由于平台型企业天然汇集大量数据,从某种程度上看,一个平台往往就能反映一个社会生态圈,能够映射一个社会的部分运行情况,关乎社会公共利益和国家安全的一部分运行情况,也会在平台上得以映射。同时,基本上所有平台型企业,都是通过互联网技术来实现经营,所以他们的业务平台网络和系统,就有可能是“关键信息基础设施”。
运营“关键信息基础设施”当然会产生很多利益,这个我们先不讲,从义务上来讲,我国已经建立了网络安全等级保护制度,对于CIIO来说,在“等保”的基础上,还要进行重点保护的话,比如在网络建设的过程中,就要做到“三同步”,必须保证安全技术措施同步规划、同步建设、同步使用。在网络运营过程中,必须设置专门的安全管理负责人,要对负责人和关键岗位人员进行对比调查、定期培训、技能考核、签订安全和保密协议,对重要系统和数据库进行容灾备份,等等。
这在我们将来出台的《关键信息技术设施保护条例》肯定会更加细化具体。
还有最关键一点,就是数据出境。《网络安全法》第37条规定,
关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
也就是CIIO在中国境内收集的个人信息和重要数据首先要做到本地存储,数据要出境必须满足因业务需要确需向境外提供,并且还要通过安全评估,如果通不过,就不能对外提供。
还有CIIO应当自行或者委托网络安全服务机构对它的网络安全性和可能存在的风险,每年至少进行一次评估,将评估报告报送相关部门。
观察者网:既然法律法规对CIIO的要求这么高,这种严格的管理和义务会不会成为一道门槛,限制后来者进入这个行业?
李天航:如果从法律意义上谈到准入或者门槛的话,一般是指行政许可,事前审批才能进入,但我们刚才谈的其实不是批准的问题,也不是政府设置门槛或许可,而是想进入的企业必须做到的合规义务,做不到就要面临处罚,可能还要面临责令停业整顿。比如这一次,某平台就被暂停了新用户注册,并且下架APP。
这不是政府审批许可,而是相关经营者必须要自行符合的条件。
另一方面来说,你说的也有一定道理,从我们实际服务企业的经验来看,在新的业态和法律环境下,提前做好合规性,确实能够为企业带来竞争优势。