管理我的频道

【华西传媒】滴滴事件解读

【华西传媒】滴滴事件解读

专家:原中宣系统司局级领导,现互联网公司相关负责人。

联系人:赵琳17317165095

 

核心要点:

1.事件起源于公司未遵守中央相关部门意见,未做好安全审查就匆忙赴美上市,使得监管部门重拳出手治理;

2.滴滴事件一定程度影响监管部门对企业的信任感,将使得国家加快推动数据安全的治理工作,未来工作重点包含:推进数据分级,确立行业数据分级分类、数据安全审查、关键信息基础设施三大制度。

3.反垄断将会持续推进,数据治理和控制资本无序扩张工作会强化。

1.滴滴事件背景

1.事件回顾

滴滴6月10号滴滴在美国提交招股说明书,6月30号正式上市,7月1号是党的100周年庆典,7月2号网信办发出公告,启动对滴滴的网络安全审查,同时停止新的用户的注册,7月4号开始做APP的下架,不光是滴滴,也包括其他几家。

 

2.事件缘由

滴滴要上市这件事情,其实业内大家都知道,他们已经努力了很长时间,在这个过程当中,其实滴滴也一直在寻求各个方面的支持。滴滴找到了最直接的主管部门交通部和发改委,实际上交通部和发改委对于滴滴上市是支持的,对于滴滴具体的上市时间点这块两个部委并没有把握的特别准,不是说这两家部委没有政治意识,是滴滴自己确实在这个过程当中有很多比较愚蠢的动作,没有去跟更多的人达成一致。在这个过程当中,中间有一个时间点,在6月30号之前,6月21号以后的一个时间点,其实是中央网信办已经通过各方面的渠道跟滴滴表明了一个态度,首先不会去阻拦你去上市,但是希望滴滴把准备工作做充分,另外是希望时间点选择要延后。滴滴最开始的计划的时间点是7月2号,网信办给的意见是说这个时间不合适需要延后,各个方面的情况汇集到滴滴之后,不知道为何滴滴最终没有执行。

 

3.事件影响

滴滴最后是6月30号晚上去上市,当时中央部门向滴滴传达意见,滴滴方面表示延迟上市没问题,他们理解中央领导的意思,理解中央管理部门的意思,延迟上市不会有太大的问题,他们自己也做了其他渠道的沟通。实际上中央主管部门就以为他是能够接受了推迟上市的事情,结果到6月30号突然上市给来了一个措手不及,国内的很多方面都不是特别知道滴滴怎么做了这样的一个选择。6月30号它一上市之后,7月1号大家都在忙着做庆典,7月2号很快就开始出手做这件事情。

实际上,中央对于国内企业赴美上市,没有原则上完全禁止,但是有一个基本的口径,就是大家不要扎堆去,去之前要做好充分的准备,这里面充分准备更多的强调的就是数据安全以及其他的相关的一些安全工作。在这个过程当中,其实滴滴一直没有配合好把准备工作做充分,同时按照目前反馈的一些信息,中央领导对这件事情很震怒,给滴滴的定性非常的严重,已经用到了阳奉阴违这样的词,就是说你表面上答应,但是最后你又摆这么一道,而且他这一下子是把很多人都拖下水,像交通部发改委的很多领导可能都会被这件事情牵连进去。中央网信办还好,因为网信办是属于监管部门、管理部门,但是网信办也同样受到了中央的批评,说这些企业你们就管不住吗?

这样的一个背景下,我们觉得接下来对滴滴的这个处理不会轻了,如果说要非要和其他的事情,比如说和阿里的事情比,我们觉得可能会比对阿里的处理会更重。这是目前我们能看到的,那这里面从背景上来讲,有一个国际政治的视角,现在中美这样的一个关系的状态下,我们赴美上市的企业就这么着急的非要去,而且又捡了一个大盛世之前的这么一天去做这件事情,这绝对是一个特别不讲政治的事情。这样的一个举动,确实是很很严重的一件事情,而且这里面又有中央部门已经事先沟通过,还去这样做,这件事从中央以及各个部门的感官上特别不好。这里面说从国家的安全视角,大家也在考虑,资本控制我们的各个领域,那么这件事情上进一步加重了现在的监管部门,包括我们的党相关的中央的一些领导层,他们都会觉得资本现在是失控的,像这么大一个企业都不听话,这里面资本的这个无序扩张等等这些事情确实是要严打的。

