“滴滴出行”被審查,從網(wǎng)絡安全審查第一案看《網(wǎng)絡安全審查辦法》的適用與合規(guī)應對
作者:吳衛(wèi)明 吳純佩 2021-07-03前言
筆者認為,《網(wǎng)絡安全審查辦法》(簡稱《辦法》)最大的價值在于塑造一種新的網(wǎng)絡安全觀,并以此為統(tǒng)領,維護我國網(wǎng)絡系統(tǒng)乃至網(wǎng)絡空間的安全態(tài)勢。在復雜的國際大背景下,規(guī)范關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,維護網(wǎng)絡空間的基礎安全架構。滴滴被納入網(wǎng)絡安全審查,是一個值得關注的重大事件,預示著在復雜的網(wǎng)絡安全態(tài)勢下,國家相關執(zhí)法部門可能會進一步加強網(wǎng)絡安全審查。企業(yè)在構建自身的網(wǎng)絡與數(shù)據(jù)安全體系過程中,合規(guī)將會是一個無法回避的重大問題。
第一部分:事件背景
《網(wǎng)絡安全審查辦法》發(fā)布以來的首次審查行動。
7月2日晚,中國網(wǎng)信網(wǎng)發(fā)布《網(wǎng)絡安全審查辦公室關于對“滴滴出行”啟動網(wǎng)絡安全審查的公告》。公告稱:為防范國家數(shù)據(jù)安全風險,維護國家安全,保障公共利益,依據(jù)《中華人民共和國國家安全法》《中華人民共和國網(wǎng)絡安全法》,網(wǎng)絡安全審查辦公室按照《網(wǎng)絡安全審查辦法》,對“滴滴出行”實施網(wǎng)絡安全審查。為配合網(wǎng)絡安全審查工作,防范風險擴大,審查期間“滴滴出行”停止新用戶注冊。
《網(wǎng)絡安全審查辦法》(以下簡稱“《辦法》”)由國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)改委等12個部門于4月27日下午聯(lián)合發(fā)布,確認國家互聯(lián)網(wǎng)信息辦公室下設的網(wǎng)絡安全審查辦公室作為網(wǎng)絡安全審查的監(jiān)管部門,負責制定網(wǎng)絡安全審查相關制度規(guī)范,組織網(wǎng)絡安全審查,而被審查主體關鍵信息基礎設施運營者(或簡稱“運營者”)則對其采購網(wǎng)絡產(chǎn)品和服務負有預判風險、提前申報審查的義務。《辦法》已于2020年6月1日正式實施,《網(wǎng)絡產(chǎn)品和服務安全審查辦法(試行)》(以下簡稱“《試行辦法》”)同時廢止。
根據(jù)《辦法》,網(wǎng)絡安全審查辦公室認為需要開展網(wǎng)絡安全審查的,應當自向運營者發(fā)出書面通知之日起30個工作日內(nèi)完成初步審查,包括形成審查結論建議和將審查結論建議發(fā)送網(wǎng)絡安全審查工作機制成員單位、相關關鍵信息基礎設施保護工作部門征求意見;情況復雜的,可以延長15個工作日。
根據(jù)《辦法》第八條至第十四條對網(wǎng)絡安全審查細節(jié)的規(guī)定,網(wǎng)絡安全審查具體流程如下圖:
“滴滴出行”接受網(wǎng)絡安全審查,新用戶注冊被叫停,股價開盤跌逾10%
對此,滴滴方面回應媒體記者稱,將積極配合網(wǎng)絡安全審查。審查期間,將在相關部門的監(jiān)督指導下,全面梳理和排查網(wǎng)絡安全風險,持續(xù)完善網(wǎng)絡安全體系和技術能力。
可能因受此消息影響,東方財富數(shù)據(jù)顯示,滴滴出行美股開盤跌幅達10.98%,截至北京時間7月3日11:50,跌幅收縮至5.30%。
數(shù)據(jù)來源:東方財富網(wǎng)
第二部分:《網(wǎng)絡安全審查辦法》的適用與制度構建
一、 制度價值目標與“新網(wǎng)絡安全觀”
1、《辦法》制度價值目標:
《辦法》更加側(cè)重供應鏈安全和關鍵網(wǎng)絡設備的自主可控。
《辦法》第一條開宗明義的規(guī)定:“為了確保關鍵信息基礎設施供應鏈安全…制定本辦法。”
