一、從“滴滴出行案”談起
按照2021年7月2日《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》(以下簡稱“《公告》”)的要求,為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》(以下簡稱“《國家安全法》”)、《中華人民共和國網絡安全法》(以下簡稱“《網絡安全法》”)、《網絡安全審查辦法》(以下簡稱“《辦法》”),7月16日國家網信辦會同公安部、國家安全部、自然資源部、交通運輸部、稅務總局、市場監管總局等部門聯合進駐滴滴出行科技有限公司,對“滴滴出行”實施網絡安全審查。為配合網絡安全審查,防范風險擴大,審查期間“滴滴出行”被要求停止新用戶注冊,并因“滴滴出行”App存在嚴重違法違規收集個人信息問題要求應用商店下架“滴滴出行”App。
“滴滴出行”(以下簡稱“滴滴”)被實施網絡安全審查,市場猜測和傳言不斷,諸如將數據打包給美國、滴滴有獨董是美國退役軍官、采購了關鍵網絡產品或服務沒有申報、出現了數據安全問題等,每天都有滴滴“泄密”的新聞掛在微博熱搜。
可以看出,政府和輿論對滴滴最大的擔憂更多在于其數據出境存在安全風險。結合國家網信辦《公告》中首句“為防范國家數據安全風險”,以及滴滴隨后回應:“全面梳理和排查網絡安全風險,持續完善網絡安全體系和技術能力”等表述,再疊加美國政府對于赴美上市的中國企業所要求的“披露高質量的信息披露和財務報告”、“披露VIE(直譯為可變利益實體,國內也稱協議控制結構或新浪結構)的風險”、“披露與中國監管環境有關的風險” (注:美國時間2021年7月26日,SEC民主黨委員Allison Lee表示,在美國上市的中國企業,必須在定期報告中披露其被中國政府干預業務的風險,這是自滴滴上市事件以來,SEC首次有高級別官員對外評論)等長臂管轄權和持續性信息披露要求等中美監管沖突因素,筆者認為,此次觸發網絡安全審查辦公室依職權對滴滴啟動網絡安全審查可能的誘因,主要有二:一是滴滴作為關鍵信息基礎設施運營者(以下簡稱“CIIO”)的特殊身份;二是產品和服務使用后,存在關鍵信息基礎設施(以下簡稱“CII”)被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險。
值得注意的是,此次網絡安全審查的法律依據,本應適用的法律條文是《數據安全法》第23條:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。依法作出的安全審查決定為最終決定。”但由于《數據安全法》目前尚未生效(《數據安全法》將于2021年9月1日正式生效),故實施網絡安全審查實際直接適用的法律依據是《辦法》第15條:“網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查”。其上位法依據是《國家安全法》第59條:“國家建立國家安全審查和監管的制度和機制,對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目,以及其他重大事項和活動,進行國家安全審查,有效預防和化解國家安全風險”,以及《網絡安全法》第35條:“關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查”。其中,《辦法》第15條是《網絡安全法》第35條在實施層面的細化。
根據《辦法》要求,滴滴將面臨45個工作日或更長時間的網絡安全審查。在滴滴被實施網絡安全審查的同時,7月5日,根據《網絡安全審查辦法》,網絡安全審查辦公室還對“運滿滿”、“貨車幫”、“BOSS直聘”實施了網絡安全審查,并要求其停止新用戶注冊。它們均是近期赴美上市的互聯網平臺公司。可以預見,未來針對平臺公司、大型企業的網絡安全審查將和個人信息保護、反壟斷、反不正當競爭調查一樣,成為平臺企業、大型企業特別是互聯網企業監管的標配。
那么,究竟什么是網絡安全審查?如何判斷一家企業是否會面臨網絡安全審查?實踐中又該如何保障CII供應鏈安全與數據合規?企業如何設計數據合規路徑來適應即將生效的《數據安全法》有關法律規制?
二、網絡安全審查制度要點解讀
什么是網絡安全審查?
