中紀委:數據安全關乎國家安全

(原標題:深度關注 | 數據安全關乎國家安全)

中央紀委國家監委網站 李雲舒

圖爲6月27日至29日,2021網絡安全博覽會在上海成功舉辦。(圖片來源:人民視覺)

7月6日,中共中央辦公廳、國務院辦公廳公開發布《關於依法從嚴打擊證券違法活動的意見》。意見提出,完善數據安全跨境數據流動、涉密信息管理等相關法律法規。抓緊修訂關於加強在境外發行證券與上市相關保密和檔案管理工作規定,壓實境外上市公司信息安全主體責任

近日,國家網信辦連續發佈了對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查的公告。審查期間,以上APP均已停止新用戶註冊。

多家互聯網企業接受網絡安全審查,一時間,數據安全再次成爲關注焦點。

接受網絡安全審查的幾家企業都掌握大量用戶隱私數據,並且業務關鍵信息基礎設施有關

“滴滴一下,美好出行”。作爲中國最大的出行平臺,“滴滴出行”的下架整改,讓這句廣告詞變了滋味。

7月4日,國家互聯網信息辦公室發佈公告稱,經檢測覈實,“滴滴出行”APP存在嚴重違法違規收集使用個人信息問題。“滴滴出行”隨後迴應稱,將嚴格按照有關部門的要求下架整改,並積極配合網絡安全審查。目前,“滴滴出行”APP已暫停新用戶註冊,並下架整改。

一天後,網絡安全審查辦公室發佈關於對“運滿滿”“貨車幫”“BOSS直聘”啓動網絡安全審查的公告。

對這幾家企業啓動網絡安全審查,原因是什麼?

記者查看“運滿滿”企業官網時發現,該公司成立於2013年,隸屬於江蘇滿運軟件科技有限公司,是國內基於雲計算、大數據、移動互聯網和人工智能技術開發的貨運調度平臺。官網稱,“運滿滿已經成爲全球出類拔萃的整車運力調度平臺和智慧物流信息平臺”。“貨車幫”公司官網則介紹,“貨車幫”是中國最大的公路物流互聯網信息平臺,建立了中國第一張覆蓋全國的貨源信息網,併爲平臺貨車提供綜合服務,致力於做中國公路物流基礎設施。

相比於這兩家公司,“BOSS直聘”或許更廣爲人知。招股書顯示,2021年3月,“BOSS直聘”月活躍用戶數達3060萬,服務630萬家認證企業,其中82.6%爲中小企業。官網介紹稱,該平臺應用人工智能、大數據前沿技術,提高僱主與人才的匹配精準度,縮短求職招聘時間,從而提升求職招聘效率。

綜合來看,這幾家企業都掌握大量用戶隱私數據,並且業務與關鍵信息基礎設施有關聯。

“上述幾家被審查的企業,分別爲日常出行、網絡貨運及大衆求職領域的頭部平臺,至少掌握了所屬行業領域80%以上的深度數據。這些數據可以直接或間接地反映我國各區域人口分佈、商業熱力、人口流動、貨物流動、企業經營情況。”江蘇省大數據交易和流通工程實驗室副主任李可順表示。

被審查企業近期已赴美上市,將不可避免涉及數據出境問題

值得注意的是,這幾家被審查的企業有着共同的特點:近期赴美上市。

記者查閱資料發現,2021年6月11日,“BOSS直聘”於美國上市;6月22日,擁有“運滿滿”和“貨車幫”的滿幫集團於美國上市;6月30日,國內最大的移動出行平臺滴滴於美國上市。

滴滴接受網絡安全審查的消息,迅速在網絡上發酵。

匯業律師事務所高級合夥人李天航認爲,滴滴作爲一家主要在中國經營的企業,所有數據首先是存儲在本地的。但是,在美國上市將不可避免地涉及數據出境問題。

去年6月份,美國參議院提出了《外國公司問責法案》,該法案規定,如果外國公司連續三年未能通過美國公衆公司會計監督委員會的審計,將被禁止在美國任何交易所上市。而有關信息的披露,可能導致重要數據、個人信息的泄露。今年3月份,美國證券交易委員會表示,通過了《外國公司問責法案》最終修正案。

“美國證券市場對於上市公司有很高的信息披露要求,包括必須根據美國公認會計原則編報其財務報表、必須根據美國證券法律規定,對公司重大信息及時披露等,這勢必涉及一些該公司在中國境內的經營情況數據是否能夠出境的問題。”李天航說。

隨着網絡安全法、數據安全法等法律的施行,我國網絡和數據相關的法律法規體系正在不斷完善

“我國在網絡安全和數據治理方面的立法體系不斷構建完善,爲開展網絡安全和數據治理工作提供了充分的立法保障。”中國信息通信研究院互聯網法律研究中心研究員趙淑鈺告訴記者。

2017年6月1日,《中華人民共和國網絡安全法》施行,填補了我國綜合性網絡信息安全基本大法、核心的網絡信息安全法和專門法律的三大空白。

此次幾家互聯網企業接受審查的依據之一,是2020年6月1日正式實施的《網絡安全審查辦法》。該辦法爲開展網絡安全審查提供了重要的制度保障和法律依據。

中國人民大學重陽金融研究院副研究員劉典告訴記者,網絡安全審查重點評估關鍵信息基礎設施運營者採購網絡產品和服務可能帶來的國家安全風險,包括:產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因爲政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國家安全的因素。

“通常情況下,網絡安全審查在45個工作日內完成,情況複雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。”劉典說。

