查看原文
其他

【实务导师谈形势】解读网络安全审查制度——从滴滴被实施网络安全审查谈起

黄凯 法嘉LAWPLUS 2022-04-10

网络安全审查风雨骤至。2021年7月,“滴滴出行”“运满满”“货车帮”“BOSS直聘”接连受到网络安全审查。与此同时,“滴滴出行”及滴滴旗下其他25款App被通报下架、股价暴跌、或将在美遭遇证券集体诉讼等相关事件也不断曝出。

与此同时,网信办发布了《网络安全审查办法(修订草案征求意见稿)》(“《修订意见稿》”)。《修订意见稿》有不少突破性的新规定,本文将结合《修订意见稿》,对前述审查事件和网络安全审查制度进行讨论。


 什么是网络安全审查制度?

网络安全审查制度是一项国家安全审查制度。网络安全审查制度最主要的审查对象是关键信息基础设施运营者(“CIIO”),重点审查其网络产品或服务采购行为(“采购行为”),旨在防止采购环节的网络安全问题引起连锁反应,对整个关键信息基础设施(“CII”)供应链造成影响。

《修订意见稿》与2021年6月通过的《数据安全法》相衔接,扩大了网络安全审查的审查范围。根据《修订意见稿》的最新修订,除CIIO的采购行为以外,影响或可能影响国家安全的数据处理活动,及掌握超过100万用户个人信息的处理者赴国外上市的行为,也属于审查范围。


此次几家被审查企业的共同点

近期事件所涉的滴滴、满帮集团及BOSS直聘等,具有如下共同点:第一,都于近期(2021年6月)在美国上市;第二,根据招股书,其拥有大量活跃用户,可能掌握大量用户个人信息。例如,“滴滴出行”在截至2021年3月31日前的一年内,拥有超过3.77亿的中国活跃用户;第三,均为各自行业(即出行、道路运输、求职招聘)的头部企业,所掌握的数据数量、广度和深度都非常可观,经过处理和分析可能会反映出人口信息(如行业、流动、受教育程度)、道路情况、地理情况等国计民生相关信息。

综合上述共同点可知,本次《修订意见稿》尤其重视掌握大量涉及国计民生的用户个人信息,且有赴国外上市行为或计划的企业。这类企业需要特别注意履行网络安全审查方面的合规义务。


哪些情况可能触发网络安全审查?

根据《修订意见稿》,网络安全审查在两种情况下会启动:(1)、企业依据申报义务,主动申报审查;(2)、主管机关依职权启动审查。

对于有如下情况的企业,可主动申报审查:(1)、涉及关键信息基础设施运营者采购网络产品或服务,且相关产品或服务的投入使用已经影响,或者可能影响国家安全;(2)、数据处理者开展数据处理活动,且该活动已经影响,或者可能影响国家安全;或 (3)、涉及数据处理者赴国外上市,且其掌握超过100万用户的个人信息。

当然,上述情况的企业,也属于主管机关依职权审查之范围。此外,若企业的网络产品或服务、数据处理活动或者国外上市行为影响或可能影响国家安全,则即使不存在网络产品或服务采购行为或采购计划,或者拟上市但未掌握超过100万用户的个人信息,主管机关也可依职权启动审查。


违反安全审查申报等义务,可能会面临何种法律责任?

根据《网络安全法》和《修订意见稿》,如企业构成应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,可能会被责令停止使用相关产品和服务、处采购金额一倍以上十倍以下罚款。同时,直接负责的主管人员和其他直接责任人员可能会被处一万元以上十万元以下罚款。


网络安全审查如何进行?

