基础性、综合性立法。
对此,中国政法大学互联网金融法律研究院院长、参加《深圳数据条例》全程起草的权威专家李爱君教授告诉记者,“该《条例》是为实现国家大数据战略,保证国家安全、社会利益、公共利益和个人合法权益以及促进数字经济发展,由深圳经济特区率先制定的,以‘数据’为调整客体,以规范促进数字经济发展为终极目标的,对个人数据、公共数据、数据要素市场培育和数据安全的首部具有基础性和综合性的立法。”
在李爱君教授看来,“一方面,此《条例》是在遵循宪法和法律、行政法规基本原则的前提下,立足改革创新实践的需要,根据授权对法律、行政法规、地方性法规作变通进行立法。另一方面,在具体的操作环节上也有大量的创新。”
“举例来说,《条例》创新性地提出‘自然人、法人和非法人组织对其合法处理数据形成的数据产品和服务享有法律、行政法规及本条例规定的财产权益’,该规定是根据数据和数据所承载的信息所呈现的不同主体利益进行的规定,其目的是为了解决数据在开发利用过程中出现的对个人数据人格利益和国家安全的保护,以及数据市场经营主体的合法权益。“
“可以说,这一规定有利于促进数据的价值挖掘和促进大数据技术的发展,也充分实现了本《条例》以规范促发展的立法目标。”李爱君表示。
同时,“针对上述数据产品和服务,‘可以依法自主使用,取得收益,进行处分’的规定,也试图创新性地从数据产权的维度来解决数据开发利用过程中的数据财产归属问题。”
对此,李爱君向记者分析指出,“数据产权不是法律意义的所有权,它是占有、使用、处分、收益等各种合法权益的集合。这也体现了该《条例》对数据本质认识的体现,即‘数据’可占有,数据可通过占有来排他,但数据所承载的信息是不可占有,也不可排他,只能通过法律规定来实现排他。”
“但数据非排他性体现在数据使用环节,占有通过数据的无限复制的特性来实现非排他。因此‘数据产权的权利束’中的权利行使可以根据所承载的内容规范行使和分离。”
事实上,上述立法背后底层逻辑的分析,揭示的恰恰是很多地方在数据立法上面临的困惑和问题。
此外,李爱君教授还告诉记者,“《条例》为促进发展,降低数据市场经营主体的成本和合法成本,创新地提出对个人数据和公共数据的分级分类的同意规则和安全标准。为维护数据要素市场的公平秩序,《条例》建构了‘数据要素市场培育’和数据要素市场公平竞争和消费者权益保护的制度体系。”
“为解决数据侵权行为的隐蔽性、取证难和维护成本高造成的数据要素市场的逆向选择,劣币驱逐良币的问题,《条例》规定了公益诉讼的制度。同时,《条例》通过制定具体的责任机制一改地方立法责任空泛、不具体而导致立法无法达到应有的引导性、阻吓性和惩治性,从而实现公平与正义(比如《条例》第九十五条规定)。”
多地积极响应数据“立规”
事实上,不只是《深圳数据条例》,在此之前,贵州省已经出台了自己的数据条例——《贵州省大数据发展应用促进条例》,并号称为“全国首部大数据地方性法规”。而在此之后,包括杭州、成都、北京等诸多城市都在酝酿推出本地方的数据条例。
那么,在全国层面的数据立法已经相对成形的背景下,在《网络安全法》《民法典》《数据安全法》,以及正在制定中的个人信息保护法对国家安全、数据安全、个人信息保护已经建构起近乎完整的保护体系的情况下,为什么各个地方还要制定适合本地方的数据条例呢?
事实上,我们国家此前曾出台过很多法律,地方并没有如此急迫地跟进。为什么数据立法会在各地形成风起云涌的态势呢?
