从实施网络安全审查到APP下架,数据安全律师对滴滴事件梳理了八个核心问题


来源:安知讯    作者:宋海新 彭凯 周晨黠    2021-7-6 9:32

作者|宋海新、彭凯、周晨黠

编辑|李意安

(作者均供职于金诚同达律师事务所,业务领域包括网络安全与数据合规)

2021年7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》(以下简称“《公告》”),宣布对“滴滴出行”实施网络安全审查。这是国家首次对企业启动网络安全审查,一时间,引起社会各界的高度关注。7月4日,滴滴事件进一步发酵,国家互联网信息办公室根据举报,经检测核实,认定“滴滴出行”App存在严重违法违规收集使用个人信息问题并依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App。

而仅在三天前,6月30日,滴滴出行刚刚在美国纽约证券交易所完成了挂牌上市,股票代码为“DIDI”,发行定价为14美元。受网安审查事件影响,2021年7月2日,滴滴股价开盘跌幅近11%。

对于网络安全审查,滴滴出行回应称,滴滴将积极配合网络安全审查。审查期间,公司将在相关部门的监督指导下,全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力。但显然,事情远未结束。

我们就该事件,回归数据安全层面,整理出八个核心问题在此罗列并逐一探讨。

(滴滴出行网安审查八问汇总图)

(滴滴出行网安审查八问汇总图)

Q1:网络安全审查是什么?

网络安全审查的法律定义可见于《网络安全审查办法》(国家互联网信息办公室公告第6号,以下简称“《办法》”)的相关规定,具体包括:

第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

从《办法》条文规制可见,网络安全审查系对影响或可能影响国家安全的关键信息基础设施运营者采购网络产品和服务的行为,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

Q2:滴滴出行被审查的法律依据?

《公告》内容显示,滴滴出行被审查的上位法依据为《中华人民共和国国家安全法》(以下简称“《国安法》”)《中华人民共和国网络安全法》(以下简称“《网安法》”),直接适用的法律依据为《办法》。

(滴滴出行被审查的法律依据)

(滴滴出行被审查的法律依据)

对于《国安法》和《网安法》,其中适用的规定主要为《国安法》第五十九条和《网安法》第三十五条。

第五十九条国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

上述条文规制为网络安全审查提供了法律依据,在此基础上,国家网信办等十二个中央部委联合制定了《办法》。

(网络安全审查办法条文架构设置)

(网络安全审查办法条文架构设置)

《办法》于2020年4月13日发布,并在当年6月1日生效,为我国开展网络安全审查工作提供了重要的制度保障。《办法》全文共二十二条,系统规定了网络安全审查的适用范围、审查原则、主管部门、申报审查材料、审查程序、审查内容、法律责任等。

Q3:滴滴出行被审查的可能原因?

截至目前滴滴出行被进行网络安全审查的细节并无披露,仅从《公告》内容和《办法》等规定出发,结合公开渠道可检索的客观信息资料,以及我们多年深耕网络安全和数据合规业务的经验和对滴滴出行业务的理解,在后文探讨两个可能的原因:特殊身份与数据安全。

(网络安全审查的可能诱因)

(网络安全审查的可能诱因)

(一)滴滴出行被认定为关键信息基础设施的运营者

从Q2的探讨中,可以清晰地看出,网络安全审查的适用对象为关键信息基础设施的运营者。要启动网络安全审查,其主体必须符合该要求,那结果就显而易见了,根据滴滴出行的行业属性,我们可以进一步推测,滴滴出行属于公路水路运输行业领域的关键信息基础设施的运营者。

关键信息基础设施的定义主要来自下列几份文件:

根据《网安法》第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

对此,国家网信办曾于2017年7月10日发布《关键信息基础设施安全保护条例(征求意见稿)》并公开征求意见,虽然正式稿目前仍无下文,但在《办法》答记者问时,国家网信办有关负责人明确指出:“根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。”这意味着,这些行业领域的重要网络和信息系统属于关键信息基础设施。

与此同时,由公安部于2020年9月22日发布并于当日生效的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《意见》”)中界定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。