2021年3月,《中華人民共和國個人信息保護法草案)》提請全國人大常委會審議。目前,該草案已處於審議階段,業界普遍認爲,該法距離面世並生效實施已經爲期不遠。

2021年6月,《中華人民共和國數據安全法》全文公佈,並將於9月1日起正式實施。“數據安全法明確了由中央國家安全領導機構‘統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制’,這是亮點之一。”劉典告訴記者。

“網絡安全法、數據安全法和個人信息保護法這三部法律出臺後,中國互聯網領域基礎性的法律法規框架體系就已完成,其他法律、法規、部門規章、地方性法規等等,都會在這三部法律組成的體系之下,繼續細化具體的內容,逐步覆蓋互聯網、個人信息和數據活動的方方面面。”李天航說。

國家在互聯網領域和數據安全領域的主導,符合推動高質量發展的內在要求

近幾年,大數據、雲計算、物聯網等技術和應用高速發展,互聯網企業在爲人們生活帶來便利的同時,跨境數據流動、用戶數據泄露等問題,也受到廣泛關注。

在趙淑鈺看來,隨着互聯網企業的迅速興起、發展,其在提升用戶黏性、擴展業務生態方面不斷強化,巨量數據在互聯網企業生成、匯聚、融合,在釋放數據價值的同時也帶來了巨大的數據安全風險。

“一方面,造成侵犯用戶個人信息的風險,目前過度收集、濫用用戶個人信息的情形依然多發高發;另一方面,也會對國家安全產生影響,隨着數據分析技術的飛躍發展,互聯網企業在運營過程中產生的巨量數據通過大數據分析能夠反映出我國整體經濟運行情況等涉及國家秘密的信息,對總體國家安全構成重大安全威脅。”趙淑鈺說。

“近兩年,一些互聯網企業在用戶個人信息泄露方面發生的問題屢見不鮮,原因之一是我國數據安全保護機制的建設還不是特別完善。”劉典表示,這與互聯網行業的高速變化不無關係。“新業態不斷推陳出新,監管對象在不停變化,規模不斷擴大,給治理帶來了一定的難度。”

互聯網企業的數據安全問題也可能從不同方面影響國家安全。類似地圖數據、位置數據等重要數據,同樣需要保護。

“從國家層面來說,監管互聯網企業的數據安全問題需要平衡一個內在矛盾,即大型科技公司跨境數據流動的業務需求和跨境數據流動帶來的安全風險的矛盾。”劉典表示。

在劉典看來,當前國家在互聯網領域和數據安全領域的主導,符合推動高質量發展的內在要求。“過去一些互聯網企業在野蠻高速增長的狀態下,主要從商業利益的角度出發進行數據的開發利用,對數據合規的投入相對較小。隨着數據保護問題成爲一個社會焦點,國家開始不斷加強對於數據監管和數據安全合規的監管。雖然從短期來看,會對互聯網企業的發展模式帶來一定衝擊,但這也是由高速發展轉向高質量發展的必由之路。”劉典說。

在李天航看來,將來所有企業的所有經營行爲,都必須受到國家安全法、網絡安全法、數據安全法和個人信息保護法這四部法律爲綱的立體法律框架體系的規範。他建議,企業要有前瞻性,調整自己的經營、運維和治理理念,甚至重塑自身業務模式。“這不但能夠預防很多行政甚至刑事處罰風險,而且某種程度上來說,合規能夠成爲企業的最大競爭力。”

數據安全已被提升至國家安全的層面,充分體現我國維護數據主權和國家安全的決心

“6月10日,十三屆全國人大常委會第二十九次會議表決通過數據安全法,將數據安全提升到了國家安全的層面,同時對重要數據出境安全管理也提出了相應要求。”李可順表示。

數據安全法第三十一條明確了重要數據出境安全管理制度,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”

此外,數據安全法還嚴格規制面向境外司法或者執法機構的數據出境活動。該法第三十六條規定,“非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。”

“這一條款制定的背景是近年來數據管轄權衝突日益激烈的國際環境。”中倫律師事務所顧問賈申刊文指出,在這一背景下,數據安全法的規定再度明確了我國對境內數據的管轄權,充分體現了我國維護數據主權和國家安全的決心。

“值得一提的是,數據安全法還特別明確了未經主管機關批准向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款,以及責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。這一明確的法律責任形式,不僅意味着第三十六條的規定是企業應嚴格履行的一項數據合規義務,也使得企業在對抗境外執法或司法機構可能的數據調取要求時,擁有了可援引的有力的法律規則。”賈申表示。

沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民羣衆利益也難以得到保障。要樹立正確的網絡安全觀,加強信息基礎設施網絡安全防護,加強網絡安全信息統籌機制、手段、平臺建設,加強網絡安全事件應急指揮能力建設,積極發展網絡安全產業,做到關口前移,防患於未然。要落實關鍵信息基礎設施防護責任,行業、企業作爲關鍵信息基礎設施運營者承擔主體防護責任,主管部門履行好監管責任。

“目前來看,圍繞這家企業(滴滴)的跨境數據流動問題,數據出境當中涉及的國家網絡安全審查問題,以及APP對於個體用戶隱私信息的過度搜集問題,中國網信的治理實踐迎來了一個躍遷的契機。”復旦大學國際關係學院教授沈逸在專欄中寫道。

沈逸還表示,個人在關注企業的跨境數據流動問題時,應該避免“走極端”,“要麼就是認爲它應該絕對地遵循技術市場的內生需求,要求最小化的監管,要麼將它視作洪水猛獸,對它進行過度監管”。

“對最後的政策出臺,目前從實踐來看,大家可以抱有充分的信心。保障人民的福祉,最大限度地爲人民服務,是我國網信部門在推動相應監管落實過程當中已經確立起來的堅定不移的目標。我們應該對網信部門保持堅定的信心。”沈逸說。