对此,张平告诉记者,“这与我们国家的大数据发展战略有关。2015年国务院发布了《促进大数据发展纲要》,提出了建设数据强国的目标,建设数据强国就会有数据利用,加上中国人口资源的基数奠定了我国电子商务发展的领先优势,从而开启了地方对数据经济的关注。”
“紧接着,2019年,党的十九届四中全会通过了《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》,提出建立健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制。这是首次提出数据作为生产要素的文件。”
2020年4月,中共中央、国务院印发了《关于构建更加完善的要素市场化配置体制机制的意见》,其中第六部分专门提到要加快培育要素市场。
在张平看来,“地方的积极性正是缘于此,中央的文件就是要求地方加快培育数据要素市场,构建数字经济模式,地方政府当然也都会将其作为新的经济增长点。”
此外,2020年12月,中央印发了《法制社会实施纲要》(2020—2025年)提出要建立健全数据安全管理制度。“2020年一系列的立法也是呼应了这样一个五年的立法计划。”张平表示。
“最近发改委也正研究起草制定培育数据要素市场的政策文件,倡导各地方政府对数据要素市场的培育进行部署。比如深圳的数据条例就提出政府要构建城市大数据运营中心。那么,深圳建了,其他城市是否也要建设类似的大数据中心呢?”
“可以说,国家战略、立法计划、政府文件都极大地影响了各个地方政府在发展数字经济、进行数据保护方面的积极性,这也是地方数据立法风起云涌的重要背景。”张平告诉记者。
作为北京大学法学院互联网法律中心主任、北京大学粤港澳知识产权发展研究院执行院长,张平参与了《深圳数据条例》的征求意见。在她看来,《深圳数据条例》有更为特殊的背景。
“首要的背景是2019年8月9日,中共中央、国务院印发《关于支持深圳建设中国特色社会主义先行示范区的意见》,在这个意见中,给予了深圳一些特别立法权,包括试验区在法律适用、激励政策、数据安全和数据共享利用方面可以先行先试,通过示范最终辐射到全国。”
“其次,深圳是高新技术企业和大数据企业的聚集地,有很多企业涉及数据安全、数据利用、数据流转的新问题。在全国还没有把这些问题弄清晰之前,在深圳先做试点,可以为大数据企业合规利用数据资源指明方向。”
再有,深圳在经济领域的优势,不仅体现在数据产业,还体现在制造业链条上,比如东莞一带就有非常全面的制造业集成,而传统制造业数字化过程的基础同样是数据的流转、利用和分享,这同样也是深圳的产业优势和示范所在。
在张平看来,“《深圳数据条例》是一个综合性的数据立法,这样的先行立法在全国领域内是一个信号,也是全国人大和社会各界达成的一个基本共识,它将对全国立法产生指导,对未来数据市场的构建、数据安全的细化规定都具有借鉴意义。”
对于未来国家层面是否会有一部数据领域的综合性立法,张平告诉记者,“目前没有看到这样的立法迹象,《数据安全法》和《个人信息保护法》是本届人大期间的立法任务,在本届人大结束前一定会推出。综合性立法如果放到下届人大立法计划中,推出也要好多年之后。我认为如果现有的各部门法已经把问题在不同侧面反映并解决,也就不再需要一部综合性的法典式的立法。”
企业“探问”管辖问题
然而,正当业内人士认为《深圳数据条例》将对我国其他地区进行地方性数据立法提供重要借鉴意义时,一些头部企业已经开始担忧,各个地方积极的数据“立规”,是否会引发长臂管辖的问题呢?
