网络数据安全审查“大棒来袭”。

 

近日，赴美IPO的“滴滴出行”“运满满”“货车帮”“BOSS直聘”先后因数据安全问题遭受网络安全审查。

 

未来赴美上市的风险将会对企业带来怎样的影响还待观察，不过毋庸置疑的是，对于数据安全、数据跨境的监管，将更加规范而收紧。

 

这不仅是受地缘政治等外部环境影响，更是数据治理进入强监管时代的必然趋势。

 

监管的目的不是遏制，而是为了新经济的规范发展。未来，从某种程度上说，“合规”将成为企业最大的竞争力。

 

 

未来赴美上市的风险将会对企业带来怎样的影响还待观察，不过毋庸置疑的是，对于数据安全、数据跨境的监管，将更加规范而收紧。监管的目的不是遏制，而是为了新经济的规范发展。

 

 

7月2日，网络安全审查办公室发布公告称，对“滴滴出行”启动网络安全审查，审查期间停止新用户注册。

 

7月5日，网络安全审查办公室发布公告称，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。

 

当天，国家互联网信息办公室发布公告，因“滴滴出行”APP存在严重违法违规收集使用个人信息问题，通知其从应用商店下架。

 

网络安全审查办公室发布消息，网络安全审查办公室有关负责人表示，按照网络安全审查工作安排，7月16日，国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司，开展网络安全审查。

 

上海交通大学数据法律研究中心执行主任、法学院副教授何渊向《商学院》记者分析，7月2日、7月5日，网信办两次针对滴滴的公告是两个不同的审查行为，实施主体是两个机构。

 

7月2日是由网络安全审查办公室作出，正如公告所说，“为防范国家数据安全风险，维护国家安全，保障公共利益”，对其实施网络安全审查。而7月5日的公告是国家互联网信息办公室针对滴滴违法违规收集使用个人信息问题而作出下架的决定。

 

网络安全审查办公室是怎样一个机构？2020年4月，为了确保关键信息基础设施供应链安全，维护国家安全，在中央网络信息化委员会领导下，国家网信办、发改委、工信部、公安部、安全部等12部门联合制定了《网络安全审查办法》（以下简称《办法》），该《办法》于当年6月正式开始生效。根据《办法》，网络安全审查办公室设在国家互联网信息办公室（以下简称网信办）。具体工作委托中国网络安全审查技术与认证中心承担。

 

何渊解释说，网络安全审查办公室是由12个部门共同管理的一个工作协调机制。从这个角度看，网络安全审查办公室的层级比网信办要高。

 

今年6月10日，在数据安全领域的专门立法——《中华人民共和国数据安全法》（以下简称《数据安全法》）通过，9月1日将正式施行。其中规定，“针对数据安全国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”

 

何渊表示，由于该法律还未生效，所以监管部门依照《办法》执行了审查权力。

 

根据《办法》的要求，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。比如一些企业供应链中采购了容易被美国“卡脖子”断供的技术，就存在一定的国家安全风险。对汽车领域特别是网约车领域而言，根据《汽车数据安全管理若干规定（征求意见稿）》规定，汽车领域的重要数据包括：1.军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；2.高于国家公开发布地图精度的测绘数据；3.汽车充电网的运行数据；4.道路上车辆类型、车辆流量等数据；5.包含人脸、声音、车牌等的车外音视频数据等。

 

“近日，网信办发布的《网络安全审查办法（修订版草案征求意见稿）》也把核心数据和重要数据的内容加进去。”何渊说道。

 

7月10日，网信办发布《网络安全审查办法（修订草案征求意见稿）》中增加了“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”等内容。

 

在评估安全风险时，除了重点评估采购活动，还包括数据处理活动以及国外上市可能带来的国家安全风险，主要包括国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险等因素。这意味着未来对数据跨境监管，不仅局限于“关键信息基础设施运营者”，只要企业涉及核心数据、重要数据，乃至大量个人信息，如果要到国外上市，就有数据出境风险，都需要遵循合规义务。自评风险，主动申报。

 

如果企业本身是“关键信息基础设施运营者”则更要自查。

 

何为关键信息基础设施？何渊解释，2017年7月，网信办针对能源、通信、金融、交通、公用事业等重要的行业信息系统或工业控制系统安全，出台过《关键信息基础设施安全保护条例（征求意见稿）》，但是一直未正式出台。