这件事其实它的特别坏的一个影响,就是在整个的领导层里面,其实原来还会有一些维护企业的声音,但是现在这些声音是绝对不敢再去讲了,因为就是赶上这么一个猪队友去打脸,以后我觉得不太可能再会有人去为这样的资本市场争取什么东西。这件事情确实影响特别的严重,这是我们目前能看到的情况。

滴滴这件事,中央领导和监管部门不是不讲道理其实确实是滴滴的单方面的问题更严重。滴滴到美国上市,从开始管理层的态度是开放的,没有说不能去,只是要求做好准备再去。对于让滴滴延迟上市,中央部门没有明确的下指令,也是尽量跟企业沟通。此前的这一段时间里面,监管部门对滴滴的一些动作是比较温和的,包括对其他几个企业都是这样,有的企业就是听了话,放弃了近期上市,其实企业损失也会很大,但是这些企业觉得在这个节骨眼上,宁可选择牺牲掉眼前的一些利益,这些企业其实是给中央有比较好的印象。但是滴滴这件事情不仅对他自己会有影响,也会影响到后续的一些企业的发展问题。外界对于腾讯和阿里也会有传言,实际上腾讯和阿里是劝导滴滴延迟上市,但最终滴滴没有采纳。

 

除了前面背景讲到的政治层面问题,从专业的角度看滴滴本身可能有三个方面的问题。

2.滴滴的问题分析

1.数据安全问题

一个是数据安全本身的问题:滴滴出行的数据肯定是《网络安全审查办法》里边“网络产品和服务”的概念范围以内的。在这个办法里面的“网络产品和服务”,他当时给的定义是:包括核心的网络设备,高性能的计算机和服务器,大容量的存储设备数据库,还有网络安全的设备,这些硬件;以及应用软件云服务和相关的网络产品和服务。网信办在5月份还发过一个叫《汽车数据安全管理的若干规定》,也是个征求意见稿,很多互联网企业也都高度重视,并且在充分反馈意见。其实大家对很多的具体条款上的争论还是挺大的,但是这次网信办的态度是比较开放的,各方面的意见也都有吸收和采集,后续到底会走到什么程度,现在还在看。我们知道的是滴滴这个事情之前,网信办对这个《办法》是持比较温和的态度,可能还是要考虑企业的发展,所以原来比较苛刻的一些条款,在起草过程中可能做一些回调。但现在我们确实失去了这个判断能力,不太好判断接下来这个《办法》到底会写到什么程度,这个《办法》其实会影响到一系列,包括滴滴出行、智能汽车等企业。所以为什么前面我们说滴滴害了一堆人呢?这一件事情会引起一系列的连锁反应,对于比如说智能汽车的制造,相应的法律法规部门的规章是不是也会严苛起来?这块确实是需要我们考虑。

 

2.数据跨境问题

数据的跨境问题:就是哪些数据能出去,哪些数据要存在国内,其实我们国家是有自己的要求。但是当中概股要赴美上市的时候,估计大家都知道这个基本背景,美国在去年搞了一个外国公司问责法案(HFCA),里面专门讲到只要是赴美企业,必须接受公众公司会计监督委员会的会计底稿的审查。这个要求确实是比较过分,对整个会计底稿进行审查,否则就强制退市,这是当时美国的比较强硬的态度,但这个其实和我们国内的证券法是相违背、相冲突的。我们的法律有专门要求,任何单位和个人不得擅自向境外提供相关的资料和数据,这个到底怎么调和,我觉得现在没有哪个企业能拿出特别好的一个办法。像当时字节在美国遇到的困难和这个是一样的,所以他当时就是两难的状态。滴滴这次其实是绕过了国内的流程,相当于直接服从了美国的相关要求,也给过(资料/数据),但是给到什么程度现在还不知道。我的判断是接下来网信办肯定要去做驻场,去做相应的盘点。数据跨境的问题,我觉得基本上滴滴没有做任何处理就出(境)了。虽然还没有在滴滴侧得到更多信息,但是我们自己的分析,滴滴应该不至于把特别敏感的、法律中讲的核心数据直接扔出去,这块应该是不敢,如果他们连这个都弄出去了,那我觉得实在是脑子进水有点严重了。所以可能更多的是非敏感数据,而且数据关联的相应接口应该是不提供的,这个要等进一步的审查结果出来之后我们才好判断。

