【合规资讯】关于滴滴被实施网络安全审查,您可能想了解的几件事儿
本文共5624字,建议阅读时长11分钟
目
录
一、什么是网络安全审查?
网络安全审查立法背景
网络安全审查工作如何启动?
关键信息基础设施的判断方法
二、滴滴为何被进行网络安全审查?
滴滴具有庞大的用户量级
滴滴控制的数据包含大量敏感信息
复杂境内外环境下数据传输话题的“敏感性”
滴滴披露的数据合规方面的风险
一、什么是网络安全审查?
1.网络安全审查立法背景
早在2015年,《国家安全法》中便有规定“国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。”2017年6月1日生效的《网络安全法》则特别指出关键信息基础设施运营者负有网络安全审查义务,采购网络产品和服务,应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。
为进一步细化前述两部上位法中的要求,2020年4月13日,国家网信办、工信部、公安部、国家安全部、国家保密局、国家密码管理局等12个部门联合发布《网络安全审查办法》,并于2020年6月1日试运行,旨在专项保障关键信息技术基础设施供应链安全。
2.网络安全审查工作如何启动?
注1:网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查,是网络安全审查工作的具体实施单位。
注2:网络安全审查工作机制成员单位包括国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。
网络安全审查部门确定实施网络安全审查后的工作流程:
3.关键信息基础设施的判断方法
从2017年《网络安全法》公布后,关键信息基础设施的具体界定方法一直悬而未决,过去虽公布过《关键信息基础设施安全保护条例》、《信息安全技术 关键信息基础设施边界确定方法》的征求意见稿,但正式的生效文件仍未出台。2020年9月22日,公安部发文《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,就组织认定关键信息基础设施事宜展开说明,要求重点行业及领域的主管、监管部门制定本行业、本领域关键信息基础设施认定规则并报公安部备案;同时,主管、监管部门应根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。从这一指导意见来看,或许最终关键信息基础设施的清单并不会对公众公布,仅以通知具体相关单位及公安部备案的方式执行,这或许也是对关键信息基础设施的另一种保护。
尽管如此,企业未收到关键信息基础设施认定的通知前,仍可积极展开自查工作,未雨绸缪,如自查认为属于关键基础信息设施,及时筹划网络安全审查工作的申报、或提前留存审查所需的材料,对企业的合规管理乃至企业形象建设皆有裨益。2017-2018年间,笔者检索到多省曾开展关键信息基础设施自查工作,以新疆为例,2018年4月新疆维吾尔自治区林业厅曾发布《自治区关键信息基础设施普查工作指南》,其中就关键信息基础设施的分类以及界定关键信息基础设施的步骤方法(一是梳理关键核心业务的运营单位;二是梳理识别关键业务;三是确定支撑关键业务的网络设施、信息系统、工控系统等,列出候选清单;四是根据关键业务对网络设施、信息系统、工控系统等的依赖程度,以及发生网络安全事件后可能造成的损失)以文字结合图表的形式予以详细说明,对企业开展自查工作具有指导价值,笔者特将此文件作为本文附件以飨读者参考(附件较长,请联系文末作者获取)。
二、滴滴为何被进行网络安全审查?