张平告诉记者,“有一些企业担心,现在各地方都在制定数据条例,但这些条例适用的地域范围不是很清晰。数据本身是流动的,是没有地域性的,尽管企业可能是在你的行政区域提供服务,但它同时也是覆盖全球的。所以,数据的开发和利用不太应该有很强的地域色彩,特别是执法上更不应该有很强的地域性。”
“举例来说,地方条例里都有关于执法的内容,对于某一个地方的行政监管部门来说,是按照数据流转的属地原则实施监管,还是按照数据企业的归属原则加以监管,这涉及地方管辖权的问题,如果各个地方的行政监管边界不清晰,容易导致所谓的‘长臂管辖’。”
由此,在流动的数据面前,地方立法很难回避长臂管辖的问题,明明是一个地方的条例,但它的职权、监管的范围却可能会超越了它的本地,成为全国性的监管。
事实上,最近一年来,张平所率领的团队对很多互联网平台企业进行了调研,在调研中,她了解到很多企业都有一个基本的困惑性问题,那就是在数据安全方面,合规如何实现。
“现在企业做数据合规,像数据在使用过程中的告知同意原则、目的必要专用原则、安全保障原则等,大部分企业在形式要件上基本都能做到,也会有很好的隐私政策,但海量数据的收集和利用千差万别,企业服务时时更新,精准服务和广告推送已成趋势,企业的数据应用实践做不到隐私政策中的承诺,特别是在数据共享中做不到对原始数据主体的再告知—同意。”张平告诉记者。
的确,有企业就表示,“如果企业不是恶意地把数据倒买倒卖,拿出去诈骗,而是已经尽到了注意义务,已经制定了政策,尽可能地采取了措施,那么在未来法律责任的承担上,是否能有一个‘填平’原则,由企业做基本赔偿,而承担惩罚性赔偿,或过高的刑事责任。”
“涉及刑事责任的合规问题正成为企业普遍性的担忧,因为目前我国刑法中已经设立了个人信息罪,《数据安全法》里也有泄露国家机密罪等罪责的规定。企业希望,如果企业已经尽到了特别充分的注意义务,是否可以减少刑事风险?”张平告诉记者。
不过,对于企业在未来法律责任的承担上,是否能有一个“填平”原则,或者“如果企业已经尽到了特别充分的注意义务,是否可以减少刑事风险”的问题,有专家表示,“‘尽到最大注意义务’这种提法反倒会给司法部门、监管部门带来更多的自由裁量权,也会成为企业履行数据保护义务的借口,进而为执法带来很大的不确定性,甚至导致胆子大的企业就去做了,胆子小的企业就保守一些,在某种程度上造成更大的不公平。”
上述专家同时也认为,“注意义务、填平原则更多是民事和商事的范畴,能不能适用于刑法和行政处罚的免责条件值得商榷。目前互联网平台数据使用乱象严重,在收集和使用数据方面造成了极大的危害,企业很难用一个‘尽到注意义务’来免责。”
“数据安全不是一个纯粹的民事或商事的范畴,也不仅仅是财产权和人格权的问题,它同时涉及的还包括国家安全和公共利益的问题,从这个角度来看,也将进一步突显地方数据立法的严肃性。”
不仅如此,一国立法导向也与其技术发展战略密切相关。上述专家也指出,“现在的立法导向其实是希望推动企业在隐私技术方面更进一步,就像欧盟的GDPR立法会进一步推动欧美企业在隐私保护方面的技术进步一样,中国的立法如果给企业留下太多的争议空间,那么企业的注意力可能就不会聚焦在技术进步上,反而会选择更低成本的做法。”
当然,很多企业也注意到国外在数据安全问题上的行政处罚都是非常高的,动辄被罚几十亿美元或欧元。目前我国企业中还没有出现巨额罚款的情况,但伴随《网络安全法》《数据安全法》的实施以及《个人信息保护法》的出台,很多业内人士判断,巨额的罚款一定会出现。
由此,如何减少刑事风险和巨额罚款的风险,成为企业在数据合规上方面思考的重要问题。
熟悉数据安全立法的王新锐律师就曾提醒:“《数据安全法》和正在酝酿推出的《个人信息保护法》,对违法行为的最高处罚是很重的,一个是 5000万元,加上5%的企业营收,一个是1000万元,这样高的处罚金额在法律中是不常见的。”
而这个处罚中5%的营业额,正成为很多企业的梦魇。“5%的营业额是很高的,在地方立法之后,很多企业会担心,这是国家统一的一次性处罚,还是不同地方的行政执法部门都有这个权限。比如,一家企业在本地被罚了5%的营业额,其他省市也认为其有(个人信息)严重侵害的问题,再罚5%,那企业就受不了了。”张平告诉记者。
