近日,國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部等十三部門聯合修訂發布《網絡安全審查辦法》(以下簡稱《辦法》),自2022年2月15日起施行。《辦法》將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查,并明確掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須向網絡安全審查辦公室申報網絡安全審查。根據審查實際需要,增加證監會作為網絡安全審查工作機制成員單位,同時完善了國家安全風險評估因素等內容。國家互聯網信息辦公室有關負責人表示,《辦法》的修訂對保障國家網絡安全和數據安全具有重要意義。
同期,國家互聯網信息辦公室、工業和信息化部等四部門聯合發布《互聯網信息服務算法推薦管理規定》(以下簡稱《規定》)。《規定》自2022年3月1日起施行。
順數字浪潮之勢直面網絡空間重大風險挑戰
網絡平臺運營者開展數據處理活動的安全性、開放性、透明性、來源的多樣性以及供應渠道的可靠性深度影響著國家防范因政治、外交、貿易等因素導致供應鏈被迫中斷的風險的效能,《辦法》切實為國家安全、數字經濟發展和社會穩定運行筑牢網絡安全防線。
近年來,全球關鍵信息基礎設施網絡安全事件層出不窮,涉及能源、醫療、制造等國計民生領域,對當地社會發展與穩定造成嚴重影響。其中針對系統中第三方產品或服務安全漏洞及脆弱性的惡意利用是破壞關鍵信息基礎設施的重要手段,可能造成設備損壞、系統失效、重要數據泄露等后果。《辦法》的實施,有利于關鍵信息基礎設施運營者和網絡平臺運營者進一步強化網絡安全和數據安全意識,引導關鍵信息基礎設施運營者和網絡平臺運營者將風險防范工作關口前移,防范網絡產品及服務供應鏈中引入的安全漏洞、惡意后門,從源頭化解安全風險,為關鍵信息基礎設施防范供應鏈安全和數據安全風險提供保障。
2017年5月,國家互聯網信息辦公室印發了《網絡產品和服務安全審查辦法(試行)》。2020年4月,試行3年后,國家互聯網信息辦公室正式印發《網絡安全審查辦法》。該《辦法》實施僅一年半后官方便發布修訂稿,就應對一年以來的形勢變化進一步增強對網絡空間重大風險挑戰的防范能力,這與網絡強國、數字中國、智慧社會建設發展節奏與需求相匹配。
百萬級平臺“出海”上市安全閥設計日趨完善
對比舊版文件和征求意見稿,新發布的《辦法》在申報范圍、機制成員單位、特別審查時間等方面都進行了重要調整。
審查對象方面,將網絡平臺運營者開展數據處理活動影響或者可能影響國家安全等情形納入網絡安全審查,并明確掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市必須向網絡安全審查辦公室申報網絡安全審查。在申報材料中,新增要求提供擬提交的首次公開募股(IPO)材料等。據了解,網絡平臺運營者應當在向國外證券監管機構提出上市申請之前申報網絡安全審查。
審查內容方面,針對國外上市公司新增兩條:一是核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;二是國外上市后關鍵信息基礎設施的核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。
審查周期方面,網絡安全審查辦公室應當自收到符合規定的審查申報材料起10個工作日內確定是否需要審查并書面通知當事人。需要開展網絡安全審查的應當自向當事人發出書面通知之日起30個工作日內完成初步審查,情況復雜的可以延長15個工作日。有分析認為,《辦法》修訂后需要審查的情形增多,因此適當延長了特別審查的時間。
國家工業信息安全發展研究中心張格表示,《辦法》是進一步深化落實統籌國內國際兩個大局、統籌發展和安全兩件大事的重要體現,是提升網絡空間治理能力、推進國家治理體系和治理能力現代化的必然要求,是用法制手段保障網絡安全的重要舉措。
自制自律安全合規或成數字經濟時代企業底線
從經濟發展的角度看,數據是所有基于互聯網的商業活動的核心,以數據為中心的商業模式實現了資源要素的高效配置和高效協同。當數據累積到一定的數量級形成規模時,收集、存儲、分析和轉換數據的能力都會帶來額外的價值和競爭優勢,也可能影響到國家安全、國民經濟命脈、重要民生和重大公共利益。因此,無論是出于大國競爭的考慮,還是經濟發展的目的,數據安全都是國家安全要把控的關鍵節點。
就數字經濟時代企業網絡安全治理能力建設,某網絡安全業內人士認為,“由于網絡安全審查成員單位有權依照相關程序對相關企業啟動審查,對于已經赴美上市的國內企業,仍然不能存在僥幸心理,需要對照網絡安全審查的風險評估內容,加緊自查”,并建議,“要以數據為中心、以組織為單位、以能力成熟度為抓手,從傳統的管理體系轉向社會化治理體系,建立復合機制,從只有處罰轉變為處罰、幫助、獎勵并舉”。
算法監督再進化為科技向善協力破局
就信息服務規范,《規定》要求算法推薦服務提供者應當加強算法推薦服務版面頁面生態管理,建立完善人工干預和用戶自主選擇機制,在首頁首屏、熱搜、精選、榜單類、彈窗等重點環節積極呈現符合主流價值導向的信息。就用戶權益保護,《規定》要求算法推薦服務提供者應當向用戶提供不針對其個人特征的選項,或者向用戶提供便捷的關閉算法推薦服務的選項。就監督管理,《規定》要求根據算法推薦服務的輿論屬性或者社會動員能力、內容類別、用戶規模、算法推薦技術處理的數據重要程度、對用戶行為的干預程度等對算法推薦服務提供者實施分級分類管理。
有分析認為,算法應用日益普及深化,在給經濟社會發展等方面注入新動能的同時,算法歧視、“大數據殺熟”、誘導沉迷等算法不合理應用導致的問題也深刻影響著正常的傳播秩序、市場秩序和社會秩序,給維護意識形態安全、社會公平公正和網民合法權益帶來挑戰,迫切需要對算法推薦服務建章立制、加強規范。
中國電子技術標準化研究院楊建軍表示:“《規定》為國家建立算法安全治理體系打下制度基礎。”《規定》從四個方面推動強化企業主體責任、建立多方參與的算法推薦服務治理機制:一是明確政府監管職責,二是強化企業主體責任,三是鼓勵行業自律,四是倡導社會監督。同時,《規定》也從四個方面出發推進建立技術監管模式、建立事前事中事后的算法推薦服務監管措施:一是分級分類安全管理,二是建立算法備案制度,三是建立算法安全評估機制,四是開展算法監督檢查。
值得注意的是,人工智能、大數據等新技術新應用體現出重大國家戰略意義,關系國家安全和公共利益,這更加要求我們著力防范化解算法帶來的政治安全、意識形態安全、社會秩序等方面重大風險。在《網絡安全法》《數據安全法》《個人信息保護法》等頂層立法框架下,《規定》與近年出臺的《網絡信息內容生態治理規定》等互聯網信息服務相關法律規范有效銜接、一脈相承,有望與《辦法》互為犄角、形成“1﹢1>2”的良性反應。(李跇)
