Expert Interpretation: New Version of Cybersecurity Review Measures Released and Implemented, Focusing on Strengthening Platform Operators' Cybersecurity Responsibilities

当前社会的网络化进程不断深化，网络已经深刻影响到我国经济发展和民众日常生活，一些大型网络平台甚至已成为支撑社会运转的数字基础设施。网络平台的兴起，体现在其所拥有的数字市场操控能力及其商业模式对传统行业的颠覆性影响。网络平台的繁荣发展，在为全球经济注入活力的同时，也引发了新问题。网络平台运营者已经将用户与数据作为一种新资本，把数据化和商品化作为平台的核心运行机制。放眼全球，当前网络巨头的平台权利不仅能通过流量分配来控制依附于平台的相关方，甚至在自身发展成为社会数字基础设施的过程中，如果缺乏监管可能会影响到国家的经济、文化、社会和政治安全[1]，从而引发新的国家安全风险。<br> 欧盟一直以来对大型网络平台公司坚持严格治理的态度。根据《欧盟外商直接投资审查条例》，欧盟从关键基础设施、关键技术、关键供应、敏感信息等方面，审查非欧盟投资对欧盟成员国国家安全和公共秩序的风险。2020年12月，欧盟发布了《数字服务法案》和《数字市场法案》提案，针对在数字市场充当“看门人”角色的大型网络平台，明确监管内容和方式，设定了确保公平竞争等责任义务，以构建更加安全、透明和值得信赖的在线网络环境，促进欧盟数字创新和数字经济发展。<br> 美国近年来改革一系列法案要求，利用审查等手段维护本国大型网络平台企业商业及技术全球领先地位。2018年先后通过《外国投资风险审查现代化法案》（Foreign Investment Risk Review Modernization Act，FIRRMA）和《针对审查涉及外国人士和关键技术的若干交易的试点规定》，其中，FIRRMA明确要求对投资于美国技术、基础设施、数据等有关业务进行审查，突出了关键技术、关键基础设施和敏感个人数据在国家安全审查中的重要性。2020年8月，美国财政部发布《关于保护美国投资者防范中国公司重大风险的报告和建议》，针对包括中国在内的美国公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB）无法实施检查的辖区，对美国证券监管机构（SEC）提出多项建议，包括对来自这些辖区的公司提高上市门槛，加强信息披露要求，强化投资风险提示等等，并建议SEC要求对已在美上市公司不满足PCAOB检查要求的进行摘牌。<br> 2021年2月，拜登签署《美国供应链行政令》，要求六大部门在一年内提交国防、公共卫生、信息技术、能源、交通和农业供应链安全审查报告。2021年5月，美国公众公司会计监督委员会（Public Company Accounting Oversight Board，PCAOB）就《外国公司问责法案》（Holding Foreign Companies Accountable Act，HFCAA），有关实施细则征求意见，这意味着主要针对中概股的监管政策，即将进入实质性执行阶段。2021年6月，拜登签署《关于保护美国人敏感数据不受外国竞争对手侵犯的行政令》，要求采取规范的决策框架和严格的实证分析，防范交易可能对美国国家安全和美国人民带来的风险，包括被敌对国家管辖的人员设计、开发、制造或供应的软件应用程序等风险。2021年12月，为落实《外国公司问责法案》的立法要求，SEC公布了最终实施规则，对受监管公司范围、申报及披露义务、以及强制退市程序等备受关注的问题明确了实施细则，其中多项要求直指中概股。<br> 相较于欧美等发达经济体，不断收紧对网络平台的监管要求，我国对网络平台运营者的监管要求逐步从“审慎包容”转向“强化督查”，以规范平台运营者健康发展。在这种新形势下，2022年1月，《网络安全审查办法》（以下简称《审查办法》）修订后正式发布。新版《审查办法》完善了国家网络安全审查有关要求，是坚持总体国家安全观，有效应对新形势下国家网络安全威胁，压实网络平台运营者国家安全和数据安全主体责任的重要举措。<br> 一、新版《审查办法》维护国家安全的根本目的不变，制定依据增加了《数据安全法》和《关键信息基础设施保护条例》<br> 新版《审查办法》的根本目的未变，表明建立实施审查制度“维护国家安全”的初心未改。