1. 负责审查的机关

国家互联网信息办公室下设网络安全审查办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。中国网络安全审查技术与认证中心负责接收申报材料、对申报材料进行形式审查、具体组织审查工作等。

2. 审查时的主要考量因素

评估采购网络产品和服务、数据处理活动以及国外上市是否影响国家安全时,主要的考虑因素包括:(1)、是否可能带来CII安全风险或重要数据安全风险;(2)、产品和服务供应中断对CII业务连续性的危害;(3)、产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(4)、产品和服务提供者的合法合规情况;(5)、核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(6)、国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

3. 审查时长与流程

在《修订意见稿》下,CIIO主动向网络安全审查办公室主动申报的,网络安全审查办公室会在收到网络安全审查申报材料起10个工作日决定是否需要审查并书面通知CIIO。如需要审查,通常情况下会在45至60个工作日内完成。这包括网络安全审查办公室的初步审查阶段(30~45个工作日),以及分别向网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门征询意见阶段(15个工作日)。

如网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门的意见不一致,则将进入特别审查程序,还需要3个月或者更长(如情况复杂)。建议有申报需要的企业,预留充足时间,尽量减少对交易和企业经营的影响。

审查的具体流程参见下图:


《修订意见稿》将对行业产生什么影响?

 1. 拟国外上市的企业,需注意网络安全审查合规

近期事件所涉企业皆为在美上市企业。《修订意见稿》也新增条款,明确“掌握超过100万用户个人信息的运营者赴国外上市,必须申报网络安全审查”,同时还将数据出境、数据被国外政府恶意利用等数据安全风险新增为审查考量因素。对于拟赴国外上市的互联网企业来说,履行数据和网络安全保护义务,提前做好合规,有利于企业的稳健经营与发展。

2. 非CIIO企业也应关注网络安全审查合规

《修订意见稿》将CIIO以外的一般“数据处理活动”也纳入审查范围,并将数据安全与出境相关风险纳入了审查的考量因素。凡涉及数据处理活动或者数据出境活动的相关企业,都应重视网络安全审查合规义务。CIIO以外的其他从事各环节数据处理活动的各类企业,都可能落入审查范围。企业应根据《修订意见稿》的要求,主动对数据进行分级分类,对每一类甚至每一项数据处理活动做到心中有数,能够准确进行风险预判,进而判断是否要申报审查。同时,企业应该严格做好数据安全管理与风险防范方面的制度建设、落实与执行记录。


结语

《修订意见稿》进一步拓宽、细化了网络安全审查的审查事项与情形,影响的主体不仅限于CIIO,影响的事项也不再限于采购行为,而是扩大到了国外上市行为,及一般数据处理者的数据处理活动。

对于相关企业而言,积极履行相关网络与数据安全义务,不仅能够降低违规风险,维护国家安全,更可能将数据安全与合规能力转化为市场竞争力,促进数字经济行业生态优化。

因此,我们建议相关企业重视这个领域的合规义务的显著变化,并积极拥抱变化,主动配合。在网络安全方面,应当投入更多成本进行日常网络安全与数据合规、预判与履行审查申报义务。

实务导师介绍

黄凯律师

通商律师事务所

合伙人

黄凯律师是通商律师事务所合伙人,专注于反垄断与反不正当竞争、数据保护与网络安全、应对政府调查等合规法律服务。黄凯律师获得复旦大学法学学士和法学硕士学位,以及爱尔兰圣三一大学法学硕士学位。黄凯律师现任上海市律协竞争与反垄断业务研究委员会副主任,被LEGALBAND评为反垄断与竞争法领域2021年度中国顶级律师,并被《商法》评为2021年度“Rising Star律师新星”。

往期文章链接🔗:

近期热点活动

律师如何正确地“拼命”和“革命”,以至可以“改命”?

2021年度·卓越法务与合规精英班招生简章

“沪航”贸易高质量发展之出口管制专题培训顺利举办

数字经济与全球数据治理系列研讨会成功举办

近期热点文章

还在家里躺平?快来解锁精英们的同款周末!

《个人信息保护法》重要规定及合规要点评析

总法嘉谈|如果在平行世界,张文宏的博士论文被认定抄袭……

芝麻开门,奔赴一场夏日法商盛宴!

《个人信息保护法》工具包集合来了!【正式稿与二审稿修改对比】与【中英文对照版】

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存