一、事件聚焦

2021年7月2日，網(wǎng)絡(luò)安全審查辦公室在國家網(wǎng)信辦官網(wǎng)發(fā)布公告，宣布將對滴滴出行啟動網(wǎng)絡(luò)安全審查，并要求為配合網(wǎng)絡(luò)安全審查工作，防范風(fēng)險擴(kuò)大，審查期間“滴滴出行”停止新用戶注冊。7月5日，網(wǎng)絡(luò)安全審查辦公室宣布對“運(yùn)滿滿”“貨車幫”“BOSS直聘”等開展實施網(wǎng)絡(luò)安全審查，以上三款A(yù)PP也被要求停止新用戶注冊。據(jù)悉，自2020年4月，國家互聯(lián)網(wǎng)信息辦公室等12部門聯(lián)合制定的《網(wǎng)絡(luò)安全審查辦法》發(fā)布以來，“滴滴出行”觸發(fā)網(wǎng)絡(luò)安全審查程序?qū)偃珖桌覉?zhí)法部門接連對互聯(lián)網(wǎng)企業(yè)啟動網(wǎng)絡(luò)安全審查，是當(dāng)前境內(nèi)外復(fù)雜環(huán)境下，維護(hù)國家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要舉措，彰顯了國家執(zhí)法部門嚴(yán)格監(jiān)管的態(tài)度與決心，為互聯(lián)網(wǎng)企業(yè)敲響了合規(guī)發(fā)展的警鐘。2021年7月6日，中共中央辦公廳、國務(wù)院辦公廳印發(fā)了《關(guān)于依法從嚴(yán)打擊證券違法活動的意見》，意見對數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關(guān)法律法規(guī)的完善提出了要求。同時提出了抓緊修訂關(guān)于壓實境外上市公司信息安全主體保密責(zé)任，加強(qiáng)跨境信息提供機(jī)制與流程的規(guī)范管理的工作意見。由此可見，國家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時代國家的重要戰(zhàn)略任務(wù)，同時境外上市公司信息安全主體保密責(zé)任也成為未來監(jiān)管執(zhí)法的新重點。

二、網(wǎng)絡(luò)安全審查的重點問題審視

國家安全是國家生存和發(fā)展的重要基石。網(wǎng)絡(luò)安全恰恰是國家安全工作中重要且不可或缺的一環(huán)?！秶野踩ā贰毒W(wǎng)絡(luò)安全法》均規(guī)定，國家應(yīng)當(dāng)建立安全審查制度，就影響國家安全的重大事項和活動進(jìn)行審查。2020年4月13日，多部委以《國家安全法》《網(wǎng)絡(luò)安全法》為依據(jù)，聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡稱該《辦法》，該辦法已于2020年6月1日生效），對網(wǎng)絡(luò)安全審查對象、程序、內(nèi)容等進(jìn)行了詳細(xì)的規(guī)定。此次網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》對“滴滴出行”“運(yùn)滿滿”“貨車幫”“BOSS直聘”等企業(yè)開展網(wǎng)絡(luò)安全審查是我國網(wǎng)絡(luò)安全審查制度的具體實踐。

網(wǎng)絡(luò)安全審查流程示意圖

（一）審查對象：關(guān)系國家安全的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者

網(wǎng)絡(luò)安全審查針對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者。根據(jù)《網(wǎng)絡(luò)安全審查辦法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者（以下簡稱運(yùn)營者）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國家安全的，應(yīng)當(dāng)按照該辦法進(jìn)行網(wǎng)絡(luò)安全審查。該辦法還規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營者。國家互聯(lián)網(wǎng)信息辦公室相關(guān)負(fù)責(zé)人答記者問時指出，根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有關(guān)事項的通知》精神，電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時，應(yīng)當(dāng)按照辦法的要求考慮申報網(wǎng)絡(luò)安全審查。上述行業(yè)領(lǐng)域關(guān)乎國計民生、社會公共利益、國家安全，對此類運(yùn)營者開展網(wǎng)絡(luò)安全審查是維護(hù)國家安全的應(yīng)有之義。滴滴、運(yùn)滿滿、貨車幫等網(wǎng)絡(luò)平臺，在提供相關(guān)服務(wù)時其網(wǎng)絡(luò)系統(tǒng)不可避免地會收集、使用、傳輸交通運(yùn)輸數(shù)據(jù)和地圖數(shù)據(jù)等重要數(shù)據(jù)。此次事件顯示，相關(guān)網(wǎng)絡(luò)平臺已被納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的考察范疇。

