李天航:从“网络安全审查”看中国网络和数据治理的法律体系

920 872

观察者网:您刚才提到了平台型企业,这个名词最近曝光度很高,那么平台的概念和“关键基础设施运营者”的概念,两者之间有怎样的关系?

李天航:平台型企业不是一个法律概念,但是“关键信息基础设施运营者”是一个法定概念。企业搭建平台来为供求双方提供服务,比如滴滴、阿里、京东,都是典型的平台型企业。

由于平台型企业天然汇集大量数据,从某种程度上看,一个平台往往就能反映一个社会生态圈,能够映射一个社会的部分运行情况,关乎社会公共利益和国家安全的一部分运行情况,也会在平台上得以映射。同时,基本上所有平台型企业,都是通过互联网技术来实现经营,所以他们的业务平台网络和系统,就有可能是“关键信息基础设施”。

运营“关键信息基础设施”当然会产生很多利益,这个我们先不讲,从义务上来讲,我国已经建立了网络安全等级保护制度,对于CIIO来说,在“等保”的基础上,还要进行重点保护的话,比如在网络建设的过程中,就要做到“三同步”,必须保证安全技术措施同步规划、同步建设、同步使用。在网络运营过程中,必须设置专门的安全管理负责人,要对负责人和关键岗位人员进行对比调查、定期培训、技能考核、签订安全和保密协议,对重要系统和数据库进行容灾备份,等等。

这在我们将来出台的《关键信息技术设施保护条例》肯定会更加细化具体。

还有最关键一点,就是数据出境。《网络安全法》第37条规定,

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。

也就是CIIO在中国境内收集的个人信息和重要数据首先要做到本地存储,数据要出境必须满足因业务需要确需向境外提供,并且还要通过安全评估,如果通不过,就不能对外提供。

观察者网:既然法律法规对CIIO的要求这么高,这种严格的管理和义务会不会成为一道门槛,限制后来者进入这个行业?

李天航:如果从法律意义上谈到准入或者门槛的话,一般是指行政许可,事前审批才能进入,但我们刚才谈的其实不是批准的问题,也不是政府设置门槛或许可,而是想进入的企业必须做到的合规义务,做不到就要面临处罚,可能还要面临责令停业整顿。比如这一次,某平台就被暂停了新用户注册,并且下架APP。

另一方面来说,你说的也有一定道理,从我们实际服务企业的经验来看,在新的业态和法律环境下,提前做好合规性,确实能够为企业带来竞争优势。

观察者网:我们刚刚谈了这么多对CIIO的限制,那么从互联网、大数据、人工智能技术的发展角度来说,技术的进步带来的社会价值是显而易见的,如何在技术发展、经济效益和安全合规之间做好平衡?

李天航:从社会学的角度来讲,技术发展是一个不可逆的过程,是一个不可阻止的方向,技术发展对社会生活带来大量的便利。

观察者网:某中国大型网约车平台,到美国上市,它也把自己掌握的大量数据作为自身在资本市场讲故事的一大优势,但是今天中国、欧洲和美国都非常强调数据治理问题,在跨法域经营过程中,CIIO应该怎样做好合规工作?

李天航:第一,该网约车平台目前还没有跨法域经营,它作为一家主要在中国经营的企业,所有数据首先是存储在本地的,但是它在美国上市,也不可避免地会涉及到一些数据出境问题。因为美国证券市场对于上市公司有很高的信息披露要求,包括必须根据美国公认会计原则编报其财务报表、必需根据美国证券法律规定,对公司重大信息及时披露等,这势必涉及到一些该公司在中国境内的经营情况数据,是否能够出境的问题。这涉及《数据安全法》以及金融领域有关数据出境的交叉管理制度,企业必须要高度重视,并聘请专业的机构协助处理。

第二,对于一些已经“走出去”,实现跨法域经营的中国公司来说,国际数据治理的大环境正在迅速变化,各个国家都在通过制定本国法律保护本国国民的个人信息、重要的数据等,尤其是在个人信息保护领域,类似欧盟制定的GDPR之类的法律法规正成为一种常态。如果这些企业采取的是一体化的网络架构和数据治理模式,如统一的数据中心,这就必然会面临数据/个人信息所在国法律有关数据出境的约束,同时,在中国取得的数据如果存储于中国以外的其他国家的数据中心,也必须符合中国《网络安全法》、《数据安全法》等等关于数据出境的合规要求。

观察者网:全球化时代,数据流动和治理也是一个全球性的课题,中国目前在这方面处于怎样的水平,前景怎样?