 

3.中央不鼓励企业赴美上市

从最近的情况来看,关于中概股的在美国上市的事情,中央目前态度不是完全拦住说大家不能去,但其实比较隐含的一层意思,肯定是不鼓励大家去。但是作为中央政府领导层来讲,他不好直接说大家都不能去,这里面有各种各样的关系和力量在里面,所以一直是说大家不要扎堆去,并且去之前在家里把相关的工作准备好,这是基本的态度。其实我觉得未来我们国内的一些企业,特别是我们这种平台的企业,手里有大量数据又想去美国上市的,现在看要考虑到美国的监管压力也很大,国内的监管压力也不小,而且中美压力之间的冲突又很大,所以在美国上市会是一个非常好的选择吗?这还真的不一定,所以这件事情可能要通盘的去看。

 

滴滴事件将使得数据安全问题被推到新的高度,后续数据安全问题也会成为中央部门的管理重点。未来对于数据安全问题,有几个重点方向,首先是推进数据分级,然后是落地三大数据安全制度:行业数据分级分类、数据安全审查、关键基础设施。

3.推进数据安全问题的主要方向

1.数据分级

(1)个人数据

第一个层次是个人数据,在个人数据这个问题上,它会和个人隐私保护相关,所以有的时候我们在业内,会把这些概念混在一起,个人隐私、个人信息、个人数据这样的几个词大家都能够听到,但实际上这几个词是可以来区别开的,怎么区别呢?

个人隐私这个东西,它首先是在《民法典》的人格权这一边当中专门去讲到,是跟人格保护相关的,我们相应的权利,这里面谈到了个人隐私,隐私权,它所保护的对象,包括我们的私密的空间,私密的活动,为了追求生活安宁,我们不应当被其他人介入和不应当被他人干扰和不应当被其他人所得到的这样的私密空间、私密活动、和私密信息。个人隐私当中的私密空间私密活动是受到隐私权直接保护的,隐私信息受到个人隐私权的保护,同时它也会受到《个人信息保护法》的保护。《个人信息保护法》现在是一个草案阶段,应该很快就能够出台了。《个人信息保护法》里面给了个人信息一个基本的定义,在民法典里面对隐私当中的个人信息也给了一个定义,它们其实是一个衔接的关系,在这个地方立法基本上这个用词是一样的。

个人信息是什么?以电子方式或其他方式记录的,能够识别自然人身份的信息。这是我们讲的个人的数据这一块,个人数据当隐私权所不能够覆盖住的,也就是说它还够不到隐私保护这么一个高度的时候,在《民法典》当中甩了一个连接链出来,叫个人信息当中的私密信息适用隐私权的规定,没有相关规定的时候会适用有关个人信息保护的规定。也就是说这种私密信息就是个人的敏感数据,会同时受到《个人信息保护法》,以及后面我们也会谈到最核心的数据安全法的保护,但也可以同时受到隐私权的保护。对于个人信息当中的非敏感的信息,一般性的这种识别信息会直接受到个人信息保护法的保护,以及受到数据安全法的保护。这是我们讲的数据当中的第一个层次就是个人数据。

个人数据当中除了刚才的敏感数据以外,还会有其他的能够识别个体的自然属性的一些数据,以及可以关联到个体行为活动来产生的一些个人数据。这里面具体的层面,我觉得不是我们今天要展开去讲的,这里面会有很多的很具体的专业的知识,其实这块是还是比较明确的,你是身份证信息,还是说你的行为轨迹信息,还是你的通信信息,还是你的这个出行记录等等,比如说滴滴这次更多的就是出行记录,它是很敏感的一个事情。首先是在个人数据这个层面上,滴滴是有问题的,再往下一个层次是我们的商业数据。

 

