(网经社讯)7月10日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意见稿)》(以下简称《意见》)公开征求意见的通知。其中明确提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。据网经社“电数宝”(DATA.100EC.CN)电商大数据库显示,我国主流的互联网公司APP月活数均在百万级甚至有些达到亿级,更不必说注册用户数。毋庸置疑,网络安全监管的“利刃”已愈加锋利。
多处改动 强化网络数据安全监管
早在2020年4月13日,《网络安全审查办法》就已正式发布,并于去年6月1日起正式实施。网经社对比前后《网络安全审查办法》发现,新的征求意见稿主要有以下几处变更:
1、新增第六条:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
2、在原来第十条中5个可能带来的国家安全因素新增两条:1)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;2)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
3、特别审查程序一般应当在45个工作日内完成改为3个月内完成。
对此,网经社电子商务研究中心特约研究员、大成律师事务所合伙人孙鹏程律师认为,《网络安全审查办法》征求意见稿的核心是把数安法的数据安全审查制度进行落地。此前网络安全审查主要关注的是供应链安全,这次增加了数据处理活动,也就是数据安全法中提到的数据安全审查制度,明确了网络安全审查包含了数据安全审查的内容。
(网经社注:图为网经社电子商务研究中心特约研究员、大成律师事务所合伙人孙鹏程律师)
(网经社注:图为网经社电子商务研究中心特约研究员、浙江泰杭律师事务所主任汪政律师)
网经社电子商务研究中心特约研究员、北京市奕明律师事务所李广兴律师也认为,这个办法总体指导思想是严管,网络安全核心要素是数据安全,是网络安全法以及数据安全法操作层面的细化。随着办法的出台和执法的开展不仅对互联网行业、企业有重大影响,对股权投资市场也会有重大影响,尤其外资。
此外,网经社电子商务研究中心特约研究员、垦丁律师事务所联合创始人麻策律师认为,《网络安全审查办法》自2017年首次颁发以来,短短四年间就实施了两次大的修订,足以说明网络安全审查制度面临诸多争议和难度,也说明了国家对于该法的重视。
(网经社注:图为网经社电子商务研究中心特约研究员、垦丁律师事务所联合创始人麻策律师)
同时,麻策律师建议,应当将《网络安全审查办法》标题进行修订,例如调整为《安全审查办法》,否则审查的对象到底是网络安全、国家安全还是数据安全,这是不相归属于不同部门,其上位法发生了混乱,内容仍然有必要进行清楚的界定和划分。
网络数据安全受高度重视 相关法规频繁出台
近年来,网络数据安全受到国家的高度重视,并多次颁布法律法规进行规范监管。
2020年4月13日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、国家保密局等多家单位联合制定了《网络安全审查办法》,确保关键信息基础设施供应链安全,维护国家安全。
2020年10月21日,全国人大法工委公开就《中华人民共和国个人信息保护法(草案)》征求意见。草案明确规定,个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息;个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等活动。
2021年6月10日,第十三届全国人民代表大会常务委员会第二十九次会议通过了《数据安全法》,自2021年9月1日起施行。《数据安全法》分别从数据安全与发展、数据安全制度、数据安全保护义务、政务数据安全与开放的角度对数据安全保护的义务和相应法律责任进行规定。
2021年7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》。其中第十九条提出,完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。
网经社电子商务研究中心特约研究员、上海正策律师事务所董毅智律师表示,随着平台经济的发展,这些巨头们所掌握的数据的容量大增,监管的重要性也提到了议事日程。这也说明这个围绕数字记录共享和新的法律法规的网络正在形成。
(网经社注:图为网经社电子商务研究中心特约研究员、上海正策律师事务所董毅智律师)
董毅智律师还表示,加强对境外上市公司的监管,网信办将在起草相关规定方面发挥积极作用,这些规定涉及哪些信息对国家安全至关重要,企业不应向外国监管机构披露。这可能使中国的规则与美国监管机构制定的规则更加不一致,从而令中国公司更加难以同时满足两边的要求。
董毅智律师进而表示,可以预见,后续网信办还将与证券监管机构和其他部委合作,修订长久以来实施的针对可变利益实体(VIE)的规则。这种称为VIE的公司架构使外国投资者能在不直接拥有公司投票权股份的情况下,入股中国科技业和其他敏感行业的公司。
滴滴 运满满 BOSS直聘等打“头炮” 网络安全审查序幕已经开启
在《意见》发布前夕,已有多家在国外上市的中国互联网公司遭受安全审查(详见网经社专题:网信办频频出手维护网络安全 运满满、货车帮、BOSS直聘、滴滴四家被审查http://www.100ec.cn/zt/aqsc/ )。
7月2日,国家网信网发布公告,对“滴滴出行”实施网络安全审查。
7月4日,国家网信办通报,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
7月5日,国家网信网发布公告,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。网信办指出,为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
7月9日晚间,国家网信办通报,“滴滴企业版”等25款App存在严重违法违规收集使用个人信息问题,通知应用商店下架上述25款App。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。
网经社电子商务研究中心特约研究员、杭州漠坦尼科技有限公司副总徐均波曾表示,互联网平台普遍存在以下问题:
第一、暴露了某些互联网平台存在重大的网络安全隐患和管理漏洞,片面重视追求业务发展和经济效益,忽视网络和数据安全管理。
第二、平台缺乏有效的业务安全风控机制和手段,导致企业无法基于自身业务数据进行网络安全风险发现和分析,在面临业务风险时往往处于被动的状态。
第三、暴露了用户个人隐私泄露的问题。不少平台企业依靠用户个人信息的非法或默认、强制、诱导获取、使用来牟取利益(包括通过“大数据分析”“千人千面”等间接牟利),从而危害到个人利益的事件屡见不鲜。
对此,徐均波给出四点建议:首先,相关部门应完善法律规定,加强监管力度(如对APP用户下载量累计1亿次以上“超级平台”优先审查、严监管);其次,企业尤其是各类平台、云服务(编者注:如阿里云、腾讯云、华为云等)、数据类公司,应如何尽到保护客户用户信息隐私的责任多下功夫;最后,用户应该增强保护个人信息隐私的意识和能力。以上这些,都成了现当今“大数据时代”,亟待考虑与解决的问题。
现如今,网络安全审查序幕已经开启,数据安全强监管时代也已经来临。此次《意见》针对的是尚未上市的公司,那些已经上市的公司又将如何?
据网经社电子商务研究中心发布《2021上半年中国电商上市公司市值排行榜》显示,80家已电商上市公司中,在国外上市的公司有35家,分别为阿里巴巴、拼多多、京东、滴滴、贝壳找房、携程、唯品会、叮咚买菜、达达、逸仙电商、前程无忧、跟谁学、万物新生、网易有道、宝尊电商、乐信、掌门教育、每日优鲜、优信、新氧、1药网、趣店、洋葱集团、云集、途牛、乐居、房多多、寺库、无忧英语、蘑菇街、物农网、摩贝、房天下、青客公寓、团车,占比超四成。
对此,网经社电子商务研究中心特约研究员、泽大律师事务所马恺浓律师表示,这些平台型企业均掌握了大量的个人信息等大数据,一旦泄露,结果不堪设想。且这些企业集中在已经公布的《数据安全法》正式施行前赴美上市,可能有规避法律、规避网络安全审查的嫌疑。
其中,今年上半年美股上市的滴滴出行、满帮、BOSS直聘已被审查,监管的“达摩克斯利剑”又将何时落向那些更早在国外上市的中国互联网公司?