值得注意的是,无论《网络安全法》,还是个人信息保护法草案中,都赋予了县级以上的行政主管部门的监管权利。“联系到此前对P2P金融案件的监管,各个地方都会抢案子,把管辖权拉到本地方来,这是企业比较担心的问题。”某企业高管李华(化名)告诉记者。
据李华透露,“如今,数据立法的过程中会向社会各个渠道征求意见,我们也都会去反映。”
不过,对于企业之于地方数据立法的担忧,有法律专家认为“引发管辖权争议是不可避免的,无论是网络立法,还是数据立法都存在这个问题,因为对‘违法行为发生地’本身就存在多种理解。在执法实践中,要么谁先立案、谁先管辖;要么由上一级机关指定管辖,通常是具体到个案再具体分析具体应对。不过,因为还有‘一事不二罚’的总体原则框着,问题并不大,不会增加企业太多的负担。”
曾参与多个地方数据立法的李爱君也告诉记者,“企业的担忧大可不必。这是因为:首先,目前各地方在数据方面的立法几乎都是促进立法,是对我国大数据战略发展有利的。对企业来说,可以根据自身的发展战略来选择经营的区域。”
“其次,即便地方立法是属于管理和规范性质的,它也是在国家宪法、法律和行政法规的框架下制定的,不会违背国家宪法、法律和行政法规来增加数据要素市场主体的义务,更多只是把国家的法律和行政法规具体化和可操作化,更加符合本地区发展和助力地方问题的解决。”
“再次,《网络安全法》《数据安全法》《电子商务法》《消费者权益保护法》《民法典》的实施,使得对数据开发利用的法律已有了基本的法律规定,地方立法从数据安全、消费者权益保护方面都有相对明确的立法依据,因此不会造成地方立法的制度不当的竞争。”
合规难易度之辩
企业基于商业模式的拓展会衍生风险,而很多公共机构连基本政策都没有。那么,在数据安全问题上,哪些环节的合规是企业现阶段很难做到的呢?
对于这个问题,张平告诉记者,“现阶段我们使用的各种APP,比如买票软件、打车软件、订餐软件等,目的一般应该是善意的,是为了给公众提供各种各样的服务。但在提供服务的过程中,企业必然要收集用户的地理位置信息。同时还要收集用户的电话信息、通讯录信息,甚至是照片信息、拍摄和视频信息等等。这时人们就会质疑,仅仅是提供送餐或外卖服务,收集这些信息已经属于过度收集了。”
李华告诉记者,“很多信息的收集看似在必要和非必要之间,但要为以后商业模式的再开发带来便利,得到的授权就会越多越好。诚然,企业仅仅是当下需求的授权,确实万无一失,但商业的驱动以及数字经济的本质使然,企业必然不满足于当下的模式,这也是风险衍生的所在,稍微过度的收集就可能会产生不合规的地方。”
当然,数据安全的合规问题并不仅仅出现在企业身上,有些公共机构在收集信息时甚至连基本的政策都没有。
“以人脸识别为例,现在高铁、机场、大学、办公楼、机关,甚至一些写字楼都需要刷脸识别。如果没有政策,即使它再善意,它也是不合规的。比如,某机场是一个高度智能化管理的机场,那么这个机场就必须要给出一个很完善的隐私政策。但在该机场的网站上,至今连告知和安全保障的政策都没有,就把旅客的信息都收集到了,不光是人脸,包括行走的姿态、出行信息等全过程的数据都被收集。这些数据如何保障安全存储和利用,一旦有数据泄露的问题怎么办?收集这些信息有没有目的专用,在鼓励数据分享时是否可以给其他企业利用等都没有明确告知。”张平告诉记者。
在张平看来,“互联网企业迫于行政监管的压力,大都制定了隐私政策。而政府机关、大学、媒体、报社几乎没有,这些公共机构每天也都在做数据收集的事情。”
“尤其是人脸识别技术的广泛应用,从智慧城市、智慧校园、智慧社区,到大、中、小学生入校都要刷脸,上班回家都要刷脸,细思极恐,其中的大数据安全不言自明。”
“再次希望呼吁一下,人脸识别技术,尤其是一些重要场所和人群的人脸识别技术的应用应当慎用。”
在张平看来,“有些事件单纯地看起来属于个人信息安全的范畴,但当把大量的个人信息汇总在一起,就会上升到特定群体安全和国家安全的问题。”
