近日,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查的公告。审查期间,以上APP均已停止新用户注册。
多家互联网企业接受网络安全审查,一时间,数据安全再次成为关注焦点。
接受网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关。
7月4日,国家互联网信息办公室发布公告称,经检测核实,“滴滴出行”APP存在严重违法违规收集使用个人信息问题。“滴滴出行”随后回应称,将严格按照有关部门的要求下架整改,并积极配合网络安全审查。目前,“滴滴出行”APP已暂停新用户注册,并下架整改。
一天后,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。
对这几家企业启动网络安全审查,原因是什么?
“运满满”官网称,“运满满已经成为全球出类拔萃的整车运力调度平台和智慧物流信息平台”。“货车帮”公司官网则介绍,“货车帮”是中国最大的公路物流互联网信息平台,建立了中国第一张覆盖全国的货源信息网,并为平台货车提供综合服务,致力于做中国公路物流基础设施。“BOSS直聘”官网介绍称,该平台应用人工智能、大数据前沿技术,提高雇主与人才的匹配精准度,缩短求职招聘时间,从而提升求职招聘效率。
综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。
“上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”江苏省大数据交易和流通工程实验室副主任李可顺表示。
被审查企业近期已赴美上市,将不可避免涉及数据出境问题
值得注意的是,这几家被审查的企业有着共同的特点:近期赴美上市。
记者查阅资料发现,2021年6月11日,“BOSS直聘”于美国上市;6月22日,拥有“运满满”和“货车帮”的满帮集团于美国上市;6月30日,国内最大的移动出行平台滴滴于美国上市。
去年6月份,美国参议院提出了《外国公司问责法案》,该法案规定,如果外国公司连续三年未能通过美国公众公司会计监督委员会的审计,将被禁止在美国任何交易所上市。而有关信息的披露,可能导致重要数据、个人信息的泄露。今年3月份,美国证券交易委员会表示,通过了《外国公司问责法案》最终修正案。
“美国证券市场对于上市公司有很高的信息披露要求,包括必须根据美国公认会计原则编报其财务报表、必须根据美国证券法律规定,对公司重大信息及时披露等,这势必涉及一些该公司在中国境内的经营情况数据是否能够出境的问题。”汇业律师事务所高级合伙人李天航说。
随着网络安全法、数据安全法等法律的施行,我国网络和数据相关的法律法规体系正在不断完善
此次几家互联网企业接受审查的依据之一,是2020年6月1日正式实施的《网络安全审查办法》。该办法为开展网络安全审查提供了重要的制度保障和法律依据。
中国人民大学重阳金融研究院副研究员刘典告诉记者,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
2021年3月,《中华人民共和国个人信息保护法(草案)》提请全国人大常委会审议。2021年6月,《中华人民共和国数据安全法》全文公布,并将于9月1日起正式实施。
“网络安全法、数据安全法和个人信息保护法这三部法律出台后,中国互联网领域基础性的法律法规框架体系就已完成,其他法律、法规、部门规章、地方性法规等等,都会在这三部法律组成的体系之下,继续细化具体的内容,逐步覆盖互联网、个人信息和数据活动的方方面面。”李天航说。
▲6月27日至29日,2021网络安全博览会在上海成功举办。(人民视觉)
国家在互联网领域和数据安全领域的主导,符合推动高质量发展的内在要求
互联网企业的数据安全问题可能从不同方面影响国家安全。类似地图数据、位置数据等重要数据,同样需要保护。
“从国家层面来说,监管互联网企业的数据安全问题需要平衡一个内在矛盾,即大型科技公司跨境数据流动的业务需求和跨境数据流动带来的安全风险的矛盾。”刘典表示。
在刘典看来,当前国家在互联网领域和数据安全领域的主导,符合推动高质量发展的内在要求。“过去一些互联网企业在野蛮高速增长的状态下,主要从商业利益的角度出发进行数据的开发利用,对数据合规的投入相对较小。随着数据保护问题成为一个社会焦点,国家开始不断加强对于数据监管和数据安全合规的监管。虽然从短期来看,会对互联网企业的发展模式带来一定冲击,但这也是由高速发展转向高质量发展的必由之路。”刘典说。
数据安全已被提升至国家安全的层面,充分体现我国维护数据主权和国家安全的决心
数据安全法第三十一条明确了重要数据出境安全管理制度,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
此外,数据安全法还严格规制面向境外司法或者执法机构的数据出境活动。该法第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
“这一条款制定的背景是近年来数据管辖权冲突日益激烈的国际环境。”中伦律师事务所顾问贾申刊文指出,在这一背景下,数据安全法的规定再度明确了我国对境内数据的管辖权,充分体现了我国维护数据主权和国家安全的决心。
“值得一提的是,数据安全法还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款,以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也使得企业在对抗境外执法或司法机构可能的数据调取要求时,拥有了可援引的有力的法律规则。”贾申表示。