（二）審查內(nèi)容：數(shù)據(jù)安全是審查重點之一

網(wǎng)絡(luò)安全審查重點評估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國家安全風(fēng)險，主要包括關(guān)鍵信息基礎(chǔ)設(shè)施的安全性、數(shù)據(jù)安全及業(yè)務(wù)中斷可能性（供應(yīng)鏈安全等）等多個方面。數(shù)據(jù)安全是重點方面之一，主要考慮產(chǎn)品和服務(wù)使用后帶來的重要數(shù)據(jù)被竊取、泄露、毀損等方面可能存在的風(fēng)險。數(shù)字經(jīng)濟(jì)時代，數(shù)據(jù)已然成為國家重要的戰(zhàn)略資源，數(shù)據(jù)對于國家安全與發(fā)展的意義不言而喻，數(shù)據(jù)安全是國家安全保障工作的重要方面，其中重要數(shù)據(jù)的安全更是重中之重。隨著網(wǎng)絡(luò)科技的高速發(fā)展，互聯(lián)網(wǎng)企業(yè)將掌握越來越多的個人信息、商業(yè)信息、甚至是國家核心數(shù)據(jù)等。隨著企業(yè)手中掌握的數(shù)據(jù)類型和量級的不斷積累和提升，其作為營利組織將具有公共機(jī)構(gòu)的性質(zhì)，與行政主體共性漸多，若不對其“權(quán)力”加以約束，企業(yè)將能影響個人、社會發(fā)展甚至是整個國家安全與穩(wěn)定。在此種背景下，數(shù)據(jù)安全的地位更顯得極為特殊。滴滴、運(yùn)滿滿、貨車幫等在提供服務(wù)時，處理的數(shù)據(jù)多涉及交通運(yùn)輸、國家地圖等，以上數(shù)據(jù)屬于關(guān)系到國家安全、經(jīng)濟(jì)發(fā)展、社會公共利益的重要數(shù)據(jù)。根據(jù)《數(shù)據(jù)安全法》（2021年9月1日生效）的規(guī)定，應(yīng)當(dāng)根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對數(shù)據(jù)實行分類分級保護(hù)。所以，針對重要數(shù)據(jù)，應(yīng)當(dāng)加以特別保護(hù)。在數(shù)據(jù)出境方面，重要數(shù)據(jù)的安全性更為重要?！毒W(wǎng)絡(luò)安全法》第37條規(guī)定，原則上關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者所收集的個人信息與重要數(shù)據(jù)應(yīng)在境內(nèi)存儲；確有需要的，應(yīng)當(dāng)根據(jù)相關(guān)規(guī)定進(jìn)行安全評估。

三、發(fā)展趨勢

（一）數(shù)據(jù)安全是國家未來安全治理的重點關(guān)注問題

近年來，數(shù)據(jù)資源日益成為世界各國爭先搶占的戰(zhàn)略要地，數(shù)據(jù)爭奪戰(zhàn)已經(jīng)打響。在形勢日益嚴(yán)峻的背景之下，相關(guān)部門加快構(gòu)建數(shù)據(jù)安全網(wǎng)絡(luò)，數(shù)據(jù)安全成為國家安全治理的重點關(guān)注問題。數(shù)據(jù)安全成為國家安全的重點，不僅僅是因為數(shù)據(jù)主權(quán)問題，還因為大數(shù)據(jù)時代海量的數(shù)據(jù)高度集中，加大了數(shù)據(jù)泄露的風(fēng)險。而數(shù)據(jù)一旦泄露，將對經(jīng)濟(jì)社會、國家安全產(chǎn)生重要的影響。為此，保障數(shù)據(jù)安全成為維護(hù)國家安全的重要內(nèi)容。未來，網(wǎng)絡(luò)安全、數(shù)據(jù)安全審查態(tài)勢將更加嚴(yán)格化。

