7月6日,中共中央办公厅、国务院办公厅公开发布《关于依法从严打击证券违法活动的意见》。意见提出,完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。
近日,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查的公告。审查期间,以上APP均已停止新用户注册。
多家互联网企业接受网络安全审查,一时间,数据安全再次成为关注焦点。
接受网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关
“滴滴一下,美好出行”。作为中国最大的出行平台,“滴滴出行”的下架整改,让这句广告词变了滋味。
7月4日,国家互联网信息办公室发布公告称,经检测核实,“滴滴出行”APP存在严重违法违规收集使用个人信息问题。“滴滴出行”随后回应称,将严格按照有关部门的要求下架整改,并积极配合网络安全审查。目前,“滴滴出行”APP已暂停新用户注册,并下架整改。
一天后,网络安全审查办公室发布关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告。
对这几家企业启动网络安全审查,原因是什么?
记者查看“运满满”企业官网时发现,该公司成立于2013年,隶属于江苏满运软件科技有限公司,是国内基于云计算、大数据、移动互联网和人工智能技术开发的货运调度平台。官网称,“运满满已经成为全球出类拔萃的整车运力调度平台和智慧物流信息平台”。“货车帮”公司官网则介绍,“货车帮”是中国最大的公路物流互联网信息平台,建立了中国第一张覆盖全国的货源信息网,并为平台货车提供综合服务,致力于做中国公路物流基础设施。
相比于这两家公司,“BOSS直聘”或许更广为人知。招股书显示,2021年3月,“BOSS直聘”月活跃用户数达3060万,服务630万家认证企业,其中82.6%为中小企业。官网介绍称,该平台应用人工智能、大数据前沿技术,提高雇主与人才的匹配精准度,缩短求职招聘时间,从而提升求职招聘效率。
综合来看,这几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关联。
“上述几家被审查的企业,分别为日常出行、网络货运及大众求职领域的头部平台,至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”江苏省大数据交易和流通工程实验室副主任李可顺表示。
被审查企业近期已赴美上市,将不可避免涉及数据出境问题
值得注意的是,这几家被审查的企业有着共同的特点:近期赴美上市。
记者查阅资料发现,2021年6月11日,“BOSS直聘”于美国上市;6月22日,拥有“运满满”和“货车帮”的满帮集团于美国上市;6月30日,国内最大的移动出行平台滴滴于美国上市。
滴滴接受网络安全审查的消息,迅速在网络上发酵。
汇业律师事务所高级合伙人李天航认为,滴滴作为一家主要在中国经营的企业,所有数据首先是存储在本地的。但是,在美国上市将不可避免地涉及数据出境问题。
去年6月份,美国参议院提出了《外国公司问责法案》,该法案规定,如果外国公司连续三年未能通过美国公众公司会计监督委员会的审计,将被禁止在美国任何交易所上市。而有关信息的披露,可能导致重要数据、个人信息的泄露。今年3月份,美国证券交易委员会表示,通过了《外国公司问责法案》最终修正案。
“美国证券市场对于上市公司有很高的信息披露要求,包括必须根据美国公认会计原则编报其财务报表、必须根据美国证券法律规定,对公司重大信息及时披露等,这势必涉及一些该公司在中国境内的经营情况数据是否能够出境的问题。”李天航说。
随着网络安全法、数据安全法等法律的施行,我国网络和数据相关的法律法规体系正在不断完善
“我国在网络安全和数据治理方面的立法体系不断构建完善,为开展网络安全和数据治理工作提供了充分的立法保障。”中国信息通信研究院互联网法律研究中心研究员赵淑钰告诉记者。
2017年6月1日,《中华人民共和国网络安全法》施行,填补了我国综合性网络信息安全基本大法、核心的网络信息安全法和专门法律的三大空白。
此次几家互联网企业接受审查的依据之一,是2020年6月1日正式实施的《网络安全审查办法》。该办法为开展网络安全审查提供了重要的制度保障和法律依据。
中国人民大学重阳金融研究院副研究员刘典告诉记者,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
“通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。”刘典说。
2021年3月,《中华人民共和国个人信息保护法(草案)》提请全国人大常委会审议。目前,该草案已处于审议阶段,业界普遍认为,该法距离面世并生效实施已经为期不远。
2021年6月,《中华人民共和国数据安全法》全文公布,并将于9月1日起正式实施。“数据安全法明确了由中央国家安全领导机构‘统筹协调国家数据安全的重大事项和重要工作,建立国家数据安全工作协调机制’,这是亮点之一。”刘典告诉记者。
“网络安全法、数据安全法和个人信息保护法这三部法律出台后,中国互联网领域基础性的法律法规框架体系就已完成,其他法律、法规、部门规章、地方性法规等等,都会在这三部法律组成的体系之下,继续细化具体的内容,逐步覆盖互联网、个人信息和数据活动的方方面面。”李天航说。
