方興東：中國互聯網企業需補上“合規”欠賬

近日，網絡安全審查辦公室陸續發佈對多個互聯網企業啓動網絡安全審查的公告，引發強烈關注。顯然，這是我們國家深入“強化反壟斷，防止資本無序擴張”的新進展，更是中國網絡安全制度落地的新舉措。

結束中國互聯網野蠻生長階段的呼籲，已經有幾年了。所謂結束野蠻時代，指的是除了有系統的規則、良好的制度，更需要制度的真正落地，形成真正健康的秩序。這一次全面激活中國網絡安全審查機制，預示着中國互聯網企業將正式告別野蠻生長階段，樹立合規意識將成為中國互聯網企業發展的重要戰略。

《個人信息保護法》將於8月進入三審，不出意外即將落地，再加上9月1日將正式實施的《數據安全法》，圍繞數字時代的基本制度建設基本成型，也意味着將進入制度落實階段，即合規階段。無論是過去的無法可依，還是法不責眾，或者只是不痛不癢，那樣的互聯網發展時期已經過去。在新階段，互聯網企業需要真正把依法合規作為企業持續經營的重要組成部分。

從制度建立到制度落實，是一場漫長而艱苦的長征。《反壟斷法》2008年8月1日就已經生效，但在中國互聯網領域真正形成有效判罰卻是等到2020年底。《網絡安全法》自2017年6月1日起施行，迄今已經4年多。圍繞個人信息收集、網絡安全審查、關鍵信息基礎設施保護，數據跨境流動等原則性規定都已在其中得以明確。但是，“二選一”、個人信息過度收集、大數據殺熟等依然愈演愈烈。制度落實是一場遠比我們想象更為艱鉅的能力建設工程。

《國家安全法》《網絡安全法》《數據安全法》和《個人信息保護法》等作為上位法，完成立法很重要，而實施落地則難度更大更復雜。以《網絡安全法》中最核心的關鍵信息基礎設施運行安全為例。涉及到關鍵信息基礎設施的界定、監測、防禦、處置、評估、評測、審查等一系列問題，需要細化和細則，需要一系列配套法律法規，需要相關執行部門和支撐機制與能力。

擁有海量用户，事實上成為數字時代基礎設施的中國互聯網巨頭，無疑是國家網絡安全的重要組成部分。但是，它們過去一直處於放任的野蠻生長狀態。除了個人信息收集和數據跨境流動等長期存在的問題外，資本層面也存在巨大隱患。幾乎中國所有互聯網巨頭，都由風險投資驅動，並在海外上市。這些企業當年為了發展需要，通過VIE結構，也被稱為“協議控制”，境外的上市實體通過協議的方式控制境內的業務實體。我國在互聯網、新聞傳媒、教育、金融等特定領域對外資進入存在限制，但通過VIE結構，外資繞過很多投資限制的政策，進入中國互聯網所及的幾乎所有領域。不可否認，VIE結構當年對中國互聯網的發展有着重要貢獻，但是，現在通過VIE結構，包括國內團隊在內的所有股東、中國幾乎所有互聯網企業的權益事實上都在國外。這種倒掛局面，無疑已經成為國家網絡安全存在的巨大隱患。因此，這些中國互聯網企業應該如何走出VIE結構的灰色地帶，走向更加合理化和正常化的公司治理結構，既滿足國家網絡安全需要，又有利於企業融資上市，繼續產業開放、良性的發展，都需要進行整體的制度設計和重構。

總之，接下來，中國互聯網企業必須走出過去野蠻生長的舒適區，適應中國新的制度環境和網絡治理的基本要求。合規意識和能力，既是中國互聯網企業風險管理的重要體現，也是企業應對越來越複雜的國際環境、謀求更強確定性的必由之路。短期內，合規工作是企業的成本，但是，長期來説，這是企業競爭力的重要體現。

今天中國互聯網存在的很多問題，幾乎都是因為缺乏依法合規意識造成的。這是一筆長期的“欠賬”，也是時不我待的“補課”。尤其是數據層面，無論是收集、處理、使用、存儲和刪除等全生命週期的各個環節，互聯網企業憑藉自己的壟斷地位或者缺乏監督的“黑匣子”狀態，一直遊離在制度之外。這一輪安全審查開啓中國數據安全治理的大幕，也觸動中國互聯網最深層次的疑難雜症。

制度已立，如何依法合規，是網絡安全的前提，也是國家治理能力的體現。制度面前，國內外企業一視同仁。歐美企業在依法合規方面的重視程度和專業能力，值得中國企業學習。顯然，真正結束野蠻生長狀態，需要傷筋動骨，需要付出代價。但這是中國互聯網企業本來就應該做的，也是中國互聯網企業樹立全球競爭力的必由之路，更是積極維護國家網絡安全的使命所在。（作者是浙江大學社會治理研究院首席專家，全球互聯網口述歷史（OHI）發起人）