“滴滴出行”遭遇“二連擊”,互聯網企業的啟示與緊急應對之策
作者:吳衛明 2021-07-05一、步步升級---網絡安全無小事
1、第一擊:網絡安全審查+停止新用戶注冊 7月2日晚,中國網信網發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》。公告稱:為防范國家數據安全風險,維護國家安全,保障公共利益,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,網絡安全審查辦公室按照《網絡安全審查辦法》,對“滴滴出行”實施網絡安全審查。為配合網絡安全審查工作,防范風險擴大,審查期間“滴滴出行”停止新用戶注冊。詳細情況在(《“滴滴出行”被審查,從網絡安全審查第一案看《網絡安全審查辦法》的適用與合規應對》,吳衛明,錦天城微信號文章)一文中已有介紹,這里不再展開。 2、第二擊:違法違規收集個人信息+APP下架 7月4日晚,國家互聯網信息辦公室發布《關于下架“滴滴出行”App的通報》,內容如下:根據舉報,經檢測核實,“滴滴出行”App存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App,要求滴滴出行科技有限公司嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。 我們可以看出,7月2日發出第一個公告后,7月4日發出第二個通報,且在非工作日緊急發布通告,可見監管機構對于此事的重視。而“網絡安全審查”引發停止注冊新用戶,“違法違規收集個人信息” 則引發APP下架,特別是第一個通知中提到了“防范國家數據安全風險,維護國家安全,保障公共利益”,充分說明了一個問題“網絡安全無小事、數據安全無小事”。 不應把網絡安全看成是一個簡單的技術問題或者合規問題,而是應該從國家安全、國家戰略、民族利益的高度看待這個問題。2015年,我國修改后的《國家安全法》闡述了全面的國家安全觀,其中,網絡空間安全是國家安全的重要構成部分。 關鍵信息基礎設施運營者和重要互聯網企業的網絡安全、數據安全、個人信息保護問題,絕非企業的私事,同時更是國家安全范疇的大事。 二、追本溯源---兩次公告/通報所涉法律事由 1、兩次公告/通報多維度對比分析 通過分析兩次公告/通報,我們發現,所述的法律事由有一些不同,吳衛明律師作了表格歸納,具體對比如下: 2、7月2日公告所涉事由的法律解讀 (1)《國家安全法》層面的解讀 7月2日公告里面提到了“防范國家數據安全風險,維護國家安全,保障公共利益”,且法律依據包括《國家安全法》。 法條表述 《國家安全法》第二十五條是這樣表述的:國家建設網絡與信息安全保障體系,提升網絡與信息安全保護能力,加強網絡和信息技術的創新研究和開發應用,實現網絡和信息核心技術、關鍵基礎設施和重要領域信息系統及數據的安全可控;加強網絡管理,防范、制止和依法懲治網絡攻擊、網絡入侵、網絡竊密、散布違法有害信息等網絡違法犯罪行為,維護國家網絡空間主權、安全和發展利益。 核心詞條之一:網絡與信息安全保障體系 事實上《網絡安全法》、《數據安全法》、《個人信息保護法(草案)》及配套條例和規章的制度安排,目的就在于構建網絡與信息的安全保障體系。當然,具體分析滴滴的行為,還需要依據其行為事實與具體制度。 核心詞條之二:關鍵基礎設施和重要領域信息系統及數據的安全可控 安全可控,意味著中國境內的網絡設施、數據處于安全、可控狀態,并且承載網絡的硬件、軟件均安全可控。吳衛明律師認為,安全是個技術概念,可控則是一個供應鏈安全的概念,并且與當前國際之間的科技封鎖及貿易管制措施有關。 核心詞條之三:維護國家網絡空間主權、安全 網絡安全與數據是網絡運營者的事,也是國家網絡空間主權與安全范疇的事情。這一點,比一般的合規意識更加重要。 (2)《網絡安全法》層面的解讀 《網絡安全法》中,與國家數據安全風險、維護國家安全、保障公共利益相關的法條主要體現在第31、35、36、37條。 核心詞條之一:關鍵信息基礎設施 《網絡安全法》第三十一條:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。 核心詞條之二:國家安全審查 《網絡安全法》第三十五條:關鍵信息基礎設施的運營者采購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。 