網絡安全審查是由《網絡安全法》規定的,針對CIIO采購可能影響國家安全的網絡產品和服務而采取的監管審查,其本質上屬于《國家安全法》規定的國家安全審查的一部分。為落實網絡安全審查制度,2020年4月13日,網信辦聯合國家發展和改革委員會、工業和信息化部等11部門發布了《辦法》,并已于同年6月1日生效。
在網絡安全審查中,一個關鍵的前提是判斷企業是否屬于CIIO。只有具備CIIO身份,才可能會面臨網絡安全審查。由于《辦法》中CIIO是指經關鍵信息基礎設施保護工作部門認定的運營者,而這一概念又與CII密切相關,因此判斷何種設施屬于CII便成了識別CIIO身份的關鍵。
但由于我國尚未發布關于CII的明確識別標準,這一問題亦在實踐中深深困擾著企業。
如何判斷企業是否會面臨網絡安全審查?
準確地識別企業的相關設施是否屬于CII、企業是否屬于CIIO,是判斷企業是否可能會面臨網絡安全審查的重要前提。
《網絡安全法》第31條對CII進行了規定:“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。”
2017年7月10日,網信辦發布了《關鍵信息基礎設施安全保護條例(征求意見稿)》,通過“定義+列舉”的形式進一步規定了CII,包括下列單位運行、管理的,一旦遭到破壞、喪失功能或者數據泄露可能嚴重危害國家安全、國計民生、公共利益的網絡設施和信息系統:“(一)政府機關和能源、金融、交通、水利、衛生醫療、教育、社保、環境保護、公用事業等行業領域的單位;(二)電信網、廣播電視網、互聯網等信息網絡,以及提供云計算、大數據和其他大型公共信息網絡服務的單位;(三)國防科工、大型裝備、化工、食品藥品等行業領域科研生產單位;(四)廣播電臺、電視臺、通訊社等新聞單位;(五)其他重點單位。”
僅根據該征求意見稿仍難以準確判斷,該征求意見稿提出的制定“關鍵信息基礎設施識別指南”也尚未出臺,實踐中企業在CII判斷方面存在諸多困惑。比如,如果企業不屬于上述單位范圍,其運行、管理的網絡設施和信息系統是否一定不屬于CII?企業雖屬于上述單位范疇,其運行、管理的網絡設施和信息系統是否均屬于CII?
盡管當前CII的范圍尚未公布,但根據《關于檢查<中華人民共和國網絡安全法><全國人民代表大會常務委員會關于加強網絡信息保護的決定>實施情況的報告》(以下簡稱“《報告》”中:“ 2016年,國家互聯網信息辦公室等部門組織開展了關鍵信息基礎設施摸底排查工作,對1.1萬個重要信息系統安全運行狀況進行抽查和技術檢測,完成了對金融、能源、通信、交通、廣電、教育、醫療、社保等多個重點行業的網絡安全風險評估”、“目前全行業共確定關鍵網絡設施和重要信息系統11,590個”、“深入推進網絡安全等級保護。……其中三級以上重要信息系統1.7萬個,基本涵蓋了所有關鍵信息基礎設施……”所述2016年的摸底排查工作情況可知,當前的CII范圍有明顯擴大的趨勢,且CII的范圍在一段時間內或作為保密事項不對外公布。
根據上述《報告》,一般可以推斷較為接近CII的范圍,即在“等保”三級以上的系統有較大可能被認定為CII。需要說明的是,盡管“等保”是針對“系統級”的測評體系/標準,但現階段對于“組織級”的CII仍然具有很強的參照作用。而業界一般則按照兩個相對簡單的標準來判斷是否屬于CII:一是數據是否足夠重要,二是用戶基礎是否足夠大。
網絡安全審查程序如何啟動?