国家在互联网领域和数据安全领域的主导,符合推动高质量发展的内在要求
近几年,大数据、云计算、物联网等技术和应用高速发展,互联网企业在为人们生活带来便利的同时,跨境数据流动、用户数据泄露等问题,也受到广泛关注。
在赵淑钰看来,随着互联网企业的迅速兴起、发展,其在提升用户黏性、扩展业务生态方面不断强化,巨量数据在互联网企业生成、汇聚、融合,在释放数据价值的同时也带来了巨大的数据安全风险。
“一方面,造成侵犯用户个人信息的风险,目前过度收集、滥用用户个人信息的情形依然多发高发;另一方面,也会对国家安全产生影响,随着数据分析技术的飞跃发展,互联网企业在运营过程中产生的巨量数据通过大数据分析能够反映出我国整体经济运行情况等涉及国家秘密的信息,对总体国家安全构成重大安全威胁。”赵淑钰说。
“近两年,一些互联网企业在用户个人信息泄露方面发生的问题屡见不鲜,原因之一是我国数据安全保护机制的建设还不是特别完善。”刘典表示,这与互联网行业的高速变化不无关系。“新业态不断推陈出新,监管对象在不停变化,规模不断扩大,给治理带来了一定的难度。”
互联网企业的数据安全问题也可能从不同方面影响国家安全。类似地图数据、位置数据等重要数据,同样需要保护。
“从国家层面来说,监管互联网企业的数据安全问题需要平衡一个内在矛盾,即大型科技公司跨境数据流动的业务需求和跨境数据流动带来的安全风险的矛盾。”刘典表示。
在刘典看来,当前国家在互联网领域和数据安全领域的主导,符合推动高质量发展的内在要求。“过去一些互联网企业在野蛮高速增长的状态下,主要从商业利益的角度出发进行数据的开发利用,对数据合规的投入相对较小。随着数据保护问题成为一个社会焦点,国家开始不断加强对于数据监管和数据安全合规的监管。虽然从短期来看,会对互联网企业的发展模式带来一定冲击,但这也是由高速发展转向高质量发展的必由之路。”刘典说。
在李天航看来,将来所有企业的所有经营行为,都必须受到国家安全法、网络安全法、数据安全法和个人信息保护法这四部法律为纲的立体法律框架体系的规范。他建议,企业要有前瞻性,调整自己的经营、运维和治理理念,甚至重塑自身业务模式。“这不但能够预防很多行政甚至刑事处罚风险,而且某种程度上来说,合规能够成为企业的最大竞争力。”
数据安全已被提升至国家安全的层面,充分体现我国维护数据主权和国家安全的决心
“6月10日,十三届全国人大常委会第二十九次会议表决通过数据安全法,将数据安全提升到了国家安全的层面,同时对重要数据出境安全管理也提出了相应要求。”李可顺表示。
数据安全法第三十一条明确了重要数据出境安全管理制度,“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”
此外,数据安全法还严格规制面向境外司法或者执法机构的数据出境活动。该法第三十六条规定,“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
“这一条款制定的背景是近年来数据管辖权冲突日益激烈的国际环境。”中伦律师事务所顾问贾申刊文指出,在这一背景下,数据安全法的规定再度明确了我国对境内数据的管辖权,充分体现了我国维护数据主权和国家安全的决心。
“值得一提的是,数据安全法还特别明确了未经主管机关批准向境外的司法或者执法机构提供数据的法律责任,包括对企业和直接负责的主管人员的罚款,以及责令企业暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等。这一明确的法律责任形式,不仅意味着第三十六条的规定是企业应严格履行的一项数据合规义务,也使得企业在对抗境外执法或司法机构可能的数据调取要求时,拥有了可援引的有力的法律规则。”贾申表示。
没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。要树立正确的网络安全观,加强信息基础设施网络安全防护,加强网络安全信息统筹机制、手段、平台建设,加强网络安全事件应急指挥能力建设,积极发展网络安全产业,做到关口前移,防患于未然。要落实关键信息基础设施防护责任,行业、企业作为关键信息基础设施运营者承担主体防护责任,主管部门履行好监管责任。
“目前来看,围绕这家企业(滴滴)的跨境数据流动问题,数据出境当中涉及的国家网络安全审查问题,以及APP对于个体用户隐私信息的过度搜集问题,中国网信的治理实践迎来了一个跃迁的契机。”复旦大学国际关系学院教授沈逸在专栏中写道。
沈逸还表示,个人在关注企业的跨境数据流动问题时,应该避免“走极端”,“要么就是认为它应该绝对地遵循技术市场的内生需求,要求最小化的监管,要么将它视作洪水猛兽,对它进行过度监管”。
“对最后的政策出台,目前从实践来看,大家可以抱有充分的信心。保障人民的福祉,最大限度地为人民服务,是我国网信部门在推动相应监管落实过程当中已经确立起来的坚定不移的目标。我们应该对网信部门保持坚定的信心。”沈逸说。
专家解读“BOSS直聘”等APP被网络安全审查
信息安全已经越来越受到重视。7月5日,国家网信办发布公告,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。对此, 中国传媒大学人类命运共同体研究院副院长王四新,中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍接受了记者采访。
APP为何收集个人信息?