這一內容在《網絡安全審查辦法》中得到細化,也是本次直接適用的一項具體制度。 核心詞條之三:個人信息與重要數據境出境限制 《網絡安全法》第三十七條:關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。 這一問題,在《數據安全法》以及《個人信息出境安全評估辦法(征求意見稿)》、《個人信息與重要數據出境安全評估辦法(征求意見稿)》中也有進一步的規定與細化。 根據現有披露的信息,網絡安全審查辦公室按照《網絡安全審查辦法》,對“滴滴出行”實施網絡安全審查,可以初步推斷的是,具體制度方面,適用的是《網絡安全法》第三十五條,當然,由于監管機構正在查處本案,具體適用規則、制度的維度,仍需等待進一步的消息。 2、7月4日通報所涉事由的法律解讀 由于我國《個人信息保護法(草案)》尚未正式通過,且本次適用的是《網絡安全法》,因此,我們主要從網絡安全法的規定對于違反違規收集使用個人信息進行分析。相關的法條主要為41條至45條。當然,《民法典》相關內容以及司法解釋、相關監管規則也可作為參照,由于篇幅原因,本文不再展開。 核心詞條之一:合法、正當、必要 《網絡安全法》第四十一條:網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則。網絡運營者不得收集與其提供的服務無關的個人信息。 核心詞條之二:公開、明示、同意 《網絡安全法》第四十一條:網絡運營者收集、使用個人信息,應當…公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。 核心詞條之三:依法依約處理 《網絡安全法》第四十一條:網絡運營者…不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息,并應當依照法律、行政法規的規定和與用戶的約定,處理其保存的個人信息。 核心詞條之四:不得非法提供 《網絡安全法》第四十二條:網絡運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。 根據現有披露的信息,網絡安全審查辦公室按照《網絡安全法》,對“滴滴出行”實施的整改,具體涉及《網絡安全法》中所列的哪一種違法行為,以及涉及哪一項具體法規、條例或規章,當前尚無法獲知。仍需等待監管及滴滴方面進一步的信息披露。 三、答疑解惑---網絡安全/數據安全/個人信息關系 對于普通公眾,乃至法律工作者,或者企業法務部門的工作人員,連續兩次的公告/通報,涉及多個法律概念,其相互關系是什么?仍存在一定的模糊邊界,對此,簡要分析如下: 1、網絡安全 網絡安全是一個最為抽象的大概念,既包括信息系統安全、信息系統自主可控、也包括數據安全、還包括數據合規利用、個人信息保護等內容。網絡安全對應的是網絡空間治理,是一個宏觀的范疇(參見《網絡安全法解讀》,吳衛明)。 (1)重要信息系統安全可控 (2)系統軟硬件與系統環境的可用性、可靠性和穩定性 (3)系統訪問控制策略的可實現,阻止未經授權訪問 (4)數據安全與合規 2、數據安全 數據安全是一個較為具體的概念,主要針對數據這一無形的信息記載形式,是指通過采取必要措施,確保數據處于有效保護和合法利用的狀態,以及具備保障持續安全狀態的能力。 (1)數據被有效保護,即未被竊取、盜用、不當刪除(信息安全層面) (2)數據合法利用(合規層面) 3、個人信息保護 個人信息是數據的重要組成部分,但由于涉及個人的隱私和人格尊嚴,個人信息在《民法典》、《網絡安全法》、《數據安全法(草案)》中,均有單獨的規定。 個人信息保護,主要規范個人信息的收集、存儲、利用、傳輸、共享、刪除的合法性問題,以及個人信息主體的權益。 四、避免踩雷---互聯網企業如何應對 事實上,《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》以及相關法律法規、條例、規章、監管規則,所規范的絕非只是我們所常見的網絡平臺,由于互聯網化與數字化的普及,諸多傳統行業已經互聯網化,從而成為“網絡運營者”或者“關鍵信息基礎設施運營者”。因此,從防范網絡安全風險或數據安全風險的角度,需要考慮必要的合規應對措施。 