该条例也被纳入了2021年的立法计划。这一条例也将明确这些关键基础信息设施的平台运营者应该承担哪些法律义务和责任。为了维护软硬件的安全，从规章制度、组织架构、技术投入等要明确。

 

 

未来，互联网企业或将面临重大的数据风险，从某种程度上来说，“合规”将成为企业未来最大的竞争力。

 

 

浙江晓德律师事务所创始人、主任陈文明告诉《商学院》记者，近年来，随着互联网企业的迅速崛起，巨量数据在互联网企业生成、汇聚、融合，在释放数据价值的同时也带来了巨大的数据安全风险，主要体现在两方面：一方面，造成侵犯用户个人信息的风险；另一方面，也会对国家安全产生威胁。

 

随着数据分析技术的发展，互联网企业在运营过程中产生的巨量数据，通过大数据分析能够直接反映出中国整体经济运行情况等涉及国家秘密的信息，一旦这些拥有海量数据的企业在国外上市，这些数据就会被国外所掌握，这将对中国总体国家安全构成严重威胁。因此《数据安全法》特别明确了重要数据出境安全管理制度，该法第三十一条规定：“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理，适用《中华人民共和国网络安全法》的规定；其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法，由国家网信部门会同国务院有关部门制定。”

 

此外，《数据安全法》还严格规制面向境外司法或者执法机构的数据出境活动。该法第三十六条明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任，包括对企业和直接负责的主管人员的罚款，以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。这条规定再度明确了中国对境内数据的管辖权，充分体现了中国维护数据主权和国家安全的决心。

 

因此，陈文明也建议投资者应该选择数据合规的企业谨慎投资。过去一些互联网企业在野蛮高速增长的状态下，主要从商业利益的角度出发进行数据的开发利用，对数据合规的投入相对较小。随着数据保护问题成为社会焦点，国家开始不断加强对于数据监管和数据安全合规的要求。从短期来看，这必然会给互联网企业的发展带来一定冲击，因此投资者应该选择数据合规的企业谨慎投资，从某种程度上来说，“合规”将成为企业的最大竞争力。

 

 

为何赴美上市存在数据跨境的风险？

 

何渊认为，这与2021年3月，美国证券交易委员会（SEC）通过《外国公司问责法案》最终修正案有关。

 

这个法案其实主要就是针对中国在美上市的企业。何渊解释说，此前，美国对于赴美上市的中概股公司进行审查时，要求四大会计事务所交出上市公司的审计底稿。由于这些公司的业务都在中国，涉及中国经济社会各方面数据，这是中国监管部门不能答应的。所以，这些公司会拒绝交出审计原稿。

 

2013年，中国财政部与证监会与负责美股上市公司审计审查的机构签署了合作备忘录，在这个文件中明确规定PCAOB机构（美国上市公司会计监督管理委员会）只能对中国在美股上市企业进行执法型检查，就是发现违法行为后的检查，而不能进行常规型检查。

 

不过，在“瑞幸造假事件”后，美国以此为借口出台了《外国公司问责法案》，要求对中概股企业进行常规检查，比如调取中概股公司审计原稿。

 

“对于一些受资本控制的企业，会面临很大的压力。”何渊说道。

 

根据《数据安全法》规定，未经主管机关批准向外国司法或者执法机构提供数据的，将面临最高500万元罚款，以及吊销其营业执照等。但这一法律要到9月1日才生效，还有一个空窗期。

 

“未来更多中概股企业赴美上市将会受到影响。”何渊说道， “未来，数据会成为国与国之间竞争的焦点，谁掌握数据，谁将在竞争中更占据优势。对于这种新经济公司对数据安全、融资议题必须审慎决策，否则会遇到很大危机，尤其是不能被外国资本控制，这是未来监管机构进行风险评估的重要考量因素。如何保证VIE架构公司符合国家安全要求，也是一项值得研究的课题。”

 

 

目前国家对《数据安全法》的监管规则，越来越强调数据主权。从合法到合规，监管逻辑开始发生变化。

 

 

