<var id="h7zz7"></var><var id="h7zz7"></var> <var id="h7zz7"><strike id="h7zz7"><progress id="h7zz7"></progress></strike></var><cite id="h7zz7"><video id="h7zz7"><thead id="h7zz7"></thead></video></cite><var id="h7zz7"><video id="h7zz7"></video></var>
<cite id="h7zz7"><video id="h7zz7"><thead id="h7zz7"></thead></video></cite>
<cite id="h7zz7"><strike id="h7zz7"></strike></cite>
<cite id="h7zz7"></cite><var id="h7zz7"><strike id="h7zz7"></strike></var>
<cite id="h7zz7"></cite>
// 新刊推薦

掃碼購買

// 中經商學院

數據治理進入強監管時代

原創 作者:陳茜 王倩 / 發布時間:2021-08-03/ 瀏覽次數:0

 
網絡數據安全審查“大棒來襲”。
 
近日,赴美IPO的“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”先后因數據安全問題遭受網絡安全審查。
 
未來赴美上市的風險將會對企業帶來怎樣的影響還待觀察,不過毋庸置疑的是,對于數據安全、數據跨境的監管,將更加規范而收緊。
 
這不僅是受地緣政治等外部環境影響,更是數據治理進入強監管時代的必然趨勢。
 
監管的目的不是遏制,而是為了新經濟的規范發展。未來,從某種程度上說,“合規”將成為企業最大的競爭力。


 
監管


 
未來赴美上市的風險將會對企業帶來怎樣的影響還待觀察,不過毋庸置疑的是,對于數據安全、數據跨境的監管,將更加規范而收緊。監管的目的不是遏制,而是為了新經濟的規范發展。
 
網絡安全審查“襲來”
 
7月2日,網絡安全審查辦公室發布公告稱,對“滴滴出行”啟動網絡安全審查,審查期間停止新用戶注冊。
 
7月5日,網絡安全審查辦公室發布公告稱,為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查。為配合網絡安全審查工作,防范風險擴大,審查期間“運滿滿”“貨車幫”“BOSS直聘”停止新用戶注冊。
 
當天,國家互聯網信息辦公室發布公告,因“滴滴出行”APP存在嚴重違法違規收集使用個人信息問題,通知其從應用商店下架。
 
網絡安全審查辦公室發布消息,網絡安全審查辦公室有關負責人表示,按照網絡安全審查工作安排,7月16日,國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司,開展網絡安全審查。
 
上海交通大學數據法律研究中心執行主任、法學院副教授何淵向《商學院》記者分析,7月2日、7月5日,網信辦兩次針對滴滴的公告是兩個不同的審查行為,實施主體是兩個機構。
 
7月2日是由網絡安全審查辦公室作出,正如公告所說,“為防范國家數據安全風險,維護國家安全,保障公共利益”,對其實施網絡安全審查。而7月5日的公告是國家互聯網信息辦公室針對滴滴違法違規收集使用個人信息問題而作出下架的決定。
 
網絡安全審查辦公室是怎樣一個機構?2020年4月,為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,在中央網絡信息化委員會領導下,國家網信辦、發改委、工信部、公安部、安全部等12部門聯合制定了《網絡安全審查辦法》(以下簡稱《辦法》),該《辦法》于當年6月正式開始生效。根據《辦法》,網絡安全審查辦公室設在國家互聯網信息辦公室(以下簡稱網信辦)。具體工作委托中國網絡安全審查技術與認證中心承擔。
 
何淵解釋說,網絡安全審查辦公室是由12個部門共同管理的一個工作協調機制。從這個角度看,網絡安全審查辦公室的層級比網信辦要高。
 
今年6月10日,在數據安全領域的專門立法——《中華人民共和國數據安全法》(以下簡稱《數據安全法》)通過,9月1日將正式施行。其中規定,“針對數據安全國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”
 
何淵表示,由于該法律還未生效,所以監管部門依照《辦法》執行了審查權力。
 
根據《辦法》的要求,關鍵信息基礎設施運營者采購網絡產品和服務,影響或可能影響國家安全的,應當進行網絡安全審查。比如一些企業供應鏈中采購了容易被美國“卡脖子”斷供的技術,就存在一定的國家安全風險。對汽車領域特別是網約車領域而言,根據《汽車數據安全管理若干規定(征求意見稿)》規定,汽車領域的重要數據包括:1.軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據;2.高于國家公開發布地圖精度的測繪數據;3.汽車充電網的運行數據;4.道路上車輛類型、車輛流量等數據;5.包含人臉、聲音、車牌等的車外音視頻數據等。
 
“近日,網信辦發布的《網絡安全審查辦法(修訂版草案征求意見稿)》也把核心數據和重要數據的內容加進去。”何淵說道。
 
7月10日,網信辦發布《網絡安全審查辦法(修訂草案征求意見稿)》中增加了“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查”等內容。
 
