「滴滴」网络安全审查事件的深度分析与合规指引
2021-07-14
一、事件聚焦
2021年7月2日,网络安全审查办公室在国家网信办官网发布公告,宣布将对滴滴出行启动网络安全审查,并要求为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
7月5日,网络安全审查办公室宣布对“运满满”“货车帮”“BOSS直聘”等开展实施网络安全审查,以上三款APP也被要求停止新用户注册。
据悉,自2020年4月,国家互联网信息办公室等12部门联合制定的《网络安全审查办法》发布以来,“滴滴出行”触发网络安全审查程序属全国首例。
国家执法部门接连对互联网企业启动网络安全审查,是当前境内外复杂环境下,维护国家安全、网络安全、数据安全的重要举措,彰显了国家执法部门严格监管的态度与决心,为互联网企业敲响了合规发展的警钟。
2021年7月6日,中共中央办公厅、国务院办公厅印发了《关于依法从严打击违法活动的意见》。意见对数据安全、跨境数据流动、涉密信息管理等相关法律法规的完善提出了要求。
同时提出了抓紧修订关于压实境外上市公司信息安全主体保密责任;加强跨境信息提供机制与流程的规范管理的工作意见。
由此可见,国家安全、网络安全、数据安全已成为数字经济时代国家的重要战略任务。同时境外上市公司信息安全主体保密责任也成为未来监管执法的新重点。
二、网络安全审查的重点问题审视
国家安全是国家生存和发展的重要基石。网络安全恰恰是国家安全工作中重要且不可或缺的一环。《国家安全法》《网络安全法》均规定,国家应当建立安全审查制度,就影响国家安全的重大事项和活动进行审查。2020年4月13日,多部委以《国家安全法》《网络安全法》为依据,联合发布《网络安全审查办法》(以下简称该办法,该办法已于2020年6月1日生效),对网络安全审查对象、程序、内容等进行了详细的规定。
此次网络安全审查办公室按照《网络安全审查办法》对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等企业开展网络安全审查是我国网络安全审查制度的具体实践。
网络安全审查流程示意图
(一)审查对象:关系国家安全的关键信息基础设施运营者
网络安全审查针对关键信息基础设施运营者。根据《网络安全审查办法》的规定,关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照该办法进行网络安全审查。该办法还规定,关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
国家互联网信息办公室相关负责人答记者问时指出,根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》的精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照办法的要求考虑申报网络安全审查。
上述行业领域关乎国计民生、社会公共利益、国家安全,对此类运营者开展网络安全审查是维护国家安全的应有之义。
滴滴、运满满、货车帮等网络平台,在提供相关服务时其网络系统不可避免地会收集、使用、传输交通运输数据和地图数据等重要数据。此次事件显示,相关网络平台已被纳入关键信息基础设施运营者的考察范畴。
(二)审查内容:数据安全是审查重点之一
网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要包括关键信息基础设施的安全性、数据安全及业务中断可能性(供应链安全等)等多个方面。数据安全是重点方面之一,主要考虑产品和服务使用后带来的重要数据被窃取、泄露、毁损等方面可能存在的风险。
数字经济时代,数据已然成为国家重要的战略资源,数据对于国家安全与发展的意义不言而喻,数据安全是国家安全保障工作的重要方面,其中重要数据的安全更是重中之重。
随着网络科技的高速发展,互联网企业将掌握越来越多的个人信息、商业信息、甚至是国家核心数据等。随着企业手中掌握的数据类型和量级的不断积累和提升,其作为营利组织将具有公共机构的性质,与行政主体共性渐多,若不对其“权力”加以约束,企业将能影响个人、社会发展甚至是整个国家安全与稳定。在此种背景下,数据安全的地位更显得极为特殊。
滴滴、运满满、货车帮等在提供服务时,处理的数据多涉及交通运输、国家地图等,以上数据属于关系到国家安全、经济发展、社会公共利益的重要数据。根据《数据安全法》(2021年9月1日生效)的规定,应当根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。所以,针对重要数据,应当加以特别保护。
在数据出境方面,重要数据的安全性更为重要。《网络安全法》第37条规定,原则上关键信息基础设施运营者所收集的个人信息与重要数据应在境内存储;确有需要的,应当根据相关规定进行安全评估。
三、发展趋势
(一)数据安全是国家未来安全治理的重点关注问题
近年来,数据资源日益成为世界各国争先抢占的战略要地,数据争夺战已经打响。在形式日益严峻的背景之下,相关部门加快构建数据安全网络,数据安全成为国家安全治理的重点关注问题。
数据安全成为国家安全的重点,不仅仅是因为数据主权问题,还因为大数据时代海量的数据高度集中,加大了数据泄露的风险。而数据一旦泄露,将对经济社会、国家安全产生重要的影响。为此,保障数据安全成为维护国家安全的重要内容。未来,网络安全、数据安全审查态势将更加严格化。
