金鹏研究 | 从“滴滴”事件谈网络安全审查与数据安全审查
最近各大媒体对滴滴被国家网信办网络安全审查一事均有报道,作为《网络安全审查办法》①实施后的第一起网络安全审查案件,引发广泛讨论并不出奇,其中问题深浅自有各家评说,现仅围绕互联网企业在网络安全方面应如何做进行简要阐述。
注:①7月10日,国家互联网信息办公室发布了《网络安全审查办法(征求意见稿)》对相关安全审查条件作了重要调整,以后我们将深度解读。
一、网络安全审查主要法律问题
(一)审查背景和依据
2020年4月27日,国家网信办、国家发改委、工信部等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》”)。《国家安全法》和《网络安全法》相关条款的基础上,《办法》第一条开宗明义规定:“为了确保关键信息基础设施供应链安全…制定本办法”,即针对关键信息基础设施运营者(以下简称“运营者”)采购网络产品和服务需进行网络安全审查。根据《办法》第五条,运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。《办法》已于2020年6月1日正式实施。
网络安全审查制度源于《国家安全法》第五十九条和《网络安全法》第三十五条。
(二)“网络安全审查”对象
1、《办法》第二条规定了关键信息基础设施运营者是网络审查的对象,但何为关键信息基础设施运营者?目前尚无法律上的精准定义,可以肯定的是滴滴属于需要接受审查的关键信息基础设施运营者。
2、根据《网络安全法》第三十一条规定“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定”。
依据上述文件,可以简单列举关键信息基础设施包括但不限于各个政府机关、公共信息服务领域、教科文卫金融等重要行业和领域的设施,重要网络应包括但不限于电信网络、广播电视网络、电力能源网络等。所有这些关系一个国家的命脉和民生大计,相关生产和经营或运营单位应严格遵守网络安全方面的法律法规,严格依照《办法》主动申报并接受审查。
根据网络报道和滴滴的招股说明书,滴滴注册用户已覆盖15个国家,4000个城市,年活跃用户数有4.93亿。滴滴目前已自建数据研究院,构建地图研究测绘机构,并收集整理庞大活跃的用户数据进行精准的画像、分析和深度的解读,甚至对国家要害部门的出勤等系列数据进行计算分析.....。打开滴滴主界面,可以看到,滴滴不仅仅是打车软件,还涵盖了出行、生活、娱乐、金融服务等等,功能十分强大,据此,滴滴当然属于关键信息基础设施的运营者。
(三)网络安全审查流程
结合《办法》以及国家网信办有关负责人就《网络安全审查办法》答记者问,网络安全审查办公室负责受理申报和初步审查,网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门参与审查,而仅在特别程序中,由中央网络安全和信息化委员会负责批准。而审查实践中的具体工作将由中国网络安全审查技术与认证中心承担,包括接收申报材料、对申报材料进行形式审查、具体组织审查工作等。
二、“滴滴”事件引发的关于数据安全法律问题思考
“滴滴”作为关键信息基础设施的运营者,占有中国网约车将近80%的市场份额,结合“滴滴”的业务性质,“滴滴”掌握了国家海量的道路交通、国家地图和数以亿计的用户隐私类数据,因此,可以认为对“滴滴”的网络安全审查,主要集中在数据安全审查方面。
2021年6月10日,《中华人民共和国数据安全法》以下简称(“《数据安全法》”)正式发布。由于《数据安全法》2021年9月1日方生效,因此“滴滴”事件很大可能不会依据《数据安全法》相关规定进行审查,但可以预见的是,在《数据安全法》生效后,该部法律所构建的数据安全审查等制度将与网络安全审查制度协同建立起配套的、较为完善的国家安全风险管理制度:(一)数据安全审查制度
《数据安全法》第二十四条规定,国家会针对影响或者可能影响国家安全的数据活动进行国家安全审查;第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。从上述规定可见,作为国家安全的重要组成部分,《数据安全法》响应了《国家安全法》的规定,建立了数据领域的国家安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
(二)重要数据与核心数据保护制度
《数据安全法》第二十一条规定:“国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。”
自《网络安全法》生效后,重要数据的范围、识别和流动监管,一直是备受关注的焦点问题。《数据安全法》一方面通过“重要数据保护目录”的方式来明确重要数据的范围,另一方面围绕重要数据保护提出了全方位的监管要求,包括数据安全负责人和管理机构的设置、定期开展风险评估并发送风险评估报告、重要数据出境安全管理等。
(三)数据安全风险预警制度
为了保护数据安全、防范数据安全风险,我国实行数据安全风险预警机制。根据《数据安全法》第二十二条规定,数据安全风险预警机制应当包括数据安全风险评估、报告、信息共享、监测预警等方面,为保证该制度的集中统一、高效权威,该项制度由国家建立;有关部门应当在国家数据安全工作协调机制统筹协调下,加强数据安全风险信息的获取、分析、研判、预警工作。
(四)数据安全应急处置制度
面对数据处理活动中潜在的安全风险,为避免发生数据安全风险时的危害进一步扩大,消除安全隐患,国家建立数据安全应急处置机制。《数据安全法》第二十三条规定,发生数据安全事件时,有关主管部门应当根据数据安全应急处置机制启动应急预案,采取相应的应急处置措施,并及时向社会发布与公众有关的警示信息,避免上述危害情形的发生。
“滴滴”事件,对于可能或即将构成关键信息基础设施运营者的互联网企业而言,是一次重要警示,值得企业关注;该事件也预示,互联网企业如要出海远航去海外上市,网络安全和数据安全审查是必要的前提条件。
律师简介
詹朝霞 律师
金鹏所合伙人
执业领域:连续十多年担任中国电信国际公司常年法律顾问,主要服务的客户还有:广东省公安厅、广东省政府法制办、广东省网信办、广州市国资委、广州市税务局、中国电信集团系统集成深圳公司、南方电网产业投资集团有限责任公司、天迅瑞达通信技术有限公司、世纪龙信息网络有限责任公司、华为软件技术有限公司、南方电网互联网服务有限公司等大中型企业和政府机构。
康泳涛
金鹏律师
执业领域:互联网和高新技术领域法律事务、企业法律顾问服务
谢晨
律师助理
专注领域:民商事诉讼、公司法律事务等及非诉讼事务
▪ 往期推荐 ▪
2021-07-07
2021-06-23
2021-06-22
2021-06-17
全国优秀律师事务所
金鹏律师事务所成立于1993年,是广州第一家市属合伙制律师事务所,目前已发展成为华南地区最具规模的综合大型律师事务所之一,曾获全国优秀律师事务所、司法部律师行业创先争优活动示范点、广东省文明律师事务所、广州市十佳律师事务所等50多项荣誉称号。
深耕粤港澳
服务大湾区,沿着“一带一路”拓展
国内办公室
境外办公室
忠信勤勉 厚德重法