李天航:首先,在国际数据治理层面上,目前还没有做通过国际公法、国际公约、双边/多边条约的方式,或者这个领域的全球组织或者国际化组织。更多都是通过各国国内法的形式治理,在本国法律之下做出相应的规定和约束。

在这方面,虽然中国立法起步比较晚,但是从一些规制性措施来看,我们国家的法律经常有一个关键性的原则,就是对等原则,包括《数据安全法》也遵循这个原则,别的国家对我们采取什么限制性约束性的措施,中国也会做一个相应对等的设置。另外,出于国家安全和个人信息保护的角度,我们也做了相应的法律规定和约束。

THE END

网络安全法律体系的构建与发展

网络安全周

网络安全法律法规有哪些

加快完善网络综合治理体系网络安全法律

国家有哪些网络安全的法律法规

《网络数据安全管理条例》专家解读保护制度

李天航:从“网络安全审查”看中国网络和数据治理的法律体系

网络安全法律法规解读及数据安全合规体系建设规划在线视频教程

全球治理视角下的《网络数据安全管理条例》解读高朋观点高朋研究

网络安全法保护制度范文

数据合规观察2021年网络安全与数据保护法律体系建设与2022年趋势

《关键信息基础设施安全保护条例》9月1日起将实施多部门合力做好网络安全保护工作

等级保护:网络安全存在的突出问题和重大隐患

推进法治化建设,让网络空间更安全光明日报

网络安全论文(大全14篇)

1.发达国家网络安全法律体系的发展借鉴美国等国家在维护网络秩序和完善网络监管的经验,对我国的网络安全立法建设具有重大意义。 进入信息社会后,随着社会各领域对互联网的日益依赖,网络安全问题也日益突出,并已严重影响到社会的稳定与发展。为应对这一威胁,世界各国及国际组织积极采取措施,信息化高度发展的美国已建立了相对完备的网络安全法律体系,为其网络https://www.secrss.com/articles/11685
2.网络安全法律体系特点律师普法网络安全法律体系特点 普法内容 1、以《中华人民共和国网络安全法》为基本法统领,覆盖各个领域; 2、部门规章及以下文件占多数; 3、内容涵盖网络安全管理、保障、责任各个方面。 《中华人民共和国网络安全法》第三十九条:国家网信部门应当统筹协调有关部门对关键信息基础设施的安全保护采取下列措施:(一)对关键信息https://www.110ask.com/tuwen/11599983122628635678.html
3.网络安全周系列图说丨网络安全法律法规体系网络安全周系列图说丨网络安全法律法规体系来源:黑龙江省委网信办 责任编辑:王一亘 2024-09-13 10:30:07 0 中国军号客户端 中国军网微信公众号 解放军报客户端 解放军报微博公众号 解放军报微信公众号 国防在线客户端 钧正平工作室公众号 http://www.81.cn/zt/2024nzt/2024ngjwlaqxcz/tsaq_249810/16338126.html
4.互联网企业数据安全体系建设数据安全是实现隐私保护的最重要手段之一。对安全有一定了解的读者可能也会察觉到,数据安全并不是一个独立的要素,而是需要连同网络安全、系统安全、业务安全等多种因素,只有全部都做好了,才能最终达到数据安全的效果。所以本文尽可能的以数据安全为核心,但没有把跟数据安全弱相关的传统安全体系防护全部列出来,对于数据https://maimai.cn/article/detail?fid=1226221776&efid=qO8C5YbnT2UbRpRQ7Yxp0A
5.2021年网络与数据安全法规政策国标报告大合集《报告》在国家网络安全宣传周发布,以网络安全法律体系和“十四五”规划与“十三五”规划文件等法律法规政策为切入点,从市场观察、热点方向、资本洞察、总结与展望等多视角深入微观和宏观两个维度,展开分析目前我国网络安全产业现状和前景。 4.《人工智能安全风险及治理研究报告(2021年)》 https://blog.51cto.com/u_15591455/5253545
6.关于印发《关于加强行业网络安全管理建设合法合规网站及数据资源为全面贯彻习近平总书记关于网络强国战略的重要论述思想,落实《中华人民共和国网络安全法》等法律法规制度相关要求,增强注册会计师行业会员法律意识,建立健全行业网络安全责任体系,完善网络安全监督管理机制,切实保障网络和数据安全,从源头防范和遏制网络安全事件,全面提升会计师事务所网络安全防护水平。省注协制定了《关于加强https://www.hebicpa.org.cn/113/26950.html