在評估安全風險時,除了重點評估采購活動,還包括數據處理活動以及國外上市可能帶來的國家安全風險,主要包括國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險等因素。這意味著未來對數據跨境監管,不僅局限于“關鍵信息基礎設施運營者”,只要企業涉及核心數據、重要數據,乃至大量個人信息,如果要到國外上市,就有數據出境風險,都需要遵循合規義務。自評風險,主動申報。
 
如果企業本身是“關鍵信息基礎設施運營者”則更要自查。
 
何為關鍵信息基礎設施?何淵解釋,2017年7月,網信辦針對能源、通信、金融、交通、公用事業等重要的行業信息系統或工業控制系統安全,出臺過《關鍵信息基礎設施安全保護條例(征求意見稿)》,但是一直未正式出臺。
該條例也被納入了2021年的立法計劃。這一條例也將明確這些關鍵基礎信息設施的平臺運營者應該承擔哪些法律義務和責任。為了維護軟硬件的安全,從規章制度、組織架構、技術投入等要明確。


 
風險


 
未來,互聯網企業或將面臨重大的數據風險,從某種程度上來說,“合規”將成為企業未來最大的競爭力。
 
互聯網企業或將面臨數據風險
 
浙江曉德律師事務所創始人、主任陳文明告訴《商學院》記者,近年來,隨著互聯網企業的迅速崛起,巨量數據在互聯網企業生成、匯聚、融合,在釋放數據價值的同時也帶來了巨大的數據安全風險,主要體現在兩方面:一方面,造成侵犯用戶個人信息的風險;另一方面,也會對國家安全產生威脅。
 
隨著數據分析技術的發展,互聯網企業在運營過程中產生的巨量數據,通過大數據分析能夠直接反映出中國整體經濟運行情況等涉及國家秘密的信息,一旦這些擁有海量數據的企業在國外上市,這些數據就會被國外所掌握,這將對中國總體國家安全構成嚴重威脅。因此《數據安全法》特別明確了重要數據出境安全管理制度,該法第三十一條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
 
此外,《數據安全法》還嚴格規制面向境外司法或者執法機構的數據出境活動。該法第三十六條明確了未經主管機關批準向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款,以及責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。這條規定再度明確了中國對境內數據的管轄權,充分體現了中國維護數據主權和國家安全的決心。
 
因此,陳文明也建議投資者應該選擇數據合規的企業謹慎投資。過去一些互聯網企業在野蠻高速增長的狀態下,主要從商業利益的角度出發進行數據的開發利用,對數據合規的投入相對較小。隨著數據保護問題成為社會焦點,國家開始不斷加強對于數據監管和數據安全合規的要求。從短期來看,這必然會給互聯網企業的發展帶來一定沖擊,因此投資者應該選擇數據合規的企業謹慎投資,從某種程度上來說,“合規”將成為企業的最大競爭力。
 
赴美上市的風險
 
為何赴美上市存在數據跨境的風險?
 
何淵認為,這與2021年3月,美國證券交易委員會(SEC)通過《外國公司問責法案》最終修正案有關。
 
這個法案其實主要就是針對中國在美上市的企業。何淵解釋說,此前,美國對于赴美上市的中概股公司進行審查時,要求四大會計事務所交出上市公司的審計底稿。由于這些公司的業務都在中國,涉及中國經濟社會各方面數據,這是中國監管部門不能答應的。所以,這些公司會拒絕交出審計原稿。
 
2013年,中國財政部與證監會與負責美股上市公司審計審查的機構簽署了合作備忘錄,在這個文件中明確規定PCAOB機構(美國上市公司會計監督管理委員會)只能對中國在美股上市企業進行執法型檢查,就是發現違法行為后的檢查,而不能進行常規型檢查。
 
不過,在“瑞幸造假事件”后,美國以此為借口出臺了《外國公司問責法案》,要求對中概股企業進行常規檢查,比如調取中概股公司審計原稿。
 
“對于一些受資本控制的企業,會面臨很大的壓力。”何淵說道。
 
根據《數據安全法》規定,未經主管機關批準向外國司法或者執法機構提供數據的,將面臨最高500萬元罰款,以及吊銷其營業執照等。但這一法律要到9月1日才生效,還有一個空窗期。
 
“未來更多中概股企業赴美上市將會受到影響。”何淵說道, “未來,數據會成為國與國之間競爭的焦點,誰掌握數據,誰將在競爭中更占據優勢。對于這種新經濟公司對數據安全、融資議題必須審慎決策,否則會遇到很大危機,尤其是不能被外國資本控制,這是未來監管機構進行風險評估的重要考量因素。如何保證VIE架構公司符合國家安全要求,也是一項值得研究的課題。”


