南方周末記者 羅歡歡
2021年7月9日,網(wǎng)信辦下架了與滴滴相關(guān)的25款A(yù)pp。
IC?photo ?圖
2021年7月2日,在滴滴赴美上市的第三天,網(wǎng)信辦公告對(duì)滴滴進(jìn)行網(wǎng)絡(luò)安全審查。
IC?photo ?圖
緊隨滴滴,2021年7月5日,運(yùn)滿滿、貨運(yùn)幫、BOSS直聘被實(shí)施網(wǎng)絡(luò)安全審查,它們都是6月赴美上市的企業(yè)。
IC?photo ?圖
★網(wǎng)信辦、發(fā)改委、工信部、公安部等十二家機(jī)關(guān)單位中任何一家認(rèn)為有危害國(guó)家安全的風(fēng)險(xiǎn),都可以按程序報(bào)批后啟動(dòng)網(wǎng)絡(luò)安全審查。
“我認(rèn)為這次審查主要關(guān)注的是,重要數(shù)據(jù)和公民個(gè)人信息的出境安全風(fēng)險(xiǎn)?!?/p>
從根本上來(lái)看,這次修訂是為了落實(shí)數(shù)據(jù)安全法的要求,建立國(guó)家的數(shù)據(jù)安全審查制度。
2021年7月2日,國(guó)家網(wǎng)信辦官網(wǎng)公告稱(chēng),“為防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn),對(duì)‘滴滴出行實(shí)施網(wǎng)絡(luò)安全審查”。為配合網(wǎng)絡(luò)安全審查工作,防范風(fēng)險(xiǎn)擴(kuò)大,審查期間“滴滴出行”停止新用戶(hù)注冊(cè)。
這是2020年6月《網(wǎng)絡(luò)安全審查辦法》實(shí)施以來(lái),網(wǎng)信辦首次公開(kāi)對(duì)某一家企業(yè)進(jìn)行網(wǎng)絡(luò)安全審查。這也是滴滴(股票代碼NYSE:DIDI)在美股上市的第三天,受此消息影響,股價(jià)一度下跌超過(guò)8%。
7月9日,網(wǎng)信辦發(fā)布通告稱(chēng),“滴滴企業(yè)版”等25款A(yù)pp存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問(wèn)題,要求在應(yīng)用商店下架,同時(shí)各網(wǎng)站、平臺(tái)不得為這25款應(yīng)用提供訪問(wèn)和下載服務(wù)。
次日,國(guó)家網(wǎng)信辦對(duì)外公布了《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見(jiàn)稿)》(以下簡(jiǎn)稱(chēng)修訂案),公開(kāi)向社會(huì)征集意見(jiàn)。
修訂案在多方面進(jìn)行了重要調(diào)整。例如,對(duì)比過(guò)去僅要求“關(guān)鍵基礎(chǔ)設(shè)施運(yùn)營(yíng)者”申報(bào),新增了“數(shù)據(jù)處理者”也要申報(bào)。工作機(jī)制成員單位,增加了中國(guó)證監(jiān)會(huì)。
更重要的是,對(duì)赴境外上市公司的審查提出了新要求:要求掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。在申報(bào)材料中,新增要求提供擬提交的IPO材料等。
在審查內(nèi)容上,針對(duì)國(guó)外上市公司新增兩條:一是核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被竊取、泄露、毀損以及非法利用或出境的風(fēng)險(xiǎn);二是國(guó)外上市后關(guān)鍵信息基礎(chǔ)設(shè)施,核心數(shù)據(jù)、重要數(shù)據(jù)或大量個(gè)人信息被國(guó)外政府影響、控制、惡意利用的風(fēng)險(xiǎn)。
預(yù)備在海外上市的公司申報(bào)審查材料后,網(wǎng)絡(luò)安全審查辦公室會(huì)在10個(gè)工作日內(nèi)確定是否需要審查并書(shū)面通知運(yùn)營(yíng)者。此次修訂案對(duì)特別審查程序的審查時(shí)間進(jìn)行了修改,由過(guò)去的“45個(gè)工作日”改為“三個(gè)月內(nèi)完成”。
為何在這個(gè)時(shí)間點(diǎn)啟動(dòng)對(duì)滴滴的調(diào)查?《網(wǎng)絡(luò)安全審查辦法》的修訂案制定思路如何? 網(wǎng)信辦的一系列動(dòng)作釋放了哪些信號(hào)?
南方周末記者就這些問(wèn)題專(zhuān)訪了中國(guó)信息安全研究院副院長(zhǎng)左曉棟,他曾參與過(guò)多部網(wǎng)絡(luò)安全重大政策法規(guī)的研究起草工作。
十二家機(jī)關(guān)單位可啟動(dòng)網(wǎng)絡(luò)安全審查
南方周末:這是《網(wǎng)絡(luò)安全審查辦法》實(shí)施以來(lái),首次對(duì)企業(yè)進(jìn)行網(wǎng)絡(luò)安全審查嗎?