(2)商业数据

商业数据里面其实又分成了两类,一类是企业数据,一类是平台类的企业上所沉淀下来的平台数据。一般的企业它和个人发生关系的时候,个人通过授权的方式,将我的一些数据授权给你使用,以及我的一些行为活动,你可以去记录。在这样的过程当中,企业会产生相应的成本投入,我为了更好的给你提供服务,我来投入成本,把你的个人数据能够采集进来,甚至说我来对你的个人的行为活动进行记录然后产生数据。这些数据除了个人的权利在里面之外,还会有企业自己的权利,企业会对这些数据有自己的一个权益。这些企业的数据,如果说自己能够去行使的时候,就不涉及到平台的事。如果他们是通过平台类的企业去进行开发使用,这个时候平台的企业和我们的一般的企业之间又会发生一个逻辑关系。这里边再上一个台阶就是平台的数据,到了平台数据的时候,它仍然是一个商业数据,是个市场化的。

 

(3)公共数据

再往下走就是我们讲的公共数据,公共数据里面除了政府部门自己产生的数据,也包括政府部门需要去管理的前面的一系列的数据,包括个人数据、企业数据和平台数据,政府需要做管理的时候,这些数据拿过来,政府是不需要去拿授权的,政府是根据法律法规,我只要有法的授权,我就可以去动相应的这个数据,这里面它依据自己的职责可以去管理的这一系列的前面的个人数据、企业数据和平台数据,我们把它叫公共数据。

 

(4)重要数据和核心数据

公共数据再往上走,会进入到《数据安全法》里面给到的两个定义,一个叫重要数据,一个叫核心数据。重要数据是对于整个国家安全,国家经济命脉、重要民生、重大公共利益等等,对于国家安全公共利益和个人组织的这种权利,如果数据泄露会造成严重的这种危害程度,我们把它叫重要数据。关系到国家安全,经济命脉,重要民生的,叫国家核心数据。在这里面其实《数据安全法》是做了一个分层,但是这个分层它只是一个原则性的,到底怎么落,哪一条数据能进到哪一个层级,这个后续需要大量的标准,比较具体的细则去把它规定出来。

 

2.行业数据分级分类

我们现在能看到的就是各个行业都在做自己的这个行业的数据的分级和分类。比如说我们举几个例子,在金融领域,人民银行在去年的9月出了一个叫金融数据的安全分级指南,它把金融的数据分成了5级,它的分类是按照客户数据,业务数据、经营管理数据和监管数据这样的方式来分的。工信部是在去年的2月份出了一个叫工业数据的分级分类,它是分成了三级,一个叫工业企业的数据和一个工业平台的数据。网信办这边牵头,由他的信安标委推出了一个标准的一个草案,这是在今年的4月推出的一个草案,最近的几个会议正在对这个草案做一个最后的打磨,征求意见基本上已经结束了,他的这个草案里面是互联网的平台数据,不管是哪个领域的,只要是平台数据,给分成了5级,它这个分类稍微有点混乱,其实和现在的数据安全法不是能够完全对应的上,它是分成了个人信息、重要数据,公共数据和组织数据,这几个词当中又不是一个阶梯的概念,所以这块其实也是被大家诟病了,它的这个分级指南,我们的判断是后续肯定还会再做调整,因为目前这个写法稍微有一点逻辑上的混乱,这块可能还会有一些新的进展,我们也在跟踪。这是我们讲的跟数据治理的一个相关的制度当中最主要的一个就是分级分类。

这是我们讲的第一个保护制度,这个可能是跟数据治理有关的,拿滴滴这件事情来套,这里面我们要注意的一件事情就是个人数据本身,单条个人数据的权利是在个体的手里,它是一个数据的私权,包括企业,如果是单个企业的相应的一些数据,它也是一个数据的私权,但是当这些数据的汇聚的规模达到一定的量级,同时这些数据又和其他相关数据发生关联,就是具备可以发生关联,并且通过关联可以导致我们去识别一些没有进行统计的数据,可以做出一些判断的时候,聚集到这样的规模,一个是体量的规模,一个是关联关系的这种建立的这样的一个数据规模的时候,它就可能会上升到国家安全层面。滴滴的相应的数据里面,其实首先每个人的数据汇到音量的时候就会有问题,就是我们每天到底有多少人在坐不同的车,你是打的专车,还是打的快车,还是打的出租车?你的个人的收入水平其实是可以来做一个现象的对比的分析。这些数据其实我们从国家安全角度来讲,国家的经济安全的角度讲,我们就可以去分析出我们现在的城乡人民的基本的消费能力等等,这个东西可以倒推出很多的数据。

