2022年2月15日,由国家网信办、国家发展改革委等13部门修订的《网络安全审查办法》开始施行。专家表示,《办法》将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查,并明确掌握超过100万用户个人信息的网络平台运营者,赴国外上市必须向网络安全审查办公室申报网络安全审查。“办法”的正式施行,也是国家层面对企业用户重视网络安全管理的正面呼吁。
这也就要求了关键信息基础设施运营者、网络平台运营者等当事人需要在日常业务生产过程中将正视网络安全、数据安全的重要性,设立能与时俱进的安全部门或依托第三方专业安全厂商进行网络安全体系的建设,严格依据“办法”进行审查并做好安全风险管控。
在“办法”中明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查,主要目的是为了进一步保障网络安全和数据安全,维护国家安全。回看2021年某平台匆匆赴美上市被喊停从而引发的蝴蝶效应,可以发现该平台拥有近3亿多的用户个人信息,且其业务属性牵涉到的重要敏感数据等多重特点严重违反“办法”里的规定。
在“办法”中明确指出,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
运营者开展影响或可能影响国家安全的数据处理活动,可能带来多种国家数据安全风险,新版《审查办法》在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在国家安全或公共利益风险:
一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。
二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据的完整性和可用性。
三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及国家安全、公共利益或个人权益的数据,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全或公共利益造成威胁。
四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境,应通过国家网信部门组织的数据出境安全评估。
(二)外国政府影响、控制、恶意利用和网络信息安全风险
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(sec)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(pcaob)检查,披露上市公司的审计细节、工作底稿等信息。
在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。