【轉發】關於滴滴出行被實施網絡安全審查你最想知道的八個問題
本文轉自微信公號:Acelaw法培學苑 作者:宋海新、彭凱、周晨黠
https://mp.weixin.qq.com/s/82fd2WWd_3ynKO5jQpYpoA
| 風 起
2021年7月2日晚間,網絡安全審查辦公室發佈《網絡安全審查辦公室關於對“滴滴出行”啓動網絡安全審查的公告》(以下簡稱“《公告》”),宣佈對“滴滴出行”實施網絡安全審查。[2]這是國家首次對企業啓動網絡安全審查,一時間,引起社會各界的高度關注。
僅在三天前的2021年6月30日,滴滴出行在美國紐約證券交易所掛牌上市,股票代碼爲“DIDI”,發行定價爲14美元,位於13-14美元/ADS的發行區間上限。或受網安審查事件影響,2021年7月2日,滴滴股價開盤跌幅近11%,不過隨後跌幅有所收窄,截至北京時間當日23:00,跌5.49%至15.5美元/股。[3]
對於網絡安全審查,滴滴出行迴應稱,滴滴將積極配合網絡安全審查。審查期間,公司將在相關部門的監督指導下,全面梳理和排查網絡安全風險,持續完善網絡安全體系和技術能力。[4]接受網絡安全審查對股市的影響已然立竿見影,滴滴出行亦作出迴應,但大家心中仍滿是疑惑。你最想知道的八個問題,我們在此列出,然後一一科普及探討。
Q1 網絡安全審查是什麼?
網絡安全審查的法律定義可見於《網絡安全審查辦法》(國家互聯網信息辦公室公告第6號,以下簡稱“《辦法》”)的相關規定,具體包括:
第二條 關鍵信息基礎設施運營者(以下簡稱運營者)採購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。
第三條 網絡安全審查堅持防範網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合,從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。
從《辦法》條文規制可見,網絡安全審查系對影響或可能影響國家安全的關鍵信息基礎設施運營者採購網絡產品和服務的行爲,從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。
Q2 滴滴出行被審查的法律依據?
《公告》內容顯示,滴滴出行被審查的上位法依據爲《中華人民共和國國家安全法》(以下簡稱“《國安法》”)《中華人民共和國網絡安全法》(以下簡稱“《網安法》”),直接適用的法律依據爲《辦法》。
對於《國安法》和《網安法》,其中適用的規定主要爲《國安法》第五十九條和《網安法》第三十五條。
第五十九條 國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險。
第三十五條 關鍵信息基礎設施的運營者採購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
上述條文規制爲網絡安全審查提供了法律依據,在此基礎上,國家網信辦等十二個中央部委聯合制定了《辦法》。
《辦法》於2020年4月13日發佈,並在當年6月1日生效,爲我國開展網絡安全審查工作提供了重要的制度保障。《辦法》全文共二十二條,系統規定了網絡安全審查的適用範圍、審查原則、主管部門、申報審查材料、審查程序、審查內容、法律責任等。
Q3 滴滴出行被審查的可能原因?
滴滴出行被進行網絡安全審查後,網絡消息滿天飛,難辨真假。在不瞭解詳細事實情況的基礎上,我們無法給出準確的法律分析,否則將有失客觀、嚴謹。我們僅從《公告》內容和《辦法》等規定出發,結合公開渠道可檢索的客觀信息資料,以及我們多年深耕網絡安全和數據合規業務的經驗和我們對滴滴出行業務的理解,在後文探討兩個可能的原因:特殊身份與數據安全。
一 滴滴出行被認定爲關鍵信息基礎設施的運營者
從Q2的探討中,可以清晰地看出,網絡安全審查的適用對象爲關鍵信息基礎設施的運營者。要啓動網絡安全審查,其主體必須符合該要求,那結果就顯而易見了,根據滴滴出行的行業屬性,我們可以進一步推測,滴滴出行屬於公路水路運輸行業領域的關鍵信息基礎設施的運營者。爲方便大家理解,在此補充一些背景知識。
1.關鍵信息基礎設施是什麼?
《網安法》第三十一條 國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體範圍和安全保護辦法由國務院制定。
對此,國家網信辦曾於2017年7月10日發佈《關鍵信息基礎設施安全保護條例(徵求意見稿)》並公開徵求意見,但截至目前,該規定的正式稿尚無下文。
而在《辦法》答記者問時,國家網信辦有關負責人指出:“根據中央網絡安全和信息化委員會《關於關鍵信息基礎設施安全保護工作有關事項的通知》精神,電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在採購網絡產品和服務時,應當按照《辦法》要求考慮申報網絡安全審查。”[5]這意味着,至少電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業,這些行業領域的重要網絡和信息系統屬於關鍵信息基礎設施。但該答記者問的回答,又進一步引發新問題:
重要網絡和信息系統又包括哪些呢?
