本文作者宋海新、彭凯、周晨黠[1],欢迎关注。
风起
2021年7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》(以下简称“《公告》”),宣布对“滴滴出行”实施网络安全审查。 [2]这是国家首次对企业启动网络安全审查,一时间,引起社会各界的高度关注。
仅在三天前的2021年6月30日,滴滴出行在美国纽约证券交易所挂牌上市,股票代码为“DIDI”,发行定价为14美元,位于13-14美元/ADS的发行区间上限。或受网安审查事件影响,2021年7月2日,滴滴股价开盘跌幅近11%,不过随后跌幅有所收窄,截至北京时间当日23:00,跌5.49%至15.5美元/股。[3]
对于网络安全审查,滴滴出行回应称,滴滴将积极配合网络安全审查。审查期间,公司将在相关部门的监督指导下,全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力。[4]
接受网络安全审查对股市的影响已然立竿见影,滴滴出行亦作出回应,但大家心中仍满是疑惑。你最想知道的八个问题,我们在此列出,然后一一科普及探讨。
图1 滴滴出行网安审查八问汇总图
Q1:网络安全审查是什么?
网络安全审查的法律定义可见于《网络安全审查办法》(国家互联网信息办公室公告第6号,以下简称“《办法》”)的相关规定,具体包括:
第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
从《办法》条文规制可见,网络安全审查系对影响或可能影响国家安全的关键信息基础设施运营者采购网络产品和服务的行为,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
Q2:滴滴出行被审查的法律依据?
《公告》内容显示,滴滴出行被审查的上位法依据为《中华人民共和国国家安全法》(以下简称“《国安法》”)《中华人民共和国网络安全法》(以下简称“《网安法》”),直接适用的法律依据为《办法》。
图2 滴滴出行被审查的法律依据
对于《国安法》和《网安法》,其中适用的规定主要为《国安法》第五十九条和《网安法》第三十五条。
第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
上述条文规制为网络安全审查提供了法律依据,在此基础上,国家网信办等十二个中央部委联合制定了《办法》。
图3 网络安全审查办法条文架构设置
《办法》于2020年4月13日发布,并在当年6月1日生效,为我国开展网络安全审查工作提供了重要的制度保障。《办法》全文共二十二条,系统规定了网络安全审查的适用范围、审查原则、主管部门、申报审查材料、审查程序、审查内容、法律责任等。
Q3:滴滴出行被审查的可能原因?
滴滴出行被进行网络安全审查后,网络消息满天飞,难辨真假。在不了解详细事实情况的基础上,我们无法给出准确的法律分析,否则将有失客观、严谨。我们仅从《公告》内容和《办法》等规定出发,结合公开渠道可检索的客观信息资料,以及我们多年深耕网络安全和数据合规业务的经验和我们对滴滴出行业务的理解,在后文探讨两个可能的原因:特殊身份与数据安全。
图4 网络安全审查的可能诱因
(一)滴滴出行被认定为关键信息基础设施的运营者
从Q2的探讨中,可以清晰地看出,网络安全审查的适用对象为关键信息基础设施的运营者。要启动网络安全审查,其主体必须符合该要求,那结果就显而易见了,根据滴滴出行的行业属性,我们可以进一步推测,滴滴出行属于公路水路运输行业领域的关键信息基础设施的运营者。为方便大家理解,在此补充一些背景知识。
1.关键信息基础设施是什么?
《网安法》第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
对此,国家网信办曾于2017年7月10日发布《关键信息基础设施安全保护条例(征求意见稿)》并公开征求意见,但截至目前,该规定的正式稿尚无下文。
而在《办法》答记者问时,国家网信办有关负责人指出:“根据中央网络安全和信息化委员会《关于关键信息基础设施安全保护工作有关事项的通知》精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在采购网络产品和服务时,应当按照《办法》要求考虑申报网络安全审查。”[5]这意味着,至少电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业,这些行业领域的重要网络和信息系统属于关键信息基础设施。但该答记者问的回答,又进一步引发新问题:
重要网络和信息系统又包括哪些呢?