簡單來說,網絡安全審查有兩種啟動條件,一種是CIIO采購網絡產品和服務,認為可能影響國家安全的,主動進行網絡安全審查申報。根據《辦法》,一般情況下應由企業主動申請進行審查,但從目前情況看,遭遇網絡安全審查的幾家企業并沒有主動申報。
另一種是網絡安全審查機制成員單位認為影響或者可能影響國家安全的,也可依職權啟動網絡安全審查。網絡安全審查辦公室設在國家網信辦,包括網信辦在內共有12個部委聯合組成國家網絡安全審查工作機制,如果《網絡安全審查辦法(修訂草案征求意見稿)》得以通過,該機制成員單位將會增加至13個部委(新增證監會)。
但網絡安全審查制度作為維護國家網絡安全的重要制度,其主要作用是“威懾”,并不會時常啟動,一旦企業如滴滴一樣被動接受網絡安全審查,則意味著企業的產品或服務很可能存在巨大的網絡安全風險或數據安全風險。
《網絡安全審查辦法(修訂草案征求意見稿)》修訂有哪些要點?
為了更好適應網絡安全和數據安全監管需要,就在7月2日在網絡安全審查辦公室依據《辦法》對滴滴啟動網絡安全審查之后,作為即將生效《數據安全法》的配套規定,網信辦旋即于7月10日公布了《網絡安全審查辦法(修訂草案征求意見稿)》。
該征求意見稿修訂要點可以概括如下:一是增加了《數據安全法》作為立法依據及處罰依據;二是擴大網絡安全審查范圍,對于數據處理者開展數據處理活動,影響或可能影響國家安全的,納入網絡安全審查審查范圍,落實《數據安全法》的數據安全審查制度;三是新增網絡安全審查適用情形,掌握超過100萬用戶個人信息的運營者赴國外上市,須申報網絡安全審查;四是網絡安全審查重點從網絡安全擴展至數據安全,增加對“核心數據、重要數據或大量個人信息”以及“關鍵信息基礎設施”可能遭遇的數據安全風險因素的考量;五是將中國證券監督管理委員會納入網絡安全審查工作組;六是變更申報材料及審查時間,增補申報網絡安全審查應提交的材料,特別審查程序由45個工作日延長為3個月。
限于篇幅和主題,本文不對上述修訂變化進行詳細闡釋。但可以預見的是,未來若企業相關業務涉及處理個人信息或核心數據、重要數據的,應當重視網絡安全審查的相關規定:一方面,企業內部應當按照《網絡安全法》、《數據安全法》以及未來出臺的《個人信息保護法》等相關法律規定做好個人信息保護及數據安全、網絡安全工作;另一方面,在開展個人信息及核心數據、重要數據處理活動時,特別是涉及數據出境的,應當提前評估其安全風險,與相關監管部門保持良好溝通,避免面臨相關法律風險。
另外,對于已經在國外上市的企業,亦需重視網絡安全審查相關規定:一方面,企業需要對已發生的數據處理活動進行評估,若存在安全風險,應當及時采取補救措施;另一方面,未來企業在開展個人信息及核心數據、重要數據處理活動時,特別是涉及數據出境的,應當提前評估其安全風險,與相關監管部門保持良好溝通,履行相應的報告、評估、審查等義務,避免面臨相關法律風險。
三、網絡安全審查制度設立的基點
——如何保障CII供應鏈安全與數據合規
網絡安全審查制度設立的基點,是為了保障CII的供應鏈安全。在《數據安全法》下,企業可從以下若干方面考慮數據安全及合規的落地實施工作。
數據合規的基本理念
一是企業做好數據合規工作,應重視法務、合規、技術等多個部門的協同配合。這一點其實也隱含在了《數據安全法》第3條“數據安全,是指通過采取必要措施,確保數據處于有效保護(筆者注:“有效保護”通常由IT/信息化等技術部門負責實施)和合法利用(筆者注:“合法利用”通常由法務部門負責實施)的狀態,以及具備保障持續(筆者注:“保障持續”通常由合規部門負責實施)安全狀態的能力”的相關表述中。
二是企業做好數據合規工作,網絡安全完善、IT成熟等基礎性條件是前提。這是因為在一個成熟的IT體系中,數據信息層處于整個IT體系的最頂層,從上到下依次是數據信息層、軟件應用層、平臺軟件層(包括數據庫、操作系統等)、基礎設施層(包括服務器、磁盤柜、計算機網絡等),因此,做好數據合規的前提是IT體系具備完善的基礎性條件,數據合規并非一蹴而就,如果底層的基礎條件不完備、不成熟,數據合規將無法真正落地和有效實施。筆者認為,這一點亦是做好數據合規的底層邏輯。
