观察者网：您刚才提到了平台型企业，这个名词最近曝光度很高，那么平台的概念和“关键基础设施运营者”的概念，两者之间有怎样的关系？

李天航：平台型企业不是一个法律概念，但是“关键信息基础设施运营者”是一个法定概念。企业搭建平台来为供求双方提供服务，比如滴滴、阿里、京东，都是典型的平台型企业。

由于平台型企业天然汇集大量数据，从某种程度上看，一个平台往往就能反映一个社会生态圈，能够映射一个社会的部分运行情况，关乎社会公共利益和国家安全的一部分运行情况，也会在平台上得以映射。同时，基本上所有平台型企业，都是通过互联网技术来实现经营，所以他们的业务平台网络和系统，就有可能是“关键信息基础设施”。

运营“关键信息基础设施”当然会产生很多利益，这个我们先不讲，从义务上来讲，我国已经建立了网络安全等级保护制度，对于CIIO来说，在“等保”的基础上，还要进行重点保护的话，比如在网络建设的过程中，就要做到“三同步”，必须保证安全技术措施同步规划、同步建设、同步使用。在网络运营过程中，必须设置专门的安全管理负责人，要对负责人和关键岗位人员进行对比调查、定期培训、技能考核、签订安全和保密协议，对重要系统和数据库进行容灾备份，等等。

这在我们将来出台的《关键信息技术设施保护条例》肯定会更加细化具体。

还有最关键一点，就是数据出境。《网络安全法》第37条规定，

关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

也就是CIIO在中国境内收集的个人信息和重要数据首先要做到本地存储，数据要出境必须满足因业务需要确需向境外提供，并且还要通过安全评估，如果通不过，就不能对外提供。

还有CIIO应当自行或者委托网络安全服务机构对它的网络安全性和可能存在的风险，每年至少进行一次评估，将评估报告报送相关部门。

观察者网：既然法律法规对CIIO的要求这么高，这种严格的管理和义务会不会成为一道门槛，限制后来者进入这个行业？

李天航：如果从法律意义上谈到准入或者门槛的话，一般是指行政许可，事前审批才能进入，但我们刚才谈的其实不是批准的问题，也不是政府设置门槛或许可，而是想进入的企业必须做到的合规义务，做不到就要面临处罚，可能还要面临责令停业整顿。比如这一次，某平台就被暂停了新用户注册，并且下架APP。

这不是政府审批许可，而是相关经营者必须要自行符合的条件。

另一方面来说，你说的也有一定道理，从我们实际服务企业的经验来看，在新的业态和法律环境下，提前做好合规性，确实能够为企业带来竞争优势。

2021年6月29日，上海，实拍2021网络安全博览会。图片来源：视觉中国

观察者网：我们刚刚谈了这么多对CIIO的限制，那么从互联网、大数据、人工智能技术的发展角度来说，技术的进步带来的社会价值是显而易见的，如何在技术发展、经济效益和安全合规之间做好平衡？

李天航：从社会学的角度来讲，技术发展是一个不可逆的过程，是一个不可阻止的方向，技术发展对社会生活带来大量的便利。

近代以来，技术的发展更多是通过经济利益的驱动来实现的，这个过程中确实会伴生一些负面影响，包括一些安全事件甚至技术被应用于违法犯罪。这更多要通过法律法规中的一些禁止性规定来实现。我们要提前防范一些不利影响，就要通过法律规定对企业提前设定一些相关义务，来强化企业的社会责任。

观察者网：某中国大型网约车平台，到美国上市，它也把自己掌握的大量数据作为自身在资本市场讲故事的一大优势，但是今天中国、欧洲和美国都非常强调数据治理问题，在跨法域经营过程中，CIIO应该怎样做好合规工作？

李天航：第一，该网约车平台目前还没有跨法域经营，它作为一家主要在中国经营的企业，所有数据首先是存储在本地的，但是它在美国上市，也不可避免地会涉及到一些数据出境问题。因为美国证券市场对于上市公司有很高的信息披露要求，包括必须根据美国公认会计原则编报其财务报表、必需根据美国证券法律规定，对公司重大信息及时披露等，这势必涉及到一些该公司在中国境内的经营情况数据，是否能够出境的问题。这涉及《数据安全法》以及金融领域有关数据出境的交叉管理制度，企业必须要高度重视，并聘请专业的机构协助处理。

第二，对于一些已经“走出去”，实现跨法域经营的中国公司来说，国际数据治理的大环境正在迅速变化，各个国家都在通过制定本国法律保护本国国民的个人信息、重要的数据等，尤其是在个人信息保护领域，类似欧盟制定的GDPR之类的法律法规正成为一种常态。如果这些企业采取的是一体化的网络架构和数据治理模式，如统一的数据中心，这就必然会面临数据/个人信息所在国法律有关数据出境的约束，同时，在中国取得的数据如果存储于中国以外的其他国家的数据中心，也必须符合中国《网络安全法》、《数据安全法》等等关于数据出境的合规要求。

观察者网：全球化时代，数据流动和治理也是一个全球性的课题，中国目前在这方面处于怎样的水平，前景怎样？

李天航：首先，在国际数据治理层面上，目前还没有做通过国际公法、国际公约、双边/多边条约的方式，或者这个领域的全球组织或者国际化组织。更多都是通过各国国内法的形式治理，在本国法律之下做出相应的规定和约束。

在此基础上，我们国家的立法起步时间上可能会晚于某些国家，但是一定程度上也具有后发优势。同时，我们也可以通过比较研究的方法，欧美国家怎么立法，我们可以根据自己的研究和实际情况借鉴。

在这方面，虽然中国立法起步比较晚，但是从一些规制性措施来看，我们国家的法律经常有一个关键性的原则，就是对等原则，包括《数据安全法》也遵循这个原则，别的国家对我们采取什么限制性约束性的措施，中国也会做一个相应对等的设置。另外，出于国家安全和个人信息保护的角度，我们也做了相应的法律规定和约束。

所以，中国的相关立法水平其实并不会落后于其他国家。