《金融科技(FinTech)发展规划(2019-2021年)》的收官之年,数据安全问题成为了绝对主角。
近日,网络安全审查办公室,对“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”进行安全审查,随后,中办、国办的发文中提及跨境数据流动、涉密信息管理等问题,数据安全问题一下成为焦点问题。
据悉,6月10日,人大常委会通过了《数据安全法》,9月1日起开始正式实施。
掌握大量数据的互联网平台,在《数据安全法》正式实施前,跑去美股突击上市,网络安全审查办公室出手进行网络安全审查。这表明,涉及数据安全问题,尤其是跨境数据安全问题,监管部门是绝不会含糊的。
而根据央行此前透露的消息,《数据安全法》出台之后,央行将会跟进,适时推出《个人金融信息保护暂行办法》,对金融数据的保护也将升级。审查中概股背后7月2日,网络安全审查办公室启动了对“滴滴出行”的网络安全审查。审查期间,暂停新用户注册。7月4日,因严重违法违规收集使用个人信息,国家互联网信息办公室通报下架“滴滴出行”APP。
消息一出,市场一片哗然。
要知道6月30日,滴滴出行刚在美国纽交所挂牌上市,募资44亿美元,市值一度突破800亿美元。然而7月2日就被网络安全审查,两件事情时间节点之近,自然引发诸多的猜测和解读。
7月5日,网络安全审查办公室对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。为了防止风险扩大,审查期间,以上所有APP同样停止新用户注册。
至此,至少可以明确,这轮网络安全审查围绕的主题离不开数据安全问题。
此次审查的影响会有多大呢?
2020年4月,国家互联网信息办公室等12部门联合发布了《网络安全审查办法》。根据《网络安全审查办法》,网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,网络安全审查通常情况下在45个工作日内完成,情况复杂的会延长15个工作日,进入特别审查程序的审查项目,可能还需要45个工作日或者更长。
也就是说,被审查的“BOSS直聘”等APP,至少45个工作日内会停止新用户注册,甚至会是60天、105天或者更长时间无法注册新用户。
可以说,不但持续时间长,影响的范围也很大。这从一个侧面可以看出,对于数据安全问题,尤其是有可能造成数据出境的问题,监管这次是“动真格的了”。
更高层面的表态还在后面——中办、国办发文,则将中概股监管及数据安全问题,上升到了另一层面。
7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,并发出通知,要求各地区各部门结合实际认真贯彻落实。
消金界注意到,《关于依法从严打击证券违法活动的意见》的第五部分提出,要进一步加强跨境监管执法司法协调,面对中概股可能带来的问题,直指要完善数据安全、跨境数据流动、涉密信息管理等相关法律法规,压实境外上市公司信息安全主体责任。加强中概股监管。切实采取措施做好中概股公司风险及突发情况应对。
看到这里,“BOSS直聘”等APP被网络安全审查的逻辑就很清楚了——这些中概股,都是掌握了大量国内数据的互联网平台,在国内相关法律和对中概股的监管办法没有完善之前,在目前美股监管环境下,存在数据安全风险。
中办、国办为打击证券违法活动联合发文,在我国资本市场还是第一次。而中概股的风险,数据跨境流动带来的数据安全问题,也以这种高规格的方式提了出来。
和中办发文同样值得注意但容易被忽略的一点是——即将要实施的《数据安全法》。
6月10日,人大常委会通过了《数据安全法》,9月1日起开始正式实施。
《数据安全法》对关系国家安全的数据实行更严格的管理,对重要数据出境管理的审查也将更严格,最重要的是《数据安全法》将压实信息主体的法律责任。
在这个关键时刻,从企业角度看,尽快上市似乎成为了“明智之举”。但正在整改中的蚂蚁集团,已是前车之鉴。
此前,金融监管部门在制定《网络小额贷款管理办法》以及《互联网贷款管理办法》,这两个法规,无论那个都会对蚂蚁集团的经营、估值产生重大影响。蚂蚁集团想赶在监管形成合围之前上市,可最终被叫停,之后便是约谈、整改。
这次,站在监管角度,也许更希望这些互联网平台在《数据安全法》正式实施之后,再启动上市。到时候执法监管层面将更有法可依。
金融领域很快跟进
在政策密集关注数据安全的同时,至上自下,这一问题已传导至金融行业。
据悉,在《个人信息保护法》与《数据安全法》出台以后,央行会适时推出《个人金融信息保护暂行办法》,规范个人信息在金融领域的使用。
