您當前位置:
當前社會的網絡化進程不斷深化,網絡已經深刻影響到我國經濟發展和民眾日常生活,一些大型網絡平臺甚至已成為支撐社會運轉的數字基礎設施。網絡平臺的興起,體現在其所擁有的數字市場操控能力及其商業模式對傳統行業的顛覆性影響。網絡平臺的繁榮發展,在為全球經濟注入活力的同時,也引發了新問題。網絡平臺運營者已經將用戶與數據作為一種新資本,把數據化和商品化作為平臺的核心運行機制。放眼全球,當前網絡巨頭的平臺權利不僅能通過流量分配來控制依附于平臺的相關方,甚至在自身發展成為社會數字基礎設施的過程中,如果缺乏監管可能會影響到國家的經濟、文化、社會和政治安全[1],從而引發新的國家安全風險。
歐盟一直以來對大型網絡平臺公司堅持嚴格治理的態度。根據《歐盟外商直接投資審查條例》,歐盟從關鍵基礎設施、關鍵技術、關鍵供應、敏感信息等方面,審查非歐盟投資對歐盟成員國國家安全和公共秩序的風險。2020年12月,歐盟發布了《數字服務法案》和《數字市場法案》提案,針對在數字市場充當“看門人”角色的大型網絡平臺,明確監管內容和方式,設定了確保公平競爭等責任義務,以構建更加安全、透明和值得信賴的在線網絡環境,促進歐盟數字創新和數字經濟發展。
美國近年來改革一系列法案要求,利用審查等手段維護本國大型網絡平臺企業商業及技術全球領先地位。2018年先后通過《外國投資風險審查現代化法案》(Foreign Investment Risk Review Modernization Act,FIRRMA)和《針對審查涉及外國人士和關鍵技術的若干交易的試點規定》,其中,FIRRMA明確要求對投資于美國技術、基礎設施、數據等有關業務進行審查,突出了關鍵技術、關鍵基礎設施和敏感個人數據在國家安全審查中的重要性。2020年8月,美國財政部發布《關于保護美國投資者防范中國公司重大風險的報告和建議》,針對包括中國在內的美國公眾公司會計監督委員會(Public Company Accounting Oversight Board,PCAOB)無法實施檢查的轄區,對美國證券監管機構(SEC)提出多項建議,包括對來自這些轄區的公司提高上市門檻,加強信息披露要求,強化投資風險提示等等,并建議SEC要求對已在美上市公司不滿足PCAOB檢查要求的進行摘牌。
2021年2月,拜登簽署《美國供應鏈行政令》,要求六大部門在一年內提交國防、公共衛生、信息技術、能源、交通和農業供應鏈安全審查報告。2021年5月,美國公眾公司會計監督委員會(Public Company Accounting Oversight Board,PCAOB)就《外國公司問責法案》(Holding Foreign Companies Accountable Act,HFCAA),有關實施細則征求意見,這意味著主要針對中概股的監管政策,即將進入實質性執行階段。2021年6月,拜登簽署《關于保護美國人敏感數據不受外國競爭對手侵犯的行政令》,要求采取規范的決策框架和嚴格的實證分析,防范交易可能對美國國家安全和美國人民帶來的風險,包括被敵對國家管轄的人員設計、開發、制造或供應的軟件應用程序等風險。2021年12月,為落實《外國公司問責法案》的立法要求,SEC公布了最終實施規則,對受監管公司范圍、申報及披露義務以及強制退市程序等備受關注的問題明確了實施細則,其中多項要求直指中概股。
相較于歐美等發達經濟體,不斷收緊對網絡平臺的監管要求,我國對網絡平臺運營者的監管要求逐步從“審慎包容”轉向“強化督查”,以規范平臺運營者健康發展。在這種新形勢下,2022年1月,《網絡安全審查辦法》(以下簡稱《審查辦法》)修訂后正式發布。新版《審查辦法》完善了國家網絡安全審查有關要求,是堅持總體國家安全觀,有效應對新形勢下國家網絡安全威脅,壓實網絡平臺運營者國家安全和數據安全主體責任的重要舉措。
一、新版《審查辦法》維護國家安全的根本目的不變,制定依據增加了《數據安全法》和《關鍵信息基礎設施保護條例》
新版《審查辦法》的根本目的未變,表明建立實施審查制度“維護國家安全”的初心未改。《國家安全法》第五十九條要求國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。國家安全風險是動態的、相對的、多樣的。在當前平臺經濟迅猛發展的時代背景下,網絡平臺對國家政治、經濟、文化、社會以及公民合法權益等方面的影響不斷增大,引發了新的網絡安全風險,為了維護國家主權、安全和發展利益,需要完善審查有關要求,積極防御和有效應對。
