近日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),自2022年2月15日起施行。《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。国家互联网信息办公室有关负责人表示,《办法》的修订对保障国家网络安全和数据安全具有重要意义。
同期,国家互联网信息办公室、工业和信息化部等四部门联合发布《互联网信息服务算法推荐管理规定》(以下简称《规定》)。《规定》自2022年3月1日起施行。
顺数字浪潮之势直面网络空间重大风险挑战
网络平台运营者开展数据处理活动的安全性、开放性、透明性、来源的多样性以及供应渠道的可靠性深度影响着国家防范因政治、外交、贸易等因素导致供应链被迫中断的风险的效能,《办法》切实为国家安全、数字经济发展和社会稳定运行筑牢网络安全防线。
近年来,全球关键信息基础设施网络安全事件层出不穷,涉及能源、医疗、制造等国计民生领域,对当地社会发展与稳定造成严重影响。其中针对系统中第三方产品或服务安全漏洞及脆弱性的恶意利用是破坏关键信息基础设施的重要手段,可能造成设备损坏、系统失效、重要数据泄露等后果。《办法》的实施,有利于关键信息基础设施运营者和网络平台运营者进一步强化网络安全和数据安全意识,引导关键信息基础设施运营者和网络平台运营者将风险防范工作关口前移,防范网络产品及服务供应链中引入的安全漏洞、恶意后门,从源头化解安全风险,为关键信息基础设施防范供应链安全和数据安全风险提供保障。
2017年5月,国家互联网信息办公室印发了《网络产品和服务安全审查办法(试行)》。2020年4月,试行3年后,国家互联网信息办公室正式印发《网络安全审查办法》。该《办法》实施仅一年半后官方便发布修订稿,就应对一年以来的形势变化进一步增强对网络空间重大风险挑战的防范能力,这与网络强国、数字中国、智慧社会建设发展节奏与需求相匹配。
百万级平台“出海”上市安全阀设计日趋完善
对比旧版文件和征求意见稿,新发布的《办法》在申报范围、机制成员单位、特别审查时间等方面都进行了重要调整。
审查对象方面,将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。在申报材料中,新增要求提供拟提交的首次公开募股(IPO)材料等。据了解,网络平台运营者应当在向国外证券监管机构提出上市申请之前申报网络安全审查。
审查内容方面,针对国外上市公司新增两条:一是核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;二是国外上市后关键信息基础设施的核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
审查周期方面,网络安全审查办公室应当自收到符合规定的审查申报材料起10个工作日内确定是否需要审查并书面通知当事人。需要开展网络安全审查的应当自向当事人发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。有分析认为,《办法》修订后需要审查的情形增多,因此适当延长了特别审查的时间。
国家工业信息安全发展研究中心张格表示,《办法》是进一步深化落实统筹国内国际两个大局、统筹发展和安全两件大事的重要体现,是提升网络空间治理能力、推进国家治理体系和治理能力现代化的必然要求,是用法制手段保障网络安全的重要举措。
自制自律安全合规或成数字经济时代企业底线
从经济发展的角度看,数据是所有基于互联网的商业活动的核心,以数据为中心的商业模式实现了资源要素的高效配置和高效协同。当数据累积到一定的数量级形成规模时,收集、存储、分析和转换数据的能力都会带来额外的价值和竞争优势,也可能影响到国家安全、国民经济命脉、重要民生和重大公共利益。因此,无论是出于大国竞争的考虑,还是经济发展的目的,数据安全都是国家安全要把控的关键节点。
就数字经济时代企业网络安全治理能力建设,某网络安全业内人士认为,“由于网络安全审查成员单位有权依照相关程序对相关企业启动审查,对于已经赴美上市的国内企业,仍然不能存在侥幸心理,需要对照网络安全审查的风险评估内容,加紧自查”,并建议,“要以数据为中心、以组织为单位、以能力成熟度为抓手,从传统的管理体系转向社会化治理体系,建立复合机制,从只有处罚转变为处罚、帮助、奖励并举”。
算法监督再进化为科技向善协力破局
就信息服务规范,《规定》要求算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。就用户权益保护,《规定》要求算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。就监督管理,《规定》要求根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。
有分析认为,算法应用日益普及深化,在给经济社会发展等方面注入新动能的同时,算法歧视、“大数据杀熟”、诱导沉迷等算法不合理应用导致的问题也深刻影响着正常的传播秩序、市场秩序和社会秩序,给维护意识形态安全、社会公平公正和网民合法权益带来挑战,迫切需要对算法推荐服务建章立制、加强规范。
中国电子技术标准化研究院杨建军表示:“《规定》为国家建立算法安全治理体系打下制度基础。”《规定》从四个方面推动强化企业主体责任、建立多方参与的算法推荐服务治理机制:一是明确政府监管职责,二是强化企业主体责任,三是鼓励行业自律,四是倡导社会监督。同时,《规定》也从四个方面出发推进建立技术监管模式、建立事前事中事后的算法推荐服务监管措施:一是分级分类安全管理,二是建立算法备案制度,三是建立算法安全评估机制,四是开展算法监督检查。
值得注意的是,人工智能、大数据等新技术新应用体现出重大国家战略意义,关系国家安全和公共利益,这更加要求我们着力防范化解算法带来的政治安全、意识形态安全、社会秩序等方面重大风险。在《网络安全法》《数据安全法》《个人信息保护法》等顶层立法框架下,《规定》与近年出台的《网络信息内容生态治理规定》等互联网信息服务相关法律规范有效衔接、一脉相承,有望与《办法》互为犄角、形成“1﹢1>2”的良性反应。(李跇)
