引言
审什么?查什么?防什么?
文/李俊慧
校对/陈莉
起初,有人猜测滴滴是不是出什么问题了,接着,有人猜测近期赴美上市的公司是不是出什么问题了,后来……
因为相关部门的审查工作才刚刚启动,后面不排除会采取更多大动作,出现更多变局,而这确实需要有了审查结果才能看得更清晰。
短短三天之内,先后有多家在美上市公司被实施网络安全审查。
包括:上市不满一周的滴滴(2021年6月30日上市),上市超过一周的满帮(2021年6月22日上市)以及上市即将满月的BOSS直聘(20201年6月11日上市)。
这些公司无一例外都被要求,在审查期间,“停止新用户注册”。
2021年7月2日、4日,网络安全审查办公室先后发布了对“滴滴出行”和“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查的通告。
其中,遭遇网络安全审查“头炮”拷问的滴滴,因存在严重违法违规收集使用个人信息问题,其APP被相关部门于7月4日通知应用商店做下架处理。
当然,停止新用户注册、APP应用商店下架,是两个孤立的事件,还是属于密切联系的监管“组合拳”,目前尚不得而知。
因此,对于“运满满”、“货车帮”和“BOSS直聘”等相继被实施网络安全审查的APP,后续是否被处以“应用商店下架”则是重要的观测指标。
那么,略感神秘的“网络安全审查”到底是怎么回事?
对正在被审查中的滴滴、运满满、货车帮和BOSS直聘们,会产生哪些影响?未来哪些厂商还可能会遭遇类似审查?
1
网络安全审查:审什么?查什么?防什么?
《网络安全审查办法》是由国家互联网信息办公室等在内的12部门联合出台的部门规章,于2020年4月13日公布,并于2020年6月1日起施行。
值得注意的是,《网络安全审查办法》的前身为《网络产品和服务安全审查办法(试行)》(2017年6月1日起实施,并于2020年6月1日起废止。)
整体而言,不论是之前的《网络产品和服务安全审查办法(试行)》,亦或是现在的《网络安全审查办法》,它们的立法依据都是《国家安全法》和《网络安全法》,而触发网络安全审查的核心问题是“网络产品和服务的采购”。
其中,可能需要审查的网络产品或服务主要包括:核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
对于上述产品或服务,网络安全审查评估的焦点在于:1)有无被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;2)供应中断对业务连续性的危害;3)供应中断的风险;4)提供者遵守中国法律、行政法规、部门规章情况;5)其他。
按照《网络安全审查办法》相关规定,一般情况下,网络安全审查是依申请启动,特殊情况下,由相关部门依职权报批后启动。
从目前披露的公告内容来看,网络安全审查办公室对“滴滴出行”和“运满满”、“货车帮”、“BOSS直聘”等启动的网络安全审查,可能属于后者。
相关公告内容显示,此番对上述公司实施网络安全审查,目的是为了“防范国家数据安全风险”。
由此可见,上述公司业务运营中形成的或使用的数据,可能构成“国家数据”,而这些数据存储使用的网络产品或服务,有可能存在数据被窃取、泄露、毁损的风险。
当然,也有观点猜测,相关部门对前述单位的网络安全审查,是基于《网络安全法》第三十七条的规定,即:相关公司收集和产生的个人信息和重要数据,可能“因业务需要,确需向境外提供的”。
2
数据安全保护:一场看不见硝烟的战争
2021年6月10日,在第十三届全国人民代表大会常务委员会第二十九次会议上,《数据安全法》获审议通过,将于2021年9月1日起施行。
关于我国安全审查制度,《国家安全法》第五十九条明确了“国家建立国家安全审查和监管的制度和机制。”
《网络安全法》第三十五条和第三十七条分别就“网络产品和服务采购”和“向境外提供数据”提出建立“安全审查”和“安全评估”机制。《数据安全法》第二十四条规定“国家建立数据安全审查制度”。
如果说,《国家安全法》是建立“国家安全审查制度” 的基础性法律,那么,《网络安全法》和《数据安全法》则分别是建立“网络安全审查制度”和“数据安全审查制度”的专门法律依据。
而网络安全审查和数据安全审查都是国家安全审查的组成部分。
2021年7月10日, 《网络安全审查办法(修订草案征求意见稿)》(以下简称《征求意见稿》)面向社会公开征求意见。
而这距离《网络安全审查办法》正式施行刚满一年零一个月时间。
一部部门规章如此频繁修订,足以凸显网络安全审查的重要性以及面临的新形势、新挑战的紧迫性。
与现行《网络安全审查办法》相比,《征求意见稿》最大的变化是加大了数据处理和海外上市行为的安全审查力度。
《征求意见稿》规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
而这或许也是“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”遭遇网络安全审查的部分深层次原因所在。
有趣的是,上述几家遭遇网络安全审查的公司,海外上市时间均处于6月1日至6月30日期间,而《数据安全法》于2021年6月10日获审议通过。