（二）數(shù)據(jù)本地化存儲日益成為數(shù)據(jù)安全重要監(jiān)管方向

數(shù)據(jù)本地化存儲是數(shù)據(jù)主權(quán)的重要體現(xiàn)。如今，數(shù)據(jù)主權(quán)爭奪戰(zhàn)日益激烈，縱觀全球，美國、歐盟等均將數(shù)據(jù)本地化作為立法與司法的重要考量。例如美國《澄清合法域外使用數(shù)據(jù)法》(簡稱CLOUDAct)授權(quán)美國監(jiān)管、執(zhí)法等部門通過國內(nèi)法律程序調(diào)取美國公司儲存在境外的數(shù)據(jù)，同時也允許其認(rèn)可的“適格的外國政府”向美國公司調(diào)取數(shù)據(jù)用于偵查執(zhí)法。但前提是這些國家必須放棄數(shù)據(jù)本地化的要求。這無疑體現(xiàn)了美國希冀于在數(shù)據(jù)主權(quán)領(lǐng)域率先控制話語權(quán)，試圖通過設(shè)定標(biāo)準(zhǔn)控制外國企業(yè)將數(shù)據(jù)存儲于美國。歐盟也通過GDPR設(shè)立了嚴(yán)格的數(shù)據(jù)出境限制，其特色規(guī)定“長臂管轄”，將管轄原則擴(kuò)展為“影響主義原則”，這意味著在實踐中任何向歐盟居民提供商品或服務(wù)的企業(yè)都將受制于GDPR，無論是否位于歐盟境內(nèi)，是否使用境內(nèi)設(shè)備。GDPR因而成為了事實上的世界性法律，意圖于歐盟市場的企業(yè)均需遵循相關(guān)標(biāo)準(zhǔn)。面對激烈的數(shù)據(jù)主權(quán)爭奪，赴美上市的相關(guān)企業(yè)更應(yīng)牢牢守住“重要數(shù)據(jù)”紅線，以國家安全為首位，同時實現(xiàn)創(chuàng)造自身經(jīng)濟(jì)利益。

（三）數(shù)據(jù)合規(guī)是企業(yè)未來健康發(fā)展的重要賽道

從2015年《國家安全法》頒布施行到2017年《網(wǎng)絡(luò)安全法》生效，再到2021年《數(shù)據(jù)安全法》公布，我國正在形成一個全面規(guī)范網(wǎng)絡(luò)安全保護(hù)、數(shù)據(jù)安全保護(hù)、個人信息安全保護(hù)的基礎(chǔ)法律體系。同時，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個人信息安全規(guī)范、標(biāo)準(zhǔn)不斷發(fā)布，保護(hù)體系持續(xù)完善細(xì)化。

近年來，在執(zhí)法層面，國家有關(guān)部門持續(xù)開展APP專項治理行動，執(zhí)法力度不斷增強(qiáng)。國家對企業(yè)的監(jiān)管重心正在向企業(yè)數(shù)據(jù)合規(guī)、個人信息保護(hù)等方面轉(zhuǎn)移，并且監(jiān)管趨勢正在向著監(jiān)管執(zhí)法主動化、監(jiān)管主體措施多樣化、整改手段嚴(yán)格化的方向發(fā)展。在如此的嚴(yán)格監(jiān)管態(tài)勢下，數(shù)據(jù)合規(guī)成為企業(yè)合規(guī)發(fā)展的首要問題。因此，企業(yè)應(yīng)加強(qiáng)內(nèi)外部管理，健全相關(guān)制度，在保證企業(yè)合規(guī)的前提下實現(xiàn)效能最大化。

四、合規(guī)方向指引

（一）個人信息出境告知義務(wù)

我國相關(guān)規(guī)定明令禁止個人信息未經(jīng)個人信息主體同意即出境。企業(yè)應(yīng)向個人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國家或地區(qū)并經(jīng)個人信息主體同意。同時企業(yè)還應(yīng)將網(wǎng)絡(luò)運(yùn)營者的聯(lián)系人及其聯(lián)系方式等信息明確告知個人信息主體。

