南方财经全媒体记者李润泽子 21世纪经济报道记者郭美婷实习生罗天恩广州报道
据“网信中国”微信公众号6月24日消息,网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》(下称《办法》),2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。
受访专家表示,在我国高度重视网络安全的大背景之下,网络安全审查已成为常态化的工作。通过近期案件的经验积累,我国网络安全审查执法实践会越来越成熟,相关执法案例数量也会随之增加,网络安全与数据保护将成为企业必须正视的重大合规问题。
新法修订后的首次公开审查
这是自今年2月15日新修订《网络安全审查办法》(下称《办法》)生效以来,官方首次从公开层面对一家企业进行网络安全审查。
据“网信中国”通报,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
作为国内最大的学术电子资源集成商,知网收录了95%以上正式出版的中文学术资源。浙江安防职业技术学院发布的《关于中国知网数据库(2022年度)项目的单一来源采购公示》中直观地给出了知网的数据容量。以知网的子数据库之一《中国学术期刊(网络版)》为例,截至2022年1月20日,累计收录8540余种期刊,全文文献总量达6000余万篇。其中,收录核心期刊1970余种。核心期刊、重要评价性数据库来源期刊完整率高于95%;其他学术期刊完整率高于93%。文献收录期数完整率高于99%。收录年限为1915年至今。
根据《办法》第二条,网络安全审查的对象包括两类:关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的。
“从目前公开的资讯来看,知网作为网络平台运营者的可能性更大。”北京师范大学互联网发展研究院院长助理、中国互联网协会研究中心副主任吴沈括推测,知网此前曾陷舆论风波,此次知网被网络安全审查既有其业务运营模式和数据资源性质的原因,也是回应社会各界的关切和疑虑,可以认为是国家相关部门及时研判和应对安全风险的务实举措。
他进一步指出,《办法》规定网络安全审查重点评估的是相关对象或者情形的国家安全风险因素,包括危害关键信息基础设施安全、网络安全和数据安全的因素。就知网业务而言,此次网络安全审查内容可能会包括产品和服务的安全性、开放性、透明性,以及核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险等多重因素。
除知网所掌握的庞大数据量外,大成律师事务所高级合伙人邓志松还结合知网的直接股东对其此次被网络安全审查的内容做出分析。启信宝显示,知网的运行主体是同方知网,而同方知网则由知网国际控股有限公司100%控股,后者是一家设立在开曼群岛的纯外资企业。
“结合这点,我理解审查内容最可能适用的是《办法》第10条第(5)项的规定,即‘核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险’。但也不排除《办法》第10条其他项的适用。”邓志松说。
网络安全审查执法实践愈发成熟
据21世纪经济报道记者观察,在去年有关平台企业赴美上市引发热议之后,对于《办法》所带来的影响的讨论大多集中在赴国外上市企业上。
不过,据吴沈括介绍,实际上网络安全审查本身就是一项常态化的工作,赴国外上市企业的监管仅是其规定的一部分内容。
根据《办法》,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《办法》的规定进行审查。为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。
在吴沈括看来,相比此前的滴滴等案例,知网作为一个庞大的知识产品流转的生态系统,实际上涉及到的问题更加复杂。
邓志松认为,考虑到知网掌握着大量的个人信息、重要数据和敏感信息,在网络安全审查过程中,执法部门可能会系统地审查知网的网络安全状况,评估这些数据被窃取、泄露、毁损以及非法利用、非法出境的风险,并要求知网从安全制度、技术措施等方面加强网络安全合规。
“但网络安全审查可能暂不会对知网的正常使用造成影响。知网收录了95%以上正式出版的中文学术资源,且独家授权的期刊占40%以上,并无其他学术资源平台能够实质性替代它的服务。”邓志松认为,从下游用户需求的角度出发,在具有可行性的替代方案出台之前,执法部门会慎重考量影响知网正常使用的管制措施。
在当前各国激烈争夺数据主权、平台掌握大量数据、网络安全问题频发的背景下,保障网络、数据安全,尤其是平台网络、数据安全,对于维护国家安全愈发重要。
网络安全审查是网络安全领域的重要制度。在邓志松看来,我国网络安全审查整体呈现出一种与时俱进,在实践中不断探索、完善的趋势。
2020年6月《办法》正式实施,彼时对滴滴等企业的网络安全审查尚未展开。经过一年半的经验积累,出于适应国际国内网络安全新形势、促进平台经济稳定健康发展的需要,2022年年初《办法》进行了修订并实施。
北京德恒律师事务所合伙人王一楠指出,滴滴事件使得网络平台运营者等平台型企业的网络安全审查有了落地实践的案例。
吴沈括表示,《办法》已经在短期内产生了重大的生态性积极影响。一是维护国家安全的理念和自觉性普遍深入人心,也已成为各类市场主体的日常经营的重要业务指针,二是诸多典型审查案例的开展传递了执法必严、违法必究的强烈讯息,越来越多的经营主体正按照《办法》的制度规则主动着手合规风控体系的建立与完善。
“相信未来网络安全审查会成为我国网络安全生态治理和相关监管执法中的常态化元素,成为各类运营者合规经营的重要指引,也成为各界维护公共利益和国家安全的重要机制凭借。”吴沈括说。
王一楠表示,监管执法正逐渐成熟,而业务涉及核心数据、重要数据同大量个人信息企业,更应重视《办法》的规定。“毕竟,达摩克利斯之剑将随时落下”。
(作者:李润泽子,郭美婷编辑:吴立洋)