而对于类似知乎(3月26日)、水滴(5月7日)等在今年6月之前就完成国外或海外上市的公司以及类似每日优鲜(6月25日)、叮咚买菜(6月29日)等电商类海外上市公司,相关部门暂未公告对他们启动网络安全审查。
3
违反安全审查:轻则被罚款,重则被追究刑事责任
2021年7月9日,继“滴滴出行”App后,“滴滴企业版”等25款由滴滴公司推出的App因存在严重违法违规收集使用个人信息问题,也遭遇监管部门处以“应用商店下架”处理。
据此评估,与滴滴主营业务密切相关的App可能都被处以“应用商店下架”了。
如果该处理方式,未来是网络安全审查期间的标配处理行为,这势必会对后续可能面临网络安全审查的相关企业或平台形成强烈震慑效应。
根据《网络安全法》相关规定,如果属于“网络产品和服务”采购行为违规,也就是使用未经安全审查或者安全审查未通过的网络产品或者服务的,那么,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
而如果属于“数据不当出境”违规行为,也就是在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
而对于其他数据处理活动,按照《数据安全法》的规定,如果有“不履行数据安全保护义务的”、“向境外提供重要数据的”或“危害国家主权、安全和发展利益的”等违法数据处理行为的,最高可由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
当然,需要注意的是,《数据安全法》正式生效施行的时间为9月1日,预计修改后的《网络安全审查办法》生效施行日期不会早于9月1日。
在相关法律及规章未正式生效前,相关部门对“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”的网络安全审查,应该更多聚焦在《网络安全法》范畴内的“网络产品或服务采购”或是可能的“因业务需要数据出境”问题,而非《数据安全法》范畴内的数据处理行为。
否则,如无特殊规定, 现阶段就对数据处理行为等进行安全风险评估和审查,可能会有悖于“法不溯及既往”的一般原则。
相关法条:
《国家安全法》
第二十五条 国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。
第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《网络安全法》
第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)采取数据分类、重要数据备份和加密等措施;
(五)法律、行政法规规定的其他义务。
第二十七条 任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第七十六条 本法下列用语的含义:
网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
网络数据,是指通过网络收集、存储、传输、处理和产生的各种电子数据。
《数据安全法》
第二十四条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
依法作出的安全审查决定为最终决定。
《网络安全审查办法》
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
第五条 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。
第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
第十五条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
第二十条 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
注:如果你刚刚打开本公众号,可点击以下链接关注“数据法律问题研究系列”,留言参与探讨。
《我国首部数据法律《数据安全法》出台:三大亮点需关注 | 立法评析》
《闲话我国“数据”立法史:你可能不知道的八个首次 | 立法研究》
李俊慧,中国政法大学知识产权研究中心特约研究员,长期关注互联网、知识产权及电子商务等相关政策、法律及监管问题。作者系网易新闻·网易号“各有态度”签约作者。
曾参编高等院校法学专业教材《电子商务法》,并就著作权、商标、专利、域名等知识产权及电子商务监管相关问题接受过中央电视台、中央人民广播电台、北京电视台等电视及《人民日报》、《21世纪经济报道》、《华夏时报》、《彭博新闻周刊》等报纸、杂志的采访。
在《法治周末》、百度百家、腾讯、新浪、搜狐、网易、钛媒体、donews、今日头条等媒体开设有个人专栏。
同时,还是“2015年度腾讯科技自媒体年度作者”、“搜狐科技精英自媒体排行榜上榜作者”、“2015年、2016年度钛媒体十大作者”、“2017年网易号年度最佳签约作者”、“2017年新浪科技创事记年度作者”等。