（二）數(shù)據(jù)出境安全評估義務(wù)

《網(wǎng)絡(luò)安全法》明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應(yīng)當(dāng)做到數(shù)據(jù)本地化。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估。企業(yè)在收集個人信息時應(yīng)針對需要出境的個人信息的數(shù)量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內(nèi)容進(jìn)行詳細(xì)分類以應(yīng)對數(shù)據(jù)出境安全評估的需要。同時，企業(yè)應(yīng)及時了解本行業(yè)主管部門有關(guān)重要數(shù)據(jù)的規(guī)定及更新，對相關(guān)重要數(shù)據(jù)分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求。

（三）安全自評估報告保存義務(wù)

企業(yè)在完成數(shù)據(jù)安全自評估后，應(yīng)形成安全自評估報告。內(nèi)容包括評估對象的基本情況、安全自評估組織實施情況、評估結(jié)果、數(shù)據(jù)安全風(fēng)險點、檢查修正建議等，并根據(jù)法規(guī)標(biāo)準(zhǔn)，將安全自評估報告上報行業(yè)主管部門。行業(yè)主管部門不明確的，上報國家網(wǎng)信部門。若企業(yè)在數(shù)據(jù)出境之前未啟動安全自評估，或者未保存至少兩年的自評估報告并上交主管部門，則可能面臨處罰。

（四）數(shù)據(jù)信息收集符合合法正當(dāng)必要原則

數(shù)據(jù)合法收集是近年來企業(yè)數(shù)據(jù)合規(guī)的首要問題?！睹穹ǖ洹凡扇×藗€人信息收集的擇入機(jī)制，即對收人信息的前置程序作出了明確規(guī)定，要求在收集前充分告知相應(yīng)自然人處理個人信息的一切事項，并取得自然人的同意。具體來說，收集個人信息必須經(jīng)過自然人的同意，對外公開其處理個人信息的規(guī)則，同時也要明確告知處理個人信的目的、方式和范圍。此外，企業(yè)在收集用戶個人信息時應(yīng)注意避免違規(guī)私自收集、過度收集、超范圍收集用戶數(shù)據(jù)信息。如未經(jīng)用戶同意自動開啟收集地理位置、身份證號、人臉、指紋、讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務(wù)無關(guān)的功能。網(wǎng)絡(luò)運(yùn)營者應(yīng)在隱私政策中詳細(xì)列舉收集和使用個人信息的業(yè)務(wù)功能，所收集的個人信息類型。收集個人生物識別信息等敏感信息時，應(yīng)在顯著位置明示告知，專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的、處理規(guī)則。

（五）其他數(shù)據(jù)安全保護(hù)義務(wù)

企業(yè)應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實數(shù)據(jù)安全保護(hù)責(zé)任。企業(yè)在開展數(shù)據(jù)處理活動中應(yīng)當(dāng)加強(qiáng)風(fēng)險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險時，應(yīng)當(dāng)立即采取補(bǔ)救措施。若發(fā)生數(shù)據(jù)安全事件時，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時告知用戶并向有關(guān)主管部門報告。根據(jù)法律、行政法規(guī)規(guī)定，提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得電信增值業(yè)務(wù)經(jīng)營許可等行政許可。

附表：關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定指引

根據(jù)有關(guān)規(guī)定，對關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定可以從關(guān)鍵行業(yè)、關(guān)鍵業(yè)務(wù)和關(guān)鍵設(shè)備等方面進(jìn)行綜合考量。當(dāng)然，認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的重點是基于業(yè)務(wù)場景動態(tài)識別，也有可能存在原先的關(guān)鍵信息或關(guān)鍵設(shè)施更迭而變?yōu)榉顷P(guān)鍵信息、非關(guān)鍵設(shè)施。因此，關(guān)鍵信息基礎(chǔ)設(shè)施的識別判斷要做到動態(tài)識別、持續(xù)更新。

本文由北京德恒律師事務(wù)所合伙人、律師張韜律師提供，如轉(zhuǎn)發(fā)請注明。