 
變化


 
目前國家對《數據安全法》的監管規則,越來越強調數據主權。從合法到合規,監管邏輯開始發生變化。
 
國家安全審查制度的變化
 
這場疾風暴雨般的安全審查,讓眾多以數據為生產要素的互聯網公司猶如“驚弓之鳥”。
 
當數據安全議題從保護個人隱私上升到保護國家安全,數據合規已經成為企業不得不面臨的巨大考驗。何淵指出,國家安全審查制度原來是“神秘主義”,慢慢開始走向法制化、程序化、透明化。“這是非常大的進步。”何淵說道,“現在的安全審查規則公開,只要不觸犯規則,就不會有問題。國家安全議題都可以逐漸透明化,行政機關的執法也將更加法制化、程序化,給予執法者申辯的機會。”
 
目前國家對《數據安全法》的監管規則,越來越強調數據主權。
 
何淵解釋,一方面是對外可控?!稊祿踩ā访鞔_規定了外國司法或者執法機構調取中國境內數據,除非有國際條約或國際協定,否則沒有經過監管機構批準,不能出境。
 
2018年,美國特朗普政府出臺了《云法案》,要求在美國政府提出要求時,任何在云上存儲數據的美國公司需提供相關數據。對于位于美國境外的公司,只要被美國法院認為“與美國有足夠聯系且受美國管轄”的,也要交出數據。這就是美國的“長臂管轄”。
 
即使蘋果將中國境內的數據存在了云上貴州,但是,如果美國政府要這部分數據,蘋果要么反抗美國政府,要么違反中國法律,這是一個悖論。對內基于國家安全、涉及刑事犯罪的,國家安全部門有權要求在中國境內的企業交出相關數據。
 
“中國要堅持用法律來反制美國,這個邏輯是一樣的。”何淵說。
 
對于企業來說,該如何理解監管規定,自覺承擔起數據合規的責任和義務呢?
 
何淵表示,目前《數據安全法》針對不同數據級別的出境要求規定不同。比如個人信息處理者需要向境外提供個人信息,只要符合《個人信息保護法》的規定,按照網信辦出臺的標準合同條款就可以。但是,一旦涉及到關鍵基礎信息設施或涉及到重要數據,就需要經過國家相關機構的審批。
 
首先需要明確數據分級。對于核心數據、重要數據、一般數據的要求不同。
 
作為核心數據和重要數據的運營企業,企業必須要承擔責任,這些數據具有公共屬性。
 
在何淵看來,未來可以探索由國家建立一些信托機構來托管這些核心數據,類似于金融機構。
 
從合法到合規
 
在數據治理方面,監管機構在扮演怎樣的角色,企業應該如何發揮主導責任?
 
何淵表示,與以前選擇性執法或運動式執法不同,國家的監管邏輯在發生變化,從合法化向合規化轉變。最高人民檢察院也在進行企業合規不起訴制度的試點。
 
合規是指監管機構為企業畫紅線,需要企業按照規則標準執行。
 
具體來看,《數據安全法》和《個人保護法》里面有規定,企業內部要做數據合規體系,改變公司治理結構,數據安全和更新保護要設置專門的負責人,有專門的受理機構,并且定期進行風險評估。這都要求企業為此投入人力、物力和財力。
 
假如企業依然發生了數據泄露等事件,監管機構進行調查審理,比如檢察機關在考量刑事犯罪時,會根據數據合規情況不起訴,或者行政機關從輕處罰,甚至免除處罰。相反,如果沒有去做數據合規相反動作,本身這個行為就是處罰的理由。
 
從政府強力規制變成了企業自我規制,政府要做的是在前端設定法律“紅線”和標準,明確告訴企業要承擔哪些責任。如果沒有自我合規化,后續強監管的處罰將會非常重。
 
迫使企業建立風險防范機制,叫做合作治理。這將是執法水平和政府治理能力的提升。這種模式如果能真正落地,將在數據合規領域這一復雜問題上發揮重大作用,特別是《數據安全法》和《個人信息保護法》出臺后,對于中國的數據治理水平是質的飛躍。


 
機會


 
隨著監管加強,企業的數據合規“成本”會提高,但數據合規更多的是從安全角度來監管,對于企業來說,任務不會那么重。且未來數據安全領域也將會形成很大的產業,擁有更多發展機會。
 
企業如何看待數據合規“成本”
 
在強監管下,企業應該如何看待數據合規,數據安全的“成本”問題?
 
