数据是国家基础性战略资源和重要生产要素,数据安全关乎社会稳定和国家安全。当前,国家网络安全监管部门针对滴滴及相关赴美上市企业进行数据安全审查及相关执法调查,其所依据的法律为网信办牵头共12 个部门于 2020年4月13日联合发布的《网络安全审查办法》。对滴滴进行网络安全审查是《网络安全审查办法》实施以来首次触发执法程序,可谓点穴示警,具有较高的规范意义,同时也激活了网络安全审查制度,昭示着中国数据安全、网络安全强监管时代的到来。
监管趋于强化、精准和全周期
开展互联网业务的大型平台成为数据安全的重点监管对象,原因是大型互联网平台在发展过程中不断进行业务拓展,吸引大量用户使用平台产品和服务,同时也收集和处理了海量的个人信息和多种类型数据。这些个人信息和其他数据中涉及个人隐私、社会公益、国家安全等诸多内容,一旦泄露或被滥用甚至非法使用,后果不可挽回,特别是危害到国家安全时无法运用普通法律责任承担进行法益修复。在此背景下,数据安全上升为国家安全重要内容,“确保数据安全”在多个中央文件和多个重要场合被反复强调继而成为当务之急。由此,我国数据安全立法提速,国家安全法一主,网络安全法、数据安全法、个人信息保护法三辅的法律群即将形成,数据安全红线正式拉起,其监管趋势有以下四个方面。
一是网络安全审查的对象扩展,有利于强化监管。原《网络安全审查办法》第二条中规定的网络安全审查对象是“关键信息基础设施运营者”。而《网络安全审查办法(修订草案征求意见稿)》第四版(以下简称《修订草案》)的第一大修订要点是将“数据处理者”也纳入了网络安全审查对象的范围。《修订草案》本身未对“数据处理者”做出定义,而是根据数据安全法第三条第二款的规定,规定数据处理包括“数据的收集、存储、使用、加工、传输、提供、公开等”。虽然数据安全法2021年9月 1日才开始施行,目前尚未生效,但根据《修订草案》第一条规定,数据安全法是《修订草案》的法律依据之一。因此,《修订草案》中的“数据处理者”或许可以根据数据安全法对“数据处理”的定义,理解为“收集、存储、使用、加工、传输、提供、公开”数据的主体。这是一个相对宽泛的定义,结合近期中国政府接连对赴美上市的滴滴出行、BOSS直聘、货车帮等平台进行网络安全审查的行动,这一修订进一步体现了中国政府扩大网络安全审查对象,加强跨境数据安全管理的监管导向。
二是网络安全审查的监管主体扩增,有利于精准监管。《修订草案》第四条将中国证监会纳入了国家网络安全审查工作机制成员单位,这与《修订草案》第六条和第十六条将“国外上市行为”纳入网络安全审查适用情形的修订是相对应的。此前,中共中央办公厅和国务院办公厅于7月6日联合发布了《关于依法从严打击证券违法活动的意见》。其中,第五条第(十九)项提出“……抓紧修订《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》,压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理……。”由此可见,将证监会列入网络安全审查工作的监管主体是加强跨境证券监管和保障跨境数据安全的一个重要举措,旨在提高数据安全监管精准度,弥补制度漏洞,提高国家数据封阻能力。
三是网络安全审查时机灵活,有利于全周期监管。网络安全审查的时机实际上是在什么时间节点或阶段由具体的执法主体发起网络安全审查的问题。从目前《修订草案》文本来看,要求“事前审查与持续监管相结合”(第3条)、“运营者采购网络产品和服务的,应当预判……风险”(第5条)、“加强事前事中事后监督”(第19条),但是网络安全审查是否为运营者相关行为发生前的前置审查程序并不是十分明确,不过确定的是针对涉审行为在事中事后都可以启动网络安全审查,事实上,针对滴滴网络安全审查执法时机的选择也证明的确如此。
