方兴东:中国互联网企业需补上“合规”欠账
作者/方兴东
近日,网络安全审查办公室陆续发布对多个互联网企业启动网络安全审查的公告,引发强烈关注。显然,这是我们国家深入“强化反垄断,防止资本无序扩张”的新进展,更是中国网络安全制度落地的新举措。
结束中国互联网野蛮生长阶段的呼吁,已经有几年了。所谓结束野蛮时代,指的是除了有系统的规则、良好的制度,更需要制度的真正落地,形成真正健康的秩序。这一次全面激活中国网络安全审查机制,预示着中国互联网企业将正式告别野蛮生长阶段,树立合规意识将成为中国互联网企业发展的重要战略。
《个人信息保护法》将于8月进入三审,不出意外即将落地,再加上9月1日将正式实施的《数据安全法》,围绕数字时代的基本制度建设基本成型,也意味着将进入制度落实阶段,即合规阶段。无论是过去的无法可依,还是法不责众,或者只是不痛不痒,那样的互联网发展时期已经过去。在新阶段,互联网企业需要真正把依法合规作为企业持续经营的重要组成部分。
从制度建立到制度落实,是一场漫长而艰苦的长征。《反垄断法》2008年8月1日就已经生效,但在中国互联网领域真正形成有效判罚却是等到2020年底。《网络安全法》自2017年6月1日起施行,迄今已经4年多。围绕个人信息收集、网络安全审查、关键信息基础设施保护,数据跨境流动等原则性规定都已在其中得以明确。但是,“二选一”、个人信息过度收集、大数据杀熟等依然愈演愈烈。制度落实是一场远比我们想象更为艰巨的能力建设工程。
《国家安全法》《网络安全法》《数据安全法》和《个人信息保护法》等作为上位法,完成立法很重要,而实施落地则难度更大更复杂。以《网络安全法》中最核心的关键信息基础设施运行安全为例。涉及到关键信息基础设施的界定、监测、防御、处置、评估、评测、审查等一系列问题,需要细化和细则,需要一系列配套法律法规,需要相关执行部门和支撑机制与能力。
拥有海量用户,事实上成为数字时代基础设施的中国互联网巨头,无疑是国家网络安全的重要组成部分。但是,它们过去一直处于放任的野蛮生长状态。除了个人信息收集和数据跨境流动等长期存在的问题外,资本层面也存在巨大隐患。几乎中国所有互联网巨头,都由风险投资驱动,并在海外上市。这些企业当年为了发展需要,通过VIE结构,也被称为“协议控制”,境外的上市实体通过协议的方式控制境内的业务实体。我国在互联网、新闻传媒、教育、金融等特定领域对外资进入存在限制,但通过VIE结构,外资绕过很多投资限制的政策,进入中国互联网所及的几乎所有领域。不可否认,VIE结构当年对中国互联网的发展有着重要贡献,但是,现在通过VIE结构,包括国内团队在内的所有股东、中国几乎所有互联网企业的权益事实上都在国外。这种倒挂局面,无疑已经成为国家网络安全存在的巨大隐患。因此,这些中国互联网企业应该如何走出VIE结构的灰色地带,走向更加合理化和正常化的公司治理结构,既满足国家网络安全需要,又有利于企业融资上市,继续产业开放、良性的发展,都需要进行整体的制度设计和重构。
总之,接下来,中国互联网企业必须走出过去野蛮生长的舒适区,适应中国新的制度环境和网络治理的基本要求。合规意识和能力,既是中国互联网企业风险管理的重要体现,也是企业应对越来越复杂的国际环境、谋求更强确定性的必由之路。短期内,合规工作是企业的成本,但是,长期来说,这是企业竞争力的重要体现。
今天中国互联网存在的很多问题,几乎都是因为缺乏依法合规意识造成的。这是一笔长期的“欠账”,也是时不我待的“补课”。尤其是数据层面,无论是收集、处理、使用、存储和删除等全生命周期的各个环节,互联网企业凭借自己的垄断地位或者缺乏监督的“黑匣子”状态,一直游离在制度之外。这一轮安全审查开启中国数据安全治理的大幕,也触动中国互联网最深层次的疑难杂症。
制度已立,如何依法合规,是网络安全的前提,也是国家治理能力的体现。制度面前,国内外企业一视同仁。欧美企业在依法合规方面的重视程度和专业能力,值得中国企业学习。显然,真正结束野蛮生长状态,需要伤筋动骨,需要付出代价。但这是中国互联网企业本来就应该做的,也是中国互联网企业树立全球竞争力的必由之路,更是积极维护国家网络安全的使命所在。(作者是浙江大学社会治理研究院首席专家,全球互联网口述历史(OHI)发起人)