2021年7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对"滴滴出行"启动网络安全审查的公告》(以下简称"《公告》"),宣布对"滴滴出行"实施网络安全审查,一时间,引起社会各界的高度关注。
7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》(以下简称“《意见》”)。《意见》明确,从严打击证券违法活动,各地区各部门应完善数据安全、跨境数据流动、涉密信息管理等相关法律法规,抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。
7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
无论是7月2日“对滴滴出行实施网络安全审查”信息的迅速霸屏传播,还是7月6日发布的针对证券违法活动的《意见》,以及7月16日七部门的联合进驻,都揭示出了一些目前必须要引起相关主体高度关注的问题。这既是“国家已将数据安全等非传统安全领域全面纳入重点关注对象”信号的释放,也是网络舆论,作为民意释放最敏感最直接途径,对国家安全领域日益关注的显著表现。本文将结合滴滴被查事件,通过对《网络安全审查办法》及《网络安全审查办法(修订草案征求意见稿)》进行分析从而得出此事件对相关企业的警示与影响。
《网络安全审查办法》的适用
《网络安全审查办法》(以下简称“《办法》”)由国家互联网信息办公室、国家发改委等12个部门于2020年4月27日发布,并于2020年6月1日生效实施,全文共二十二条,系统规定了网络安全审查的适用范围、申报流程、评估因素、合规开展和法律责任等,为我国开展网络安全审查工作提供了重要的制度保障,预示着我国网络安全审查进入新阶段。此次对滴滴出行的网络安全审查,是自《办法》生效实施以来的一次重大适用,运营者和相关网络产品和服务供应商应予以高度重视。
(一)滴滴出行被审查的可能原因
1、主体适格
根据《办法》的规定,被审查的主体为“关键信息基础设施运营者”(以下简称“运营者”),即经关键信息基础设施保护工作部门认定的运营者。
但目前对于运营者范围的界定尚未有明确的法律法规规定。针对这一问题,国家互联网信息办公室有关负责人在就《办法》答记者问中明确,《办法》中规定的运营者为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。
为进一步确定运营者的范围,根据公安部于2020年9月20日发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的规定,“重要网络和信息系统”应包括:符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象。在关键信息基础设施的具体认定细则正式出台之前,上述范围内的运营者将承担《办法》规定的申报审查等义务。
截至目前,关键信息基础设施的名单并未公布,但基于上述分析,可以初步认定,滴滴出行属于关键信息基础设施运营者,其所适用的网络和信息系统属于关键信息基础设施,符合《办法》对被审查主体的要求。
建议企业积极与相关部门沟通确认自身是否属于关键信息基础设施经营者,避免因未履行相应义务而受到处罚。
2、可能影响国家安全
根据《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》以及《办法》的规定,我们可以进一步推测,网络安全审查办公室依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查,是因为滴滴出行采购、使用的网络产品和服务可能存在国家数据安全风险,有危害国家安全的可能。(《办法》所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务)
(二)网络安全审查的程序和内容
图3【1】
除了通过“运营者主动向网络安全审查办公室申报网络安全审查”的方式启动审查程序,相关行政部门也可以在符合一定条件时依职权启动审查程序,对其认为影响或可能影响国家安全的网络产品和服务进行审查。
(三)滴滴出行可能面临的处罚
《办法》第十九条规定,运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。《中华人民共和国网络安全法》第六十五条规定,运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因此,如经审查确定滴滴出行切实违反了《办法》,其将被责令停止使用相关的网络产品或服务,并处以罚款。同时,因涉及国家安全,不排除适用《国家安全法》规定的更严厉的处罚,甚至被追究刑事责任的可能。
《网络安全审查办法(修订草案征求意见稿)》简析
2021年7月10日,《数据安全法》颁布满一个月之际,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》(以下简称“《征求意见稿》”),并向社会公开征求意见。此次修订,一方面是考虑到境内公司国外上市引发的数据安全风险正在不断扩大;另一方面则是,随着《中华人民共和国数据安全法》(以下简称“《数据安全法》”)颁布,其所确立的数据安全审查制度需要与之相匹配的实施细则。
(一)《网络安全审查办法》与《征求意见稿》之重要条款修订对比 | |
《网络安全审查办法》 (有效) | 《网络安全审查办法(修订草案征求意见稿)》 |
第一条 为确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》等法律法规,制定本办法。 | 第一条 为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。 |
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 | 第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 |
第四条第一款 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 | 第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 |
第六条 掌握超过 100 万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 | |
第七条 运营者申报网络安全审查,应当提交以下材料: …… (三)采购文件、协议、拟签订的合同等; …… | 第八条 运营者申报网络安全审查,应当提交以下材料: …… (三)采购文件、协议、拟签订的合同或拟提交的 IPO 材料等。 |