同時,《辦法》第九條規(guī)定了在審查中應當重點注意的問題,即,網(wǎng)絡安全審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險,主要考慮以下因素:(一)產(chǎn)品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數(shù)據(jù)被竊取、泄露、毀損的風險;(二)產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害;(三)產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險;(四)產(chǎn)品和服務提供者遵守中國法律、行政法規(guī)、部門規(guī)章情況。
《辦法》在進行國家安全風險審查時,將“產(chǎn)品和服務供應中斷對關鍵信息基礎設施業(yè)務連續(xù)性的危害”以及“供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險”,作為安全風險審查的重要內(nèi)容,特別強調(diào)對于產(chǎn)品與服務“供應中斷”風險的審查。而《辦法》對于“供應渠道的可靠性”規(guī)定,應該是與商務部的“不可靠實體清單”制度相對應的。
從上述規(guī)定可以看出,《辦法》的頒布,意味著網(wǎng)絡安全觀從更加側(cè)重技術性規(guī)則到更加側(cè)重核心供應鏈“自主可控”(參見吳衛(wèi)明《<網(wǎng)絡安全審查辦法>與 “新網(wǎng)絡安全觀”的構建》一文)。
二、 審查對象的判斷維度
對于網(wǎng)絡安全的審查對象,涉及“主體”和“網(wǎng)絡產(chǎn)品與服務(簡稱“產(chǎn)品”)”兩個判斷維度:
1、審查對象的主體維度
《辦法》第二條明確了被審查的主體為關鍵信息基礎設施運營者,第二十條確認了關鍵信息基礎設施運營者是指經(jīng)關鍵信息基礎設施保護工作部門認定的運營者。
根據(jù)《關鍵信息基礎設施安全保護條例(征求意見稿)》第四條規(guī)定:國家網(wǎng)信部門負責統(tǒng)籌協(xié)調(diào)關鍵信息基礎設施安全保護工作和相關監(jiān)督管理工作。國務院公安、國家安全、國家保密行政管理、國家密碼管理等部門在各自職責范圍內(nèi)負責相關網(wǎng)絡安全保護和監(jiān)督管理工作。同時本次《辦法》的聯(lián)名起草發(fā)布單位中,有帶頭的國家互聯(lián)網(wǎng)信息辦公室會,還有國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、商務部、財政部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局。所以可以初步判斷關鍵信息基礎設施保護工作部門可能由上述部門組成。并且《辦法》第四條確定了中央網(wǎng)絡安全和信息化委員會統(tǒng)一領導的地位。
鑒于《網(wǎng)絡安全法》第三十一條規(guī)定關鍵基礎設施的具體范圍和安全保護辦法由國務院制定,且目前尚未正式發(fā)布關鍵信息基礎設施的具體認定細則,對于《辦法》中關鍵信息基礎設施運營者范圍的界定尚未有明確的法規(guī)規(guī)定。針對這一問題,國家互聯(lián)網(wǎng)信息辦公室有關負責人在就《辦法》答記者問中,明確了《辦法》中規(guī)定的應當預判風險申報網(wǎng)絡安全審查的義務主體為“電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者”。在關鍵信息基礎設施的具體認定細則正式出臺之前,上述范圍內(nèi)的運營者將作為《辦法》的被審查主體承擔申報審查的義務。
基于以上情況,有理由推測滴滴出行所使用的網(wǎng)絡系統(tǒng)被列為了關鍵信息基礎設施,因此才可能啟動網(wǎng)絡安全審查程序。截至目前,關鍵信息基礎設施的名單并未公布。根據(jù)2017年12月全國人民代表大會常務委員會執(zhí)法檢查組關于檢查《中華人民共和國網(wǎng)絡安全法》、《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》實施情況的報告,工業(yè)和信息化部開展了網(wǎng)絡基礎設施摸底工作,全面梳理網(wǎng)絡設施和信息系統(tǒng),目前全行業(yè)共確定關鍵網(wǎng)絡設施和重要信息系統(tǒng)11590個。隨著網(wǎng)絡安全審查與報工作的開展,關鍵網(wǎng)絡設施和重要信息系統(tǒng)的數(shù)量還將不斷攀升。
