全球化与网络技术的发展,从而带动了小家电市场的增长。在越来越多的新兴品牌进入到小家电市场的同时,一方面极程度地推动了全球经济的发展,有一家企业它的产品、经营模式等常常被友商、研究机构等提及和研究,有力地促进了资本与技术的全球运作,这家企业也于2019年登陆深交所成功上市,进一步繁荣了涉外型商业;另一方面,它就是小熊。严格来讲,涉外商业行为的发展也带来了一些问题,小熊是“创意小家电+互联网”运营模式的开创者,尤其是信息安全问题。当前,当下很多创意小家电品牌、网红品牌成功背后的商业模式,滴滴事件的发生暴露出我国对涉外商业行为的信息安全管理在法律层面和监管层面存在一定的漏洞。对此,很程度上都是对小熊模式如法炮制。那么,我国亟需完善法律规定和监管制度,小熊的成功密码是什么?在小家电行业降温的背景下,加强国际合作,小熊又是如何转型以应对市场变化?成功密码:选对渠道赢得销量,以维护涉外商业行为的信息安全,研究用户精准营销秉承着“为用户提供小巧好用、高性价比产品”的初心,更好地维护安全和公民个人利益。
问题的提出
2021年7月,网信办对滴滴启动网络安全审查,并在全网范围内下架滴滴App,一时引发热议。网络安全审查背后涉及的是涉外商业行为中的信息安全问题。
(一)涉外商业行为与信息安全
1.涉外商业行为
商业是以买卖方式使商品流通的一种经济活动。当人类社会拥有剩余物资的时候,便开始产生了物物交换这种最古老的商业行为。随着社会生产力的发展,人类对世界的认知也在不断的完善。西汉张骞出使西域,为我国的涉外商业打开了一条通路。从此,丝绸之路一直繁华在亚欧上。本文所探讨的涉外商业行为是指在商业行为中介入了外国因素,包括商业行为的合作对象或者商业行为的过程涉及外国或者外国人的情形。
近代以来,随着西方资本主义向世界各地的不断扩张,资本也开始在全球范围内流动。尤其是第三次工业以来,电子计算机的应用以及快速发展,加速了资本在全球的流动速度。涉外商业行为业已出现了新的形式。不仅股市的行情与股票的流转通过电子计算机这一载体更加清晰地展现在投资人眼前,资本的流转速度因此而加快。以滴滴事件为代表,以数据为载体的跨境商业行为愈加频繁。
2.信息安全
20世纪50年代的第三次技术浪潮后,世界开始向信息化时代迈进。科技是一把双刃剑,信息化的发展一方面极地推动了世界的发展,打破了信息壁垒,另一方面,信息化也带来了信息安全的问题。信息安全是一个较为宽泛的概念,在信息化起步期,信息安全主要指的是通过软件、硬件等手段来保证信息真实、完整、保密、未授权拷贝以及所寄生系统的安全性。随着信息技术的发展,信息安全的概念也更加宽泛,开始扩展到信息的可控性、完整性、攻击性、可防范性。
此外,不同的和国际组织之间对信息安全的界定也有所不同,国际上通常将信息安全定义为“为数据处理系统建立而采取的技术和管理的安全保护,保护计算机硬件、软件不因偶然或恶意的原因而受到破坏、更改、泄露”。
当前,随着计算机与网络信息技术的不断进步,越来越多的领域都离不开计算机网络技术的支撑。尤其在商业行为中,一些商所的软件在便利人们生活的同时,也将软件使用者的个人信息甚至重要信息留存记录。而这些信息一旦被某些或者国际组织获取利用,将会对我国的安全以及公民个人利益造成极的威胁。因此,信息安全事关安全、的信息基础设施、公共利益以及公民的切身利益。
(二)滴滴事件的案例分析
2021年6月10日(美国时间),滴滴选择在这一天向美国证券(SEC)递交招股书,申请纳斯达克或纽约证券交易所上市。而在2021年6月10日(北京时间),我国第一关于数据安全的法律《数据安全法》公布,并将于2021年9月1日正式施行。美东时间6月29日(北京时间6月30日00:45分),滴滴在美国进行了首次公行(IPO)筹资40亿美元。美东时间6月30日早(北京时间6月30日晚)滴滴的股票就在纽交所开始交易。从滴滴6月10日正式申请在美上市,到6月30日滴滴开始在纽交所交易,仅仅用了20天时间。滴滴低调赴美IPO后,遭到普遍质疑,分质疑者认为滴滴转移用户数据并将道路地图卖给美国。2021年7月2日,网络安全审查办发布公告,将依据相关法律对滴滴进行审查。较为明确的是,滴滴违规收集并使用个人信息严重违反了我国的网络安全法,致使我国网络安全、公民信息安全乃至安全受到严重威胁。