综上都可以看出:重要网络和信息系统包括符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象。

关键信息基础设施运营者的名单目前并无公开。从滴滴出行角度来看,如果不是本次被进行网络安全审查,我们也难以界定其具备关键信息基础设施运营者的身份。从《意见》表述可以看出,关键信息基础设施的运营者自身必然会通过保护工作部门的通知而知悉自身的认定结果,而相应的,保护工作部门有本行业领域的关键信息基础设施运营者的名单,公安部有各行业领域的关键信息基础设施运营者的名单。而实际情况可能是,交通运输部已经将滴滴出行认定为关键信息基础设施的运营者。

(二)滴滴出行使用的网络产品和服务可能出现了数据方面的安全问题

《办法》第二十条第二款对“网络产品和服务”作出了规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”

网络安全审查办公室发布《公告》的首句措辞为“为防范国家数据安全风险”。滴滴出行因其业务需要而掌握了道路交通数据(测绘数据、车流人流数据、汽车充电网的运行数据等)等数据。2021年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》第三条对汽车行业的重要数据进行了界定。滴滴出行掌握的道路交通数据等,很可能属于该规定界定的汽车行业的重要数据。如果该等数据出现了安全问题,其可能直接影响国家安全、公共利益和社会稳定,如此便与公告所述的“防范国家数据安全”建立起对应。

而滴滴出行回应称“全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力”

据此,似乎可以反向推导出滴滴出行的网络安全体系和技术能力仍有待完善,存在网络安全风险甚至可能已经出现了网络安全事件。而在《办法》语境下,网络安全风险可能需要通过《办法》第九条来推测(具体见Q5)。虽然《办法》第九条系对网络安全审查时主要考量因素的规定,但切换角度来看,如果某企业触发了网络安全审查,很可能也是因为该企业就该等因素对应的风险较高或者已然出现问题。

至此,新惑再起,《办法》第九条规定了四种主要考虑因素及兜底规定,滴滴出行最有可能触发了哪个考虑因素呢?

而滴滴出行于2021年6月10日提交至美国证券交易委员会(SEC)的招股说明书中“风险因素”部分也指出:

Our business is subject to a variety of laws,regulations,rules,policies and other obligations regarding data privacy and protection.Any losses,unauthorized access or releases of confidential information or personal data could subject us to significant reputational,financial,legal and operational consequences.We receive,transmit and store a large volume of personally identifiable information and other data on our platform……

结合前述第1项理由,我们初步分析并认为,滴滴出行触发可能性较高的是《办法》第九条第一项规定的因素,即“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”。

Q4:网络安全审查办公室是谁?

此次发布《公告》的主体、对滴滴出行启动网络安全审查的主体为网络安全审查办公室。而外界对网络安全审查办公室知之有限。

《办法》第四条明确了网络安全审查的工作机制和网络安全审查办公室的设置及其职责。其指出,网络安全审查工作的最高领导机构为中央网络安全和信息化委员会,工作机制组成部门包括国家网信办、发改委、工信部、公安部、国安部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码局。可以说,网络安全审查工作机制涉及的有关部门基本涵盖了与网络安全密切相关的国家各重要管理部门。

(网络安全审查工作机制图解)

(网络安全审查工作机制图解)

因此,网络安全审查办公室对滴滴出行开展网络安全审查,系在其法定职责范围内组织开展审查工作。

在此延伸一个问题,网络安全审查办公室负责组织开展工作,那么具体网络安全审查工作由谁来做?

《办法》答记者问时,国家网信办有关负责人给出了答案,其指出“具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。”

Q5:网络安全审查主要审查哪些内容?

从《办法》第九条可以看到网络安全审查的主要考量因素。

网络安全审查主要审查内容

为方便理解,我们基于与《办法(征求意见稿)》的对比角度进行解读。相较于《办法(征求意见稿)》第十条,《办法》第九条:

删去了“对国防军工、关键信息基础设施相关技术和产业的影响”和“产品和服务提供者受外国政府资助、控制等情况”;

新增了“产品和服务……来源的多样性,供应渠道的可靠性”的要求;

将“产品和服务提供者遵守国家法律与行政法规情况”扩张至“产品和服务提供者遵守中国法律、行政法规、部门规章情况”。

由此可以看出,《办法》删去了部分可能产生争议的审查因素,正如国家互联网信息办公室有关负责人就《办法》相关问题答记者问时指出,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务;《办法》进一步强化了对供应链安全的要求,有助于在新形势下更好地维护网络安全和国家安全。

Q6:网络安全审查程序如何?

