查看原文
其他

鱼跃法评丨大江东去浪淘尽——新《网络安全审查办法》草案与滴滴事件的启示

鱼跃法学老助手 鱼跃法学
2024-09-05

点击蓝字 关注我们


编者按 / /

自滴滴于6月30日低调赴美上市以来,相关事件和报道纷至沓来,但大都是捕风捉影的无稽之谈,从法律方面分析的文章甚少。本文由鱼跃法学团队经济法方向的小编新作,作者就读于中国人民大学法学院经济法专业,对滴滴事件中的法律问题进行了梳理和点评。对于企业而言,应当做好数据合规相关工作,重视网络安全审查中的“穿透式监管”,坚持法治精神,至关重要。

2021年7月2日,网络安全审查办公室公布对“滴滴出行”启动网络安全审查的公告,并告知为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。7月4日,网络安全审查办公室发出通报,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在问题,切实保障广大用户个人信息安全。该审查表明滴滴可能在网络安全运行与安全信息保护方面存在安全隐患。网络安全审查办公室的审查依据之一便是《网络安全法》,这提醒我们要更加深入地去认识这部法律。


立法背景

随着信息技术不断发展,互联网在开拓人类生活新空间的同时,也拓展了国家治理领域。自1969年诞生的互联网距今不过50多年,与之伴随的网络空间国家主权更是21世纪的新概念。但生活在当下的我们,早已深刻地意识到信息利用的重要性与数据保护的必要性。2016年12月,国家互联网信息办公室发布了《国家网络空间安全战略》。该战略明确了推进网络空间和平、安全、开放、合作、有序的目标以及尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展四项基本原则,阐明了网络空间治理的基调。同年11月制定的《网络安全法》正是在这样的理念指导下应运而生。

《网络安全法》融合了事前预防与事后惩治相结合,民事、行政、刑事等多种手段相结合的治理理念,规定了国家、网络平台、公民等多方主体的权利义务。由于网络平台向上承载国家战略,向下服务公民权利,是《网络安全法》的重点规制对象,今天就让小编带大家一起浏览企业在《网络安全法》中的权利和义务,观察滴滴平台究竟可能触犯了哪些规定。


法律规定


(一)总体规定


《网络安全法》共设有7章,第一章总则部分介绍国家网络治理的方针原则和管辖范围。该法既调整在中华人民共和国境内建设、运营、维护和使用网络及安全监管的行为(第2条),也明确对来源于中华人民共和国境外的网络安全风险和威胁的管辖(第5条)。此外,总则部分对网络空间各主体的基本权力与义务做了概括性的规定。第二章网络安全支持与促进部分主要赋予了政府机关网络安全防控治理的权力与责任。第三章网络运行安全与第四章网络信息安全主要设定了网络运营者的权利与义务,也是本文的重点内容,两部分从运行、信息两个方面对网络运营者的安全保障义务、信息披露义务等义务做了详细规定,并根据其对网络安全的潜在风险不同,区分设置了不同的义务。第五章监测预警与应急处置部分立足于重大风险的事先防控与应急处理。第六章法律责任使得本法有了更多的操作性和威慑力,网络空间法律规范体系正逐渐完善。