四是网络安全审查一决终决,有利于提高监管震慑效力。数据安全法第24条是数据安全审查制度建立的直接依据,其规定:“国家对影响或者可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。”这意味着数据安全审查决定为最终决定,运营者无法提起复议或者诉讼进行救济。数据安全属于国家主权安全,不容挑衅,此规定将产生极大震慑效力,有力推动实现维护国家主权、国家安全、国家利益以及维护全体公民和组织数据合法权益的任务目标,为我国数字化经济成功转型与健康安全发展提供强大保障力量。
网络安全审查办法存在不确定性
《修订草案》仍会在征求意见中嬗变不止,目的在于不断系统性优化完善标准、程序、时限等实施细则以提高数据安全审查的执法实效性,可以说是距离执法现场最近的执法依据和指引。目前被热议讨论的是其中的一些不确定性问题。例如《修订草案》增加了第六条规定:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”该条款是此次修订的重要条款,也是与近期数次对赴美上市企业的国内平台进行网络安全审查最有实质影响的条款,但对此条款的理解存在三个语义分歧。一是“100万用户个人信息”中用户是否仅指个人而非法人或其他组织,以及数量如何进行认定仍待明确。二是“国外上市”的表述,与此前《中华人民共和国证券法》等法律法规在界定范围时常用的“境内”“境外”的划分方式有所不同,引起较多的关注。在中文语境及中国的法律体系下,“国外”与“境外”的区别在于“国外”并不包括香港、澳门和台湾。三是《修订草案》第六条对赴国外上市需要申报的主体的表述使用了“掌握”而非第二条所使用的“数据处理”,并且没有对如何认定为“掌握”数据做出进一步的阐释。因此,仍有待官方提供更为具体的判断标准。
从发起网络安全审查的主体来看,《修订草案》明确了运营者的义务,即“应当”(第5条)或者“必须”(第6条)主动“向网络安全审查办公室申报网络安全审查”;“网络安全审查办公室认为需要开展网络安全审查的”,也可以依职权发起审查。但是除网络安全审查工作机制成员单位之外的第三方是否可以发起或者提议网络安全审查并不十分明确。事实上,数据安全作为国家主权,人人都有捍卫和保护的义务,在数据安全受到严重影响或可能受到严重影响时有利益关系的第三方或无利益关系的第三方应该都具有发起网络安全审查的主体资格,只是有必要在举证义务上予以明确,避免滥用发起资格。
针对网络安全审查时间期限,《修订草案》将特别审查程序从45个工作日延长至3个月,启动特别审查程序的前提是各部门会商意见不一致;一般审查程序加起来最长一共需要70个工作日,从理论上讲,整个程序从启动到结束需要6个月左右时间。但是,提交补充材料的时间不计入审查时间以及情况复杂的可以延长时间使得审查时间的不确定性极大,在执法效率与执法公正维护国家数据安全价值取舍上明显偏向后者,为多部门联合执法审查工作提供了时间保证。随着执法技术、标准和体制机制的进步,未来的执法时限还可能会因情势而变。
无论从制度制定还是从制度执行角度,中央(国家)网信办均是主导机构,是吹哨牵头组织者,其下设网络安全审查办公室。主管部门还包括国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局共计11个国务院部委和中央机构。《修订草案》中增加了中国证券监督管理委员会。但是一旦吹哨是否会导致12路执法人员集合报到的情形呢?在实践中并非所有部委都参加所有审查,未在名单之中的部委也可能参加审查,例如滴滴事件引发的首次网络安全审查,审查队伍中包括国家税务总局,却不包括工信部。
网络安全审查办法的其他不足
《修订草案》并未明确规定网络安全审查办公室的执法方式。但从条文规定看至少包括书面审查,如要求运营者提供申报书、分析报告、文件、协议、合同、IPO材料等;也包括会商讨论、约谈(数据安全法第44条)等。从滴滴事件审查实践看,它还包括国家七部委现场进驻调查等实质审查。网络安全审查办公室现场进驻调查,要求访问运营者信息系统、直接查看原始数据资料以进行实质审查的现实操作可能性很大,尤其是数据侦查业务较强的公安部门和国安部门。如果进入刑事诉讼程序或者行政处罚程序,公安和国安是可以要求调取电子数据的,且有严格规范的告知、回避、听证等程序要求。但是网络安全审查涉及国家安全,目前涉及国家安全的法律中并无执法程序的具体规定,有待进一步研究确立。
