据“网信中国”微信公众号6月24日消息,网络安全审查办公室有关负责人表示,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》《数据安全法》,按照《网络安全审查办法》,2022年6月23日,网络安全审查办公室约谈同方知网(北京)技术有限公司负责人,宣布对知网启动网络安全审查。
这并非国家层面出手第一次对中国知网进行整治。今年5月13日,国家市场监管总局就曾依法对知网涉嫌实施垄断行为进行立案调查。
那么,这一次知网为何又因网络安全被审查?在教育、科研行业成为境外黑客势力重点攻击对象的今天,我国国家数据安全底线该如何去保障?
▲图据网信中国微信公众号截图
知网此前因涉嫌垄断被立案调查
作为国内最大的学术电子资源集成商的中国知网,此前其被诟病的最大焦点,在于其收取下游用户高额“知识付费”的同时,却并未获得上游作者的知情同意,且支付相应报酬。
去年12月,中南财经政法大学退休教授赵德馨,因不满知网在未获得作者授权的情况下,擅自使用作者学术成果,并对外售卖而展开维权。最终,赵德馨教授在知网涉及的100多篇著作全部胜诉,并获赔70余万元。
此事经媒体曝光后,知网一度被推向风口浪尖。随后,更多作家也加入维权队伍。如曾获鲁迅文学奖、出版《天露湾》等小说的作家陈应松、在《读者》《意林》发布多篇作品的作家唐效英等,也均卷入与知网的法律纠纷当中。
不仅如此,诸多大学等高等教育机构也对知网提出公开质疑,甚至宣布暂停使用。红星新闻记者梳理发现,从2012年到2021年,至少有5所高校宣布暂停使用知网。如在2016年,武汉理工大学、北京大学都曾停用知网,原因分别为“续订价格涨价离谱”和“不向商家过分涨价行为轻易妥协”;到2021年,集美大学、南京师范大学也曾因价格涨幅问题停用知网;今年4月20日,中科院也宣布停用知网数据库,一大重要原因仍为“续订价格涨幅过高”。
今年5月13日,国家市场监管总局公开表示,根据前期核查,将依法对知网涉嫌实施垄断行为立案调查。
同日,知网就国家市场监管总局启动的调查进行回应,表示将“坚决支持,全力配合”,并称将以此次调查为契机,深刻自省,全面自查,彻底整改,依法合规经营,创新发展模式,承担起中国知识基础设施的社会责任,努力将知网打造成具有中国特色、世界一流的学术资源信息平台。
▲图据中国知网截图
为何对知网启动网络安全审查
专家:掌握大量敏感信息,易成境外黑客组织攻击对象
作为储藏和搬运知识,供读者付费下载和阅读的中国知网,为何被执行网络安全审查?根据网络安全审查办公室的描述:
知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。
对于网络安全审查办公室的行动,红星新闻记者多次致电中国知网客服,对方称以官方通报为主。但截至发稿,中国知网的官网并未发布相关信息。
北京师范大学互联网研究院院长助理、中国互联网协会研究中心副主任吴沈括回应红星新闻记者指出,根据《网络安全审查办法》(下称《办法》)的规定,对一方启动审查,可通过当事方的主动申报,也可是国家有权机关依职权主动发起。
专注于网络空间安全市场的奇安信科技集团副总裁孔德亮,在接受红星新闻记者采访时指出:“之所以对知网进行审查,很大原因在于其容易成为境外黑客组织的攻击对象。”
孔德亮解释称,由于知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、金融等重点行业领域重要数据,甚至包括我国重大项目、重要科技成果及关键技术动态等敏感信息,因此,其很容易成为境外黑客组织的重点攻击目标。
事实上,对于高校、科研院所等拥有我国前沿学术研究成果的机构,其核心数据遭到境外黑客群体的不法侵害,并非空穴来风。如在6月22日,西北工业大学就发布公告称,经公安机关初步判定,有来自境外的黑客组织和不法分子,向学校师生发送包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。
另据孔德亮透露,根据其企业所开展的,针对我国长达十年的“电幕行动”(Bvp47)攻击事件分析,按照受影响行业来看,教育、科研行业是受到攻击最多的行业。
吴沈括解释称,网络安全审查情形主要有两大部分,一是“关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的”,二是“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”。
红星新闻记者查阅发现,从今年2月施行的《办法》第十六条中,明确指出:“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”
吴沈括还表示,相关机构进行网络安全审查的实质价值指向,更多是为了确保供应链安全,保障网络安全和数据安全,从而维护国家安全。
▲图据上观新闻
企业如何维护网络信息安全?
专家:开展全面风险自评,建立数据分类分级管理制度
知网并非被执行网络安全审查的首家企业。吴沈括对此表示,一方面,为了防范风险,知网应当及时开展全面的风险自评估,并且在审查期间按照网络安全审查要求采取预防和消减风险的措施。另一方面,在网络安全审查的过程中,知网业务模式和经营方式等方面,也应相应做出较大的改变和完善,特别是在数据治理层面和市场策略层面的合规提升。
那么企业如何才能维护网络信息安全,从而降低风险?对此,孔德亮建议,作为企业应该从合规角度,建立数据分类分级管理制度,对数据进行分类分级。
孔德亮解释称,企业需识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据,并基于分类分级结果、对敏感数据和重要数据的流转及使用情况,结合企业场景化的数据安全风险分析及数据安全能力需求分析,制定企业的数据安全策略和技术防护保障措施。
“尤其对掌握了与国家安全、重点科研、国计民生紧密相关重要和敏感数据的企业平台而言,更需要具备‘红线意识’,严格遵守相关法律,承担保护数据安全的责任。”孔德亮说。
保障国家数据安全背后需要如何完善制度?
专家:网络安全审查将成监管执法的常态化
吴沈括认为,越来越多典型网络审查案例的公开,向社会传递出了执法必严、违法必究的强烈讯息。这样以来,越来越多的经营主体,特别是大型网络平台,也将逐步提高对维护网络安全、维护国家数据安全的自觉性,未来也势必会按照《办法》的制度规则,主动着手合规风控体系的建立与完善。
孔德亮也指出,本次审查再次表明数据安全已上升到国家安全的高度。“没有网络安全,就没有国家安全。”他指出,对于具有承载着大量科研科技数据的知网而言,科技安全是国家安全的重要组成部分,诸如反映科技成果的数据,也同样会直接影响国家安全。对相关企业启动网络安全审查,表明眼下防范国家数据安全风险,和维护国家安全已经成为不可分离的整体。
基于此,在近些年来,我国对构建安全的数字经济环境、维护网络安全的政策考量也同样“越织越密”。从2015年《国家安全法》颁布施行到2017年《网络安全法》生效,再到2021年《数据安全法》公布,我国正在形成一个全面规范网络安全保护、数据安全保护、个人信息安全保护的基础法律体系。
就在知网被约谈的6月23日,国务院就发布《关于加强数字政府建设的指导意见》(以下简称《意见》),其中再度强调了建设数字经济社会的安全可控原则。
根据上述《意见》,要求全面落实总体国家安全观,坚持促进发展和依法管理相统一、安全可控和开放创新并重,严格落实网络安全各项法律法规制度,全面构建制度、管理和技术衔接配套的安全防护体系,切实守住网络安全底线。
“相信未来网络安全审查会成为我国网络安全生态治理和相关监管执法中的常态化元素,成为包括大型网络平台在内的各类运营者合规经营的重要指引,也成为各界维护公共利益和国家安全的重要机制凭借。”吴沈括说。
红星新闻记者 杨雨奇 吴阳 北京报道
编辑 陈怡西