本报记者 曲忠芳李正豪北京报道
《数据安全法》自2021年9月1日起施行仅4个月后,配套的数据安全审查制度也正式落地。1月4日,即2022年的第一个工作日,国家互联网信息办公室(以下简称“国家网信办”)、国家发展和改革委员会、工业和信息化部等十三部委联合修订了《网络安全审查办法》(以下简称《办法》),将于2月15日起正式施行。
《中国经营报》记者了解到,网络安全审查制度是网络安全领域的一项重要法律制度,该制度依据的是2017年6月1日起施行的《网络产品和服务安全审查办法(试行)》、2020年6月1日起施行的《网络安全审查办法》。到2021年7月10日,十三部委公布了《网络安全审查办法》(修订草案征求意见稿),直至2022年1月4日最新修订版的《网络安全审查办法》正式出台。
国家网信办有关负责人在“答记者问”中公开表示,《数据安全法》明确规定国家建立数据安全审查制度,据此对《网络安全审查办法》进行修订,“将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全”。
多名来自法律界、网络安全领域的人士向《中国经营报》记者指出,网络安全审查制度并非我国独有,而是全球各国防范安全风险的通用做法。对于我国来说,依据《数据安全法》而建立的数据安全审查制度是现阶段的适时之举,尤其是进一步完善了对企业赴国外上市的监管制度。
明确平台运营者赴国外上市规则
“这种监管政策下,更多企业或优先考虑在港股和内地资本市场上市。”
从《办法》适用的对象来看,第二条规定,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查”。第七条规定,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。这成为业界最为关注的重点。
国家网信办负责人解释称,根据《数据安全法》,数据处理活动包括数据的收集、存储、使用、加工、传输、提供、公开等活动。《办法》重点聚焦的是网络平台运营者开展上述数据处理活动,影响或者可能影响国家安全的情形。网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。申报材料包括申报书,关于影响或者可能影响国家安全的分析报告,采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件,以及网络安全审查工作需要的其他材料。
针对网络安全审查的可能结果,该负责人强调,“对外开放是我国的基本国策,我们始终支持境内企业依法依规合理利用境外资本市场融资发展”。《办法》明确“掌握100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查”,申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
《办法》第十六条规定,“为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施”。对此,汉坤律师事务所律师段志超指出,从此前的实践来看,“预防和消险风险的措施”可能包括暂停新用户注册、暂停APP下载等,还可能包括剥离相关数据资产甚至暂停相关网络产品服务等。
上海申伦律师事务所律师夏海龙认为,《办法》几乎适用于所有大型互联网、技术企业,会对相关企业的相关行为产生决定性影响,尤其对拟赴国外上市的网络平台运营企业来说,通过网络安全审查将成为国外上市的必要条件。这种监管政策下,更多企业或优先考虑在港股和内地资本市场上市。
港股上市是否需要网络安全审查?
“《办法》赋予了监管机构主动依职权开展网络安全审查的权力。”
《办法》对超百万用户个人信息的网络平台运营者赴国外上市做了明确规定,但对境外上市并没有明确提法。北京高勤律师事务所合伙人王源认为,从文本内容来看,《办法》适用的范围是企业去“国外”上市这一情形,那么企业去中国香港上市的情形显然不在《办法》适用的范畴里。不过,这也并不意味着或者想当然地说——去港股上市的企业就不需要网络安全审查。
段志超同样认为,《办法》赋予了监管机构主动依职权开展网络安全审查的权力,因此不排除在实践中部分赴中国香港上市企业如涉及大量敏感数据处理活动时,出于谨慎考虑要求主动申报网络安全。
值得一提的是,2021年12月24日,中国证券监督管理委员会发布了《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿),向社会公开征求意见。其中提出完善监管制度,境内企业直接和间接境外上市统一实施备案管理。
2021年12月31日,中国证券监督管理委员会主席易会满在采访中指出,稳步推动资本市场制度性双向开放,强化境内外市场互联互通,加快境外上市备案制度改革,加强国际证券监管合作,处理好开放与安全的关系,支持企业更好利用两个市场、两种资源发展。
夏海龙认为,从去年以来,国家在个人信息保护、网络安全等领域的监管力度不断加强,这是一个明显的趋势,尤其是涉及个人信息、数据跨境时,监管措施愈加严格。此番最新修订的《办法》就是对关键信息基础设施运营者采购网络产品和服务、网络平台运营者开展数据处理活动,影响或者可能影响国家安全的活动做了特别规定,要求进行网络安全审查。
行业合规需求增长利好安全产业
“企业客户的安全建设需求从被动防御向主动防御阶段转变。”
首创证券在最新研报中指出,《数据安全法》《个人信息保护法》以及相关法律法规密集落地,网络安全相关的法律体系日渐完善,带动了行业合规性需求的增长。与此同时,护网推动建设需求由形式化合规进阶为实战化演习,企业客户的安全建设需求从被动防御向主动防御阶段转变,网络信息安全市场持续向软件化和服务化转型,安全软件及服务市场发展有望进一步加速。
青藤云安全数据安全专家刘文韬向本报记者表示,近一段时间以来,数据安全领域的法律政策密集出台,对网络安全服务提供商来说是利好的。《办法》等文件将会帮助企业把自身的信息安全问题梳理清楚,明确自身数据安全风险情况,并通过合适的方法进行解决或应对。本次审查政策的调整,对核心数据、重要数据或大量个人信息的审查单独列出,也突出了其重要性。同时,新增了企业上市时涉及到的关键信息基础设施、核心数据、重要数据或者大量个人信息的规定。这起码就覆盖了几个维度的业务:(1)敏感数据梳理、分类分级,相关企业应当关注所在行业发布的《重要数据具体目录》,如《信息安全技术健康医疗数据安全指南》《工业数据分类分级指南(试行)》等;(2)网络安全评估,《办法》中提出“必须向网络安全审查办公室申报网络安全审查”;(3)数据安全咨询。从实践来看,多家上市企业在IPO过程中收到了关于“网络安全与数据合规”的问询,最新修订的《办法》赋予了中国证券监督管理委员会对超百万用户平台运营者赴国外上市企业进行审查的权力。
刘文韬进一步指出,近两年来数据安全产业发展的进程明显在加速,从最初的远程办公到业务线上化,使得数据开始被从内部转向外部使用,而在后疫情时代,跨境、跨组织机构的业务线上线,使数据的使用范围进一步拓展,数据安全步入快车道。当数据作为生产要素后,数据安全又提到了新的高度。整体来看,数据安全从最初网络安全的分支变成了独立的技术产业体系,诸多关键技术如动静态加密、脱敏、识别、标记等,在性质和使用场景上都取得了较大突破,与此同时,隐私计算、联邦学习、多方安全计算等新兴的数据安全技术也开始逐步走向台前,金融、通信、电力等关键行业在数据安全建设方面也已达到了体系化、智能化、可视化的发展状态。当然,数据安全技术持续走强的同时,配套的管理、人才及服务体系仍存在较大的提升空间。
刘文韬认为,未来数据安全产业的长足发展还存在三方面的挑战:第一,企业等运营方要尽快从传统的以边界为视角的网络安全思维,向以数据为视角的数据安全转换,数据视角对安全能力的需求颗粒度更细小,这无论对企业还是技术服务提供商而言都是重要的考验;第二,数据作为生产要素需要流通,要保障数据在跨业务、跨组织、跨机构甚至跨境流动的同时有序、安全;第三,数字化时代产生了新的安全问题,如脏数据、算法对抗、数据投毒等等,作为安全领域的从业者要持续提升技术创新能力。