《修订草案》作为第4版修改稿发布于2021年7月10日,被多方认为是滴滴赴美上市触发的应急之作。虽然增加了以即将于2021年9月1日生效的数据安全法作为执法依据的内容,在网络安全审查基础上加入了数据安全审查制度,但是,目前版本的《修订草案》第1条立法目的中仍然仅限于“为了确保关键信息基础设施供应链安全”,数据安全法新增的“为了确保数据处理安全”的目的明显遗漏,需要补正。
在《修订草案》发布前几天,2021年7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,要求“加强在境外发行证券与上市相关保密和档案管理工作”“加强跨境信息提供机制与流程的规范管理”“深化跨境审计监管合作”。从前后两个规定联系来看,均包含境外上市对外提供资料的规定,但是提供的资料具体包含内容并未形成清单项目指引实务操作。网络安全和数据安全审查强调的是“核心数据、重要数据或大量个人信息”非法出境,而证券法律强调的是“证券业务活动有关的文件和资料”,这两者属于交叉有联系但也有区别的事项有待具体明确。证券业务活动有关的文件和资料包括审计底稿,国际国内关于审计底稿包含哪些资料是有明确规定的,以中国注册会计师审计准则中的审计工作底稿为例,其中仅涉及基于运营者底层数据所得出的分析结论信息,未要求也不应该包括数据本身,而且中国法律在通信、交通领域对数据本地化的要求是比较明确的,包括网约车数据的服务器必须在中国境内。不过,运营者也确实需要对内部数据开始进行分类分级管理,区分出“可以披露”“应当保密”“可以跨境传输”等数据类别以适用监管趋势。
从程序上来说,还包括网络安全审查和数据安全审查制度的区分定位、流程协同、责任衔接等问题。从2014年国家网信办《我国将出台网络安全审查制度》的公告来看,制度初衷是“对进入我国市场的重要信息技术产品及其提供者进行网络安全审查”,但是最终并未直接审查任何一家外国公司,而是从中国公司采购外国产品的角度对中国公司进行规制。滴滴事件首次启动网络安全审查机制程序方面,体现出被动应激执法的特点。例如,对网约车运营者启动网络安全审查后隔天即下架其主要App,几天后又下架其全部25款App。目前依据网络安全法审查后采取的下架APP措施是一种临时紧急措施还是一种行政处罚尚不明确。如果作为临时紧急措施,需要明确损害大小、规模,对危害国家安全的数据处理活动的紧迫性标准,还需要明确解除紧急措施再次允许涉审企业上架产品的审查期限,包括对审查的过程和结果是否在脱密后进行信息公开,作为今后数据运营者合规审查的案例指引。如果作为行政处罚,则需要按照行政执法公示制度、执法全过程记录制度和重大执法决定法制审核制度即行政执法“三项制度”予以执行。
立法不易,执法尤难,点穴示警旨在加速数据安全审查制度落实。作为对国际数据竞争和数据主权化浪潮的及时回应,数据安全法已然建立起了一道安全过滤网。这部数字时代的重典为我们锻造和提供了强大的数据安全防卫利器,接下来就是一分部署、九分落实,监管部门需要针对该法的规范要求持续细化细则和推动实施,让一线执法更加有法可依、有章可循、有标可参。特别是在数据安全法于9月1日正式生效之后,对平台数据安全的定期和不定期审查力度需要重点强化,实时监测和研判大型平台可能产生的各种数据安全风险问题;针对企业的跨境数据传输行为规制更要尽早出台执法细则与指引,明确企业将数据传输到境外应当遵守的规则与标准,为企业跨境安全传输数据提供有效法治支撑。此外,还应督促相关企业从各个方面做到合法合规自治,重点是指导企业加强日常数据安全保障、跨境数据流动备案、境外机构调取数据审批等工作,分类分层分场景提出更加明确的易操作标准,督促企业从人员培训、组织管理、系统升级、技术更迭等方面真抓实干,切实履行法定义务,协同一致、高质高效构筑起新时代我国整体数据安全防护体系。
(作者袁晨钧,系北京警察学院讲师;陈宏量,系北京市公安局朝阳分局CBD管控支队支队长)