國家互聯(lián)網信息辦公室等十三部門聯(lián)合修訂發(fā)布《網絡安全審查辦法》（以下簡稱《辦法》），自2022年2月15日起施行。此次修訂在原有基礎上，進一步細化和強化了對網絡平臺運營者，特別是大型互聯(lián)網企業(yè)（俗稱“互聯(lián)網大廠”）的數(shù)據(jù)安全與網絡安全監(jiān)管要求，為其戴上了新的“緊箍咒”。本文將梳理新規(guī)核心要點，并分析互聯(lián)網大廠面臨的主要挑戰(zhàn)與應對方向。

一、 新規(guī)核心要點：聚焦數(shù)據(jù)處理與平臺責任

此次修訂的《辦法》重點圍繞“數(shù)據(jù)安全”和“平臺責任”兩大核心，對網絡平臺運營者提出了更系統(tǒng)、更嚴格的要求：

1. 審查范圍擴大，聚焦數(shù)據(jù)處理活動：明確將“數(shù)據(jù)處理活動”納入網絡安全審查范圍。這意味著，互聯(lián)網大廠不僅需要關注傳統(tǒng)意義上的網絡運行安全，更需對其海量用戶數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等全生命周期活動進行合規(guī)管理，防范因數(shù)據(jù)處理帶來的國家安全風險。

1. 審查門檻明確，壓實平臺主體責任：規(guī)定了網絡平臺運營者赴國外上市必須申報網絡安全審查的具體情形，特別是掌握超過100萬用戶個人信息的運營者。這直接針對了此前部分企業(yè)“帶病出海”、數(shù)據(jù)跨境流動風險管控不足的問題，要求企業(yè)將國家安全和數(shù)據(jù)安全置于商業(yè)決策的前置考量位置。

1. 風險評估前置，強調供應鏈安全：《辦法》要求，網絡平臺運營者采購網絡產品和服務，影響或可能影響國家安全的，應當進行網絡安全審查。這促使大廠必須對其供應鏈，尤其是關鍵信息基礎設施的供應鏈，進行更嚴格的安全評估，防止因使用存在安全隱患的產品服務而引入系統(tǒng)性風險。

1. 審查因素細化，關注數(shù)據(jù)控制風險：審查重點評估核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被竊取、泄露、毀損、非法利用或出境的風險，以及國外上市后關鍵信息基礎設施、核心數(shù)據(jù)、重要數(shù)據(jù)或大量個人信息被國外政府影響、控制、惡意利用的風險。這直接指向了數(shù)據(jù)主權與控制權問題。

二、 互聯(lián)網大廠面臨的“新緊箍咒”

基于上述規(guī)定，互聯(lián)網大廠在以下方面將面臨更直接、更具體的合規(guī)壓力：

1. 數(shù)據(jù)治理體系亟待升級：企業(yè)不能再滿足于基礎的隱私政策或數(shù)據(jù)加密，必須建立貫穿數(shù)據(jù)全生命周期的、系統(tǒng)化的治理架構。這包括數(shù)據(jù)分類分級、權限精細化管理、數(shù)據(jù)流轉監(jiān)控、數(shù)據(jù)出境安全評估機制等，確保數(shù)據(jù)處理活動合法合規(guī)且風險可控。

1. 資本運作路徑需重新評估：對于有上市計劃，尤其是考慮境外上市的企業(yè)，必須將網絡安全審查作為必經程序進行規(guī)劃。上市時間表、架構設計、信息披露等均需充分考慮審查要求與潛在的不確定性，融資與擴張策略面臨調整。

1. 供應鏈安全管理責任加重：從服務器、數(shù)據(jù)庫軟件到第三方SDK、云服務，大廠需對其技術供應鏈進行全面的安全審查與持續(xù)監(jiān)控，建立供應商準入與退出機制，確保供應鏈的可靠性與安全性，責任鏈條進一步延伸。

1. 合規(guī)成本與運營成本顯著上升：建立并運行符合新規(guī)要求的數(shù)據(jù)安全治理體系、設置專門的合規(guī)團隊、進行常態(tài)化的安全審計與評估、應對可能的審查程序，都將帶來巨大的人力、物力與財力投入。

1. 業(yè)務創(chuàng)新與數(shù)據(jù)利用的平衡更難把握：在利用數(shù)據(jù)驅動業(yè)務增長、進行算法推薦、開展精準營銷的必須嚴格遵循“最小必要”原則，防止過度收集和濫用。如何在合規(guī)框架下繼續(xù)挖掘數(shù)據(jù)價值，成為擺在所有大廠面前的現(xiàn)實難題。

三、 應對之道：從被動合規(guī)到主動治理

面對新的監(jiān)管環(huán)境，互聯(lián)網大廠不應僅視其為約束，更應將其視為推動自身轉型、構建長期競爭力的契機。

1. 戰(zhàn)略層面高度重視：將數(shù)據(jù)安全和網絡安全提升至企業(yè)核心戰(zhàn)略高度，董事會與管理層需直接負責，確保資源投入與戰(zhàn)略執(zhí)行。

1. 構建縱深防御體系：技術層面，加強基礎設施安全防護，應用隱私計算、可信執(zhí)行環(huán)境等新技術降低數(shù)據(jù)濫用風險；管理層面，完善內控流程與審計機制，建立覆蓋全員的安全意識培訓文化。

1. 擁抱透明與可控：主動向監(jiān)管機構、用戶和社會展示其數(shù)據(jù)保護措施與成效，增強透明度。在數(shù)據(jù)跨境、重要業(yè)務系統(tǒng)變更等關鍵決策上，建立內部嚴格的審查與控制流程。

1. 探索合規(guī)與發(fā)展新模式：在合法合規(guī)前提下，探索數(shù)據(jù)要素市場化配置的新路徑，如發(fā)展隱私保護下的數(shù)據(jù)協(xié)作技術、參與數(shù)據(jù)交易所試點等，將合規(guī)要求內化為新的業(yè)務能力。

新修訂的《網絡安全審查辦法》標志著中國網絡空間治理進入以數(shù)據(jù)安全為關鍵抓手的新階段。對于互聯(lián)網大廠而言，這既是必須應對的嚴格監(jiān)管要求，也是倒逼其告別粗放增長、邁向更安全、更可持續(xù)、更負責任發(fā)展模式的重要推動力。唯有將安全內化于基因，才能在未來的數(shù)字競爭中行穩(wěn)致遠。