2月15日,由国家互联网信息办公室等十三个部门联合修订发布的《网络安全审查办法》(下称《办法》)正式施行。这是继《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络产品安全漏洞管理规定》等法律法规陆续出台之后又一项重要法规的修订出台。
可以说,在互联网领域,法律法规建设正在不断做“加法”,由此也要求相关平台企业做好“减法”和“加法”两篇文章。“加法”是继续充分利用好互联网经济发展的契机,发现新的机会;“减法”是对过去不合法不合规的方面不断清理和改正。
人们会关注到《办法》对网络平台运营企业赴海外上市的安全性审查。这些平台企业有的并未盈利却得到高溢价追捧的原因与其掌握了大量信息有关。信息是可以产生收益的,但信息的过度集中也会带来国家安全和个人信息安全方面的隐患。《办法》强化推行网络安全审查、加强风险识别和控制是势在必行之举,也是国际普遍采取的做法。
对此,互联网相关平台企业如何应时而动?《办法》第十条对可能存在国家安全风险因素列举了七个方面。其中包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样
性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。这是一条“高压线”,有则改之无则避免。
同时,上述《办法》规定,掌握超过100 万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。这既是保障网络安全和数据安全、维护国家安全的需要,也是对个人信息保护措施的进一步强化。
现在,人们的日常生活已经离不开互联网,各方面的信息会通过互联网平台成为一个海量数据库。互联网产品与服务在为日常生活带来巨大便利的同时,也带来了安全漏洞、数据泄露等网络安全威胁。
《办法》提到的“七个方面风险”就包括:核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。这里强调的重要一点是“个人信息安全”。
《网络安全法》有明确规定,任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或非法向他人提供个人信息。现实情况是,超范围收集个人信息虽然经过三令五申加以禁止,但问题仍然突出,用户毫无隐私可言,相当于“透明人”。这些个人信息也会成为一个平台企业的“资产”,从而获取更大收益,包括通过各种渠道上市获得的收益。
有研究机构的预测数据表明,到2025年,我国数字经济核心产业增加值占GDP比重将达到10%,关键业务环节全面数字化的企业比例达60%,信息消费规模达7.5万亿元。这是一片巨大的“蓝海”。
但在“蓝海”中“行船”,需要看到“加法”,更需要着力于“减法”。无论做好“加法”和“减法”,都必须遵规守法。此次《办法》的修订出台对进一步扎实国家安全和个人信息安全的“篱笆”将起到重要作用。