滴滴还有一个特别要命的就是出行的数据,出行数据那就是企业数据,但是企业数据里面它又和个人的行为活动相关,最后导致的是什么?我们就可以去计算出来,正向的去计算。比如说最近网上都在15年7月份的时候搞了一个中央部委,哪个部委加班最多,哪个部委最忙,上班最早等等做了一个大数据的分析,这里面它做的正向,根据它的数据,其实可以反推很多事情,因为我们讲你想进到中南海里的车肯定是没有的,想进到核心部门的车也是没有的,他就会去看,在我们的地图上显示的时候,本来地图上由于涉密这个单位就没有标识,但是根据他的出行记录的数据的叠加,这个单位是可以被计算出来的,这些东西其实是要纳入到我们等一下会谈到的安全审查里面去。滴滴其实是没有做这样的数据的分类分级,因为没有做分类分级,他就支撑不了自己内部的安全审查,他自己的自查做不了,国家的安全审查其实它肯定是过不去的。我们前面讲网信办也好,其他的一些部门也好,一直跟他讲你要再等等,主要就是因为觉得它的数据的安全性审查其实是应该没过关的。这里面其实有一个打问号的一件事情,我们不太知道交通部这一块,滴滴是怎么做的工作,让交通部能够给他一个口头的承诺也好,内部的一个会议纪要也好,因为滴滴说有内部会议纪要,但是我们没有见到,但是我们一直很奇怪,交通部怎么会得出这样的结论,因为这块确实是交通部主管的,交通部作为依据网络安全法,依据数据安全法,作为一个行业的主管部门,他都应当去承担在这个领域的数据的安全的一些审查,但是他其实没有承担起来。这块其实也是中央领导对这个事情他比较震动的地方。你这个资本到底有多大的作用,我们这些部门都不好好干活,他有这样的一个心理。所以分级分类以及分级分类之间的这种转化,这一块其实它是一个专业性的问题,但这个专业性的问题的背后一定是要去考虑国家利益,考虑的是我们的经济安全、政治安全、民生安全等等。

 

3.网络安全审查

第二个制度,我们会看到这两天公告出来的,也是专门提到了,叫网络安全审查制度。网络安全审查制度其实是在我们的《数据安全法》里面专门提到了,我们要建数据安全的审查制度,具体的这个制度的描述是在网信办发的一个网络安全审查办法里,用这个网络安全审查办法,网信办相当于说拿到了一个授权,他来去对于影响或者是可能会影响到国家安全的一些关键的信息基础设施的安全,关键信息基础设施的运营者,他的活动的安全来进行审查。这一层下是有它的法律依据的,这里面它重点的去审的是关键基础设施,审的是关键信息基础设施的运营者,他们来采购网络产品和服务的行为,从产品和服务的安全性可能带来的这种风险的角度来进行审查。这块的专业性问题,我觉得其实大家这两天在网上可以看到很多的解读性文章,有很多的律所来做的一些解读,包括一些专家学者出来做的解读,我觉得他们讲的还是还是挺清楚的,包括还有一些示意图等等,大家可以在网上都能够搜到。

这里面除了《数据安全法》、《网络安全法》之外,还有《国家安全法》,所以这里面就是我们前面讲到数据的那件事情的时候,数据是个人数据、企业数据、平台数据和公共数据,这是最核心的,然后个人数据向前走会跟个人隐私保护相连接起来,公共数据向后走会跟国家的安全连接起来。国家的重要数据和国家核心数据这样的一个基本的层次,上面对应的核心的法律是《数据安全法》,向个人走是《个人信息保护法》,再往隐私走是《民法典》的人格权编,《数据安全法》向国家这边来走,那就是我们的《网络安全法》、《国家安全法》,大概是这样的一个布局。