该问题可从网络安全审查的启动方式、审查的流程和时间两方面进行解答:

(一)网络安全审查的启动方式

网络安全审查的启动分为报请审查和依职权启动审查两种方式,具体如下:

网络安全审查的启动分为报请审查和依职权启动审查两种方式

《公告》未体现出滴滴出行申请进行网络审查的相关信息,结合《公告》的表述,可以推测出,本次对滴滴出行进行网络安全审查,系依职权启动审查。

(二)审查流程和时间根据审查启动方式的不同,在审查流程和时间方面亦有区分,具体如下:

1.报请审查情形下的审查流程和时间

(报请审查情形下的审查流程和时间图解)

(报请审查情形下的审查流程和时间图解)

2.依职权启动审查情形下的审查流程和时间

(依职权启动审查情形下的审查流程和时间图解)

(依职权启动审查情形下的审查流程和时间图解)

3.滴滴出行被审查的可能时间

虽有审查流程和时间示意图,或有的问题仍然存在,就滴滴出行此次审查个案而言,审查时间可能为多久?

对此,我们理解,作为《办法》施行后的首次网络安全审查,其最快需要45个工作日,如果适用情况复杂的延长时限要求,需要45+15,共计60个工作日的审查时间。

此外,不排除其进入特别审查程序的可能性,如果进入特别审查程序,其可能那就是在60个工作日的基础上,再加45个工作日,即“45+15+45”,共计105个工作日。当然,105个工作日并非最长时限,在特别审查程序中,情况复杂的可以适当延长。

Q7:等待滴滴出行的后果可能是什么?

《办法》第十九条援引至《网安法》第六十五条,系相关的法律责任条款,具体如下:

《办法》第十九条运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。

《网安法》第六十五条关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

因此,如若切实违反《办法》规定,等待滴滴出行的很可能是责令停止使用相关网络产品或服务,被责令停止使用,对滴滴出行、直接负责的主管人员和其他直接责任人员处以罚款。此外,不排除适用《国安法》规定的更严格的法律责任的可能性。

Q8:滴滴出行被审查会是个案吗?

先说答案:绝非个案。

何以如此肯定,原因有二:

其一,有法可依。从《网安法》到《办法》,上位法和实施细则均已配置完善,开展网络安全审查具备明确、具体的法律依据。

其二,有例可循。蚂蚁集团被金融管理部门联合约谈并被要求整改,引起社会广泛关注和讨论,但蚂蚁集团是“出头鸟”,却不会是“冤大头”。果不其然,后续金融监管部门联合约谈从事金融业务的十三家网络平台并对其提出整改要求。

可以肯定地说,滴滴出行被进行网络安全审查,是第一例,但绝不会是最后一例。网络安全审查之风,已然刮起。

迎风而上 顺风而治

滴滴出行被进行网络安全审查,正式拉开了《办法》生效后我国网络安全审查工作的大幕。可能被认定为关键信息基础设施运营者的从业机构们,不能仅仅默默“吃瓜”,不然终会“吃瓜吃到自己身上”。该等机构需要严格对照《网安法》和《办法》的规定,立刻开展合规工作,全面排查准备采购和已经使用的网络产品和服务,需要报请网络安全审查的及时申报,需要停止使用的及时停止使用并做好更换安排,是为,既要迎风而上,又要顺风而治。

特别补充提示的是,《网安法》确定了网络安全审查制度,即将于2021年9月1日生效的《数据安全法》确定了数据安全审查制度。而依法作出的数据安全审查决定为最终决定,意味着数据安全审查的决定一经作出即告生效,不会进入行政复议或行政诉讼程序。数据安全审查,从业机构们亦应予以高度关注,在数据安全审查制度的配套立法出台后,及时开展合规安排。

关于本站联系我们手机版
Copyright © 2021 安知讯 粤ICP备11061396号 粤公网安备 44030602001878号