“滴滴出行”被審查,從網絡安全審查第一案看《網絡安全審查辦法》的適用與合規應對
作者:吳衛明 吳純佩 2021-07-03前言
筆者認為,《網絡安全審查辦法》(簡稱《辦法》)最大的價值在于塑造一種新的網絡安全觀,并以此為統領,維護我國網絡系統乃至網絡空間的安全態勢。在復雜的國際大背景下,規范關鍵信息基礎設施運營者采購網絡產品和服務,維護網絡空間的基礎安全架構。滴滴被納入網絡安全審查,是一個值得關注的重大事件,預示著在復雜的網絡安全態勢下,國家相關執法部門可能會進一步加強網絡安全審查。企業在構建自身的網絡與數據安全體系過程中,合規將會是一個無法回避的重大問題。
第一部分:事件背景
《網絡安全審查辦法》發布以來的首次審查行動。
7月2日晚,中國網信網發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》。公告稱:為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對“滴滴出行”實施網絡安全審查。為配合網絡安全審查工作,防范風險擴大,審查期間“滴滴出行”停止新用戶注冊。
《網絡安全審查辦法》(以下簡稱“《辦法》”)由國家互聯網信息辦公室、國家發改委等12個部門于4月27日下午聯合發布,確認國家互聯網信息辦公室下設的網絡安全審查辦公室作為網絡安全審查的監管部門,負責制定網絡安全審查相關制度規范,組織網絡安全審查,而被審查主體關鍵信息基礎設施運營者(或簡稱“運營者”)則對其采購網絡產品和服務負有預判風險、提前申報審查的義務。《辦法》已于2020年6月1日正式實施,《網絡產品和服務安全審查辦法(試行)》(以下簡稱“《試行辦法》”)同時廢止。
根據《辦法》,網絡安全審查辦公室認為需要開展網絡安全審查的,應當自向運營者發出書面通知之日起30個工作日內完成初步審查,包括形成審查結論建議和將審查結論建議發送網絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門征求意見;情況復雜的,可以延長15個工作日。
根據《辦法》第八條至第十四條對網絡安全審查細節的規定,網絡安全審查具體流程如下圖:
“滴滴出行”接受網絡安全審查,新用戶注冊被叫停,股價開盤跌逾10%
對此,滴滴方面回應媒體記者稱,將積極配合網絡安全審查。審查期間,將在相關部門的監督指導下,全面梳理和排查網絡安全風險,持續完善網絡安全體系和技術能力。
可能因受此消息影響,東方財富數據顯示,滴滴出行美股開盤跌幅達10.98%,截至北京時間7月3日11:50,跌幅收縮至5.30%。
數據來源:東方財富網
第二部分:《網絡安全審查辦法》的適用與制度構建
一、 制度價值目標與“新網絡安全觀”
1、《辦法》制度價值目標:
《辦法》更加側重供應鏈安全和關鍵網絡設備的自主可控。
《辦法》第一條開宗明義的規定:“為了確保關鍵信息基礎設施供應鏈安全…制定本辦法。”
同時,《辦法》第九條規定了在審查中應當重點注意的問題,即,網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素:(一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;(三)產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;(四)產品和服務提供者遵守中國法律、行政法規、部門規章情況。
《辦法》在進行國家安全風險審查時,將“產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害”以及“供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險”,作為安全風險審查的重要內容,特別強調對于產品與服務“供應中斷”風險的審查。而《辦法》對于“供應渠道的可靠性”規定,應該是與商務部的“不可靠實體清單”制度相對應的。
從上述規定可以看出,《辦法》的頒布,意味著網絡安全觀從更加側重技術性規則到更加側重核心供應鏈“自主可控”(參見吳衛明《<網絡安全審查辦法>與 “新網絡安全觀”的構建》一文)。
二、 審查對象的判斷維度
對于網絡安全的審查對象,涉及“主體”和“網絡產品與服務(簡稱“產品”)”兩個判斷維度:
1、審查對象的主體維度
《辦法》第二條明確了被審查的主體為關鍵信息基礎設施運營者,第二十條確認了關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。
根據《關鍵信息基礎設施安全保護條例(征求意見稿)》第四條規定:國家網信部門負責統籌協調關鍵信息基礎設施安全保護工作和相關監督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內負責相關網絡安全保護和監督管理工作。同時本次《辦法》的聯名起草發布單位中,有帶頭的國家互聯網信息辦公室會,還有國家發展和改革委員會、工業和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局。所以可以初步判斷關鍵信息基礎設施保護工作部門可能由上述部門組成。并且《辦法》第四條確定了中央網絡安全和信息化委員會統一領導的地位。