在这里面《国安法》是专门强调要建立国家安全审查和监管制度,在国家安全审查这个大的概念里面,包括了国家的网络安全审查,国家网络安全审查其实就又再包括了数据的问题,因为只要具备这种数据的汇聚的这样的可能性的平台,目前监管部门有一个倾向,就是把他们都纳入到我们的关键信息基础设施的这样的一个概念当中去。当然这一块实际上在几个具体操作层面的这个标准推出的过程当中,目前很多的互联网企业还在据理力争这件事情,说不要把关键基础设施这个概念扩大化,不能够动不动就把一个企业直接归结到关键基础设施的运营者这个身份上去,这样的话企业压力会太大,而且在企业海外经营的活动当中也会受到一些限制,受到一些影响。这块本来是大家都处在一个不断去探索,不断去探讨,很多企业的法务的也在跟政府的做法律的也在不断的PK,其实是有来有往的,但是我现在觉得滴滴这事出来之后,可能未来的互联网的话语权一下子就被打压的快没了,可能会从比较强势的一个角度压下来之后,可能我们能争的可能性就不大了。此前有几轮征求意见的时候,我们看到其实还是把关键基础设施这个范围限定在了一定的范围里,并没有说完全扩大,但是接下来不好说,不是很好判断。

从网络安全审查的这件事情本身来讲,它具体的审查办法是去年的4月份发布的,去年发布之后当年的6月份生效,它的主要规定的内容是网络安全审查的一个基本的适用范围,审查的一些基本原则,主管部门,具体的操作部门,申报审查的一些材料应当有哪些,审查的程序和审查的内容和法律责任规定了一系列。

这里面它主要的网络安全审查的考量的因素,基本上是五个方面:第一个是产品和服务的使用,使用之后来带来的关键信息基础设施被非法控制,遭受干扰或者是被破坏,导致我们的数据特别是重要数据,甚至是核心数据被窃取泄露和损毁的风险。第二个因素是产品和服务的供应中断对于关键信息基础设施业务连续性的危害,就是本来你这个产品如果正常的运转,关键基础设施你保护的好好的也都没事,但如果说这个基础设施底盘没问题,但是你的产品断了,服务断了,造成信息基础设施的这种业务的完整性和它的数据的这种全量性,功能性下降,其实也是一种危害。第三个主要是产品和服务的这种安全性、开放性、透明性以及数据来源的这种多样性,供应渠道的是不是可靠。同时也考虑政治、外交、贸易这些因素会不会导致中断的风险,这是我们讲的第三个因素。第四个是相应的产品和服务者对中国法律法规的遵守情况,而且这里面专门提到部门规章,也就是说把未来的部门规章也包括进来了。第五个就是其他的,这里面强调的就是涉及到国家安全因素的,这是网络安全审查的基本考量。那么这是接下来滴滴可能会面对的网络安全审查的一些流程以及具体的要求。这是我们说的第二个制度,就是网络安全审查。

 

4.关键信息基础设施认定

第三个我们专门来看一下关键基础设施的安全保护,大家怎么去看?网络安全审查的对象是关键信息基础设施的运营者,要启动安全审查的时候,也就意味着我们审查的对象的主体必须符合这样一个条件。现在网信办已经把滴滴直接放在安全审查的对象里,那么也就是说,从网信办的角度来说,他们在执行层面已经认定了滴滴出行作为一个特殊的行业,从它的属性来判断,它是属于公路和水路运输行业领域的这种关键信息基础设施的运营者。

关键信息基础设施指的到底是什么呢?它最早是在网络安全法里面出现,有一条专门讲过,就是国家公共通信和信息服务(能源、交通、水利、金融、公共服务和电子政务等一系列的重要领域)一旦受到破坏,上市功能数据泄露就可能会影响危害到国家安全,这一类的关键信息基础设施是当时所确定的。