1、盡快啟動評估/預先評估! 雖然當前《數據安全法》尚未生效(9月1日),《個人信息保護法(草案)》仍待審議通過,但由于相關制度的基礎框架在《網絡安全法》即相關配套規則中已經有所規定,且《個人信息保護法(草案)》通過應該是大概率的事件,因此,提早進行合法合規性的自評估,對于適應新法的生效或通過,具有重要的意義(參見《數據安全法解讀與合規建議》,吳衛明,錦天城律師事務所微信號)。我們認為,以下幾個方面應考慮展開自評估或預先評估: (1)網絡安全管理整體合法合規性評估 如果企業整體合規基礎較好,則整體評估的內容可以適當簡化,而將重點放在一些重點問題的自評估方面。 (2)關鍵信息基礎設施運營的合法合規評估 其一,網絡產品及服務的采購安全評估制度,關鍵信息基礎設施運營者采購網絡產品和服務的,應當預判該產品和服務投入使用后可能帶來的國家安全風險。影響或者可能影響國家安全的,應當向網絡安全審查辦公室申報網絡安全審查。雖然當前《關鍵信息基礎設施安全保護條例》及風險預判指南尚未頒布,但仍建議參照已有的法律及規則及社會通行的常識進行判斷。 其二、重要數據的出境,雖然評估指引尚未頒布,但企業從合規管理角度,建議應構建自身的重要數據目錄與出境管理與評估規則,啟動內部預先評估。同時,應密切關注《關鍵信息基礎設施安全保護條例》,以及重要數據出境安全評估的規則的立法情況。 其三、其他合規要求的評估,如組織、人員安排、演練、應急預案、培訓等制度的落實。 (3)數據處理整體合法合規情況的評估 如果企業整體合規基礎較好,則整體評估的內容可以適當簡化,而將重點放在一些重點問題的自評估方面。 (4)重要數據風險評估 《數據安全法》確立了重要數據風險評估制度。與重要數據出境評估作為特定事項監管不同,重要數據風險評估制度是一種針對重要數據的常態化監管機制。 (5)個人信息保護合法合規性評估 對于個人信息處理所涉及的全流程、個人信息處理全生命周期的合法合規性做自評估。 (6)個人信息出境的評估 雖然當前《個人信息保護法(草案)》、《個人信息出境安全評估辦法(征求意見稿)》均未正式通過,但為了應對將來的評估,企業自身對于數據出境及利用情況可以進行必要的預先評估,以迅速應對新法的頒布。 2、意識、意識、提升意識! 網絡安全、數據安全,雖然是一套制度體系,但反映的是一種全新的法律治理對象,網絡空間的無形性,容易引發對于網絡安全、數據安全的疏忽與懈怠心理。 事實上,并非只有中小企業會因為網絡安全、數據安全、個人信息保護遭受調查,部分頭部互聯網企業同樣會遇到這樣的問題。從其內部合規制度的完備性、人員的專業性來看,都達到了很高的水準,為什么仍會遇到各種違法違規問題呢?很重要的原因在于合規意識不夠,合規沒有被作為企業最為重要的內在能力。 因此,在合規管理體系中,網絡安全、數據安全意識同樣也是重要影響因素(參見《數據安全合規體系的構建》一文,吳衛明),尤其是決策層和重要管理層的網絡安全、數據安全意識。 意識是活的制度,是制度的重要驅動力。如何通過有效的約束、激勵機制,加上流程控制與監督機制,讓整個合規管理體系運轉起來,在關鍵節點提出關鍵的警示建議,是企業特別需要關注的問題。 3、合規不僅是技術,更是宏觀策略與架構! 如果從技術論角度看問題,那么合規部門、法務部門、信息安全部門的中觀、微觀操作性更強。然而,網絡空間的虛擬性、外部環境的動態性、創新業態的復雜性、數據的流動性,導致如果僅僅從“操作技術”的角度進行網絡安全、數據合規的管控,往往難以達到效果。 因此,吳衛明博士認為,需要從以下幾個方面進行優化: (1)將網絡安全與數據合規上升到公司的宏觀策略層面,以安全策略統領合規制度。 (2)網絡安全、數據安全(包括個人信息保護)制度的全方位覆蓋。 (3)賦予合規部門、法務部門、信息安全部門更為宏觀的管控職能,在組織架構上提供履行職責的保障,并更加深度介入業務、戰略決策,才是防范風險的根本。 4、建立網絡安全與數據安全風險評估長效機制 如前所述,當前企業可以開展系類問題的自評估。這是應急的策略,從長期合規經營的角度看,企業應建立完善的網絡安全與數據安全風險的評估體系。 通過定期評估機制,或者重要事件觸發評估的機制,或者通過自評估與第三方專業機構評估結合的方式,讓企業對于自身的網絡安全與數據安全風險有清晰的判斷,從而使風險處于可控狀態。