2、審查對象的產(chǎn)品維度
對于納入安全審查的網(wǎng)絡產(chǎn)品和服務,《辦法》的規(guī)定也更加突出網(wǎng)絡基礎安全層面。《辦法》第二十條規(guī)定:“本辦法所稱網(wǎng)絡產(chǎn)品和服務主要指核心網(wǎng)絡設備、高性能計算機和服務器、大容量存儲設備、大型數(shù)據(jù)庫和應用軟件、網(wǎng)絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務。”
從《辦法》納入產(chǎn)品審查范圍的設施界定出發(fā),從網(wǎng)絡結構角度看,涉及到了網(wǎng)絡系統(tǒng)的物理層、數(shù)據(jù)鏈路層、網(wǎng)絡層、傳輸層等基礎層面。從功能角度看,涉及到了信息傳輸、運算、存儲、網(wǎng)絡安全、數(shù)據(jù)庫、云計算等各個重要方面。
《辦法》在我國開啟“數(shù)字中國”的關鍵時期發(fā)布,具有積極的規(guī)范意義。從數(shù)字中國的角度看,毫無疑問,關鍵信息基礎設施運營者將成為“數(shù)字中國”的重要參與者,而對關鍵信息基礎設施安全有重要影響的網(wǎng)絡產(chǎn)品和服務,無疑是保障“數(shù)字中國”基礎設施安全、可控的基礎。因此,將安全審查聚焦于“關鍵信息基礎設施運營者”采購“對安全有重要影響的網(wǎng)絡產(chǎn)品和服務”,在“數(shù)字中國”與國際上圍繞信息網(wǎng)絡安全所展開的大博弈背景下,其意義可謂深遠。
主體與產(chǎn)品兩個維度,其關系具體如下圖示:
三、 審查主體全面覆蓋
《辦法》第四條規(guī)定:“在中央網(wǎng)絡安全和信息化委員會領導下,國家互聯(lián)網(wǎng)信息辦公室會同中華人民共和國國家發(fā)展和改革委員會、中華人民共和國工業(yè)和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網(wǎng)絡安全審查工作機制。”
由上述規(guī)定可以看出,網(wǎng)絡安全審查機制中,中央網(wǎng)絡安全和信息化委員會是領導機構,但并不直接參與審核,而是領導和協(xié)調(diào)審查機制的建立。
參與審查機制的機構則包括國家互聯(lián)網(wǎng)信息辦公室,以及十一個中央政府職能部門,參與主體職能分布相當廣泛。
為什么要這樣設立審查機制呢?其核心仍是“新網(wǎng)絡安全觀”的體現(xiàn):
網(wǎng)絡產(chǎn)品和服務的采購,必然涉及國家產(chǎn)業(yè)政策、網(wǎng)絡系統(tǒng)維護與管理、網(wǎng)絡系統(tǒng)的信息安全、國家安全、財政資金的使用和劃撥、對外貿(mào)易政策的制定與調(diào)整、金融安全與金融支持、市場秩序的維護與清理、新聞發(fā)布與傳播、保守國家秘密、以及密碼體系的安全與可靠。這些功能,任何一個部門均無法單獨完成,為了避免在安全審查上的漏洞和標準不一,需要建立多部門的強力協(xié)同機制。
四、 “多樣、可控”新理念
具體而言,《辦法》第九條規(guī)定了網(wǎng)絡安全審查過程中,對于國家安全影響的重要考量因素:
其中第(三)款的規(guī)定特別值得關注,“產(chǎn)品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿(mào)易等因素導致供應中斷的風險。”該條款的關鍵詞包括“來源的多樣性”以及“供應渠道的可靠性”。應該說,這一規(guī)則有深刻的國際信息技術博弈的大背景。近幾年來,中國的網(wǎng)絡設備與服務領域面臨巨大的不確定性,對于國家安全形成一定壓力。如美國政府對于納入“實體清單”的中國企業(yè)或其他機構,在采購美國相關網(wǎng)絡產(chǎn)品或服務時,設置了諸多審查或限制,而這些限制往往與政治、外交、貿(mào)易沖突等背景緊密相關。同時,由于在諸多核心技術領域,中國對于境外供應商的依賴度較高,來源過于集中。一旦受到其他因素影響“斷供”,對于網(wǎng)絡安全與正常運營將帶來巨大沖擊(參見吳衛(wèi)明《<網(wǎng)絡安全審查辦法>與 “新網(wǎng)絡安全觀”的構建》一文)。