第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素: (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; …… (五)其他可能危害关键信息基础设施安全和国家安全的因素。 | 第十条 网络安全审查重点评估采购网络产品和服务活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素: (一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; …… (五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险; (六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险; (七)其他可能危害关键信息基础设施安全和国家数据安全的因素。 |
第十三条 特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 | 第十四条 特别审查程序一般应当在 45个工作日3 个月内完成,情况复杂的可以适当延长。 |
第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 | 第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理获得以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 |
第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 | 第二十条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条《中华人民共和国数据安全法》的规定处理。 |
第二十条第二款 本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 | 第二十一条第二款 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 |
(二)简析
1、被审查主体的范围扩大
《征求意见稿》将被审查主体扩大至“关键信息基础设施运营者”和“数据处理者”。《数据安全法》规定,数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。这意味着,所有涉及上述数据处理活动的主体,只要其活动影响或可能影响国家安全,都应当接受网络安全审查。从这个角度而言,《征求意见稿》的规范对象范围较之《办法》有所扩大。
2、审查范围的扩张
一是将数据处理活动和国外上市纳入了网络安全审查所针对的行为的范围,二是增加了评估活动是否会带来国家安全风险的考虑因素——“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”和“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。值得注意的是,这一修订进一步落实了《数据安全法》确立的数据分类分级保护制度。
根据《数据安全法》的规定,国家将根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护,有关部门需制定“重要数据”目录,同时这也是首次提出“核心数据”的概念。
3、将国外上市纳入安全审查范围
将国外上市纳入安全审查范围是本次修订的一大亮点所在。《征求意见稿》新增第六条规定“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,明确了掌握超过100万用户个人信息的运营者赴国外上市的网络安全审查义务。虽然对目前主流互联网服务而言,用户可以轻易超出100万,特别是企业到了可以上市的程度时,其用户量更为可观。但100万这个的数字并不是从企业经营规模或经济实力考虑的,而是综合考虑了我国互联网产业发展的实际情况、批量个人信息泄露后对国家安全和公共利益带来的影响而确定的标准,主要考虑的是社会影响。实践中,100万用户已经是很大的群体,发生个人信息安全事件的影响已经相当严重,所以说这个门槛是相对合适的。[2]
除此之外,针对中国企业赴国外上市而展开的网络安全审查,另有三方面的修改值得关注:一是,将拟提交的IPO材料纳入运营者申报网络安全审查应当提交的材料;二是,将证监会纳入网络安全审查工作机制成员单位,并赋予其通过网络安全审查工作机制对境外上市的中国企业进行网络安全审查的权力;三是,将“核心数据、重要数据或大量个人信息出境的风险”,以及“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”作为网络安全审查评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险的重要考虑因素。
虽然“国外上市”行为在《征求意见稿》中特别予以强调,但考虑到其属于可能出现数据安全风险的一种具体情形,从整体上说,《征求意见稿》的主要目的仍是为了落实《数据安全法》第二十四条的要求,建立数据安全审查制度。
警示与思考
(一)网络数据安全合规的重要性
本次滴滴被查事件以及《征求意见稿》对相关内容的修改和新增都表明了国家已经开始重视数据安全等非传统领域的安全防范,虽然《征求意见稿》未明确规定哪些企业需要补充申报网络安全审查,或者主动申报网络安全审查(除第六条规定的“赴国外上市的掌握超过100万用户个人信息的运营者”)。但可以明确的是,从现在起,所有的数据处理者,特别是掌握了批量个人信息或重要数据的大型互联网企业、公共服务机构,以及已经在国外上市的互联网企业,要自行组织或者委托专业机构对本企业数据处理的合规性,特别是其数据处理是否可能影响国家安全进行评估。
因此作为市场主体的企业应将网络数据合规作为企业发展的重要方略,否则可能会造成:(1)遭到监管调查后“股价暴跌”,企业受到较大经济损失;(2)受到各国监管部门严苛而高昂的处罚;(3)名誉受损造成企业信任危机与业务流失等严重后果。
(二)启示【3】
针对上述合规风险,企业应当采取以下风险控制措施:
1、制定网络数据安全管理制度和操作规程。企业应通过正式、有效的方法制定、发布内部网络数据安全管理制度,并要求工作人员严格落实相关制度。
2、加强人员管理,建立人员培训及考核机制。在聘用员工时,对其身份背景等进行详细审查;员工离职时,应及时中止其相应权限,如有需要可以签订保密协议。同时,应定期对工作人员进行合规培训,加强员工网络数据安全合规意识。