(二)运行安全网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。前者主要针对网络运行安全,后一部分则是指网络信息安全,网络运营者在这两方面应当承担更大的责任。
1.一般义务网络运营者的运行安全保障义务依照所用基础设施的不同,区分为一般义务和关键信息基础设施的运行安全保障义务。一般网络运营主要履行的义务包括:◎安全性:(1)采取安全保障技术措施[21条];(2)数据分类保护[21条];(3)网络产品、服务的安全保障与维护义务[22条];(3)所涉关键设备、网络安全专用产品的安全认证或检测义务[23条];(4)风险预案与及时处理义务[25条]◎规范性:(1)制定内部安全管理制度和操作规程,确定网络安全负责人[21条](2)检测记录与备份留存制度[21条];(3)用户真实信息认证义务[24条];(4)遵守法律与协助办案义务[27、28条]◎透明性:(1)产品、服务危险的报备与告知义务[22条、25条];(2)产品、服务用户信息收集告知义务[22条];(3)运行状况社会公示义务[26条]
2.特殊义务如果网络运营者在经营过程中涉及关键信息基础设施的使用,由于其对国家安全具有重要影响。故在一般义务的遵守要求同时,该类运营者还应承担更高的安全保障义务。◎关键信息基础设施认定:本法对关键信息基础设施认定采取了列举加兜底的规定方式,并将具体范围的认定办法交由国务院制定。其第31条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。2017年,国家互联网信息办公室关于《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见的通知中,该条例第18条规定:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。公安部【2020】1960号关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函中指出:应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制。据此,关键信息基础设施可具体分类公共事业、大型公共信息网络服务、重要科研生产、新闻单位、其他重点单位(其他重点单位可以参考公安部的函进行认定)五类,并严格根据其对于国家安全、国计民生、公共利益的相关影响进行认定。◎特殊网络运营者的额外义务:(1)设置专门安全机构与负责人,并进行背景审查;对相关从业人员定期教育、培训、考核;对重要系统和数据库进行容灾备份;制定应急预案,定期演练[34条];(2)在采购活动中,若活动涉及国家安全,应当通过国家网信部门和国务院其他部门的安全审查,并应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。[35、36条];(3)在信息收集使用与传输过程中,运营者在境内收集的信息应当在境内储存,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。[37条];(4)运营者每年应当自行或委托专门机构进行安全检查评估,并报送负责关键信息基础设施安全保护工作的部门。[38条]此外,关于关键信息基础设施网络运营者的采购活动,除本法第35、36条规定外,2020年4月发布的《网络安全审查办法》对该采购活动有着更为详尽的规制。该办法明确了网络安全审查办公室为网络安全审查的主要机构[4条],规定了网络安全审查应当递交的文件[7条]以及审查机构的考虑因素[9条]和程序[8条、10条-18条]。此外,该办法赋予了网络安全审查办公室主动进行调查的权力,但程序上应当先报中央网络安全和信息化委员会批准[15条]。
(三)网络信息安全网络信息安全的保护,同样采用安全等级分类保护的思想。2007年6月公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知第7条将我国的信息保护分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。不同等级下,国家进行安全审查的程度和力度皆各不相同。本法规定了一般的网络运营者应当遵守的义务:1.安全性:(1)信息保密并建立相关机制[40条];(2)采取各项措施保障个人信息安全,防止信息泄露、毁损、丢失并在危险发生时及时补救[42条];安全服务与管理义务[47条、48条]。2.规范性:(1)信息收集、使用应遵循合法、正当、必要原则[41条];(2)保证信息完整、正确义务[43条];(3)守法义务[44条、46条];(4)建立网络信息安全投诉、举报制度并及时受理义务[49条];(5)协助国家调查与安全管理义务[49条、50条]。3.透明性:(1)公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意[41条];(2)信息泄露或遭破坏时,及时告知与报告义务[42条、47条];(3)公布投诉、举报方式等信息义务[49条]。其中,信息收集必要原则在国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》中有详细的表述。该规定将各项网络服务分为39类,并分别规定其收集用户信息的必要范围。


网络安全审查办法的最新动向

2021年7月10日,国家网信办发布了《网络安全审查办法(修订草案征求意见稿)》。该草案在查封滴滴等app之后向社会公布,表明国家在网络安全管理方面积累了丰富的经验,修订法规时机成熟。《网络安全审查办法》修改草案主要有以下几点修改:一是本法的适用对象之一网络运营者的范围加入了数据处理者这一角色。这一表述的修改可能借鉴了国外的立法经验以及顺应了《数据安全法》的出台。鉴于数据传输与处理活动链条涉及多方主体,每一方主体都有可能承担多个角色,根据各主体对数据的权利义务进行划分,是实质重于形式原则的体现。欧盟的《通用数据保护条例》第4条第2项规定:“处理”是指任何一项或多项针对单一个人数据或系列个人数据所进行的操作行为,不论该操作行为是否采取收集、记录、组织、构造、存储、调整、更改、检索、咨询、使用、通过传输而公开、散布或其他方式对他人公开、排列或组合、限制、删除或销毁而公开等自动化方式。我国《数据安全法》第3条规定:数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。由上述规定对比可知,数据处理概念是一个开放的概念,一切对于数据的操作原则上都可纳入数据处理概念之中。二是对特定运营者赴国外上市有了更为严格的条件。该法新增第6条规定:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。三是运营者申报网络安全审查时,应当提交的材料新增拟提交的IPO材料。四是规定网络安全审查参考因素的第10条修改或新增以下三项:(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险;(七)其他可能危害关键信息基础设施安全和国家数据安全的因素。五是该法对网络产品和服务的定义中新增重要通信产品一项。其余条文变动多为配合新出台的《数据安全法》进行相应的适用依据调整。我们从以上的修改重点可以直观地感受到我国目前在网络安全管理领域,将一大矛头对准了国外上市企业。这也与滴滴国外上市后被国家机关审查下架遥相呼应,表明国家在经过对滴滴安全审查等管理活动后,对企业国外上市有了更加紧密和严格的政策要求。随着我国网络安全网不断收紧,国内企业的国外上市除了通过国外重重关卡外,也需重视国内的安全合规问题,国外上市之路似有雪上加霜的可能。