“渠道單一化”一旦遭遇“供應渠道的不可靠”,其疊加效果將會非常巨大。因此,通過對“來源的多樣性”以及“供應渠道的可靠性”進行規(guī)定,并作為審查的重要內(nèi)容,有利于促成企業(yè)選擇多元產(chǎn)品和更為“可靠”的渠道。通過企業(yè)的選擇,可以進一步培育“多元化”的供應鏈。
某種意義上講,“來源的多樣性”以及“供應渠道的可靠性”并不是一個傳統(tǒng)意義上的網(wǎng)絡安全技術審核標準,而是一個供應鏈安全的標準。這一標準的設立,不僅有利于國際間網(wǎng)絡信息技術的均衡分布于合理流動,也有利于國內(nèi)相關網(wǎng)絡產(chǎn)品及服務提供者的長期發(fā)展。
五、 不同主體面的合規(guī)策略選擇
總體而言,《辦法》是一部體現(xiàn)全面網(wǎng)絡安全觀的規(guī)范。在強調(diào)技術帶來的網(wǎng)絡安全風險的同時,對于產(chǎn)品于服務來源單一、供應渠道不可靠性等供應鏈安全風險也提升到了重要的位置。對于《辦法》,企業(yè)也應順勢而為:
1、關鍵信息基礎設施運營者
關鍵信息基礎設施運營者,應充分讀懂《辦法》所蘊含的深層含義與審查措施,并積極規(guī)劃自身的合規(guī)方案,在源頭采購環(huán)節(jié)就應采用全面安全觀指導自己的采購行為。簡單的技術風險容易解決,而產(chǎn)品組合不合理帶來的供應鏈風險,則不僅難以解決,而且成本巨大(參見吳衛(wèi)明《<網(wǎng)絡安全審查辦法>與 “新網(wǎng)絡安全觀”的構建》一文)。
2、網(wǎng)絡產(chǎn)品與服務的供應商
除常規(guī)的技術能力外,供應商需要考慮的是,如何證明“供應渠道的可靠性”以及如何避免被納入“因為政治、外交、貿(mào)易等因素導致供應中斷的風險”中。
境外供應商,對于可靠性問題的考量通常更為復雜,因為不僅要受制于中國的法律規(guī)范,還要受制于其所在國的法律規(guī)范。如何減少所在國法律、政治、貿(mào)易政策對于設備與服務出口造成影響,成為其首先應考量的合規(guī)策略。
3、充分評估網(wǎng)絡安全審查對合同簽約等采購活動的影響
《辦法》第六條規(guī)定了對采購合同的要求,對于申報網(wǎng)絡安全審查的采購活動,運營者應通過采購文件、合同或其他有約束力的手段要求產(chǎn)品和服務提供者配合網(wǎng)絡安全審查,并與產(chǎn)品和服務提供者約定網(wǎng)絡安全審查通過后合同方可生效。同時,《辦法》第七條規(guī)定將“采購文件、協(xié)議、擬簽訂的合同等”明確納入申報材料要求,運營者申報網(wǎng)絡安全審查時,應當提交以下材料:(一)申報書;(二)關于影響或可能影響國家安全的分析報告;(三)采購文件、協(xié)議、擬簽訂的合同等;(四)網(wǎng)絡安全審查工作需要的其他材料。
據(jù)此,涉及此類采購的合同,對于合同生效應作必要的約定,以免影響合同的履行。
第三部分:其他相關制度的延申簡介
與網(wǎng)絡安全審查制度協(xié)同建立的其他國家安全風險管理制度
1、數(shù)據(jù)安全審查制度
新近出臺的《數(shù)據(jù)安全法》第二十四條中也協(xié)同建立了數(shù)據(jù)安全審查制度,規(guī)定:“國家建立數(shù)據(jù)安全審查制度,對影響或者可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。”并且明確“依法作出的安全審查決定為最終決定”,這將意味著對審查結果無法提起行政復議或行政訴訟。
考慮到《數(shù)據(jù)安全法》自2021年9月1日起施行,雖然本次“滴滴出行”案可能不會依據(jù)《數(shù)據(jù)安全法》進行審查,但在未來企業(yè)合規(guī)與配合執(zhí)法過程中,關鍵信息基礎設施運營者在關注采購網(wǎng)絡產(chǎn)品與服務的供應鏈安全風險時,不僅需注意包括《辦法》中提到的“重要數(shù)據(jù)被竊取、泄露、毀損的風險”,還需注意數(shù)據(jù)處理活動帶來的其他國家安全風險。另外,根據(jù)《數(shù)據(jù)安全法》規(guī)定,利用互聯(lián)網(wǎng)等信息網(wǎng)絡開展數(shù)據(jù)處理活動,應當注意在網(wǎng)絡安全等級保護制度的基礎上,履行上述數(shù)據(jù)安全保護義務。