左曉棟:早在《網(wǎng)絡(luò)安全審查辦法》出臺(tái)之前,2017年5月已經(jīng)印發(fā)了《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》,從2017年6月1日開(kāi)始試行。
《網(wǎng)絡(luò)安全審查辦法》頒布之前,這個(gè)試行辦法已經(jīng)試行了三年之久?!毒W(wǎng)絡(luò)安全審查辦法》出臺(tái)至今,正式實(shí)施也已經(jīng)一年之久。四年里,這絕對(duì)不會(huì)是第一次對(duì)企業(yè)進(jìn)行網(wǎng)絡(luò)安全審查。據(jù)我所知,之前也有企業(yè)進(jìn)行過(guò)網(wǎng)絡(luò)安全審查。
南方周末:什么情況下會(huì)對(duì)企業(yè)啟動(dòng)網(wǎng)絡(luò)安全審查?
左曉棟:對(duì)這個(gè)事情有很多猜測(cè),其中一個(gè)說(shuō)法是按照《網(wǎng)絡(luò)安全審查辦法》,關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),影響或可能影響國(guó)家安全的,應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。大家都猜測(cè),滴滴是不是關(guān)鍵性基礎(chǔ)設(shè)施?為什么要對(duì)它進(jìn)行審查? 實(shí)際上,這個(gè)理解是不全面的。
我舉個(gè)最極端的例子,假如有一款產(chǎn)品存在著很大的安全隱患,使用的時(shí)候可能會(huì)嚴(yán)重危害國(guó)家安全,難道這款產(chǎn)品就沒(méi)人可以管它了嗎?非得等著哪個(gè)關(guān)鍵基礎(chǔ)設(shè)施的運(yùn)營(yíng)者去采購(gòu)的時(shí)候,再通過(guò)程序進(jìn)入網(wǎng)絡(luò)安全審查嗎? 顯然不可能。
事實(shí)上,《網(wǎng)絡(luò)安全審查辦法》第十五條就明確規(guī)定,網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù),由網(wǎng)絡(luò)安全審查辦公室按程序報(bào)中央網(wǎng)絡(luò)安全和信息化委員會(huì)批準(zhǔn)后,依照本辦法的規(guī)定進(jìn)行審查。
南方周末:網(wǎng)絡(luò)安全審查工作機(jī)制成員單位有哪些單位?
左曉棟:由國(guó)家互聯(lián)網(wǎng)信息辦公室會(huì)同中華人民共和國(guó)國(guó)家發(fā)展和改革委員會(huì)、中華人民共和國(guó)工業(yè)和信息化部、中華人民共和國(guó)公安部、中華人民共和國(guó)國(guó)家安全部、中華人民共和國(guó)財(cái)政部、中華人民共和國(guó)商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)督管理總局、國(guó)家廣播電視總局、國(guó)家保密局、國(guó)家密碼管理局建立國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制。
也就是說(shuō),這十二家機(jī)關(guān)單位中任何一家認(rèn)為有危害國(guó)家安全的風(fēng)險(xiǎn),都可以按程序報(bào)批后啟動(dòng)網(wǎng)絡(luò)安全審查。
關(guān)注信息出境的安全風(fēng)險(xiǎn)
南方周末:網(wǎng)絡(luò)安全審查的內(nèi)容是什么?會(huì)對(duì)企業(yè)哪些情況進(jìn)行審查?
左曉棟:只要這個(gè)產(chǎn)品和服務(wù)可能對(duì)國(guó)家安全帶來(lái)風(fēng)險(xiǎn),都有可能要接受審查。至于產(chǎn)品和服務(wù)提供商是國(guó)內(nèi)還是國(guó)外,是一視同仁的。只要可能會(huì)為中國(guó)網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重風(fēng)險(xiǎn),按照文件規(guī)定都應(yīng)該接受審查。
網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者,采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來(lái)的國(guó)家安全風(fēng)險(xiǎn)。包括:產(chǎn)品和服務(wù)使用后帶來(lái)的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害;產(chǎn)品和服務(wù)的安全性、開(kāi)放性、透明性、來(lái)源的多樣性,供應(yīng)渠道的可靠性以及因?yàn)檎?、外交、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn);產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門(mén)規(guī)章情況;其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。
南方周末:網(wǎng)絡(luò)安全審查辦公室是一個(gè)什么樣的機(jī)構(gòu)?
左曉棟:網(wǎng)絡(luò)安全審查辦公室設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室,負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范,組織網(wǎng)絡(luò)安全審查。
南方周末:按照審查辦法規(guī)定,網(wǎng)絡(luò)安全審查工作是否由中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)?