數據合規的路徑設置
按照《數據安全法》生效時間以及IT體系搭建原則,大致可以分為3個階段:
第1階段為9月1日《數據安全法》正式生效之前,企業應明確負責人、開展基本的數據保護和個人信息保護意識培訓、做好企業內部數據分類指南、梳理信息系統并明確結構性數據、梳理非結構性數據存儲系統和位置、做好企業通用信息安全差距分析等基礎準備工作;第2階段為9月1日《數據安全法》正式實施至相關行業數據分類明確期間,這個階段企業可以擴充數據保護團隊、明確行動計劃、針對核心系統建設數據保護的技術能力、企業基礎信息安全控制補強、核心系統建設等級保護、安全運維團隊及應急響應建設、做好行業數據分類和保護指南差距分析等;第3階段為行業數據分類明確后的1-3年內,企業應根據行業定義的數據等級指南和保護指南補強企業現有控制、建立數據保護制度內部考核和定期審査制度等。
數據合規的操作流程
企業可以結合業務類型及流程,從合規風險預判、明確合規目標、交易前盡職調查、交易文本、運營中合規管理等合規操作全流程來保障供應鏈安全與數據合規。限于篇幅和不同企業業務的實際情況,此部分不再展開進行概括性介紹。
制度和技術上的準備
此外,企業還要根據自身實際,在制度和技術上做好相應的準備,以“確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力”。
其中,制度上的準備包括但不限于:企業數據保護政策、企業個人信息保護(隱私保護)政策、企業系統風險管理政策(增加數據保護部分)、企業信息安全管理政策、企業隱私保護和信息安全意識培訓、隱私和信息安全事件響應流程、數據留存制度、系統日志記錄/分析指南、企業IT資產/數據資產注冊制度、數據接入/外部導出/跨境傳輸登記制度、企業合規管理和內審制度等。
技術上的準備包括但不限于:內部/外部應用系統的梳理和識別、通用技術工具(身份認證,賬號管理,權限管理,流程審批,日志管理,數據備份)、脫敏技術、加密技術、介質銷毀、DLP和數據審計、應急響應流程和演練、監管合規要求跟蹤、數據資產識別、數據資產地圖、數據分類分級(保密級別/個人信息分類分級)等。
有待于跟蹤和觀察的內容
最后,企業還應對即將生效的《數據安全法》關于數據標準和指南、核心數據定義、重要數據跨境跟蹤等相關內容進行持續的跟蹤和觀察。
1. 數據標準和指南
根據《數據安全法》第6條規定:“工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責。公安機關、國家安全機關等依照本法和有關法律、行政法規的規定,在各自職責范圍內承擔數據安全監管職責。”其第10條規定:“相關行業組織按照章程,依法制定數據安全行為規范和團體標準,加強行業自律,指導會員加強數據安全保護,提高數據安全保護水平,促進行業健康發展。”
實踐中,需要跟蹤諸如《證券期貨業數據分類分級指引》(JR/T 0158-2018〉、《金融業數據能力建設指引》(JR/T0218-2021)、《金融數據安全數據生命周期安全規范》(JR/T 0223-2021)、《公共數據安全分級指南》(DB 31DSJZ005-2020)、《工業數據分類分級指南(試行)》等其他行業主管部門定義的較成熟的行業數據分類分級和數據安全標準,同時亦需要跟蹤本地公安的執法趨勢和重點。
2. 核心數據定義
根據《數據安全法》第21條:“國家建立數據分類分級保護制度、數據實行分類分級保護。國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、 重大公共利益等數椐屬于國家核心數據,實行更加嚴格的管理制度”的規定,《數據安全法》在“重要數據”之上新定義了“國家核心數據”,且要求對國家核心數據,進行數據安全審核制度。因此,對于核心數據定義,還需要進一步跟蹤明確。