2、重要數(shù)據(jù)分類分級、出境安全評估及管理制度
根據(jù)《數(shù)據(jù)安全法》,國家建立數(shù)據(jù)分類分級保護制度,根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用,對國家安全、公共利益或者個人、組織合法權益造成的危害程度,對數(shù)據(jù)實行分類分級保護。后續(xù)國家關部門還將制定重要數(shù)據(jù)目錄,并對關系國家安全、國民經(jīng)濟命脈、重要民生、重大公共利益等國家核心數(shù)據(jù),實行更加嚴格的管理制度。
根據(jù)《網(wǎng)絡安全法》與《數(shù)據(jù)安全法》,關鍵信息基礎設施的運營者在中華人民共和國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當在境內(nèi)存儲。因業(yè)務需要,確需向境外提供的,應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。目前,個人信息與重要數(shù)據(jù)出境安全評估及管理辦法并未正式出臺,有關部門正在征求意見。待正式監(jiān)管細則出臺后,將為國際環(huán)境下數(shù)據(jù)流動及國家安全風險管理提供更清晰明確的安全合規(guī)活動邊界。
與此相關的,滴滴出行向美國證監(jiān)會提交的Form F-1(招股說明書)中提到:2021年6月10日,中國全國人民代表大會常務委員會頒布了《數(shù)據(jù)安全法》,該法將于2021年9月生效。《數(shù)據(jù)安全法》規(guī)定了開展數(shù)據(jù)活動的實體和個人的數(shù)據(jù)安全和隱私義務。《數(shù)據(jù)安全法》還根據(jù)數(shù)據(jù)在經(jīng)濟和社會發(fā)展中的重要性,以及這些數(shù)據(jù)被篡改、破壞、泄露或被非法獲取或使用時對國家安全、公共利益、個人或組織的合法權益的危害程度,引入了數(shù)據(jù)分類和分級保護制度。對于每一類數(shù)據(jù),都需要采取適當?shù)谋Wo措施。例如,重要數(shù)據(jù)的處理者應指定負責數(shù)據(jù)安全的人員和管理機構,對其數(shù)據(jù)處理活動進行風險評估,并向主管部門提交風險評估報告。此外,《數(shù)據(jù)安全法》對那些可能影響國家安全的數(shù)據(jù)活動規(guī)定了國家安全審查程序,并對某些數(shù)據(jù)和信息規(guī)定了出口限制。由于《數(shù)據(jù)安全法》是最近頒布的,尚未生效,我們可能需要進一步調(diào)整我們的商業(yè)慣例,以符合該法律的規(guī)定。
綜上,關鍵信息基礎設施對國家安全、經(jīng)濟安全、社會穩(wěn)定、公眾健康和安全至關重要。我國建立網(wǎng)絡安全審查制度,目的是通過網(wǎng)絡安全審查這一舉措,及早發(fā)現(xiàn)并避免采購產(chǎn)品和服務給關鍵信息基礎設施運行帶來風險和危害,保障關鍵信息基礎設施供應鏈安全,維護國家安全。
網(wǎng)約車行業(yè)在互聯(lián)網(wǎng)經(jīng)濟下的交通出行行業(yè)中占有重要地位,其運營的網(wǎng)絡設施承載著大量設施及交通出行網(wǎng)絡節(jié)點交互與數(shù)據(jù)存儲。本次網(wǎng)絡安全審查事件,對于可能構成關鍵信息基礎設施運營者的互聯(lián)網(wǎng)企業(yè)而言,無疑是一次重要的啟示,值得關注并構建響應的合規(guī)體系予以應對。
引用文章
《<網(wǎng)絡安全審查辦法>與 “新網(wǎng)絡安全觀”的構建》,吳衛(wèi)明。
《網(wǎng)絡產(chǎn)品安全審查制度及相關合規(guī)風險—寫于美國關于禁用華為設備的法案獲批之后》,吳衛(wèi)明、劉昀東。
《<網(wǎng)絡安全審查辦法>解讀》,吳衛(wèi)明、朱凱凡。