3、企业在“走出去"的过程中,需要特别关注当地法律法规体系对于数据合规的监管要求。跨境合规会导致数据与网络安全合规管理变得比较复杂。对于志在国际化的企业而言,不仅需要做好相关的数据信息保护与网络安全基础防范工作以规避基础操作风险,还需要兼顾多个国家和地区对于相关领域的不同监管要求,努力做到在每个法域之下的严格合规。举例而言,总体上来说欧盟《通用数据保护条例》的合规要求比我国《网络安全法》更严格,因此很多企业尤其是跨国企业在完成通用《通用数据保护条例》合规之后想当然地认为自己的合规管理体系必然符合中国《网络安全法》及相关标准,或者全球范围内其他国家或地区强制性法律法规的要求,但事实上,尽管很多技术指标存在交叉,但各国或地区法律的大部分合规要求是不同的,例如若企业未履行中国针对网络安全所提出的等级保护备案要求,则无论其《通用数据保护条例》合规做得多么完善、计算机信息系统技术安防措施做得如何到位,其还是有可能因为未落实等保备案义务而受到中国网安法的处罚。
此次《网络安全审查办法》的适用及《征求意见稿》的颁布显示了国家对网络安全审查制度的重视及创新,相关企业与单位也应积极响应,构建新形势下自身网络数据安全合规体系,有效维护国家安全和自身利益。
【1】史宇航:《滴滴遭遇网络安全审查,背后涉及哪些法律、机构和流程》,https://www.jiemian.com/article/6316303.html,最后访问时间2021年7月19日。
【2】澎湃新闻:《专家解读:<网络安全审查办法>为什么这样改?》 ,https://m.thepaper.cn/baijiahao_13549751,最后访问时间2021年7月19日。
【3】陈立彤:《企业国际化进程中合规风险的爆发与防控》,第1版,北京,中国工商出版社,2019:250~255页。
地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022
电 话:(010) 5086 7666
传 真:(010) 5691 6450
地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061
电 话:(029)8836 0129
传 真:
地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046
电 话:(0755)8860 0388
传 真:
地 址: 海口市美兰区碧海大道86号华彩·海口湾广场A座1008、1009,邮编:570208
电 话:(0898)6625 4181
传 真:(0898)6625 5316
地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023
电 话:(021)6390 1100
传 真:
地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510
电 话:(020)3739 2666
传 真:
地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002
电 话:(0571)8577 9929
传 真:
地 址: 沈阳市沈河区友好街10号新地中心40层,110013
电 话:(024)2250 3388
传 真:
地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008
电 话:(025)8411 1616
传 真:
地 址: 天津市河北区海河东路78号茂业大厦2601室,300141
电 话:(022)2445 9827
传 真:
地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005
电 话:(0530)5566 148
传 真:
地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020
电 话:(028)8774 7485
传 真:
地 址: 苏州市工业园区九章路69号理想创新大厦A幢12层,215316
电 话:(0512)6758 6952
传 真:(0512)6758 6972
地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050
电 话:(0471)5166 277
传 真:
地 址: 香港特区上环干诺道中200号信德中心(西翼)20层2002号
电 话:(00852)2333 9989
传 真:(00852)2333 9186
地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030
电 话:(027)8361 5198
传 真:
地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046
电 话:(0371)8895 9887
传 真:
地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021
电 话:(0731)8218 3551
传 真:(0731)8218 3551
地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016
电 话:(0592)5211 009
传 真:
地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020
电 话:(023)6775 9966
传 真:
地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071
电 话:(0551)62930997
传 真:
地 址: 宁波市鄞州区三眼桥街51号宁铸中心5号楼27层(宁波塔-27F),315199
电 话:(0574)8737 8737
传 真:
地 址: 济南市高新区舜泰北路舜泰广场933号博晶大厦25层2513室
电 话:(0531)8828 5613
传 真:
©康达律师事务所 | 1988-2022 | 京ICP备09042190号
[北京总部] 地址:北京市朝阳区建外大街丁12号英皇集团中心8层 100022 | 电话:010-5086 7666 | 传真:010-5691 6450 | 邮箱:kangda@kangdalawyers.com
康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。
本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。
本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。
欢迎访问本网站,如有任何问题,请与本所联系。