3. 重要數據跨境
《數據安全法》第31條規定:“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”
即,“重要數據”開始區分數據處理者為“關鍵基礎設施的運營者”和“其他數據處理者”,需要結合北京、上海、海南等數據跨境試點,并根據國際形勢和試點及細化情況保持跟蹤觀察。
四、結語
“滴滴出行案”后,我國的網絡安全審查很可能會全面收緊,直接原因是美國的長臂管轄帶來數據外流隱患,如10%以上的股東有查詢數據的權利或者企業迫于經濟利益向PCAOB(Public Company Accounting Oversight Board,美國上市公司會計監督委員會)等相關部門提供數據,都將存在很大的數據安全隱患。
在國家競爭與博弈的宏觀背景下,數據權利保護與數據流動的平衡、數據確權和利益分配機制的實現、國際數據秩序和競爭規則確立的過程中,網絡安全和數據安全問題的重要性將會遠遠超過我們的傳統認知范疇。網絡安全和數據安全問題及保護亦會滲透在更為廣闊的空間和場景,遠不止日常的線上辦公、生活領域。未來,網絡安全和數據安全還會緊密關聯到工業生產、虛擬現實、區塊鏈、物聯網、智慧城市等新領域。
隨著CII供應鏈安全和數據安全問題愈發受到國家監管部門關注的態勢下,除前述具體數據合規措施外,企業還應當提高對國家競爭與博弈的敏感性,特別是從宏觀層面提升對CII供應鏈安全問題和數據安全的敏感性,提前做好自身數據合規建設與布局,既避免自身面臨監管處罰而遭受重大損失,同時也要避免因自身數據安全問題導致國家安全風險。
* 感謝律師邱禹喬、實習生龐博對本稿作出的貢獻。
北京
北京市朝陽區東三環中路5號財富金融中心35-36層
電話:+86 10 8587 9199
上海
上海市長寧區長寧路1133號長寧來福士廣場T1辦公樓37層
電話:+86 21 6289 8808
深圳
廣東省深圳市福田區金田路榮超經貿中心4801
電話:+86 755 8273 0104
天津
天津市河西區郁江道14號觀塘大廈1號樓17層
電話:+86 22 8756 0066
南京
南京市江寧區秣周東路12號7號樓知識產權大廈10層1006-1008室
電話:+86 25 8370 8988
鄭州
河南省鄭州市金水區金融島華仕中心B座2樓
電話:+86 371 8895 8789
呼和浩特
內蒙古呼和浩特市賽罕區綠地騰飛大廈B座15層
電話:+86 471 3910 106
昆明
云南省昆明市盤龍區恒隆廣場11樓1106室
電話:+86 871 6330 6330
西安
陜西省西安市雁塔區翠華路500號佳和商務大廈A座26層07室
電話:+86 29 8931 3353
杭州
浙江省杭州市西湖區學院路77號黃龍國際中心B座11層
電話:+86 571 8673 8786
重慶
重慶市兩江新區慶云路2號國金中心T6寫字樓8層8-8
電話:+86 23 6752 8936
海口
海南省海口市龍華區玉沙路5號國貿中心11樓
電話:+86 898 6850 8795
日本東京
日本國東京都港區虎之門一丁目1番18號HULIC TORANOMON BLDG.
電話:0081 3 3591 3796
加拿大愛德華王子島省
加拿大愛德華王子島省夏洛特頓市皇后街160號B座
電話:001 902 518 2988
阿聯酋迪拜
迪拜伊瑪爾商業園1號樓505號
電話:971 52 8372673
Copyright 2001-2026 Anli Partners. All Rights Reserved 京ICP備05023788號-2 京公網安備11010502032603號
聲明:本官網文章僅供交流,不構成安理律師對特定事項的法律意見或建議。如您面臨法律問題,建議您聯系安理律師或其他具有相關資格的專業人士尋求法律幫助。安理法律咨詢電話:400-800-5639。