2021年,我國發布《數據安全法》和《關鍵信息基礎設施保護條例》(以下簡稱《關基保護條例》),新版《審查辦法》增加了相應法律依據。其中,《數據安全法》第二十四條要求“對影響或者可能影響國家安全的數據處理活動進行國家安全審查”,新版《審查辦法》配套《數據安全法》有關審查要求,明確了網絡平臺運營者赴國外上市等數據處理活動的規定。《關基保護條例》第十九條要求運營者“采購網絡產品和服務可能影響國家安全的,應當按照國家網絡安全規定通過安全審查”,新版《審查辦法》在原有關鍵信息基礎設施運營者采購活動審查要求基礎上,在制度依據方面體現了與《關基保護條例》的銜接關系。
同時,新版《審查辦法》立足維護國家安全根本目的,遵循的基本原則未變,仍為“防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監督相結合、企業承諾與社會監督相結合”。其中,值得說明的是,新版《審查辦法》仍堅持防范網絡安全風險與促進先進技術應用相結合,是統籌安全與發展的核心思想的體現,說明審查并不是以追求閉關鎖國、技術倒退為目的,而是要在開放的環境下,有效識別和防范國家安全風險。
二、新版《審查辦法》關鍵信息基礎設施運營者采購活動審查要求基本未變,審查對象增加了網絡平臺運營者赴國外上市活動
我國網絡平臺社會數字基礎設施重要性日益凸顯,對國家安全和社會公共利益影響逐漸突出。大型網絡平臺運營者具有服務供給者和市場監督者雙重職能的特征日益凸顯。網絡平臺不僅為供需雙方提供數字基礎設施服務,是服務提供者;更重要的是越來越多的大型網絡平臺已具備一定的社會治理功能,這些企業通常會圍繞平臺運營,構建一套市場、用戶和規則的自有治理結構,承擔“看門人”的職能。網絡平臺這種前所未有的影響力對傳統行業監管帶來了很大挑戰,不僅導致監管盲區,還一定程度上弱化甚至替代了國家公共部門監管體系。
隨著我國網絡平臺業務及技術能力的迅猛發展,近年來平臺運營者選擇赴國外上市的數量日益增多。例如,在美上市的中概股企業累計數量已達近三百家,其中約半數為網絡平臺運營者,僅以2021年上半年為例,就有近40家中概股企業在美上市。如何在促進企業發展的同時,保障國家安全和數據安全,迫切需要在制度層面明確企業主體責任。
為此,新版《審查辦法》在對關鍵信息基礎設施運營者的產品和服務采購活動進行審查的基礎上,重點增加了網絡平臺運營者赴國外上市活動的審查要求。其中,包括在第二條中增加“網絡平臺運營者開展數據處理活動”,還增加第七條“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”。可以看出,新版《審查辦法》的適用對象明確增加網絡平臺運營者赴國外上市活動,以適應當前平臺經濟發展引發網絡安全新風險監管要求的形勢需要。
三、新版《審查辦法》啟動方式和整體過程未變,審查中評估的重點因素補充了數據安全有關考慮
新版《審查辦法》的制度框架未變:一是審查啟動方式仍為2種,一種為關鍵信息基礎設施運營者或平臺運營者申報審查,另一種是中央網信委批準實施的審查;二是審查整體過程基本未變,主要包括審查申報、初步審查、特別審查等。
新版《審查辦法》在第十條中補充了審查過程中需要評估的國家安全風險因素,包括“(五)核心數據、重要數據或者大量個人信息被竊取、泄露、毀損以及非法利用、非法出境的風險;(六)上市存在關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險;(七)其他可能危害關鍵信息基礎設施安全、網絡安全和數據安全的因素”。補充這些因素,明確了審查過程中,重點關注赴國外上市網絡平臺運營者有關風險考慮,同時也體現審查立足國家層面網絡安全和數據安全的監管視角。
注1:國家介入、平臺依賴于新聞業可持續發展——歐盟與澳大利亞平臺監管政策的比較與啟示,張志安,冉楨,新聞與寫作.2021,(12)
作者:吳迪 中國網絡安全審查技術與認證中心高級工程師
京公網安備 11010502031058號