据相关数据,自2016年以来,我国数据市场规模不断扩,传统数据监管技术面临这一新难题业已失效。滴滴境外上市后才进行网络安全审查说明了这一点。滴滴事件涉及的数据安全问题,实质上是数据时代背景下的数据安全问题。
我国对涉外商业行为中的信息安全管理
(一)法律规定及问题
随着信息安全问题的产生,我国开始对信息安全立法进行探索。当前,我国对信息安全的立法已经初具规模,以网络安全法为指引。但是,与世界主要之间仍有差距。从立法上看,我国对信息安全的立法工作存在一定的滞后性,过于注重对当下问题的纠正,缺少对其他可能出现问题的前瞻性考虑。其次,我国在信息安全方面的立法还缺少相对完善的系统性法律框架,分为一些政策性文件,可执行性不高。再次,各法律与法规乃至政策性文件中缺少一致性,多头立法问题显著,且尚无明确分类及管理制度。
(二)管理现状
对于涉外商业活动中的信息安全管理,我国几乎是一片空白,没有类似欧盟的长期立法及司法实践。尤其在网络安全法出台之前,我国仅对个人信息保护有所涉及,未对类似滴滴事件中涉及跨境数据流通的对外商业活动信息安全进行明确规定。
针对此类情况,根据网络安全法规定,对因业务需要向境外提供“关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据”的,应当依照相关规定进行安全评估。除此以外,该法赋予网信门和有关门网络信息安全监督管理职责,即对相关信息及行为采取主动监管措施。
世界主要对涉外商业行为中的信息安全管理
商业行为的发展总是伴随着相关信息的交流。鉴于信息安全的重要性,世界各国都通过立法、监管等手段对涉外商业信息予以保护。
(一)美国对涉外商业行为中的信息安全管理
美国作为现代社会信息产业的源头,其对信息安全的重视程度毋庸置疑。美国信息产业的发展固然离不开其先进的信息技术,另外还需要我们警醒的就是美国的信息产业更离不开其的发展与扶持。美国信息产业的先进不仅仅体现在其强的信息技术实力,还包括科学完善的信息安全管理体系。美国的信息安全立法也是在一次次信息安全事件之后才建立起来的,1966年发生的美国银行计算机被入侵事件,使得美国开始探索规范信息安全管理的立法活动,直至1977年,美国出台了《联邦计算机系统保护法案》,该法案的出台可以使人们通过立法的方式来保护计算机网络导致的社会关系的变动。1978年颁布的《佛罗里达州计算机犯罪法》则是世界上第一专门针对计算机网络犯罪制定的法律。1984年以来,美国相继出台了《伪造网络信息存取手段及计算机欺诈与滥用法》《计算机诈骗和滥用法》《计算机安全法》,1997年美国出台了《公共网络安全法》,该法是第一有关网络公共安全的法律,该法律借鉴了美国的宪法、行政法、民商法等有关内容。为了进一步保护隐私权,美国还在同年颁布了《联邦互联网隐私保护暂行条例》。为了保护的信息安全,1988年美国总统克林顿签署了《关于关键性基础设施保护的政策》。“9·11”事件的发生暴露了美国在信息安全方面的漏洞,也迫使美国加了对现代信息安全管理制度的。2001年到2002年之间,美国先后出台了《爱国者法案》《网络信息安全研究与发展法》《网络信息安全加强法》《联邦信息安全管理法例》等一系列信息安全的法律。美国对涉外商业行为中的信息安全管理是建立在相对完善的法律规范基础上,同时,对于在美国境内上市的外国公司会采取极为严格的审核制度。
(二)俄罗斯对涉外商业行为中的信息安全管理