左曉棟:根據(jù)審查辦法,網(wǎng)絡(luò)安全審查辦公室設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室,具體工作委托中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)。
中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心只是網(wǎng)絡(luò)安全審查的技術(shù)支持單位,它的上級(jí)主管單位是國(guó)家市場(chǎng)監(jiān)管總局。由于承擔(dān)的是技術(shù)支撐工作,所以,名字是網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心,而不是網(wǎng)絡(luò)安全審查與認(rèn)證中心。
南方周末:為什么要停止新用戶(hù)注冊(cè)?
左曉棟:我認(rèn)為這次審查主要關(guān)注的是,重要數(shù)據(jù)和公民個(gè)人信息的出境安全風(fēng)險(xiǎn)。停止新用戶(hù)注冊(cè),我認(rèn)為是對(duì)這個(gè)數(shù)據(jù)進(jìn)行保護(hù)的一個(gè)措施。
建立國(guó)家數(shù)據(jù)安全審查制度
南方周末:7月10日,《網(wǎng)絡(luò)安全審查辦法》修訂案開(kāi)始征求意見(jiàn),結(jié)合近日滴滴等企業(yè)接受網(wǎng)絡(luò)安全審查的消息,該如何理解該辦法修訂的背景?
左曉棟:《網(wǎng)絡(luò)安全審查辦法》的修訂,發(fā)生在對(duì)滴滴等赴美上市企業(yè)審查期間,且其條款針對(duì)國(guó)外上市作了明確規(guī)定,所以大家很容易將這兩件事關(guān)聯(lián)起來(lái)。
但從更深層次上理解,這些相關(guān)上市要求條款是在落實(shí)最近中辦、國(guó)辦印發(fā)的《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》,文件要求“加強(qiáng)跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī)”。
從根本上來(lái)看,這次修訂是為了落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》第二十四條的要求,該條提出國(guó)家建立數(shù)據(jù)安全審查制度,對(duì)影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。
《中華人民共和國(guó)數(shù)據(jù)安全法》將在2021年9月1日實(shí)施,此次審查辦法的修訂,表明數(shù)據(jù)安全法進(jìn)入實(shí)施前緊鑼密鼓的準(zhǔn)備階段,法律中設(shè)立的重大制度將逐步通過(guò)法規(guī)和細(xì)則予以落實(shí)。
南方周末:這次審查辦法的修訂是否意味著,網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度合并實(shí)施了?
左曉棟:網(wǎng)絡(luò)安全審查制度和數(shù)據(jù)安全審查制度的關(guān)系,這需要權(quán)威部門(mén)給出解讀。但至少有以下幾點(diǎn)是明確的:
(1)網(wǎng)絡(luò)安全審查辦法的修訂,主要針對(duì)的是數(shù)據(jù)處理活動(dòng)帶來(lái)的國(guó)家安全風(fēng)險(xiǎn),這是數(shù)據(jù)安全法中數(shù)據(jù)安全審查制度的立法宗旨。
(2)網(wǎng)絡(luò)安全和數(shù)據(jù)安全不可能絕對(duì)剝離,且很多網(wǎng)絡(luò)安全風(fēng)險(xiǎn)來(lái)自數(shù)據(jù)處理活動(dòng),網(wǎng)絡(luò)安全審查制度天然應(yīng)當(dāng)包括對(duì)數(shù)據(jù)處理活動(dòng)的審查。
(3)在國(guó)家已經(jīng)建立了整套網(wǎng)絡(luò)安全審查制度的前提下,不太可能也沒(méi)有必要另起爐灶重新建立一個(gè)數(shù)據(jù)安全審查辦公室、重新指定技術(shù)支撐機(jī)構(gòu)。
當(dāng)然,數(shù)據(jù)安全審查制度的建立是一個(gè)需要不斷探索的過(guò)程,這次修訂審查辦法只是一個(gè)開(kāi)頭,相信這個(gè)制度會(huì)不斷健全完善。
“100萬(wàn)主要考慮的是社會(huì)影響”
南方周末:對(duì)滴滴等企業(yè)審查在前,審查辦法修訂在后,且數(shù)據(jù)安全法還沒(méi)有生效,社會(huì)上為此對(duì)審查的法律依據(jù)有些疑問(wèn)。您對(duì)此如何評(píng)價(jià)?