这场疾风暴雨般的安全审查，让众多以数据为生产要素的互联网公司犹如“惊弓之鸟”。
 

当数据安全议题从保护个人隐私上升到保护国家安全，数据合规已经成为企业不得不面临的巨大考验。何渊指出，国家安全审查制度原来是“神秘主义”，慢慢开始走向法制化、程序化、透明化。“这是非常大的进步。”何渊说道，“现在的安全审查规则公开，只要不触犯规则，就不会有问题。国家安全议题都可以逐渐透明化，行政机关的执法也将更加法制化、程序化，给予执法者申辩的机会。”

 

目前国家对《数据安全法》的监管规则，越来越强调数据主权。

 

何渊解释，一方面是对外可控。《数据安全法》明确规定了外国司法或者执法机构调取中国境内数据，除非有国际条约或国际协定，否则没有经过监管机构批准，不能出境。

 

2018年，美国特朗普政府出台了《云法案》，要求在美国政府提出要求时，任何在云上存储数据的美国公司需提供相关数据。对于位于美国境外的公司，只要被美国法院认为“与美国有足够联系且受美国管辖”的，也要交出数据。这就是美国的“长臂管辖”。

 

即使苹果将中国境内的数据存在了云上贵州，但是，如果美国政府要这部分数据，苹果要么反抗美国政府，要么违反中国法律，这是一个悖论。对内基于国家安全、涉及刑事犯罪的，国家安全部门有权要求在中国境内的企业交出相关数据。

 

“中国要坚持用法律来反制美国，这个逻辑是一样的。”何渊说。

 

对于企业来说，该如何理解监管规定，自觉承担起数据合规的责任和义务呢？

 

何渊表示，目前《数据安全法》针对不同数据级别的出境要求规定不同。比如个人信息处理者需要向境外提供个人信息，只要符合《个人信息保护法》的规定，按照网信办出台的标准合同条款就可以。但是，一旦涉及到关键基础信息设施或涉及到重要数据，就需要经过国家相关机构的审批。

 

首先需要明确数据分级。对于核心数据、重要数据、一般数据的要求不同。

 

作为核心数据和重要数据的运营企业，企业必须要承担责任，这些数据具有公共属性。

 

在何渊看来，未来可以探索由国家建立一些信托机构来托管这些核心数据，类似于金融机构。

 

 

在数据治理方面，监管机构在扮演怎样的角色，企业应该如何发挥主导责任？

 

何渊表示，与以前选择性执法或运动式执法不同，国家的监管逻辑在发生变化，从合法化向合规化转变。最高人民检察院也在进行企业合规不起诉制度的试点。

 

合规是指监管机构为企业画红线，需要企业按照规则标准执行。

 

具体来看，《数据安全法》和《个人保护法》里面有规定，企业内部要做数据合规体系，改变公司治理结构，数据安全和更新保护要设置专门的负责人，有专门的受理机构，并且定期进行风险评估。这都要求企业为此投入人力、物力和财力。

 

假如企业依然发生了数据泄露等事件，监管机构进行调查审理，比如检察机关在考量刑事犯罪时，会根据数据合规情况不起诉，或者行政机关从轻处罚，甚至免除处罚。相反，如果没有去做数据合规相反动作，本身这个行为就是处罚的理由。

 

从政府强力规制变成了企业自我规制，政府要做的是在前端设定法律“红线”和标准，明确告诉企业要承担哪些责任。如果没有自我合规化，后续强监管的处罚将会非常重。

 

迫使企业建立风险防范机制，叫做合作治理。这将是执法水平和政府治理能力的提升。这种模式如果能真正落地，将在数据合规领域这一复杂问题上发挥重大作用，特别是《数据安全法》和《个人信息保护法》出台后，对于中国的数据治理水平是质的飞跃。

 

 

随着监管加强，企业的数据合规“成本”会提高，但数据合规更多的是从安全角度来监管，对于企业来说，任务不会那么重。且未来数据安全领域也将会形成很大的产业，拥有更多发展机会。

 

 

在强监管下，企业应该如何看待数据合规，数据安全的“成本”问题？

 