“由此,地方数据条例最关键最核心的问题还是要保证数据安全,在安全的前提下开放一部分没有个人身份信息的数据,像科学数据、天气、地理信息等。
跨境传输需要安全审查
一方面是企业在全球化背景下的数据流动问题,另一方面是企业并购、融资、上市过程中引发的数据出境问题,所有这一切,让涉及国家主权的数据安全正变得越来越敏感。
“当前的网络安全审查为很多互联网公司和数据存储公司敲响了警钟,也提醒很多企业到海外上市或进行交易时,一旦涉及数据跨境的问题就需要主动提出安全审查的申请。”张平告诉记者。
“这不是中国的特别规定,世界上任何一个国家,凡是进行数据立法的,都有对数据本地化存储、本地化运用的要求。一方面,数据跨境传输需要安全审查,另一方面即便审查通过也不可以自由流转,这是共识。”张平指出。
对于海外上市的企业来说,上市时是否提交审计底稿,如何提交审计底稿就成为了一个无法回避的问题。一方面上市地基于加强信息披露的目的会要求上市企业提交本企业的审计底稿,比如美国证监会和美国公众公司会计监督委员会(PCAOB)要求已在美上市公司最迟于2022年1月1日前满足PCAOB开展检查的相关要求。
而另一方面,中国证监会强调中方从未禁止或阻止相关会计师事务所向境外监管机构提供审计工作底稿。但中国法律法规要求的实质是,审计工作底稿等信息交换应通过监管合作渠道进行,这是符合国际惯例的通行做法。
这意味着,审计底稿作为重要的信息载体,需要经过安全审查,不能引发国家安全的风险。
上海段和段律师事务所合伙人刘春泉律师告诉记者,“对企业的网络安全审查,美国早已率先建立了完备的制度。2014年5月22日,中央网信办的网站上曾经刊载过一篇文章《美国是如何进行网络安全审查的》(来自新华网),该文章指出,“(早在)2000年,美国率先在国家安全系统中对采购的产品进行安全审查,随后陆续针对联邦政府云计算服务、国防供应链等出台了安全审查政策,将全方位、综合性的供应链安全审查对策上升至国家战略高度。”
“美国要求被审查企业签署网络安全协议,协议通常包括:通信基础设施必须位于美国境内;通信数据、交易数据、用户信息等仅存储在美国境内;若外国政府要求访问通信数据必须获得美国司法部、国防部、国土安全部的批准;配合美国政府对员工实施背景调查等。”
对于上市公司的审计底稿来说,未必涉及大量的用户数据,但一定会涉及供应链信息,比如核心设备的提供商,这也恰恰是数据安全的关键环节。
“由此,哪一类数据应该被定义为重要数据,需要进行单独规范就变得非常重要。国家有关部门后续还会有各类的标准和指南,包括重要数据的认定、重要数据的安全审查等等。”张平表示。
在重要数据的认定之外,国家立法中对关键信息基础设施的具体范围和安全保护办法已有涉及,比如《网络安全法》第31条就提到“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
“同时,企业采购网络产品和服务,如果可能涉及重要数据和个人信息跨境并带来国家安全风险问题,也需要提起高度警惕。”刘春泉表示。
一位活跃在国际舞台上要求匿名的投资人则告诉记者,“在网络时代,网络已经成为了一个国家基础设施的重要红线,这就要求企业必须要提高重视度,并将数据安全审查纳入企业合规清单中。比如,企业在做大的招商引资、并购、融资项目时,甚至是高管变化,引入新的管理层或决策层成员(董事会成员)时,都应该主动申请安全审查。”
“按照国内法规的要求,企业在赴美上市前应该主动向主管部门提出安全审查的申请,这应该是投行在上市准备工作清单中列出的。同时,按照惯例和企业上市的工作流程,负责在上市的美国律所会请中国的律所进行配合,由中国律所出具相应的法律意见。而且, 一般情况下,大投行负责上市项目时,对于比较敏感的行业,都会找一些拥有海外背景同时通晓国内问题的专家进行审核,以绕过一些致命的事件。”
然而,王新锐则告诉记者,“此前海外上市业务中,企业并没有主动向主管部门申报的问题,也没有相应的流程,数据出境的自评估也没有形成行业惯例,主要还是看企业自己的意识。”