左曉棟:滴滴被審查之初,的確很多人猜測(cè)是因?yàn)榈蔚伪涣袨殛P(guān)鍵信息基礎(chǔ)設(shè)施。因?yàn)榫W(wǎng)絡(luò)安全審查的啟動(dòng)條件是關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)產(chǎn)品和服務(wù)時(shí)可能影響國(guó)家安全。甚至為此還引發(fā)了很多“陰謀論”。
事實(shí)上,這與滴滴是否被列為關(guān)基沒(méi)有必然關(guān)系,因?yàn)榫W(wǎng)絡(luò)安全審查的啟動(dòng)還有第二種條件,即網(wǎng)絡(luò)安全審查機(jī)制成員單位認(rèn)為網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能影響國(guó)家安全。
因此,對(duì)滴滴等企業(yè)啟動(dòng)安全審查,法律依據(jù)是充分的。
不同的是,滴滴等這些企業(yè)存在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),主要是數(shù)據(jù)安全風(fēng)險(xiǎn),且因企業(yè)赴美上市而引發(fā)。因此舉一反三,盡快建立我國(guó)數(shù)據(jù)安全審查制度,針對(duì)企業(yè)海外上市等特殊場(chǎng)景明確制度細(xì)則,就成了當(dāng)務(wù)之急。
數(shù)據(jù)安全法的確還沒(méi)有生效,但審查辦法的修訂也有一個(gè)過(guò)程,修訂完成開(kāi)始實(shí)施一定會(huì)和數(shù)據(jù)安全法的生效日期保持協(xié)調(diào),也就是2021年9月1日。
南方周末:什么樣的企業(yè)是“數(shù)據(jù)處理者”?修訂案通過(guò)后,對(duì)目前已經(jīng)在境外上市的互聯(lián)網(wǎng)企業(yè)是否會(huì)產(chǎn)生影響?它們是否會(huì)納入網(wǎng)絡(luò)安全審查范圍?
左曉棟:應(yīng)當(dāng)從數(shù)據(jù)安全法的實(shí)施范圍出發(fā)去理解“數(shù)據(jù)處理者”。數(shù)據(jù)安全法規(guī)定,數(shù)據(jù)處理包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)等。
所有涉及數(shù)據(jù)處理活動(dòng)的主體,只要影響或可能影響國(guó)家安全,都應(yīng)當(dāng)接受數(shù)據(jù)安全審查。從這個(gè)角度而言,修訂后的網(wǎng)絡(luò)安全審查辦法的規(guī)范對(duì)象較廣。
審查辦法的修訂稿實(shí)施后,哪些企業(yè)需要補(bǔ)充申報(bào)網(wǎng)絡(luò)安全審查,或者主動(dòng)提起網(wǎng)站安全審查,需要等待政策進(jìn)一步的規(guī)定。
我認(rèn)為,從現(xiàn)在起所有的數(shù)據(jù)處理者,特別是掌握了大量個(gè)人信息數(shù)據(jù)的基礎(chǔ)互聯(lián)網(wǎng)服務(wù)企業(yè),要自行組織或者委托專(zhuān)業(yè)機(jī)構(gòu)對(duì)本企業(yè)數(shù)據(jù)處理的合規(guī)性,特別是數(shù)據(jù)處理是否可能影響國(guó)家安全,抓緊開(kāi)展自評(píng)估。
南方周末:新增的第六條“掌握超過(guò)100萬(wàn)用戶(hù)個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查”,這里面100萬(wàn)用戶(hù)的門(mén)檻并不高,是否意味著所有赴國(guó)外上市的企業(yè)都需要接受網(wǎng)絡(luò)安全審查?
左曉棟:100萬(wàn)的確不是一個(gè)高門(mén)檻,但是從企業(yè)經(jīng)營(yíng)角度來(lái)講,可能規(guī)模很大了才能上市,所以用戶(hù)不會(huì)只是100萬(wàn)。
但是,從個(gè)人信息保護(hù)的角度而言,如果處理不當(dāng),100萬(wàn)用戶(hù)也是很大一個(gè)群體。所以說(shuō)這個(gè)門(mén)檻是相對(duì)合適的。
這是綜合考慮了我國(guó)互聯(lián)網(wǎng)產(chǎn)業(yè)發(fā)展的實(shí)際情況、批量個(gè)人信息泄露后對(duì)國(guó)家安全、公共利益帶來(lái)的影響而確定的標(biāo)準(zhǔn),主要考慮的是社會(huì)影響。
南方周末:特別審查程序從之前的45個(gè)工作日改為了3個(gè)月內(nèi)完成,相當(dāng)于在過(guò)去的基礎(chǔ)上增加了1個(gè)月時(shí)間。這是否意味著審查程序會(huì)比過(guò)去更為復(fù)雜?
左曉棟:審查辦法修訂后,需要審查的情形增多,有的比較復(fù)雜,例如在國(guó)外上市這種情況。這次審查機(jī)制成員單位增加了證監(jiān)會(huì),針對(duì)的也是這類(lèi)情況。
因此,特別審查程序的時(shí)間需要適當(dāng)延長(zhǎng)。當(dāng)然,出于效率的考慮,常規(guī)審查程序的時(shí)長(zhǎng)沒(méi)有變化。