由公安部於2020年9月22日發佈並於當日生效的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(以下簡稱“《意見》”)或能提供進一步的答案。
三、建立並實施關鍵信息基礎設施安全保護制度
(一)組織認定關鍵信息基礎設施。根據黨中央和公安部有關規定,公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門(以下統稱保護工作部門)應制定本行業、本領域關鍵信息基礎設施認定規則並報公安部備案。保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施,及時將認定結果通知相關設施運營者並報公安部。應將符合認定條件的基礎網絡、大型專網、核心業務系統、雲平臺、大數據平臺、物聯網、工業控制系統、智能製造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制,有關網絡設施、信息系統發生較大變化,可能影響其認定結果的,運營者應及時將相關情況報告保護工作部門,保護工作部門應組織重新認定,將認定結果通知運營者,並報公安部。
據此,初步結論或可得出:重要網絡和信息系統包括符合認定條件的基礎網絡、大型專網、核心業務系統、雲平臺、大數據平臺、物聯網、工業控制系統、智能製造系統、新型互聯網、新興通訊設施等重點保護對象。
2.關鍵信息基礎設施的運營者是什麼?
第二十條第一款本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。
該條規定指出了關鍵信息基礎設施運營者的認定方法,即由關鍵信息基礎設施保護工作部門認定。對此,我們可以再進一步探討兩個細分問題:
(1)哪些部門是關鍵信息基礎設施保護工作部門?
三、建立並實施關鍵信息基礎設施安全保護制度
(一)組織認定關鍵信息基礎設施。根據黨中央和公安部有關規定,公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門(以下統稱保護工作部門)應制定本行業、本領域關鍵信息基礎設施認定規則並報公安部備案。保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施,及時將認定結果通知相關設施運營者並報公安部。應將符合認定條件的基礎網絡、大型專網、核心業務系統、雲平臺、大數據平臺、物聯網、工業控制系統、智能製造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制,有關網絡設施、信息系統發生較大變化,可能影響其認定結果的,運營者應及時將相關情況報告保護工作部門,保護工作部門應組織重新認定,將認定結果通知運營者,並報公安部。
由此可見,關鍵信息基礎設施保護工作部門主要包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門,具體來說包括工信部、發改委、交通運輸部、水利部、中國人民銀行、銀保監會、證監會、國防部等。
(2)關鍵信息基礎設施運營者的名單會公開嗎?
根據《意見》的規定,保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施,及時將認定結果通知相關設施運營者並報公安部……
由此可以得出的結論是,按照規定,關鍵信息基礎設施的運營者自身必然會通過保護工作部門的通知而知悉自身的認定結果,而保護工作部門有本行業領域的關鍵信息基礎設施運營者的名單,公安部有各行業領域的關鍵信息基礎設施運營者的名單。
但上述規定並未提及關鍵信息基礎設施運營者的名單是否公開。而從滴滴出行角度來看,如果不是本次被進行網絡安全審查,我們也難以界定其具備關鍵信息基礎設施運營者的身份。而實際情況可能是,交通運輸部已經將滴滴出行認定爲關鍵信息基礎設施的運營者。
因此,結論呼之欲出,關鍵信息基礎設施運營者的名單公示可能性小,至少短時間內不會公開。
3.相關立法的最新動態
根據《國務院辦公廳關於印發國務院2021年度立法工作計劃的通知》(國辦發〔2021〕21號),擬製定的行政法規中包含有《關鍵信息基礎設施安全保護條例》,該條例由網信辦、工信部、公安部組織起草。可預見的是,作爲《網絡安全法》配套的行政法規,《關鍵信息基礎設施安全保護條例》對於關鍵信息基礎設施的保護和規範將發揮重要作用,建議從業機構高度關注該條例的立法進展。
二 滴滴出行使用的網絡產品和服務可能出現了數據方面的安全問題
在關鍵信息基礎設施的運營者身份界定之外,另一個原因可能在於,滴滴出行使用的網絡產品和服務出現了數據方面的安全問題。在此先補充一點背景知識,《辦法》語境下的“網絡產品和服務”的具體所指,在《辦法》第二十條第二款作出了規定:
第二十條第二款 本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、雲計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。
對於第二個原因的推測理由,我們在此展開分析如下:
1.《公告》首句所採措辭爲“爲防範國家數據安全風險”
滴滴出行因其業務需要而掌握了道路交通數據(測繪數據、車流人流數據、汽車充電網的運行數據等)等數據。2021年5月12日發佈的《汽車數據安全管理若干規定(徵求意見稿)》第三條[6]對汽車行業的重要數據進行了界定。滴滴出行掌握的道路交通數據等,很可能屬於該規定界定的汽車行業的重要數據。如果該等數據出現了安全問題,其可能直接影響國家安全、公共利益和社會穩定,如此便與公告所述的“防範國家數據安全”建立起對應。
2.滴滴出行迴應稱“全面梳理和排查網絡安全風險,持續完善網絡安全體系和技術能力”
據此,似乎可以反向推導出滴滴出行的網絡安全體系和技術能力仍有待完善,存在網絡安全風險甚至可能已經出現了網絡安全事件。而在《辦法》語境下,網絡安全風險可能需要通過《辦法》第九條[7]來推測。雖然《辦法》第九條系對網絡安全審查時主要考量因素的規定,但切換角度來看,如果某企業觸發了網絡安全審查,很可能也是因爲該企業就該等因素對應的風險較高或者已然出現問題。
至此,新惑再起,《辦法》第九條規定了四種主要考慮因素及兜底規定,滴滴出行最有可能觸發了哪個考慮因素呢?