由此,这次由主管部门启动的网络安全审查为更多的企业敲响了警钟。“安全审查会成为信息时代的重要措施,出于谨慎,企业应该主动将安全审查列入第一清单之中。”上述投资人表示。
王新锐也告诉记者,“在当前的法律环境下,企业数据出境可能会违背强制性境内存储要求、未完成出境安全评估、未获取数据主体授权同意等风险。因此,企业在数据出境前应当做好以下四个方面的工作。”
“首先,企业要评估出境数据的性质,是否包含个人信息、重要数据、人类遗传资源信息、人口健康信息等受到我国法律法规出境限制的数据类型。”
“其次,若涉及上述类型数据,需进一步分析是否具有境内存储的强制性要求,或需要按照相关法律法规规定向相关主管部门申请审批或备案。”
“再次,通过上述审查后,数据出境前需要按照相关规定进行安全评估。”
“最后,通过安全评估的,涉及个人信息的,出境前还需获得数据主体的授权同意,并与境外接收方签订协议约定双方的权利义务和数据保护责任等。”
安全审查办法重点突出
2021年7月10日,正值网络安全审查法律实施行动备受关注之际,网信办官方网站公布了《网络安全审查办法(修订草案征求意见稿)》(以下简称“修订稿”),“修订稿”从申报网络安全审查的主体,到审查机制相关单位,再到审查范围、审查门槛、申报材料、审查重点和考虑因素等都做出了重大调整,进一步揭示了国家对于网络安全和数据安全的重视程度。
对于《网络安全审查办法》的修订背景,张平告诉记者,“网络安全审查办法(征求意见稿)的制定是数据安全立法大环境下的必然之举。一方面,数据无国界,不管是地方还是国家,都需要统一数据传输与安全的审查标准。秩序的统一有利于规范数据处理活动,防范国家安全风险,有利于更有效地保护核心数据、重要数据。”
“另一方面,同样是基于目前市场上出现的对数据的不当处理以及对数据跨境流动安全意识的忽视等情况,因此需要从规则层面规范数据处理行为,维护国家安全。”
值得注意的是,我国的网络安全审查制度始于《网络安全法》2017年6月1日生效后同步实施的《网络产品和服务安全审查办法(试行)》,该试行办法实施了三年,2020年4月27日,由网信办等12部委联合发文《网络安全审查办法》并于2020年6月1日生效,取代了之前的试行办法。
“一般来说,正式出台的规章一年左右即予以修订比较罕见,这次修订是有上位法发生变化的大背景,即我国《数据安全法》已经通过并即将于2021年9月1日生效,由于《网络安全法》与《数据安全法》分别是通过不同角度立法共同完善覆盖网络信息和数据领域的重要法律制度,两者是互相补充密切相关的配合使用的,因而本次修订是增加了《数据安全法》作为法律依据。”刘春泉告诉记者。
刘春泉分析认为,“本次修订主要是根据即将生效的数据安全法相关规定对原网络安全审查办法进行了修订,增加了网络安全审查中需要根据数据安全法规定予以配套的内容。”
对于修订稿中的主要变化,王新锐律师告诉记者,“《网络安全审查办法》的修订草案有大约15处,其中最值得关注的一是将审查的范围进行了扩大,比如在第一条中加入了《数据安全法》作为上位法依据,在第二条中将适用范围扩展到‘数据处理者开展数据处理活动’,由此《网络安全审查办法》不光是进行网络安全审查,亦涵盖了《数据安全法》建立的数据安全审查制度。”
“另一个值得关注的变化是将证监会加入网络安全审查工作机制,使参与审查的部委扩大到了13家。”王新锐表示。
刘春泉则告诉记者,“‘修订稿’将申报网络安全审查的主体进行了扩大,从原来的关键信息基础设施运营者一种,增加了《数据安全法》规定的数据处理者,而后者可涵盖的对象可能远远大于前者。”
“申报门槛进一步明确,要求掌握100万用户个人信息的企业赴国外上市即需要申报网络安全审查。对实务工作者来说,这是操作性最强、判断最为直接的依据,也是这次‘修订稿’最为受人关注的亮点。”
来自投资领域的业内人士则告诉记者,“中国拥有庞大的人口基数,从而奠定了中国早年发展电子商务的优势。对于很多创业过程中的企业来说,掌握100万用户个人信息的企业基本可能处在A轮B轮融资的阶段,数量应该不在少数。”
