前言
2020年4月,国家网信办、国家发改委、工信部、公安部、国安部、财政部、商务部、央行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码管理局等12部委联合发布《网络安全审查办法》,主要面向关键信息基础设施运营者中可能影响国家安全的产品和服务,进行网络安全审查。这意味着滴滴所在的出行领域被认定为关键信息基础设施,因而面临更严格的监管。滴滴被纳入网络安全审查,是一个值得关注的重大事件,预示着在复杂的网络安全态势下,国家相关执法部门可能会进一步加强网络安全审查。企业在构建自身的网络与数据安全体系过程中,合规将会是一个无法回避的重大问题。
第一部分:事件背景
《网络安全审查办法》发布以来的首次审查行动。
7月4日下午,国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》。公告称:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
《网络安全审查办法》(以下简称“《办法》”)由国家互联网信息办公室、国家发改委等12个部门于4月27日下午联合发布,确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者(或简称“运营者”)则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》已于2020年6月1日正式实施,《网络产品和服务安全审查办法(试行)》(以下简称“《试行办法》”)同时废止。
根据《办法》,网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。
根据《网络安全审查办法》要求,滴滴将面临45个工作日或更长时间的网络安全审查。在此期间,滴滴需按要求停止新用户注册。通常情况下网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日,进入特别审查程序的项目可能还需要45个工作日或更长。据要求,补充提供材料的时间不计入审查时限。
根据《办法》的规定,网络安全审查具体流程如下图:
根据《网络安全法》,违反相关规定侵害个人信息相关权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
《网络安全审查办法》的规定违反该规定者依照《中华人民共和国网络安全法》第六十五条的规定处理。具体而言,关键信息基础设施的运营者使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
“滴滴出行”接受网络安全审查,滴滴副总裁回应网民关注
有传言称滴滴为赴美上市把中国道路信息和用户数据泄露给美国。对此,滴滴副总裁李敏在朋友圈回应:看到网上有人恶意造谣说“滴滴在海外上市,把数据打包交给美国”。和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。另外,相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权。滴滴出行官方微博也转发了副总裁李敏的回应。
第二部分:《网络安全审查办法》的适用与制度构建
一、 制度价值目标
《办法》更加侧重供应链安全和关键网络设备的自主可控。《办法》第一条开宗明义的规定:“为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。”
同时,《办法》第九条规定了在审查中应当重点注意的问题,即,网络安全审查重点评估关键信息基础设施运营者采购产品和服务可能带来的国家安全风险,包括产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、损毁的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
《办法》在进行国家安全风险审查时,将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”,作为安全风险审查的重要内容,特别强调对于产品与服务“供应中断”风险的审查。而《办法》对于“供应渠道的可靠性”规定,应该是与商务部的“不可靠实体清单”制度相对应的。
从上述规定可以看出,《办法》的颁布,意味着网络安全观从更加侧重技术性规则到更加侧重核心供应链自主可控。
二、 审查对象的判断维度
对于网络安全的审查对象,涉及主体和网络产品与服务两个判断维度:
1、审查对象的主体维度
《办法》第二条明确了被审查的主体为关键信息基础设施运营者,第二十条确认了关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。