滴滴出行於2021年6月10日提交至美國證券交易委員會(SEC)的招股說明書中“風險因素”部分指出:
Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences. We receive, transmit and store a large volume of personally identifiable information and other data on our platform……[8]
結合前述第1項理由,我們初步分析並認爲,滴滴出行觸發可能性較高的是《辦法》第九條第一項規定的因素,即“產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險”。
Q4 網絡安全審查辦公室是誰?
此次發佈《公告》的主體、對滴滴出行啓動網絡安全審查的主體爲網絡安全審查辦公室,但對於網絡安全審查辦公室的具體所指,以及該辦公室是依據什麼而設置,可能多有疑問。
《辦法》第四條明確了網絡安全審查的工作機制和網絡安全審查辦公室的設置及其職責。其指出,網絡安全審查工作的最高領導機構爲中央網絡安全和信息化委員會,工作機制組成部門包括國家網信辦、發改委、工信部、公安部、國安部、財政部、商務部、中國人民銀行、國家市場監管總局、國家廣播電視總局、國家保密局、國家密碼局。可以說,網絡安全審查工作機制涉及的有關部門基本涵蓋了與網絡安全密切相關的國家各重要管理部門。
其還指出,“網絡安全審查辦公室設在國家互聯網信息辦公室,負責制定網絡安全審查相關制度規範,組織網絡安全審查。”網絡安全審查辦公室設置在國家網信辦,有利於網絡安全審查工作的常態化和有效運行。就具體工作職責而言,負責制定網絡安全審查相關制度規範、組織網絡安全審查,基本涵蓋了網絡安全審查的主要工作職責。
因此,網絡安全審查辦公室對滴滴出行開展網絡安全審查,系在其法定職責範圍內組織開展審查工作。
在此延伸一個問題,網絡安全審查辦公室負責組織開展工作,那麼具體網絡安全審查工作由誰來做?
《辦法》答記者問時,國家網信辦有關負責人給出了答案,其指出“具體工作委託中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下,承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。”
Q5 網絡安全審查主要審查哪些內容?
前面我們提到,《辦法》第九條規定了網絡安全審查的主要考量因素。我們來全面、具體地看一下這些因素:爲方便理解,我們基於與《辦法(徵求意見稿)》的對比角度進行解讀。相較於《辦法(徵求意見稿)》第十條,《辦法》第九條:
1. 刪去了“對國防軍工、關鍵信息基礎設施相關技術和產業的影響”和“產品和服務提供者受外國政府資助、控制等情況”;
2. 新增了“產品和服務……來源的多樣性,供應渠道的可靠性”的要求;
3. 將“產品和服務提供者遵守國家法律與行政法規情況”擴張至“產品和服務提供者遵守中國法律、行政法規、部門規章情況”。
由此可以看出,《辦法》刪去了部分可能產生爭議的審查因素,正如國家互聯網信息辦公室有關負責人就《辦法》相關問題答記者問時指出,網絡安全審查的目的是維護國家網絡安全,不是要限制或歧視國外產品和服務;《辦法》進一步強化了對供應鏈安全的要求,有助於在新形勢下更好地維護網絡安全和國家安全。
Q6 網絡安全審查程序如何?