对于“修订稿”将网络安全审查机制相关单位从原来的12部委进一步扩大,将证监会纳入进来,刘春泉认为,“这是一个非常值得关注的变化,因为全球各主要国家上市的信息披露和合规要求虽有不同,但是都有立法通过严厉的行政执法、投资者发起证券民事诉讼,甚至严厉的刑事追责等手段,强制拟上市企业必须强调真实、完整、准确披露拟上市公司的信息。对于互联网和生物医药、生命科学等高科技企业来说,其掌握的科技数据、用户数据、业务涉及的某些敏感数据可能除了是企业的业务根基外,也同时关系到所在国家的网络数据安全甚至是国家安全。”
“对企业来说,如何平衡好拟上市地的上市企业信息披露等法律合规和监管要求与业务所属地的业务合规要求、监管要求,这是摆在企业面前一个重要的课题。”
此外,对于需要主动申报网络安全审查的企业来说,“修订稿”要求将拟提交IPO材料作为申报材料。同时,网络安全审查的重点从采购活动进一步扩展到数据处理活动和国外上市。(刘春泉建议“修订稿”中的“采购活动”改为“采购行为”,理由是法律规制的对象是行为)
不仅如此,“修订稿”还在网络安全审查的考虑因素中增加了核心数据、重要数据或者大量个人信息的安全风险(包括被窃取、泄露、毁损以及非法利用或者出境的风险),以及上述数据及关键信息基础设施被外国政府影响、控制、恶意利用的风险(第十条)。
对此,刘春泉告诉记者,“重要数据和个人信息是《网络安全法》已经有规定的,核心数据是《数据安全法》新的提法,《个人信息保护法》也可能快要通过了,根据《数据安全法》确定的数据分级分类管理要求,预计未来会有更多的配套文件出台以明确重要数据、核心数据等概念的内涵与外延。”
与此同时,细心人会发现即便“修订稿”已经根据现实问题做了尽可能周密的设计,但为了防止前瞻性不足导致的风险,“修订稿”还设计了一项兜底条款,“即从其他可能危害关键信息基础设施安全的一个开放式情况,增加了其他可能影响国家数据安全的因素的开放式预留兜底规定。”刘春泉表示。
众所周知,美国2000年前后出台过类似的网络审查法案,对比中美政策,张平告诉记者,“目前美国的网络安全审查政策主要是集中在信息科技领域,包括外国投资审查制度、关键基础设施保护制度、供应链安全管理制度。在政策制定的目的上更趋向于应对外部竞争,服务于国家安全战略,利益趋向性明显。”
“中国目前网络审查正迈开步伐,更加注重从国家安全层面出发,注重核心数据、重要数据的跨境流动风险防范,保障关键信息基础设施供应链安全,维护国家安全。未来中国需要不断完善自身的网络安全审查机制建设,提升科技企业的合规意识,增强我国关键领域信息系统的安全水平。”
对于如此大规模的审查背后,是否需要第三方力量的加入,张平表示,“国家层面通过网络安全审查办法(征求意见稿)形成了以中央网络安全和信息化委员会为领导,联合国家各部门力量的国家网络安全审查工作机制。从规范管理的层面上看,网络安全审查工作机制的建立具备了国家强有力的支持;从技术层面上看,是否需要第三方力量协助进行数据安全的审查,还得根据实务的需求进一步完善确认。”
显然,“修订稿”一旦通过实施,对整个社会经济的影响将是巨大的。那么,到底该如何看待日趋严格的网络安全审查对于整体的产业环境和产业竞争会带来的影响呢?
张平告诉记者,“首先高度认可国家对于网络安全审查办法(征求意见稿)的出台所作出的努力,该文件更加强调的是核心数据、重要数据的出境安全,也更强调关键基础信息设施的网络安全和数据安全,有助于构建一个稳定安全的产业发展环境,维护国家安全。”
“其次,该文件通过坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合的方式来进行网络审查,有助于提高产品和服务的安全性,带动整个产业环境的有序发展。”
“企业需要做的就是加强学习,尽早树立合规意识,从企业组织和业务流程上建立起相应的制度,并有专门的安全部门或合规部门督促落地。”张平表示。
(编辑:郝成 校对:彭玉凤)
原文地址:点击此处查看原文