(二)数据本地化存储日益成为数据安全重要监管方向
数据本地化存储是数据主权的重要体现。如今,数据主权争夺战日益激烈,纵观全球,美国、欧盟等均将数据本地化作为立法与司法的重要考量。例如美国《澄清合法域外使用数据法》(简称 CLOUD Act)授权美国监管、执法等部门通过国内法律程序调取美国公司储存在境外的数据,同时也允许其认可的“适格的外国政府”向美国公司调取数据用于侦查执法。但前提是这些国家必须放弃数据本地化的要求。这无疑体现了美国希冀于在数据主权领域率先控制话语权,试图通过设定标准控制外国企业将数据存储于美国。
欧盟也通过GDPR设立了严格的数据出境限制。其特色规定“长臂管辖”, 将管辖原则扩展为 “影响主义原则”。这意味着在实践中任何向欧盟居民提供商品或服务的企业都将受制于GDPR,无论是否位于欧盟境内,是否使用境内设备。GDPR因而成为了事实上的世界性法律,意图于欧盟市场的企业均需遵循相关标准。
面对激烈的数据主权争夺,赴美上市的相关企业更应牢牢守住“重要数据”红线,以国家安全为首位,同时实现创造自身经济利益。
(三)数据合规是企业未来健康发展的重要赛道
从2015年《国家安全法》颁布施行到2017年《网络安全法》生效,再到2021年《数据安全法》公布,我国正在形成一个全面规范网络安全保护、数据安全保护、个人信息安全保护的基础法律体系。同时,网络安全、数据安全、个人信息安全规范、标准不断发布,保护体系持续完善细化。
执法层面,近年来,国家有关部门持续开展APP专项治理行动,执法力度不断增强。国家对企业的监管重心正在向企业数据合规、个人信息保护等方面转移。并且监管趋势正在向着监管执法主动化、监管主体措施多样化、整改手段严格化的方向发展。在如此的严格监管态势下,数据合规成为企业合规发展的首要问题。因此,企业应加强内外部管理,健全相关制度,在保证企业合规的前提下实现效能最大化。
四、合规方向指引
(一)个人信息出境告知义务
我国相关规定明令禁止个人信息未经个人信息主体同意即出境。企业应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区并经个人信息主体同意。同时企业还应将网络运营者的联系人及其联系方式等信息明确告知个人信息主体。
(二)数据出境安全评估义务
《网络安全法》明确要求关键信息基础设施的运营者收集和产生的个人信息和重要数据应当做到数据本地化。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。
企业在收集个人信息时应针对需要出境的个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等内容进行详细分类以应对数据出境安全评估的需要。同时,企业应及时了解本行业主管部门有关重要数据的规定及更新,对相关重要数据分类备案,一旦需要跨境传输,及时加工处理以满足安全评估的要求。
(三)安全自评估报告保存义务
企业在完成数据安全自评估后,应形成安全自评估报告。内容包括评估对象的基本情况、安全自评估组织实施情况、评估结果、数据安全风险点、检查修正建议等,并根据法规标准,将安全自评估报告上报行业主管部门。行业主管部门不明确的,上报国家网信部门。若企业在数据出境之前未启动安全自评估,或者未保存至少两年的自评估报告并上交主管部门,则可能面临处罚。
(四)数据信息收集符合合法正当必要原则
数据合法收集是近年来企业数据合规的首要问题。《民法典》采取了个人信息收集的择入机制,即对收人信息的前置程序作出了明确规定,要求在收集前充分告知相应自然人处理个人信息的一切事项,并取得自然人的同意。具体来说,收集个人信息必须经过自然人的同意,对外公开其处理个人信息的规则,同时也要明确告知处理个人信的目的、方式和范围。
此外,企业在收集用户个人信息时应注意避免违规私自收集、过度收集、超范围收集用户数据信息。如未经用户同意自动开启收集地理位置、身份证号、人脸、指纹、读取通讯录、使用摄像头、启用录音等功能以及与服务无关的功能。网络运营者应在隐私政策中详细列举收集和使用个人信息的业务功能,所收集的个人信息类型。收集个人生物识别信息等敏感信息时,应在显著位置明示告知,专门提醒个人信息主体此次收集活动涉及的信息,并说明处理目的、处理规则。
(五)其他数据安全保护义务
企业应建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。企业在开展数据处理活动中应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施。若发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。根据法律、行政法规规定,提供数据处理相关服务应当取得电信增值业务经营许可等行政许可。
附表:关键信息基础设施的认定指引
根据有关规定,对关键信息基础设施的认定可以从关键行业、关键业务和关键设备等方面进行综合考量。当然,认定关键信息基础设施的重点是基于业务场景动态识别,也有可能存在原先的关键信息或关键设施更迭而变为非关键信息、非关键设施。因此,关键信息基础设施的识别判断要做到动态识别、持续更新。
本文作者:
声明:
本文由k8凯发天生赢家·一触即发律师事务所律师原创,仅代表作者本人观点,不得视为k8凯发天生赢家·一触即发律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容,请注明出处。