“隨著監管的加強,企業的數據合規‘成本’會提高。”何淵說道。他舉例,歐盟在2018年出臺的《通用數據保護條例》(GDPR) 是迄今為止覆蓋面最廣的全球性數據隱私保護法規。在實施三年后,從官方報告里可以看出一個結果,這一法規加強了大公司的壟斷。“因為企業合規成本大幅提升,對于小公司來說,生存壓力增大。”何淵解釋道,從歐美的情況看,實際上是幫助大企業減少了潛在競爭者。歐盟也非常擔心是否會影響市場競爭持續。
 
不過,在他看來,對中國來說,數據合規更多的是從安全角度來監管,對于企業來說,任務不會那么重。
 
第一,立法機關已經充分意識到,中國已經將“數字中國”上升到國家戰略,在這一發展背景下,不會給企業施加太多合規義務。需要考量的是產業發展,尤其是數字化轉型和個人信息保護、數據安全之間的平衡。
 
第二,正是由于數字經濟是中國未來的國家戰略產業,所以在數字安全領域會畫很多“紅線”,這樣才能長遠發展。安全是底線,無論是民營企業、國有企業還是政府行政機關都要遵守。
 
第三,未來數據安全領域也會形成很大的產業,擁有很多發展機會。
 
第四,對于企業來說,不能把“合規”看作是成本,尤其是個人信息保護、數據安全方面。因為,這些方面能做好是品牌形象和競爭力的重要組成部分。如果出現數據泄露事件,即使監管機構沒有進行處罰,消費者也會“用腳”投票。所以,數據合規問題決定著企業生死,并不能僅僅從成本角度考量。
 
第五,隨著越來越多中國企業“出海”發展,在個人信息保護和數據安全方面更需要符合國際標準,否則很難在國外有生存機會。對于一些獨角獸或上市公司,必須要有前瞻性布局,重視數據合規。
 
開放平臺與開放數據之間的平衡
 
關于開放平臺和開放數據之間的異同,在中國人民大學重陽金融研究院副研究員劉典看來,這是兩個概念。從某種意義上來說,平臺是一種數字時代的基礎設施,比如說一些重要的平臺,包括現在的網絡安全審查中也提出了一個概念,叫做信息基礎設施。在數字經濟中,平臺的開放,會給平臺所在的領域帶來更多元、更多樣、更好的發展,這就是數據要素的流動和發展機會。
 
何為數據開放?劉典解釋說,數據的流通和開放,它是分領域的。比如在“十四五”規劃里面,包括《數據安全法》中提到的政務數據的開放,不同領域的數據來源需要有比較明確的指向。平臺層面的開放其實是打通平臺間數據流通的重要舉措,因為平臺是一個數據的處理者、生產者和加工者,它是從平臺的用戶中采集到數據進行再加工,從而形成商業價值。
 
數據的開放可能會帶來更多的機會,形成更多的平臺,從而促進數據經濟的發展,平臺開放也會反過來提升數據要素流通帶來一種效率和價值,從而形成一個良性互動的關系。”劉典說道。
 
如何在保證開放平臺的同時做到數據安全?劉典解釋說,從商業層面來說,現在有很多技術和市場,在做這樣一種努力,比如說數據的去標識化,包括隱私計算等等,通過這樣一種方式,把數據里帶有容易產生個人隱私的信息進行加工處理,這樣在數據的流通過程中,對于個人信息權益進行一定的技術保護。
 
劉典認為,對企業而言,數據安全問題主要體現為三個層面的問題:第一是企業的數據安全與公共數據安全之間,企業在這塊的機制保障方面,做得比較少,保障工作做得不夠;第二個層面是數據安全在企業層面上的使用,流通和價值變現與個人層面的數據權利保護。隱私和相關的保障合規機制、數據合規機制,很多企業是做不到位的;第三個層面是涉及國家層面的數據安全,很多企業在這方面沒有概念的,甚至是完全忽視的。
 
在劉典看來,企業要進行數據治理,最簡單就是要形成一個企業層面的數據治理體系,要對應國家、社會和個人以及行業方面不同的數據合規的要求。以前在這方面沒有明確的要求,監管也相對較松。所以從企業層面進行數據治理,第一應該要對接國家層面的法律法規,第二要對接社會層面的公序良俗,第三要對接個人層面的數據權益進行保護。這三個層面都需要投入相應的資本和人力去專門做這件事。數據安全保護已經刻不容緩。劉典認為,國內的數據安全市場是一塊“大蛋糕”,從業人員遠遠跟不上客觀的市場需求,所以未來企業,特別是與數據相關的企業,需要投入相應的資本解決數據安全的合規問題。
 

除《商學院》雜志署名文章外,其他文章為作者獨立觀點,不代表《商學院》雜志立場,未經允許不得轉載。

歡迎關注平臺微信公眾號

 點贊 30
 收藏 20
宝贝它想你想的爆炸了_日本亲与子乱av_6欧式个人写真_把腿抬高我要添你下面_yase永久访问网站_我的冰山总裁老婆