該問題可從網絡安全審查的啓動方式、審查的流程和時間兩方面進行解答
一 網絡安全審查的啓動方式
網絡安全審查的啓動分爲報請審查和依職權啓動審查兩種方式,具體如下:
《公告》未體現出滴滴出行申請進行網絡審查的相關信息,結合《公告》的表述,可以推測出,本次對滴滴出行進行網絡安全審查,系依職權啓動審查。
二 審查流程和時間
根據審查啓動方式的不同,在審查流程和時間方面亦有區分,具體如下:
1.報請審查情形下的審查流程和時間
2.依職權啓動審查情形下的審查流程和時間
3.滴滴出行被審查的可能時間
雖有審查流程和時間示意圖,或有的問題仍然存在,就滴滴出行此次審查個案而言,審查時間可能爲多久?
對此,我們理解,作爲《辦法》施行後的首次網絡安全審查,其最快需要45個工作日,如果適用情況複雜的延長時限要求,需要45+15,共計60個工作日的審查時間。
此外,不排除其進入特別審查程序的可能性,如果進入特別審查程序,其可能那就是在60個工作日的基礎上,再加45個工作日,即“45+15+45”,共計105個工作日。當然,105個工作日並非最長時限,在特別審查程序中,情況複雜的可以適當延長。
綜合來說,滴滴出行被審查的可能時間爲,最快45個工作日,可能需要60個工作日,不排除需要105個工作日的可能性,甚至還可能超過105個工作日。
Q7 等待滴滴出行的後果可能是什麼?
《辦法》第十九條援引至《網安法》第六十五條,系相關的法律責任條款,具體如下:
《辦法》第十九條 運營者違反本辦法規定的,依照《中華人民共和國網絡安全法》第六十五條的規定處理。
《網安法》第六十五條 關鍵信息基礎設施的運營者違反本法第三十五條規定,使用未經安全審查或者安全審查未通過的網絡產品或者服務的,由有關主管部門責令停止使用,處採購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
因此,如若切實違反《辦法》規定,等待滴滴出行的很可能是責令停止使用相關網絡產品或服務,被責令停止使用,對滴滴出行、直接負責的主管人員和其他直接責任人員處以罰款。此外,不排除適用《國安法》規定的更嚴格的法律責任的可能性。
Q8 滴滴出行被審查會是個案嗎?
先說答案:絕非個案。何以如此肯定,原因有二:
其一,有法可依。從《網安法》到《辦法》,上位法和實施細則均已配置完善,開展網絡安全審查具備明確、具體的法律依據。
其二,有例可循。螞蟻集團被金融管理部門聯合約談並被要求整改,引起社會廣泛關注和討論,但螞蟻集團是“出頭鳥”,卻不會是“冤大頭”。果不其然,後續金融監管部門聯合約談從事金融業務的十三家網絡平臺並對其提出整改要求。
可以肯定地說,滴滴出行被進行網絡安全審查,是第一例,但絕不會是最後一例。網絡安全審查之風,已然颳起。
迎風而上 順風而治
滴滴出行被進行網絡安全審查,正式拉開了《辦法》生效後我國網絡安全審查工作的大幕。可能被認定爲關鍵信息基礎設施運營者的從業機構們,不能僅僅默默“吃瓜”,不然終會“吃瓜吃到自己身上”。該等機構需要嚴格對照《網安法》和《辦法》的規定,立刻開展合規工作,全面排查準備採購和已經使用的網絡產品和服務,需要報請網絡安全審查的及時申報,需要停止使用的及時停止使用並做好更換安排,是爲,既要迎風而上,又要順風而治。
特別補充提示的是,《網安法》確定了網絡安全審查制度,即將於2021年9月1日生效的《數據安全法》確定了數據安全審查制度。而依法作出的數據安全審查決定爲最終決定,意味着數據安全審查的決定一經作出即告生效,不會進入行政複議或行政訴訟程序。數據安全審查,從業機構們亦應予以高度關注,在數據安全審查制度的配套立法出臺後,及時開展合規安排。
起風了,請添衣。$滴滴(DIDI)$
Disclaimer: Investing carries risk. This is not financial advice. The above content should not be regarded as an offer, recommendation, or solicitation on acquiring or disposing of any financial products, any associated discussions, comments, or posts by author or other users should not be considered as such either. It is solely for general information purpose only, which does not consider your own investment objectives, financial situations or needs. TTM assumes no responsibility or warranty for the accuracy and completeness of the information, investors should do their own research and may seek professional advice before investing.
起风了,请添衣
[贱笑]
[思考] [思考]