中国信息安全左晓栋:“对滴滴审查的重点是重要数据的出境安全风险”


来源:中国信息安全    2021-7-5 11:51

这是2020年6月《网络安全审查办法》实施以来,网信办首次公开对某家企业进行网络安全审查。

网信办、发改委、工信部、公安部等十二家机关单位中任何一家认为有危害国家安全的风险,都可以按程序报批后启动网络安全审查。

“我认为这次审查主要关注的是,重要数据和公民个人信息的出境安全风险。停止新用户注册,应该是对这个数据进行保护的一个措施。”

北京,滴滴总部大厦。

北京,滴滴总部大厦。 (视觉中国/图)

2021年7月2日,国家网信办官网公告称,“为防范国家数据安全风险,对‘滴滴出行’实施网络安全审查”。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。

这是2020年6月《网络安全审查办法》实施以来,网信办首次公开对一家企业进行网络安全审查。

这次审查的时间点颇为特殊,滴滴出行2021年6月30日于美国上市(股票代码NYSE:DIDI),当日开盘价为18美元/股,较发行价上涨28.5%,市值一度超过800亿美元,即逾5000亿人民币。上市三日后,受此消息影响,滴滴股价下跌超过8%。

根据2020年中旬《网络安全审查办法》发布时的答记者问,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者,在采购网络产品和服务时,应考虑申报网络安全审查。

通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日,进入特别审查程序的审查项目,可能还需要45个工作日或者更长。应当申报网络安全审查而没有申报的,或使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上、十万元以下罚款。

为何在这个时间点启动对滴滴的调查?审查哪些内容?记者就此专访了中国信息安全研究院副院长左晓栋,他曾参与过多部网络安全重大政策法规的研究起草工作。

记者:这是《网络安全审查办法》实施以来,首次对企业进行网络安全审查吗?

左晓栋:早在《网络安全审查办法》出台之前,2017年5月已经印发了《网络产品和服务安全审查办法(试行)》,从2017年6月1号开始试行。

《网络安全审查办法》颁布之前,这个试行办法已经试行三年之久了。《网络安全审查办法》至今,正式实施也已经一年之久。四年里,这绝对不会是第一次对企业进行网络安全审查。据我所知,之前也有企业进行过网络安全审查。

记者:什么情况下会对企业启动网络安全审查?

左晓栋:对这个事情有很多猜测,其中一个说法是按照《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。大家都猜说,滴滴是不是关键性基础设施?为什么要对它进行审查?实际上,这个理解是不全面的。

我举个最极端的例子,假如有一款产品存在着很大的安全隐患,使用的时候可能会严重危害国家安全,难道这款产品就没人可以管它了吗?非得等着哪个关键基础设施的运营者去采购的时候,再通过程序进入网络安全审查吗?显然不可能。

事实上,《网络安全审查办法》第十五条就明确规定,网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

记者:网络安全审查工作机制成员单位有哪些单位?

左晓栋:由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

也就是说,这十二家机关单位中任何一家认为有危害国家安全的风险,都可以按程序报批后启动网络安全审查。

记者:网络安全审查的内容是什么?会对企业哪些情况进行审查?

左晓栋:只要这个产品和服务可能对国家安全带来风险,都有可能要接受审查。至于产品和服务提供商是国内还是国外,是一视同仁的。只要可能会为中国网络安全带来严重风险,按照文件规定都应该接受审查。

网络安全审查重点评估关键信息基础设施运营者,采购网络产品和服务可能带来的国家安全风险。包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。

记者:网络安全审查办公室是一个什么样的机构?

左晓栋:网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

记者:按照审查办法规定,网络安全审查工作是否由中国网络安全审查技术与认证中心承担?

左晓栋:根据审查办法,网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。

中国网络安全审查技术与认证中心只是网络安全审查的技术支持单位,它的上级主管单位是国家市场监管总局。由于承担的是技术支撑工作,所以,名字是网络安全审查技术与认证中心,而不是网络安全审查与认证中心。

记者:为什么要停止新用户注册?

左晓栋:我认为这次审查主要关注的是,重要数据和公民个人信息的出境安全风险。停止新用户注册,我认为是对这个数据进行保护的一个措施。

关于本站联系我们手机版
Copyright © 2021 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号