1.滴滴具有庞大的用户量级
2.滴滴控制的数据包含大量敏感信息
从隐私政策中披露的信息收集的类型来看,滴滴控制了大量的个人敏感信息,例如:
新出台的《数据安全法》将于2021年9月1日才生效,当前适用已生效的《网络安全审查办法》,对滴滴启用网络安全审查并无不妥。
3.复杂境内外环境下数据传输话题的“敏感性”
在审查结果作出前,就网络中传闻的滴滴事件,笔者不予置评。根据《网络安全审查办法》,网络安全审查办公室通过接受举报等形式加强事前事中事后监督。从这一规定来看,网络安全审查办公室是否收到类似传闻信息的举报后启动对滴滴的审查,我们不得而知。
4.滴滴披露的数据合规方面的风险
“我们在我们的平台上接收、传输和存储大量个人身份信息和其他数据。我们受许多法律和法规的约束,这些法律和法规涉及不同司法管辖区的隐私、数据保护以及某些类型数据的收集、存储、共享、使用、披露和保护。……为了遵守法律、法规、行业标准或合同义务规定的隐私、数据保护和信息安全标准和协议,我们已经产生并将继续产生大量费用。与隐私、数据保护和信息安全相关的现有法律或法规的变化或采用新的法律和法规,特别是任何新的或修改的法律或法规要求加强对某些类型的数据的保护或在数据保留、传输方面的新义务或披露要求,可能会大大增加我们提供服务的成本,需要对我们的运营进行重大改变,甚至阻止我们在我们目前经营或未来可能经营的司法管辖区提供某些服务。
尽管我们努力遵守与隐私、数据保护和信息安全相关的适用法律、法规和其他义务,但我们的实践、产品或平台可能无法满足此类法律、法规或义务。如我们未能遵守与隐私、数据保护或信息安全相关且对我们适用的法律或法规或任何其他义务,或发生未经授权访问、使用或发布个人身份信息事件或其他数据的任何安全事件,或被认为或被指控发生前述任何类型的故障或事件,皆可能会损害我们的声誉,禁止新老司机和骑手使用我们的平台,或导致调查、罚款、暂停我们的一个或多个应用程序,或其他政府当局的处罚和私人索赔或诉讼,其中任何一项都可能对我们的业务、财务状况和经营业绩产生重大不利影响。即使我们的实践不受法律约束,但就隐私问题的讨论和各方意见,无论是否有效,都可能损害我们的声誉和品牌,并对我们的业务、财务状况和经营业绩产生不利影响。”
三、如遇网络安全审查,企业可如何应对?
归结到底,网络安全审查工作是专项针对关键信息基础设施安全检查的管理制度,如果企业可以自证切实履行关键信息基础设施运营者的义务,则顺利审查工作将是水到渠成。而这项工作绝非朝夕间“临时抱佛脚”,唯有长期、规范的管理工作方可奏效。
企业证明落实前述义务时,可从以下三个方面着手:
结语
随着《数据安全法》的落地,网络安全-数据安全-国家安全的架构已初步完成,今后类似滴滴的案例将会愈发频繁。滴滴事件也给众多企业敲响了警钟,网络安全与数据合规案例具有突发性,这对企业持续落实合规义务提出了的更高的要求。滴滴后续如何应对本次网络安全审查事件、消弭已产生的社会影响,我们将持续关注并输出观点。面对当前复杂的境内外环境及当前严格的监管态势,我们不禁思索,第一案已经来了,第二案还会远吗?
注释:
1.来自于滴滴官网个人信息保护及隐私政策
2.个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下,14岁以下(含)儿童的个人信息和涉及自然人隐私的信息属于个人敏感信息
本文作者
史倩君
北京星来律师事务所实习律师
电话:010-64011566
微信:sqj1220
邮箱:shiqianjun@xinglailaw.com
现任北京星来律师事务所合规中心实习律师,致力于为客户提供全方位的合规法律服务,包括网络安全与数据合规、广告合规、白领犯罪和政府监管等
星来律所介绍
星来律所特聘顾问
发展战略顾问 | |
王忠德 | 欧盟中国委员会理事会副主席 |
特聘顾问 | |
樊崇义 | 中国政法大学教授 |
赵旭东 | 中国政法大学教授 中国法学会商法学研究会会长 |
陈卫东 | 中国人民大学法学院教授 |
白建军 | 北京大学法学院教授 |
汪建成 | 北京大学法学院教授 |
黎宏 | 清华大学法学院教授 |
邓峰 | 北京大学法学院教授 中国商业法学会副会长 |
刘品新 | 中国人民大学法学院教授 |
相关推荐
【星来资讯】“七年级”律师日记:从律师到创始合伙人,深耕企业合规管理
2021年6月17日
【星来资讯】北京大公廉政管理顾问有限公司董事长欧燊平、副总裁庄家夫莅临星来洽谈合作
2021年6月16日
【星来合规】新法解读:《数据安全法》下,企业合规之待办清单
2021年6月15日
【星来合规】新一代企业竞标利器——企业如何建设合规管理体系|ISO 37301系列文章(下)
2021年5月19日
【星来合规】新一代企业竞标利器——可认证的国际合规管理标准ISO 37301(上)
2021年5月18日
声 明
《星来法律智引》所刊登的文章仅代表作者本人观点,不得视为星来律师事务所或其律师出具的正式法律意见或建议。本文仅供个人学习、探讨企业合规管理所用,不涉及其他商业用途。如任何单位或个人认为本文涉及侵犯其合法权益的,请及时与我们联系,我们将立即采取措施予以解决。