由公安部于2020年9月22日发布并于当日生效的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(以下简称“《意见》”)或能提供进一步的答案。
三、建立并实施关键信息基础设施安全保护制度
(一)组织认定关键信息基础设施。根据党中央和公安部有关规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。
据此,初步结论或可得出:重要网络和信息系统包括符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象。
2.关键信息基础设施的运营者是什么?
第二十条第一款 本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
该条规定指出了关键信息基础设施运营者的认定方法,即由关键信息基础设施保护工作部门认定。对此,我们可以再进一步探讨两个细分问题:
(1)哪些部门是关键信息基础设施保护工作部门?
三、建立并实施关键信息基础设施安全保护制度
(一)组织认定关键信息基础设施。根据党中央和公安部有关规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。
由此可见,关键信息基础设施保护工作部门主要包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门,具体来说包括工信部、发改委、交通运输部、水利部、中国人民银行、银保监会、证监会、国防部等。
(2)关键信息基础设施运营者的名单会公开吗?
根据《意见》的规定,保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部……
由此可以得出的结论是,按照规定,关键信息基础设施的运营者自身必然会通过保护工作部门的通知而知悉自身的认定结果,而保护工作部门有本行业领域的关键信息基础设施运营者的名单,公安部有各行业领域的关键信息基础设施运营者的名单。
但上述规定并未提及关键信息基础设施运营者的名单是否公开。而从滴滴出行角度来看,如果不是本次被进行网络安全审查,我们也难以界定其具备关键信息基础设施运营者的身份。而实际情况可能是,交通运输部已经将滴滴出行认定为关键信息基础设施的运营者。
因此,结论呼之欲出,关键信息基础设施运营者的名单公示可能性小,至少短时间内不会公开。
3.相关立法的最新动态
根据《国务院办公厅关于印发国务院2021年度立法工作计划的通知》(国办发〔2021〕21号),拟制定的行政法规中包含有《关键信息基础设施安全保护条例》,该条例由网信办、工信部、公安部组织起草。可预见的是,作为《网络安全法》配套的行政法规,《关键信息基础设施安全保护条例》对于关键信息基础设施的保护和规范将发挥重要作用,建议从业机构高度关注该条例的立法进展。
(二)滴滴出行使用的网络产品和服务可能出现了数据方面的安全问题
在关键信息基础设施的运营者身份界定之外,另一个原因可能在于,滴滴出行使用的网络产品和服务出现了数据方面的安全问题。在此先补充一点背景知识,《办法》语境下的“网络产品和服务”的具体所指,在《办法》第二十条第二款作出了规定:
第二十条第二款 本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
对于第二个原因的推测理由,我们在此展开分析如下:
1.《公告》首句所采措辞为“为防范国家数据安全风险”
滴滴出行因其业务需要而掌握了道路交通数据(测绘数据、车流人流数据、汽车充电网的运行数据等)等数据。2021年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》第三条[6]对汽车行业的重要数据进行了界定。滴滴出行掌握的道路交通数据等,很可能属于该规定界定的汽车行业的重要数据。如果该等数据出现了安全问题,其可能直接影响国家安全、公共利益和社会稳定,如此便与公告所述的“防范国家数据安全”建立起对应。
2.滴滴出行回应称“全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力”
据此,似乎可以反向推导出滴滴出行的网络安全体系和技术能力仍有待完善,存在网络安全风险甚至可能已经出现了网络安全事件。而在《办法》语境下,网络安全风险可能需要通过《办法》第九条[7]来推测。虽然《办法》第九条系对网络安全审查时主要考量因素的规定,但切换角度来看,如果某企业触发了网络安全审查,很可能也是因为该企业就该等因素对应的风险较高或者已然出现问题。
至此,新惑再起,《办法》第九条规定了四种主要考虑因素及兜底规定,滴滴出行最有可能触发了哪个考虑因素呢?
滴滴出行于2021年6月10日提交至美国证券交易委员会(SEC)的招股说明书中“风险因素”部分指出:
Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences. We receive, transmit and store a large volume of personally identifiable information and other data on our platform……[8]
结合前述第1项理由,我们初步分析并认为,滴滴出行触发可能性较高的是《办法》第九条第一项规定的因素,即“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”。
Q4:网络安全审查办公室是谁?