滴滴事件的启示

滴滴的法律隐患主要在两个方面。新的《网络安全审查办法》出台前,滴滴作为交通领域的网络运营者,其属于《网络安全法》第31条所规定的关键信息基础设施运营者。故滴滴除履行运营者的一般义务之外,还应依据其关键信息基础设施使用者的身份,承担更高的网络安全保障义务。一是采购过程中的安全合规,一是信息对外公开的安全合规。《网络安全法》第35条、36条规定,在采购活动中,若活动涉及国家安全,应当通过国家网信部门和国务院其他部门的安全审查,并应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。如滴滴在有关网络产品、服务的采购过程中,未进行安全审查申报或未实施有关保密措施,则依据本法应当承担相应的责任。外界推测更多的,是滴滴可能违反了第二个义务,即信息的保密义务。美国的《外国公司问责法案》要求国外企业在美国上市时,需接受全方位的运营和财务信息审查,而滴滴在此过程中的一些信息披露,有可能落入我国《网络安全法》的规制范围,形成骑虎难下的局面。滴滴未上市时,有关基础设施交易活动处于隐秘状态,国外难以探知其各项元件来源,便无法获取储存器承载的重要安全数据。但上市是一个要求信息的公开的过程,在滴滴披露各基础设施供货商名单后,美国有关机构可能根据该名单顺藤摸瓜,通过技术措施获取我国交通领域的重要情报,造成重大的国家安全隐患。滴滴上市的信息披露可能符合本法第31条的描述情形,即“一旦设施遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益”。新《网络安全审查办法》草案对数据安全方面有了更为严格的规定,这正可以证明上述的讨论与担忧并非空穴来风。该草案第6条直接规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。在规定安全审查考量因素的第10条也新增数据泄露或被国外政府影响控制等风险审查项目。可以说在草案正式颁行后,滴滴的国外上市之路会更加坎坷,其应当承担更高的网络与数据安全保障义务。正如冷静教授所言:滴滴事件之后的境内监管口径改变,预示着今后“去也难”(红筹上市前置审批“路条”或者“无异议函”制度可能重启)、“留也难”(维持美股上市的合规成本高昂,特别是在《外国公司问责法案》项下的信息披露和审计底稿受查环节的合规风险大幅增加)、“走也难”(私有化退市不易)将成为几条并行的中概股赴美上市监管图景的主色调。滴滴的上市之路给我们的启示还包括以下两个方面:1.重视不同国家之间数据安全保护程度的差异问题。上述“上市困局”在数据安全保护领域并非个例。2020年,欧盟法院判决的SchremsII案便是基于美国《外国情报监控法》及修正案中赋予的政府收集外国用户有关个人信息的权力过大,而判决从欧洲经济区向美国转移个人数据的便捷机制“隐私盾”框架无效。2.国内运营者应高度重视网络安全的“穿透式监管”。《网络安全法》第2条明确规定该法的规制对象之一为在中华人民共和国境内建设、运营、维护和使用网络的行为。不论该企业是否归属于中国《公司法》项下的“外国公司”或中国《证券法》项下的“境外企业”,凡涉及国内网络与数据安全,都应接受该法的管辖。这一管辖规定贯彻了国家安全管理与保护的初衷,坚决排除了通过海外注册、股权架构设计等方式规避国内监管的行为。


鱼跃法学

微信号|鱼跃法学

新浪微博 知乎 豆瓣|鱼跃法学


名校法学硕士/法学博士深度解读

专注于五院四系等国内一流法学院校精品学科


点击下方阅读原文即可购买

继续滑动看下一个
鱼跃法学
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存