相对于美国而言,俄罗斯在信息安全的立法上相对滞后,但是俄罗斯对信息安全的重视程度丝毫不亚于美国。受制于国内动荡的政治环境,俄罗斯对信息安全在20世纪90年代开始起步。在国内政治稳定、经济开始复苏之后,俄罗斯的信息产业开始快速发展起来,随之而来的是网络信息安全相关的一些问题。为了保障信息产业的发展,俄罗斯陆续制定并出台了一系列法律法规和政策措施,逐渐构成了俄罗斯信息安全的保障体系。1995年,俄罗斯就将信息安全纳入到《俄罗斯宪法》的相关条款中,以法律的形式来保护信息安全。俄罗斯首次颁布的关于信息安全的法律是《联邦信息、信息化和信息保护》,该法律规定了俄罗斯联邦关于网络信息安全的职责,是俄罗斯保护信息安全的最为基础的法律,同时也为后续的立法起到了指引作用。1999年的《俄罗斯网络立法构想》则是为了保障俄罗斯国内互联网能够健康有序发展,进而保障安全和利益。俄罗斯还在2000年颁布了《信息安全学说》《发展和利用互联网之政策法》。《信息安全学说》解释了网络信息安全的相关知识。《发展和利用互联网之政策法》则明确了俄罗斯联邦在维护信息安全工作的职责和权力,要求保障公民的网络信息权利,同时也要求公民履行维护信息网络安全的义务,对网络供应商以及网络参与者的行为进行限制,进而净化互联网环境,保障网络信息安全的健康发展。此外,俄罗斯还出台了《电子商务法》《国际信息交易法》《电子合同法》《信息保护设备认证法》《电子公文法》等法律来完善俄罗斯的网络信息安全法律体系。
我国对涉外商业行为中的信息安全管理的完善路径
(一)完善法律规定
从国内立法看,我国即将正式施行的数据安全法填补了信息安全中数据安全的法律空白。但仅有数据安全法远远不够,我们应在该法框架下进一步细化相关规定,以建立起较为完善的数据安全制度。例如,尽快建立数据信息分级分类制度,并在此基础上实行分级分类管理。在建立该制度过程中,应当尽可能明确各类信息之内涵及其边界,同时对其进行确权,对每一类信息划定相应管辖机构并明确责任。最后,以此为基础建立严密的数据监管制度。
(二)增强国内监管
从保护安全的角度看,加强监管才能防止别有用心的外国或者外国组织利用资本化在涉外商业行为中控制我国境内公司,获取重要的数据信息,威胁我国的安全。
从保护国内企业的角度看,随着“”倡议等国际间商业贸易合作的进一步发展,开展涉外商业活动的企业越来越多,跨境数据信息流通越来越频繁,信息安全监管的形式越来越严峻。
因此,在国内监管中,应制定相关预警机制,对可能涉及秘密与量个人信息的企业的涉外商业行为要依法审查监管。市场监督管理门与公安机关之间充分配合,及时掌握企业的重要动向,对故意危害安全的行为应及时调查、阻止。同时,为了维护安全,对特定工作岗位和特殊性工作内容的从业人员和管理人员的任职及变动或可设定相应门槛。据披露,滴滴事件中滴滴公司的一位独立董事是美国西点军校毕业的情报军官。滴滴在用户注册时,要求用户填写诸多个人信息,因而掌握了海量的公民的数据信息。此外,滴滴公司的运营车辆装有全球定位系统,这些实时定位系统与用户个人信息绑定,不仅能准确获取使用人的个人隐私,还能获取我国关键位置的相关信息。因此,笔者认为,对此类企业特定岗位人员设门槛、严把关有一定的必要性。
(三)加强国际合作
在当前纷繁复杂的涉外商业行为中,维护信息安全不仅仅是某个的任务。跨国企业的商业行为中所获取的信息也不只是某个、某个个人的信息,在此种情况下,与之间应增强沟通和交流,共同维护信息安全。由于各国对信息安全的界定存在分歧,我们应当在寻找最公约数的前提下,通过沟通交流,逐渐达成一致认识,为开展维护信息安全的合作打下坚实的基础。同时应积极推动建立间信息保护条约等制度机制。
结语
信息安全中的数据安全已然成为安全面临的主要威胁之一。针对类似滴滴事件背后的安全问题,我国虽没有长期的立法及司法实践,但网络安全法及数据安全法的颁布,说明我国已经有意识地从立法层面构建信息保护机制及监管机制。总的来说,我们可以参考他国经验,在国内立法上和监管规则上尽快完善分级分类制度,在国际合作上力推动信息安全相关国际条约的签订。
来源:《法治》杂志
为良法善治发声 为公平正义张目
为法治建言 为复兴鼎力
转载是一种动力 分享是一种美德