个人信息具有潜在商业价值
APP收集用户个人信息的动力是什么?中国传媒大学人类命运共同体研究院副院长王四新接受记者采访时表示:“收集个人信息是每一个APP都很愿意干的事情,因为信息越丰富,对用户的画像就越具体,各类数据信息交叉比对,产生的潜在商业价值就越大。不论是APP自身变现,还是通过广告等商业途径变现,都需要收集这类信息。”
那么,本次整治为何是从“BOSS直聘”、“运满满”、“货车帮”等APP开始?对此,朱巍分析认为,对于BOSS直聘等平台的治理原因,或与今年3·15释放的信号有关。
记者了解到,在今年的3·15晚会上,多个数字网络经济领域的黑色产业链被集中曝光,其中就包括用户人脸信息等个人隐私被非法采集,个人简历在招聘网站被下载后大量流向黑市等。晚会同时披露,只要在一些招聘网站注册企业账号,在支付一定费用后就可以随意下载信息详尽的个人简历。由此,大量的个人简历信息流入不法分子的黑手,甚至被用作精准诈骗的实施。
超范围收集信息
必须征得个人同意
那么APP收集用户信息的边界在哪里?王四新表示,我国APP收集个人信息方面有一些基本的原则,比如收集想要的信息要和用户之间有明确的协议,而且这个协议要明示同意。不同类型的APP,国家法律规定了有明确的收集范围,也就是说APP只能收集保证它功能发挥的必要信息。比如打车软件,地理位置信息就是必要信息,但是如果收集其他方面的信息,显然就超范围了。超范围的信息必须征得个人同意。
2019年12月,国家互联网信息办公室秘书局、工业和信息化部办公厅、公安部办公厅、国家市场监督管理总局办公厅联合印发《APP违法违规收集使用个人信息行为认定方法》(以下简称《认定方法》)。该《认定方法》可以说更系统地回答了“APP收集用户信息的边界在哪里”的问题。
《认定方法》对上述《公告》中提到的“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则,收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信息”、“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”六种违规做出了更加详尽的解释。
比如,哪些行为可被认定为“违反必要原则,收集与其提供的服务无关的个人信息”?《认定方法》提到:1.收集的个人信息类型或打开的可收集个人信息权限与现有业务功能无关;2.因用户不同意收集非必要个人信息或打开非必要权限,拒绝提供业务功能;3.APP新增业务功能申请收集的个人信息超出用户原有同意范围,若用户不同意,则拒绝提供原有业务功能,新增业务功能取代原有业务功能的除外;4.收集个人信息的频度等超出业务功能实际需要;5.仅以改善服务质量、提升用户体验、定向推送信息、研发新产品等为由,强制要求用户同意收集个人信息;6.要求用户一次性同意打开多个可收集个人信息的权限,用户不同意则无法使用。
这种专项评估和整治的方式,属于事后审查,审查范围主要是:“问题反映集中、用户数量大、与民众生活密切相关的APP”。
网络安全审查有哪些内容?
那么,网络安全审查主要审查什么?朱巍告诉记者,从目前国内多数网络平台来看,其所暴露出的问题已经不仅是个人信息的泄露,还包括信息过度索权、个人信息使用不透明等不法行为,而根据《个人信息保护法》的规定,过度搜集个人信息、擅自披露个人信息、非法买卖个人信息等行为都将成为重点审查对象。
2020年4月,国家互联网信息办公室有关负责人就《网络安全审查办法》相关问题答记者问。答问中明确提到网络安全审查的内容。其中提到,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。”
王四新解释说,近年来网络领域的一些数据问题,实际上可能涉及到很多行业。很多数据涉及到个人隐私或者数据权益的行使方式。还有一些数据越来越上升到了国家安全、公共安全的角度。这些数据存储、使用的过程中,潜在的风险很大。这次审查,其实就是要给这些企业传达一个强烈的信号。以后这些企业涉及到数据收集处理的,必须得有安全意识,采取安全措施。
“从大的时代走向来看,这更加说明我们正逐步从过去粗放追求经济效益的模式,逐步过渡到了在安全的基础上去追求效益。”中国政法大学传播法研究中心副主任、中国互联网协会法律工作委员会专家委员朱巍告诉记者,近日连续启动的网络安全审查释放出一个比较重要的信号在于,现在要追求的不是网络信息保护的事后安全,更多在于事前安全体系的构建,要做到未雨绸缪。
王四新表示,今年可能成为网络安全审查元年。去年出台的《网络安全审查办法》可以说有了一个详细的行动方案,一个程序性规定,一个操作规程。
“这可以看作是第一批审查对象,但未来很大可能会有第二批、第三批对更多平台的审查工作开展,这将会成为一种网络安全的监管常态。“朱巍说。
来源:中国纪检监察报、红星新闻、长江云
(见习编辑 余梦婷 编辑 金崇)