《国家安全法》第五十九条要求国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。国家安全风险是动态的、相对的、多样的。在当前平台经济迅猛发展的时代背景下，网络平台对国家政治、经济、文化、社会以及公民合法权益等方面的影响不断增大，引发了新的网络安全风险，为了维护国家主权、安全和发展利益，需要完善审查有关要求，积极防御和有效应对。<br> 2021年，我国发布《数据安全法》和《关键信息基础设施保护条例》（以下简称《关基保护条例》），新版《审查办法》增加了相应法律依据。其中，《数据安全法》第二十四条要求“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”，新版《审查办法》配套《数据安全法》有关审查要求，明确了网络平台运营者赴国外上市等数据处理活动的规定。《关基保护条例》第十九条要求运营者“采购网络产品和服务可能影响国家安全的，应当按照国家网络安全规定通过安全审查”，新版《审查办法》在原有关键信息基础设施运营者采购活动审查要求基础上，在制度依据方面体现了与《关基保护条例》的衔接关系。<br> 同时，新版《审查办法》立足维护国家安全根本目的，遵循的基本原则未变，仍为“防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监督相结合、企业承诺与社会监督相结合”。其中，值得说明的是，新版《审查办法》仍坚持防范网络安全风险与促进先进技术应用相结合，是统筹安全与发展的核心思想的体现，说明审查并不是以追求闭关锁国、技术倒退为目的，而是要在开放的环境下，有效识别和防范国家安全风险。<br> 二、新版《审查办法》关键信息基础设施运营者采购活动审查要求基本未变，审查对象增加了网络平台运营者赴国外上市活动<br> 我国网络平台社会数字基础设施重要性日益凸显，对国家安全和社会公共利益影响逐渐突出。大型网络平台运营者具有服务供给者和市场监督者双重职能的特征日益凸显。网络平台不仅为供需双方提供数字基础设施服务，是服务提供者；更重要的是越来越多的大型网络平台已具备一定的社会治理功能，这些企业通常会围绕平台运营，构建一套市场、用户和规则的自有治理结构，承担“看门人”的职能。网络平台这种前所未有的影响力对传统行业监管带来了很大挑战，不仅导致监管盲区，还一定程度上弱化甚至替代了国家公共部门监管体系。<br> 随着我国网络平台业务及技术能力的迅猛发展，近年来平台运营者选择赴国外上市的数量日益增多。例如，在美上市的中概股企业累计数量已达近三百家，其中约半数为网络平台运营者，仅以2021年上半年为例，就有近40家中概股企业在美上市。如何在促进企业发展的同时，保障国家安全和数据安全，迫切需要在制度层面明确企业主体责任。<br> 为此，新版《审查办法》在对关键信息基础设施运营者的产品和服务采购活动进行审查的基础上，重点增加了网络平台运营者赴国外上市活动的审查要求。其中，包括在第二条中增加“网络平台运营者开展数据处理活动”，还增加第七条“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。可以看出，新版《审查办法》的适用对象明确增加网络平台运营者赴国外上市活动，以适应当前平台经济发展引发网络安全新风险监管要求的形势需要。<br> 三、新版《审查办法》启动方式和整体过程未变，审查中评估的重点因素补充了数据安全有关考虑<br> 新版《审查办法》的制度框架未变：一是审查启动方式仍为2种，一种为关键信息基础设施运营者或平台运营者申报审查，另一种是中央网信委批准实施的审查；二是审查整体过程基本未变，主要包括审查申报、初步审查、特别审查等。<br> 新版《审查办法》在第十条中补充了审查过程中需要评估的国家安全风险因素，包括“（五）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（六）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（七）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素”。补充这些因素，明确了审查过程中，重点关注赴国外上市网络平台运营者有关风险考虑，同时也体现审查立足国家层面网络安全和数据安全的监管视角。（作者：吴迪，中国网络安全审查技术与认证中心高级工程师）<br> 注1：国家介入、平台依赖于新闻业可持续发展——欧盟与澳大利亚平台监管政策的比较与启示，张志安，冉桢，新闻与写作.2021，（12）