“随着监管的加强，企业的数据合规‘成本’会提高。”何渊说道。他举例，欧盟在2018年出台的《通用数据保护条例》(GDPR) 是迄今为止覆盖面最广的全球性数据隐私保护法规。在实施三年后，从官方报告里可以看出一个结果，这一法规加强了大公司的垄断。“因为企业合规成本大幅提升，对于小公司来说，生存压力增大。”何渊解释道，从欧美的情况看，实际上是帮助大企业减少了潜在竞争者。欧盟也非常担心是否会影响市场竞争持续。

 

不过，在他看来，对中国来说，数据合规更多的是从安全角度来监管，对于企业来说，任务不会那么重。

 

第一，立法机关已经充分意识到，中国已经将“数字中国”上升到国家战略，在这一发展背景下，不会给企业施加太多合规义务。需要考量的是产业发展，尤其是数字化转型和个人信息保护、数据安全之间的平衡。

 

第二，正是由于数字经济是中国未来的国家战略产业，所以在数字安全领域会画很多“红线”，这样才能长远发展。安全是底线，无论是民营企业、国有企业还是政府行政机关都要遵守。

 

第三，未来数据安全领域也会形成很大的产业，拥有很多发展机会。

 

第四，对于企业来说，不能把“合规”看作是成本，尤其是个人信息保护、数据安全方面。因为，这些方面能做好是品牌形象和竞争力的重要组成部分。如果出现数据泄露事件，即使监管机构没有进行处罚，消费者也会“用脚”投票。所以，数据合规问题决定着企业生死，并不能仅仅从成本角度考量。

 

第五，随着越来越多中国企业“出海”发展，在个人信息保护和数据安全方面更需要符合国际标准，否则很难在国外有生存机会。对于一些独角兽或上市公司，必须要有前瞻性布局，重视数据合规。

 

 

关于开放平台和开放数据之间的异同，在中国人民大学重阳金融研究院副研究员刘典看来，这是两个概念。从某种意义上来说，平台是一种数字时代的基础设施，比如说一些重要的平台，包括现在的网络安全审查中也提出了一个概念，叫做信息基础设施。在数字经济中，平台的开放，会给平台所在的领域带来更多元、更多样、更好的发展，这就是数据要素的流动和发展机会。

 

何为数据开放？刘典解释说，数据的流通和开放，它是分领域的。比如在“十四五”规划里面，包括《数据安全法》中提到的政务数据的开放，不同领域的数据来源需要有比较明确的指向。平台层面的开放其实是打通平台间数据流通的重要举措，因为平台是一个数据的处理者、生产者和加工者，它是从平台的用户中采集到数据进行再加工，从而形成商业价值。

 

数据的开放可能会带来更多的机会，形成更多的平台，从而促进数据经济的发展，平台开放也会反过来提升数据要素流通带来一种效率和价值，从而形成一个良性互动的关系。”刘典说道。

 

如何在保证开放平台的同时做到数据安全？刘典解释说，从商业层面来说，现在有很多技术和市场，在做这样一种努力，比如说数据的去标识化，包括隐私计算等等，通过这样一种方式，把数据里带有容易产生个人隐私的信息进行加工处理，这样在数据的流通过程中，对于个人信息权益进行一定的技术保护。

 

刘典认为，对企业而言，数据安全问题主要体现为三个层面的问题：第一是企业的数据安全与公共数据安全之间，企业在这块的机制保障方面，做得比较少，保障工作做得不够；第二个层面是数据安全在企业层面上的使用，流通和价值变现与个人层面的数据权利保护。隐私和相关的保障合规机制、数据合规机制，很多企业是做不到位的；第三个层面是涉及国家层面的数据安全，很多企业在这方面没有概念的，甚至是完全忽视的。

 

在刘典看来，企业要进行数据治理，最简单就是要形成一个企业层面的数据治理体系，要对应国家、社会和个人以及行业方面不同的数据合规的要求。以前在这方面没有明确的要求，监管也相对较松。所以从企业层面进行数据治理，第一应该要对接国家层面的法律法规，第二要对接社会层面的公序良俗，第三要对接个人层面的数据权益进行保护。这三个层面都需要投入相应的资本和人力去专门做这件事。数据安全保护已经刻不容缓。刘典认为，国内的数据安全市场是一块“大蛋糕”，从业人员远远跟不上客观的市场需求，所以未来企业，特别是与数据相关的企业，需要投入相应的资本解决数据安全的合规问题。