一旦确定(是关键信息基础设施)之后提的要求是什么呢?在一般性的网络安全等级保护制度的基础上,进行重点保护。同时,网络安全法当时就明确了,具体的关键信息基础设施的保护范围和安全保护的办法由国务院确定。其实网信办曾经弄过一个关键基础设施的安全保护条例,也做过征求意见稿,但是后来这个稿就一直扔在那没有动。我们通过侧面了解得知,网信办打算等到《数据安全法》出台之后再去做调整,所以17年他们出的这个意见稿一直扔在那,一直在等着《数据安全法》出台。那么今年《数据安全法》6月份发布,9月份开始实施,估计网信办马上就要开始重启这件事情。那么当时说中央的文件里面,其实对这个关键基础设施的安全保护已经有了一个基本范围的判断。那么这里面包括电信、广播、电视、能源、金融、公路、水路的运输,铁路、民航、邮政、水利、应急管理、卫生健康、社会保障,还有国防科技这一些行业领域,并且加了一个“等”,也就是说未来还可能有其他的一些领域也会纳入进来。在这些领域的重要的网络和信息系统运营者会视为关键基础设施的运营者,这就要求要考虑申报和安全审查。

再往下说一层,重要的网络信息系统又包括哪些?从种类上来讲,会包括基础的网络、大型专网、核心的业务系统、云平台、大数据平台、物联网工业的智能制造这样的一些自动控制系统,还有新型的通信设施等等都会纳入进来。

关键基础设施安全保护制度中基础设施是什么?基础设施的运营者指的是由相应的管理部门所认定的运营者,这其实是把权力给到了中央国家部委的具体的部门,这里面对应一些行业,比如工信部、能源、交通部、水利、金融、公共、国防科工委、银保监会、证监会、发改委等等,他们都会成为相应领域关键信息基础设施的保护工作部门。所以他们要定期的、不定期的,在管理范围之内,确定关键信息基础设施的运营者名单。现在看来,这个名单不大可能会大面积的公开,基本上是一对一的去做很多工作。根据中央曾经发布意见来看,最后各个部门要把名单的认定结果汇总到公安部,所以未来我们能看到公安部有各个行业的关键信息基础设施运营者的名单。

最新的立法动态就是:今年国务院的立法工作计划里面把这个列进去了,是由网信办牵头,工信部和公安部参与共同起草。这是我们讲的第三个制度,就是关键信息基础设施的这个事情。

这三项制度无论是说数据的分级分类的制度,还是网络安全审查制度,还是关键信息基础设施这个安全保护的制度,都和滴滴这个事件是密切相关的。换句话说滴滴在这几个方面做的准备工作并不到位,而网信办作为整个网络安全和数据安全的统筹部门,仍用比较明确且温和的态度(没有强制性的要求滴滴要怎么样,还通过很多的中介人去做说服工作,就担心滴滴会惹麻烦),结果滴滴还是选择这样的一种方式,确实是有问题。

 

滴滴事件对于互联网反垄断是有加速作用,并且直接把数据安全问题提到新高度,未来互联网监管的趋势主要有4个方向:

4.互联网监管趋势

1.反垄断继续深入推进

反垄断会进入一种常态化,从阿里的案例看,反垄断首先针对的是“二选一”,利润美团和饿了么是很明确会被处理的。

同时,会借着滴滴这件事情的影响,对并购案进行回溯,滴滴和优步当年并购的那个时候,反垄断的氛围没有那么强,那么现在是不是可能会被倒查,这件事情还在观察,而且这个可能性还是比较大。

再有,就是价格违法,最近市场监管总局和发改委的价格司都有动作,虽然他们之间的联动没有那么密切,但是我们看到不同的部委都在关注这种具有垄断地位的企业,它的定价权已经超出了市场化的比较合理的设置,可能国家会在价格这块有一定的动作。

反垄断还会有持续的对VIE架构的穿透,此前可能浅层次的看一看就够了,未来可能会对VIE架构进行穿透。

 