而据WEMONEY研究室获悉,人民银行征信管理局给网络平台机构下发通知,要求网络平台实现个人信息与金融机构的全面“断直连”,强化个人信息保护与个人征信持牌经营。
金融行业本来就是信息密集型的行业,金融机构中沉淀了大量的数据。信息泄露、电信诈骗问题一直都层出不穷。一旦发生大规模信息泄露的话,公众的财产安全、行业信誉、国家利益都有可能受到影响。
在数据安全问题上,金融领域一直算走在前面的。金融监管部门很早就意识到了数据安全的问题,尤其是央行,相关负责人从去年开始就在不同场合不断的喊话,强调金融数据安全。
2020年,在金融街(000402,股吧)的论坛上,央行行长易纲提到了大数据出境的问题。
易纲认为,金融科技的发展和大数据的运用推动了整个金融业向数字化方向转型,但与此同时,也造成了商业秘密和个人隐私保护、数据鸿沟等问题。大数据很容易跨境,在大数据时代和金融科技时代、数字化时代,更要加强国际合作。
银保监会郭树清郭树清则表示,所有金融机构都要抓紧数字化转型,但必须高度重视网络安全、数据隐私、寡头垄断等风险挑战,确保市场公平和金融稳定。
而央行副行长范一飞的表述则更为直白——数据安全的保护已经刻不容缓。
值得关注的是,虽然《个人金融信息保护暂行办法》还没有出台,但央行科技司已经紧锣密鼓的发起、起草了多个规范性文件,制定金融行业标准,据消金界统计:
2020年9月,央行发布了《金融数据安全数据安全分级指南》,给出了金融数据安全分级的目标、原则和范围,明确了数据安全定级的要素、规则和定级过程,并给出了金融业机构典型数据定级规则供实践参考,适用于金融业机构开展数据安全分级工作,以及第三方评估机构等参考开展数据安全检查与评估工作。
2020年11月,央行发布了《多方安全计算金融应用技术规范》,规定了多方安全计算技术金融应用的基础要求、安全要求、性能要求等,适用于金融机构开展相关产品设计、软件开发、技术应用等。
2021年2月,央行发布了《金融业数据能力建设指引》,明确了金融业数据能力建设遵循用户授权、安全合规、分类施策、最小够用、可用不可见等五大基本原则。其中,在安全合规中明确,要遵循国家法律法规、管理制度,符合国家及金融行业标准规范,建立健全数据安全管理长效机制和放护措施,严控访问权限,严防数据泄露、篡改、损毁与不当使用,依法依规保护数据主体隐私权不受侵害。
2021年4月,央行发布了《金融数据安全 数据生命周期安全规范》,首次明确定义了数据安全的原则,包括合法正当原则、目的明确原则、选择同意原则、最小够用原则、全程可控原则、动态控制原则、权责一致原则,为金融单位在的数据安全建设提供了参考意见。与此同时,还明确了金融数据在进行采集、传输、使用、删除、销毁的整个过程中的详细要求。
这几个金融行业数据标准都由央行科技司负责起草。
消金界注意到,此前在上海陆家嘴(600663,股吧)论坛上,央行科技司司长李伟表示,金融科技的创新往往以海量数据(603138,股吧)为基础,如何确保数据安全是首先要考虑的事情,要把数据安全作为发展金融科技的一个底线和红线。
而此前,李伟还指出过,“用户越来越聚集某一个场景之下,数据也加速到少数巨头那里,信息安全风险加大。”
可以看到,金融监管部门对数据领域存在的问题认知是很深的,早已看到数据聚集到个别互联网巨头以及数据容易出境的风险,并且将数据安全视为底线和红线。
尤其是今年是《金融科技(FinTech)发展规划(2019-2021年)》的收官之年,金融监管部门有足够大的动力来推动《个人金融信息保护暂行办法》,为规划画一个圆满的句号。
所以,如果一直关注人大、央行等在数据安全领域的动作的话,对互联网平台巨头的网络安全审查,其实并不难理解,甚至是必然的。
《个人信息保护法》与《数据安全法》这些法律的推出,势必会影响到这些平台的运营、上市、估值。但在数据方面,国人个人数据几近裸奔的时间已经太久,况且还涉及数据出境的风险,互联网企业应该负起数据安全的责任来。
如有意见和建议想和文章作者交流,请发邮件至作者邮箱:xuyingxia@xiaojinjie.com.cn
此文为消金界原创稿件,未经允许谢绝转载,否则将追究法律责任。
视频看点
曾经的绩优股苏宁,为何沦落至卖股权求生存?
往期回顾
助贷模式再调整!蚂蚁集团整改方案引发行业巨变?
喜马拉雅连年亏损赴美上市,流量变现道阻且长
推文乱序显示,点击在看及时收到我们的文章
本文首发于微信公众号:消金界。文章内容属作者个人观点,不代表和讯网立场。投资者据此操作,风险请自担。
(李显杰 )