日前,《网络安全审查办法》(以下简称《办法》)的修订稿正式发布,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。值得注意的是,原《办法》自2020年6月1日施行以来,通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用。
根据审查实际需要,新《办法》增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。有分析人士认为,这是为了在审慎监管原则基础上最大限度地保障我国数据安全。尤其在高度信息化的今天,数据安全已经上升至国家安全的高度。
与现行法律法规形成联动
近些年,随着国际竞争和国际关系的急剧变化,国家安全有了更新的内涵。简言之,没有网络安全就没有国家安全。尤其是这一办法在之前就公布过一次。
合规君特别注意到,2020年4月13日公布的原《网络安全审查办法》以关键信息基础设施运营者(Critical Information Infrastructure Operator, "CIIO")为监管抓手,以CIIO采购网络产品和服务为切入点,通过网络安全审查维护关键信息基础设施(Critical Information Infrastructure,"CII")的供应链安全。但是,原《办法》尚无法涵盖到数据处理活动(尤其是非CIIO)及境外资本市场活动所带来的国家安全风险,而这些风险因素业已成为目前业界的监管焦点。
新《办法》在第一条就特别提及,为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。这说明这一《办法》的出台是与之前已经施行的法律法规一脉相承,也是在审查领域的进一步和更加有法可依。
这一《办法》正式施行不到两年就修订,与当前国内外出现的网络环境分不开。2020年12月18日美国《外国公司问责法案》(Holding Foreign Companies Accountable Act, "HFCAA") 被签署后生效。近期,美国证监会(SEC)又通过修正案,最终确定了HFCAA的实施细则,要求在美上市的外国公司向SEC提交文件,证明该公司不受外国政府拥有或掌控,并要求企业遵守美国上市公司会计师监督委员会(PCAOB)的审计标准,还要求外国发行人在其年度报告中为自己及其任何合并的外国经营实体提供某些额外的披露。而这些审计标准和披露要求与境内的监管要求可能存在落差。尤其是,去年某知名出行平台的美国上市及后续的网络安全审查,更把这些问题置于公众的焦点之下。
去年以来,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》均发布和实施。而一直在议程当中的《网络数据安全管理条例》也于2021年列入国务院立法计划,目前已经完成首轮公开征求意见。因此,新《办法》与多部法律法规同步出台,将成为我国网络安全法律法规体系的内在组成部分,也与其他网络安全政策法规以及其他领域的相关政策保持了协同。文件在实施时,也将充分考虑协同联动问题,以求整体效果。
例如,《数据安全法》于2021年9月1日实施,建立了数据领域的国家安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。网信部门据此对《网络安全审查办法》进行修订,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,是配合《数据安全法》实施的及时举措。
增加平台赴国外上市审查
根据内容,新《办法》在对关键信息基础设施运营者的产品和服务采购活动进行审查的基础上,重点增加了网络平台运营者赴国外上市活动的审查要求。其中,包括在第二条中增加“网络平台运营者开展数据处理活动”,同时增加第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查"。
可以看出,新版《审查办法》的适用对象明确增加网络平台运营者赴国外上市活动,以适应当前平台经济发展引发网络安全新风险监管要求的形势需要。
不过,新《办法》的制度框架未变:一是审查启动方式仍为两种,一种为关键信息基础设施运营者或平台运营者申报审查,另一种是中央网信委批准实施的审查;二是审查整体过程基本未变,主要包括审查申报、初步审查、特别审查等。
从被审查者主体方面来看,新《办法》将被审查者统称为“当事人”,包括两类主体。一是关键信息基础设施运营者,新《办法》删除征求意见稿对于运营者的定义(“是指经关键信息基础设施保护工作部门认定的运营者”),很大程度上是因为《关键信息基础设施安全保护条例》已经生效,且明确规定了关键信息基础设施的认定程序,此处从其规定即可,而不必再行明文。
为何特别增加对平台运营者赴境外上市的审查?按照网信办给出的解释,我国是互联网应用大国,各类互联网平台众多。其中既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民的个人信息安全,给不法分子实施诈骗、非法营销等活动提供便利;一旦被滥用,将能分析出个人的家庭状况、癖好、心理、宗教信仰等敏感个人信息,给公民隐私权带来威胁。甚至对一些特定领域的个人信息进行有针对性的分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。掌握超百万用户信息赴国外上市须审查,对于互联网平台具有特殊意义。
特别是,但如果一个互联网平台不遵守国家有关网安要求,不落实重要数据和个人信息保护责任义务,滥用数据,那么上市后在金融力量的加持下无序扩张,网络安全风险和威胁将成倍扩大。同时,一些国家出于保护本国投资者目的,通过法律要求在其国内上市的企业披露业务经营数据。这个理由一旦被滥用,索要数据的边界将不受限制,必将给我国国家安全带来威胁。
对相关行业影响几何?
新《办法》第十条“关于网络安全审查重点评估风险因素”,新增第(五)和第(六)项“关于敏感数据处理风险及国外上市风险”。由此可见,对于掌握有核心数据、重要数据或者大量个人信息的互联网平台企业,或者运营关键信息基础设施的CIIO,其赴国外上市被网络安全审查的风险较大。有专家建议,对于这类企业而,考虑境内上市或香港上市将是稳妥之举。
据观察,近年来,网络安全行业持续维持高景气度。网络安全产业成为保障“新基建”安全的重要基石,随着“新基建”在各个领域的深入开展,其将为网络安全企业的发展提供新的机遇。据国际数据公司IDC预测,2021年中国网络安全市场投资规模将达到97.8亿美元,并有望在2025年增长至187.9亿美元,5年CAGR约为17.9%,三重因素驱动行业高速成长,近年市场集中度不断提升,行业优胜劣汰进一步强化。不过根据国内外政策环境的变化,有分析指出可持续看好以下三条主线:国资参/控型的网安国家队、安全能力雄厚的综合性网安企业、细分市场头部公司。
网络安全行业企业在落实新《办法》相关要求、支撑和保障数据安全方面,可参考以下三点:(1)在参与和支撑相关数据安全制度完善上,企业可重点围绕"数据出境安全评估""重要网络安全服务产品和服务目录""数据安全审查办法"等方向,加强探索并积累实践案例。在此基础上加强与监管部门的沟通。(2)在相关数据安全产品和方案方面,重点开展"数据分类分级管理""敏感数据识别""数据安全风险评估""数据安全审计"等技术产品方案研发。关于分类分级管理和数据脱敏等话题,可参考“首席风控合规官”之前发布的有关文章。(3)在有关数据安全服务支撑方面,强化"数据安全应急""重要数据灾备与恢复""数据溯源取证"服务支撑能力和队伍建设等。
目前,从互联网产业来看,国内网络安全市场较为分散,不同细分市场领域均有其相应的优势专业厂商,却没有一个企业能掌握网络安全领域的所有技术,因此市场总体的品牌集中度有待提高。未来,随着市场竞争进一步加剧,具有技术、品牌、人才和资金优势的厂商将成为潜在的行业整合者,行业内的兼并收购将不可避免。缺乏技术创新、服务能力和独特商业应用模式的企业将逐步被淘汰,竞争实力较弱的中小厂商数量将大幅减少,产业趋于进一步集中。