根据《关键信息基础设施安全保护条例(征求意见稿)》第四条规定:国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。同时本次《办法》的联名起草发布单位中,有带头的国家互联网信息办公室会,还有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。《办法》第四条确定了中央网络安全和信息化委员会统一领导的地位。
鉴于《网络安全法》第三十一条规定关键基础设施的具体范围和安全保护办法由国务院制定,且目前尚未正式发布关键信息基础设施的具体认定细则,对于《办法》中关键信息基础设施运营者范围的界定尚未有明确的法规规定。针对这一问题,国家互联网信息办公室有关负责人在就《办法》答记者问中,明确了《办法》中规定的应当预判风险申报网络安全审查的义务主体为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。在关键信息基础设施的具体认定细则正式出台之前,上述范围内的运营者将作为《办法》的被审查主体承担申报审查的义务。
截至目前,关键信息基础设施的名单并未公布。根据2017年12月全国人民代表大会常务委员会执法检查组关于检查《中华人民共和国网络安全法》、《全国人民代表大会常务委员会关于加强网络信息保护的决定》实施情况的报告,工业和信息化部开展了网络基础设施摸底工作,全面梳理网络设施和信息系统,目前全行业共确定关键网络设施和重要信息系统11590个。随着网络安全审查与报工作的开展,关键网络设施和重要信息系统的数量还将不断攀升。
2、审查对象的产品和服务维度
对于纳入安全审查的网络产品和服务,《办法》的规定也更加突出网络基础安全层面。《办法》第二十条规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”
从《办法》纳入产品审查范围的设施界定出发,从网络结构角度看,涉及到了网络系统的物理层、数据链路层、网络层、传输层等基础层面。从功能角度看,涉及到了信息传输、运算、存储、网络安全、数据库、云计算等各个重要方面。
三、 审查主体全面覆盖
《办法》第四条规定:“在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。”
由上述规定可以看出,网络安全审查机制中,中央网络安全和信息化委员会是领导机构,但并不直接参与审核,而是领导和协调审查机制的建立。
根据《网络安全审查办法》第十五条规定,网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,按程序申报获批后,也可按规定进行网络安全审查。这意味着12个成员部委均可对可能影响国家安全的网络产品和服务,提起网络安全审查。
四、 “多样、可控”新理念
具体而言,《办法》第九条规定了网络安全审查过程中,对于国家安全影响的重要考量因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
其中第(三)款的规定特别值得关注,该条款的关键词包括“来源的多样性”以及“供应渠道的可靠性”。近几年来,中国的网络设备与服务领域面临巨大的不确定性,对于国家安全形成一定压力。美国政府对于纳入“实体清单”的中国企业或其他机构,在采购美国相关网络产品或服务时,设置了诸多审查或限制,而这些限制往往与政治、外交、贸易冲突等背景紧密相关。同时,由于在诸多核心技术领域,中国对于境外供应商的依赖度较高,来源过于集中。一旦受到其他因素影响“断供”,对于网络安全与正常运营将带来巨大冲击。
“渠道单一化”一旦遭遇“供应渠道的不可靠”,其叠加效果将会非常巨大。因此,通过对“来源的多样性”以及“供应渠道的可靠性”进行规定,并作为审查的重要内容,有利于促成企业选择多元产品和更为“可靠”的渠道。通过企业的选择,可以进一步培育“多元化”的供应链。
五、 不同主体的合规策略选择
总体而言,《办法》是一部体现全面网络安全观的规范。在强调技术带来的网络安全风险的同时,对于产品于服务来源单一、供应渠道不可靠性等供应链安全风险也提升到了重要的位置。对于《办法》,企业也应顺势而为:
1、关键信息基础设施运营者
关键信息基础设施运营者,应充分读懂《办法》所蕴含的深层含义与审查措施,并积极规划自身的合规方案,在源头采购环节就应采用全面安全观指导自己的采购行为。简单的技术风险容易解决,而产品组合不合理带来的供应链风险,则不仅难以解决,而且成本巨大。
2、网络产品与服务的供应商
除常规的技术能力外,供应商需要考虑的是,如何证明“供应渠道的可靠性”以及如何避免被纳入“因为政治、外交、贸易等因素导致供应中断的风险”中。
境外供应商,对于可靠性问题的考量通常更为复杂,因为不仅要受制于中国的法律规范,还要受制于其所在国的法律规范。如何减少所在国法律、政治、贸易政策对于设备与服务出口造成影响,成为其首先应考量的合规策略。
3、网络安全审查对合同签约等采购活动的影响