鑒于《網絡安全法》第三十一條規定關鍵基礎設施的具體范圍和安全保護辦法由國務院制定,且目前尚未正式發布關鍵信息基礎設施的具體認定細則,對于《辦法》中關鍵信息基礎設施運營者范圍的界定尚未有明確的法規規定。針對這一問題,國家互聯網信息辦公室有關負責人在就《辦法》答記者問中,明確了《辦法》中規定的應當預判風險申報網絡安全審查的義務主體為“電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者”。在關鍵信息基礎設施的具體認定細則正式出臺之前,上述范圍內的運營者將作為《辦法》的被審查主體承擔申報審查的義務。
基于以上情況,有理由推測滴滴出行所使用的網絡系統被列為了關鍵信息基礎設施,因此才可能啟動網絡安全審查程序。截至目前,關鍵信息基礎設施的名單并未公布。根據2017年12月全國人民代表大會常務委員會執法檢查組關于檢查《中華人民共和國網絡安全法》、《全國人民代表大會常務委員會關于加強網絡信息保護的決定》實施情況的報告,工業和信息化部開展了網絡基礎設施摸底工作,全面梳理網絡設施和信息系統,目前全行業共確定關鍵網絡設施和重要信息系統11590個。隨著網絡安全審查與報工作的開展,關鍵網絡設施和重要信息系統的數量還將不斷攀升。
2、審查對象的產品維度
對于納入安全審查的網絡產品和服務,《辦法》的規定也更加突出網絡基礎安全層面。《辦法》第二十條規定:“本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。”
從《辦法》納入產品審查范圍的設施界定出發,從網絡結構角度看,涉及到了網絡系統的物理層、數據鏈路層、網絡層、傳輸層等基礎層面。從功能角度看,涉及到了信息傳輸、運算、存儲、網絡安全、數據庫、云計算等各個重要方面。
《辦法》在我國開啟“數字中國”的關鍵時期發布,具有積極的規范意義。從數字中國的角度看,毫無疑問,關鍵信息基礎設施運營者將成為“數字中國”的重要參與者,而對關鍵信息基礎設施安全有重要影響的網絡產品和服務,無疑是保障“數字中國”基礎設施安全、可控的基礎。因此,將安全審查聚焦于“關鍵信息基礎設施運營者”采購“對安全有重要影響的網絡產品和服務”,在“數字中國”與國際上圍繞信息網絡安全所展開的大博弈背景下,其意義可謂深遠。
主體與產品兩個維度,其關系具體如下圖示:
三、 審查主體全面覆蓋
《辦法》第四條規定:“在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。”
由上述規定可以看出,網絡安全審查機制中,中央網絡安全和信息化委員會是領導機構,但并不直接參與審核,而是領導和協調審查機制的建立。
參與審查機制的機構則包括國家互聯網信息辦公室,以及十一個中央政府職能部門,參與主體職能分布相當廣泛。
為什么要這樣設立審查機制呢?其核心仍是“新網絡安全觀”的體現:
網絡產品和服務的采購,必然涉及國家產業政策、網絡系統維護與管理、網絡系統的信息安全、國家安全、財政資金的使用和劃撥、對外貿易政策的制定與調整、金融安全與金融支持、市場秩序的維護與清理、新聞發布與傳播、保守國家秘密、以及密碼體系的安全與可靠。這些功能,任何一個部門均無法單獨完成,為了避免在安全審查上的漏洞和標準不一,需要建立多部門的強力協同機制。
四、 “多樣、可控”新理念
具體而言,《辦法》第九條規定了網絡安全審查過程中,對于國家安全影響的重要考量因素:
其中第(三)款的規定特別值得關注,“產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險。”該條款的關鍵詞包括“來源的多樣性”以及“供應渠道的可靠性”。應該說,這一規則有深刻的國際信息技術博弈的大背景。近幾年來,中國的網絡設備與服務領域面臨巨大的不確定性,對于國家安全形成一定壓力。如美國政府對于納入“實體清單”的中國企業或其他機構,在采購美國相關網絡產品或服務時,設置了諸多審查或限制,而這些限制往往與政治、外交、貿易沖突等背景緊密相關。同時,由于在諸多核心技術領域,中國對于境外供應商的依賴度較高,來源過于集中。一旦受到其他因素影響“斷供”,對于網絡安全與正常運營將帶來巨大沖擊(參見吳衛明《<網絡安全審查辦法>與 “新網絡安全觀”的構建》一文)。
“渠道單一化”一旦遭遇“供應渠道的不可靠”,其疊加效果將會非常巨大。因此,通過對“來源的多樣性”以及“供應渠道的可靠性”進行規定,并作為審查的重要內容,有利于促成企業選擇多元產品和更為“可靠”的渠道。通過企業的選擇,可以進一步培育“多元化”的供應鏈。
某種意義上講,“來源的多樣性”以及“供應渠道的可靠性”并不是一個傳統意義上的網絡安全技術審核標準,而是一個供應鏈安全的標準。這一標準的設立,不僅有利于國際間網絡信息技術的均衡分布于合理流動,也有利于國內相關網絡產品及服務提供者的長期發展。
五、 不同主體面的合規策略選擇
總體而言,《辦法》是一部體現全面網絡安全觀的規范。在強調技術帶來的網絡安全風險的同時,對于產品于服務來源單一、供應渠道不可靠性等供應鏈安全風險也提升到了重要的位置。對于《辦法》,企業也應順勢而為:
1、關鍵信息基礎設施運營者
關鍵信息基礎設施運營者,應充分讀懂《辦法》所蘊含的深層含義與審查措施,并積極規劃自身的合規方案,在源頭采購環節就應采用全面安全觀指導自己的采購行為。簡單的技術風險容易解決,而產品組合不合理帶來的供應鏈風險,則不僅難以解決,而且成本巨大(參見吳衛明《<網絡安全審查辦法>與 “新網絡安全觀”的構建》一文)。
2、網絡產品與服務的供應商
除常規的技術能力外,供應商需要考慮的是,如何證明“供應渠道的可靠性”以及如何避免被納入“因為政治、外交、貿易等因素導致供應中斷的風險”中。
境外供應商,對于可靠性問題的考量通常更為復雜,因為不僅要受制于中國的法律規范,還要受制于其所在國的法律規范。如何減少所在國法律、政治、貿易政策對于設備與服務出口造成影響,成為其首先應考量的合規策略。
3、充分評估網絡安全審查對合同簽約等采購活動的影響
《辦法》第六條規定了對采購合同的要求,對于申報網絡安全審查的采購活動,運營者應通過采購文件、合同或其他有約束力的手段要求產品和服務提供者配合網絡安全審查,并與產品和服務提供者約定網絡安全審查通過后合同方可生效。同時,《辦法》第七條規定將“采購文件、協議、擬簽訂的合同等”明確納入申報材料要求,運營者申報網絡安全審查時,應當提交以下材料:(一)申報書;(二)關于影響或可能影響國家安全的分析報告;(三)采購文件、協議、擬簽訂的合同等;(四)網絡安全審查工作需要的其他材料。
據此,涉及此類采購的合同,對于合同生效應作必要的約定,以免影響合同的履行。
第三部分:其他相關制度的延申簡介
與網絡安全審查制度協同建立的其他國家安全風險管理制度
1、數據安全審查制度
新近出臺的《數據安全法》第二十四條中也協同建立了數據安全審查制度,規定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。”并且明確“依法作出的安全審查決定為最終決定”,這將意味著對審查結果無法提起行政復議或行政訴訟。
考慮到《數據安全法》自2021年9月1日起施行,雖然本次“滴滴出行”案可能不會依據《數據安全法》進行審查,但在未來企業合規與配合執法過程中,關鍵信息基礎設施運營者在關注采購網絡產品與服務的供應鏈安全風險時,不僅需注意包括《辦法》中提到的“重要數據被竊取、泄露、毀損的風險”,還需注意數據處理活動帶來的其他國家安全風險。另外,根據《數據安全法》規定,利用互聯網等信息網絡開展數據處理活動,應當注意在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。
2、重要數據分類分級、出境安全評估及管理制度
根據《數據安全法》,國家建立數據分類分級保護制度,根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數據實行分類分級保護。后續國家關部門還將制定重要數據目錄,并對關系國家安全、國民經濟命脈、重要民生、重大公共利益等國家核心數據,實行更加嚴格的管理制度。
根據《網絡安全法》與《數據安全法》,關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。目前,個人信息與重要數據出境安全評估及管理辦法并未正式出臺,有關部門正在征求意見。待正式監管細則出臺后,將為國際環境下數據流動及國家安全風險管理提供更清晰明確的安全合規活動邊界。
與此相關的,滴滴出行向美國證監會提交的Form F-1(招股說明書)中提到:2021年6月10日,中國全國人民代表大會常務委員會頒布了《數據安全法》,該法將于2021年9月生效。《數據安全法》規定了開展數據活動的實體和個人的數據安全和隱私義務。《數據安全法》還根據數據在經濟和社會發展中的重要性,以及這些數據被篡改、破壞、泄露或被非法獲取或使用時對國家安全、公共利益、個人或組織的合法權益的危害程度,引入了數據分類和分級保護制度。對于每一類數據,都需要采取適當的保護措施。例如,重要數據的處理者應指定負責數據安全的人員和管理機構,對其數據處理活動進行風險評估,并向主管部門提交風險評估報告。此外,《數據安全法》對那些可能影響國家安全的數據活動規定了國家安全審查程序,并對某些數據和信息規定了出口限制。由于《數據安全法》是最近頒布的,尚未生效,我們可能需要進一步調整我們的商業慣例,以符合該法律的規定。
綜上,關鍵信息基礎設施對國家安全、經濟安全、社會穩定、公眾健康和安全至關重要。我國建立網絡安全審查制度,目的是通過網絡安全審查這一舉措,及早發現并避免采購產品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
網約車行業在互聯網經濟下的交通出行行業中占有重要地位,其運營的網絡設施承載著大量設施及交通出行網絡節點交互與數據存儲。本次網絡安全審查事件,對于可能構成關鍵信息基礎設施運營者的互聯網企業而言,無疑是一次重要的啟示,值得關注并構建響應的合規體系予以應對。
引用文章
《<網絡安全審查辦法>與 “新網絡安全觀”的構建》,吳衛明。
《網絡產品安全審查制度及相關合規風險—寫于美國關于禁用華為設備的法案獲批之后》,吳衛明、劉昀東。
《<網絡安全審查辦法>解讀》,吳衛明、朱凱凡。