此次发布《公告》的主体、对滴滴出行启动网络安全审查的主体为网络安全审查办公室,但对于网络安全审查办公室的具体所指,以及该办公室是依据什么而设置,可能多有疑问。
《办法》第四条明确了网络安全审查的工作机制和网络安全审查办公室的设置及其职责。其指出,网络安全审查工作的最高领导机构为中央网络安全和信息化委员会,工作机制组成部门包括国家网信办、发改委、工信部、公安部、国安部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码局。可以说,网络安全审查工作机制涉及的有关部门基本涵盖了与网络安全密切相关的国家各重要管理部门。
其还指出,“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。”网络安全审查办公室设置在国家网信办,有利于网络安全审查工作的常态化和有效运行。就具体工作职责而言,负责制定网络安全审查相关制度规范、组织网络安全审查,基本涵盖了网络安全审查的主要工作职责。
图5 网络安全审查工作机制图解
因此,网络安全审查办公室对滴滴出行开展网络安全审查,系在其法定职责范围内组织开展审查工作。
在此延伸一个问题,网络安全审查办公室负责组织开展工作,那么具体网络安全审查工作由谁来做?
《办法》答记者问时,国家网信办有关负责人给出了答案,其指出“具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。”
Q5:网络安全审查主要审查哪些内容?
前面我们提到,《办法》第九条规定了网络安全审查的主要考量因素。我们来全面、具体地看一下这些因素:
序号 | 主要考量因素 |
---|---|
1. | 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险 |
2. | 产品和服务供应中断对关键信息基础设施业务连续性的危害 |
3. | 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险 |
4. | 产品和服务提供者遵守中国法律、行政法规、部门规章情况 |
5. | 其他可能危害关键信息基础设施安全和国家安全的因素 |
为方便理解,我们基于与《办法(征求意见稿)》的对比角度进行解读。相较于《办法(征求意见稿)》第十条,《办法》第九条:
1. 删去了“对国防军工、关键信息基础设施相关技术和产业的影响”和“产品和服务提供者受外国政府资助、控制等情况”;
2. 新增了“产品和服务……来源的多样性,供应渠道的可靠性”的要求;
3. 将“产品和服务提供者遵守国家法律与行政法规情况”扩张至“产品和服务提供者遵守中国法律、行政法规、部门规章情况”。
由此可以看出,《办法》删去了部分可能产生争议的审查因素,正如国家互联网信息办公室有关负责人就《办法》相关问题答记者问时指出,网络安全审查的目的是维护国家网络安全,不是要限制或歧视国外产品和服务;《办法》进一步强化了对供应链安全的要求,有助于在新形势下更好地维护网络安全和国家安全。
Q6:网络安全审查程序如何?
该问题可从网络安全审查的启动方式、审查的流程和时间两方面进行解答:
(一)网络安全审查的启动方式
网络安全审查的启动分为报请审查和依职权启动审查两种方式,具体如下:
方式 | 法律依据 | 内容 |
---|---|---|
报请审查 | 《办法》第五条 | 运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 关键信息基础设施保护工作部门可以制定本行业、本领域预判指南 |
《办法》第六条 | 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。 | |
《办法》第七条 | 运营者申报网络安全审查,应当提交以下材料: (一)申报书; (二)关于影响或可能影响国家安全的分析报告; (三)采购文件、协议、拟签订的合同等; (四)网络安全审查工作需要的其他材料 | |
依职权启动审查 | 《办法》第十五条 | 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 |
《公告》未体现出滴滴出行申请进行网络审查的相关信息,结合《公告》的表述,可以推测出,本次对滴滴出行进行网络安全审查,系依职权启动审查。
(二)审查流程和时间
根据审查启动方式的不同,在审查流程和时间方面亦有区分,具体如下:
1.报请审查情形下的审查流程和时间
图6 报请审查情形下的审查流程和时间图解
2.依职权启动审查情形下的审查流程和时间
图7 依职权启动审查情形下的审查流程和时间图解
3.滴滴出行被审查的可能时间
虽有审查流程和时间示意图,或有的问题仍然存在,就滴滴出行此次审查个案而言,审查时间可能为多久?