《办法》第六条规定了对采购合同的要求,对于申报网络安全审查的采购活动,运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查,并与产品和服务提供者约定网络安全审查通过后合同方可生效。同时,《办法》第七条规定将“采购文件、协议、拟签订的合同等”明确纳入申报材料要求,运营者申报网络安全审查时,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同等;(四)网络安全审查工作需要的其他材料。
据此,涉及此类采购的合同,对于合同生效应作必要的约定,以免影响合同的履行。
第三部分:其他相关制度的介绍
与网络安全审查制度协同建立的其他国家安全风险管理制度
1、数据安全审查制度
新近出台的《数据安全法》第二十四条中也协同建立了数据安全审查制度,规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”并且明确“依法作出的安全审查决定为最终决定”,这将意味着对审查结果无法提起行政复议或行政诉讼。
《数据安全法》自2021年9月1日起施行,虽然本次“滴滴出行”案可能不会依据《数据安全法》进行审查,但在未来企业合规与配合执法过程中,关键信息基础设施运营者在关注采购网络产品与服务的供应链安全风险时,不仅需注意包括《办法》中提到的“重要数据被窃取、泄露、毁损的风险”,还需注意数据处理活动带来的其他国家安全风险。另外,根据《数据安全法》规定,利用互联网等信息网络开展数据处理活动,应当注意在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
2、重要数据分类分级、出境安全评估及管理制度
根据《数据安全法》,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。后续国家关部门还将制定重要数据目录,并对关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据,实行更加严格的管理制度。
根据《网络安全法》与《数据安全法》,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。目前,个人信息与重要数据出境安全评估及管理办法并未正式出台,有关部门正在征求意见。待正式监管细则出台后,将为国际环境下数据流动及国家安全风险管理提供更清晰明确的安全合规活动边界。
在招股书内,滴滴将自身业务布局总结为“四个核心战略版块”,“三大业务”以及“双飞轮”。其中,被滴滴定义为构建出行未来的“四个核心战略版块”分别是共享出行平台、车服网络、电动车以及自动驾驶。而“三大业务”代表了滴滴的收入构成,分别是中国出行业务(中国网约车、出租车、代驾和顺风车等业务)、国际业务(国际出行和外卖等业务)和其他业务(共享单车和电单车、车服、货运、自动驾驶和金融服务等业务)。
相比之下,“双飞轮”更聚焦商业模型,随着整体共享出行市场的持续增长,滴滴的共享出行、车服以及电动汽车网络创造了双飞轮效应,使司机、乘客和平台均获益。
对于此次募资的用途,滴滴在招股书中披露,计划将约30%的募资金额用于扩大中国以外国际市场的业务;约30%的募资金额用于提升包括共享出行、电动汽车和自动驾驶在内的技术能力;约20%用于推出新产品和拓展现有产品品类以持续提升用户体验;剩余部分可能用于营运资金需求和潜在的战略投资等。
滴滴出行向美国证监会提交的Form F-1(招股说明书)用60页的篇幅介绍其各项业务正面临的多项风险,尤其是法律和监管风险可能对滴滴的业务前景产生重大不利影响。主要包括司机属性风险、司机和车辆的证照风险、反垄断风险等。招股书还特别提到,根据中国法律,滴滴的IPO可能需要中国监管机构的批准。其中提到:2021年6月10日,中国全国人民代表大会常务委员会颁布了《数据安全法》,该法将于2021年9月生效。《数据安全法》规定了开展数据活动的实体和个人的数据安全和隐私义务。《数据安全法》还根据数据在经济和社会发展中的重要性,以及这些数据被篡改、破坏、泄露或被非法获取或使用时对国家安全、公共利益、个人或组织的合法权益的危害程度,引入了数据分类和分级保护制度。对于每一类数据,都需要采取适当的保护措施。例如,重要数据的处理者应指定负责数据安全的人员和管理机构,对其数据处理活动进行风险评估,并向主管部门提交风险评估报告。此外,《数据安全法》对那些可能影响国家安全的数据活动规定了国家安全审查程序,并对某些数据和信息规定了出口限制。由于《数据安全法》是最近颁布的,尚未生效,我们可能需要进一步调整我们的商业惯例,以符合该法律的规定。
综上,关键信息基础设施对国家安全、经济安全、社会稳定、公众健康和安全至关重要。我国建立网络安全审查制度,目的是通过网络安全审查这一举措,及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害,保障关键信息基础设施供应链安全,维护国家安全。本次网络安全审查事件,对于可能构成关键信息基础设施运营者的互联网企业而言,无疑是一次重要的启示,值得关注并构建响应的合规体系予以应对。