2.数据安全成为重点

数据安全接下来会成为监管新的重点,国内的几个大的互联网企业,掌握很大量的商业、金融数据等。同时,例如阿里云的业务板块,涉及比较多企业和平台数据,这个肯定是数据治理的焦点。腾讯其实也是一样,腾讯也会成为新的关注点,就看这两家接下来怎么去应对这件事情。从腾讯来讲,一方面是腾讯本身比较重视数据安全这些事,能够看到他们此前有一些准备,另一方面腾讯本身更多的是积累的社交数据,社交数据其实在今天我们打个不恰当的比方,它已经沉到了底层,就像我们原来的电信行业这样的角色,它的数据安全更多的是侧重在数据是否泄密的问题。从国民经济安全的角度,它的数据社交数据和各个行业的相关性远不如阿里,所以可能接下来阿里数据的被关注的可能性更高。再有就是其他的几个企业,像美团、京东、拼多多这种电商类的,他们的数据都会被从这个角度关注。

数据是重要的战略资源,如果加大监管力度,未来国家有可能将重要数据从各个企业经营管理的范围之内抽取出来,把它当成重要战略资源去搭建治理体系。

另外,我们看到的是数据安全这块,互联网监管的重点可能是要求大家做分级分类,那他会一层层压下来,网信办手里没有具体的行业,他可能会牵头去压各个相关的部委,你这个部、这个行业领域要赶紧出分类分级,从国家层面定了之后,各个企业、各个领域的管理部门要跟上,你要按照分级分类去做好像相应的风险防控,对应的企业层做好企业层的风险防控,然后国际的、跨境的监管肯定要不断的提高门槛。

再有,此前国内有一些数据泄露的“黑天鹅”事件,虽然也很严重,处理的也很重,但是基本上就过去了。我们是担心接下来如果再发生相对大规模的数据泄露问题,可能会刺激监管部门做出更剧烈的反应从而加重打击,这会对各个互联网企业的底层数据安全的技术能力的要求会越来越高。这是我们看到的数据安全和数据治理角度的几个层次,最关键的是我们政治的角度,国际政治的角度,数据主权的问题。因为数据主权和数据空间这些概念都是中央提出来的,而且是一号提出来的。比如去年9月份王毅在外面发表了《全球数据安全倡议》,提出了一个中国解决方案,倡议了六七条,大概是基本的一些原则。这里面其实是提到了互联网上也有主权的概念,通过安全倡议把它明确下来,所以主权到底怎么捍卫,数据主权是最关键、最基础的一个东西。这是我们看的监管趋势的第二个方面,就是数据安全和治理会转为一个新的重点。

 

3.强化对资本无序扩张的控制

对于控制资本无序扩张还会继续加重,对于中国企业赴美上市的节奏、数量、规模和企业的影响力肯定会有控制。中央可能会因为滴滴的这件事情,一改以往的这种柔性的态度,可能会变成强硬的态度,甚至不排除出相应的法律法规或者文件。

中国企业在美国上市必须经过审核,滴滴这次最坏的影响就是破坏了基本的信任关系,本来企业和监管部门之间虽然地位不平等,但有一个相对的默契,但是这么一搞,用很严重的一个词叫阳奉阴违,监管部门大家对信任度就没了。

还有就是国内大平台企业的拆分问题和投资不能够进一步扩张的反向控制的问题,都会成为接下来的一个趋势,大平台有些业务需要拆分掉,像蚂蚁已经处理过了,然后就是这几家巨头,特别是阿里和腾讯这两家投了这么多企业,你此前投的可能也就算了,那再往后面你要去投资,会不会有一些新的限定范围?从反垄断的角度或者其他的角度都来提,其实打击的是资本控制和资本扩张。

 

4.未成年人保护依然是重点

未成年人保护,听起来可能会是不太重要的一件事情,但他在中央高层的重视程度不亚于其他的事情,因为它直接关系到我们国家的未来。大家看到最近在教育市场的动作,其实它是有从未成年人保护的角度,当然深层次还是对政治和意识形态的管控。很多的校外培训机构,在做主科K12的学科类教育的,它的师资力量参差不齐,从行业角度来讲,它的占比很小,但若干案例通过内参的形式上去之后,就会让高层觉得我们教育当中的意识形态是失控的,所以还是要把这个抓回来。高层会拿未成年保护来说事,背后其实还是会回到国家安全和政治安全。总的来讲,互联网监管的变化趋势,最终都会顺着国家安全和政治安全的脉络走,这个和我们今天看到的这整个的国际形势是相吻合的。

原文连结明镜声明DMCA 政策

相关新闻

猜你喜欢

六度新闻