对此,我们理解,作为《办法》施行后的首次网络安全审查,其最快需要45个工作日,如果适用情况复杂的延长时限要求,需要45+15,共计60个工作日的审查时间。
此外,不排除其进入特别审查程序的可能性,如果进入特别审查程序,其可能那就是在60个工作日的基础上,再加45个工作日,即“45+15+45”,共计105个工作日。当然,105个工作日并非最长时限,在特别审查程序中,情况复杂的可以适当延长。
综合来说,滴滴出行被审查的可能时间为,最快45个工作日,可能需要60个工作日,不排除需要105个工作日的可能性,甚至还可能超过105个工作日。
Q7:等待滴滴出行的后果可能是什么?
《办法》第十九条援引至《网安法》第六十五条,系相关的法律责任条款,具体如下:
《办法》第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
《网安法》第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因此,如若切实违反《办法》规定,等待滴滴出行的很可能是责令停止使用相关网络产品或服务,被责令停止使用,对滴滴出行、直接负责的主管人员和其他直接责任人员处以罚款。此外,不排除适用《国安法》规定的更严格的法律责任的可能性。
Q8:滴滴出行被审查会是个案吗?
先说答案:绝非个案。何以如此肯定,原因有二:
其一,有法可依。从《网安法》到《办法》,上位法和实施细则均已配置完善,开展网络安全审查具备明确、具体的法律依据。
其二,有例可循。蚂蚁集团被金融管理部门联合约谈并被要求整改,引起社会广泛关注和讨论,但蚂蚁集团是“出头鸟”,却不会是“冤大头”。果不其然,后续金融监管部门联合约谈从事金融业务的十三家网络平台并对其提出整改要求。
可以肯定地说,滴滴出行被进行网络安全审查,是第一例,但绝不会是最后一例。网络安全审查之风,已然刮起。
迎风而上 顺风而治
滴滴出行被进行网络安全审查,正式拉开了《办法》生效后我国网络安全审查工作的大幕。可能被认定为关键信息基础设施运营者的从业机构们,不能仅仅默默“吃瓜”,不然终会“吃瓜吃到自己身上”。该等机构需要严格对照《网安法》和《办法》的规定,立刻开展合规工作,全面排查准备采购和已经使用的网络产品和服务,需要报请网络安全审查的及时申报,需要停止使用的及时停止使用并做好更换安排,是为,既要迎风而上,又要顺风而治。
特别补充提示的是,《网安法》确定了网络安全审查制度,即将于2021年9月1日生效的《数据安全法》确定了数据安全审查制度。而依法作出的数据安全审查决定为最终决定,意味着数据安全审查的决定一经作出即告生效,不会进入行政复议或行政诉讼程序。数据安全审查,从业机构们亦应予以高度关注,在数据安全审查制度的配套立法出台后,及时开展合规安排。
起风了,请添衣。
「 本文仅代表作者个人观点 」
[1] 作者均供职于金诚同达律师事务所,同时系Shairk INT团队成员,主要业务领域包括网络安全与数据合规、金融科技、公司治理与合规、争议解决。
[2] 网络安全审查办公室:《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,载http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm,最后访问时间为2021年7月3日。
[3] 券商中国:《突发!滴滴遭网络安全审查股价一度跌逾10%最新回应来了》,载https://mp.weixin.qq.com/s/WWRbbzlX88h-ubuKHcACkw,最后访问时间为2021年7月3日。
[4] 参见前引3。
[5] 中国网信网:《<网络安全审查办法>答记者问》,载http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm,最后访问时间为2021年7月3日。
[6] 《汽车数据安全管理若干规定(征求意见稿)》第三条规定:……本规定所称重要数据包括:(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;(二)高于国家公开发布地图精度的测绘数据;(三)汽车充电网的运行数据;(四)道路上车辆类型、车辆流量等数据;(五)包含人脸、声音、车牌等的车外音视频数据;(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。
[7]《办法》第九条规定:网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)其他可能危害关键信息基础设施安全和国家安全的因素。
[8] 《滴滴出行招股说明书》,载https://www.sec.gov/Archives/edgar/data/1764757/000104746921001194/a2243272zf-1.htm#da10201_risk_factors,最后访问时间为2021年7月3日。
声明:本文来自智能晒客,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。