一、事件聚焦

2021年7月2日，網(wǎng)絡安全審查辦公室在國家網(wǎng)信辦官網(wǎng)發(fā)布公告，宣布將對滴滴出行啟動網(wǎng)絡安全審查，并要求為配合網(wǎng)絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。7月5日，網(wǎng)絡安全審查辦公室宣布對“運滿滿”“貨車幫”“BOSS直聘”等開展實施網(wǎng)絡安全審查，以上三款APP也被要求停止新用戶注冊。據(jù)悉，自2020年4月，國家互聯(lián)網(wǎng)信息辦公室等12部門聯(lián)合制定的《網(wǎng)絡安全審查辦法》發(fā)布以來，“滴滴出行”觸發(fā)網(wǎng)絡安全審查程序屬全國首例。國家執(zhí)法部門接連對互聯(lián)網(wǎng)企業(yè)啟動網(wǎng)絡安全審查，是當前境內外復雜環(huán)境下，維護國家安全、網(wǎng)絡安全、數(shù)據(jù)安全的重要舉措，彰顯了國家執(zhí)法部門嚴格監(jiān)管的態(tài)度與決心，為互聯(lián)網(wǎng)企業(yè)敲響了合規(guī)發(fā)展的警鐘。2021年7月6日，中共中央辦公廳、國務院辦公廳印發(fā)了《關于依法從嚴打擊證券違法活動的意見》，意見對數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關法律法規(guī)的完善提出了要求。同時提出了抓緊修訂關于壓實境外上市公司信息安全主體保密責任，加強跨境信息提供機制與流程的規(guī)范管理的工作意見。由此可見，國家安全、網(wǎng)絡安全、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟時代國家的重要戰(zhàn)略任務，同時境外上市公司信息安全主體保密責任也成為未來監(jiān)管執(zhí)法的新重點。

二、網(wǎng)絡安全審查的重點問題審視

國家安全是國家生存和發(fā)展的重要基石。網(wǎng)絡安全恰恰是國家安全工作中重要且不可或缺的一環(huán)?！秶野踩ā贰毒W(wǎng)絡安全法》均規(guī)定，國家應當建立安全審查制度，就影響國家安全的重大事項和活動進行審查。2020年4月13日，多部委以《國家安全法》《網(wǎng)絡安全法》為依據(jù)，聯(lián)合發(fā)布《網(wǎng)絡安全審查辦法》（以下簡稱該《辦法》，該辦法已于2020年6月1日生效），對網(wǎng)絡安全審查對象、程序、內容等進行了詳細的規(guī)定。此次網(wǎng)絡安全審查辦公室按照《網(wǎng)絡安全審查辦法》對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”等企業(yè)開展網(wǎng)絡安全審查是我國網(wǎng)絡安全審查制度的具體實踐。

網(wǎng)絡安全審查流程示意圖

（一）審查對象：關系國家安全的關鍵信息基礎設施運營者

網(wǎng)絡安全審查針對關鍵信息基礎設施運營者。根據(jù)《網(wǎng)絡安全審查辦法》的規(guī)定，關鍵信息基礎設施運營者（以下簡稱運營者）采購網(wǎng)絡產(chǎn)品和服務，影響或可能影響國家安全的，應當按照該辦法進行網(wǎng)絡安全審查。該辦法還規(guī)定，關鍵信息基礎設施運營者是指經(jīng)關鍵信息基礎設施保護工作部門認定的運營者。國家互聯(lián)網(wǎng)信息辦公室相關負責人答記者問時指出，根據(jù)中央網(wǎng)絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛(wèi)生健康、社會保障、國防科技工業(yè)等行業(yè)領域的重要網(wǎng)絡和信息系統(tǒng)運營者在采購網(wǎng)絡產(chǎn)品和服務時，應當按照辦法的要求考慮申報網(wǎng)絡安全審查。上述行業(yè)領域關乎國計民生、社會公共利益、國家安全，對此類運營者開展網(wǎng)絡安全審查是維護國家安全的應有之義。滴滴、運滿滿、貨車幫等網(wǎng)絡平臺，在提供相關服務時其網(wǎng)絡系統(tǒng)不可避免地會收集、使用、傳輸交通運輸數(shù)據(jù)和地圖數(shù)據(jù)等重要數(shù)據(jù)。此次事件顯示，相關網(wǎng)絡平臺已被納入關鍵信息基礎設施運營者的考察范疇。

（二）審查內容：數(shù)據(jù)安全是審查重點之一

網(wǎng)絡安全審查重點評估采購網(wǎng)絡產(chǎn)品和服務可能帶來的國家安全風險，主要包括關鍵信息基礎設施的安全性、數(shù)據(jù)安全及業(yè)務中斷可能性（供應鏈安全等）等多個方面。數(shù)據(jù)安全是重點方面之一，主要考慮產(chǎn)品和服務使用后帶來的重要數(shù)據(jù)被竊取、泄露、毀損等方面可能存在的風險。數(shù)字經(jīng)濟時代，數(shù)據(jù)已然成為國家重要的戰(zhàn)略資源，數(shù)據(jù)對于國家安全與發(fā)展的意義不言而喻，數(shù)據(jù)安全是國家安全保障工作的重要方面，其中重要數(shù)據(jù)的安全更是重中之重。隨著網(wǎng)絡科技的高速發(fā)展，互聯(lián)網(wǎng)企業(yè)將掌握越來越多的個人信息、商業(yè)信息、甚至是國家核心數(shù)據(jù)等。隨著企業(yè)手中掌握的數(shù)據(jù)類型和量級的不斷積累和提升，其作為營利組織將具有公共機構的性質，與行政主體共性漸多，若不對其“權力”加以約束，企業(yè)將能影響個人、社會發(fā)展甚至是整個國家安全與穩(wěn)定。在此種背景下，數(shù)據(jù)安全的地位更顯得極為特殊。滴滴、運滿滿、貨車幫等在提供服務時，處理的數(shù)據(jù)多涉及交通運輸、國家地圖等，以上數(shù)據(jù)屬于關系到國家安全、經(jīng)濟發(fā)展、社會公共利益的重要數(shù)據(jù)。根據(jù)《數(shù)據(jù)安全法》（2021年9月1日生效）的規(guī)定，應當根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數(shù)據(jù)實行分類分級保護。所以，針對重要數(shù)據(jù)，應當加以特別保護。在數(shù)據(jù)出境方面，重要數(shù)據(jù)的安全性更為重要。《網(wǎng)絡安全法》第37條規(guī)定，原則上關鍵信息基礎設施運營者所收集的個人信息與重要數(shù)據(jù)應在境內存儲；確有需要的，應當根據(jù)相關規(guī)定進行安全評估。

三、發(fā)展趨勢

（一）數(shù)據(jù)安全是國家未來安全治理的重點關注問題

近年來，數(shù)據(jù)資源日益成為世界各國爭先搶占的戰(zhàn)略要地，數(shù)據(jù)爭奪戰(zhàn)已經(jīng)打響。在形勢日益嚴峻的背景之下，相關部門加快構建數(shù)據(jù)安全網(wǎng)絡，數(shù)據(jù)安全成為國家安全治理的重點關注問題。數(shù)據(jù)安全成為國家安全的重點，不僅僅是因為數(shù)據(jù)主權問題，還因為大數(shù)據(jù)時代海量的數(shù)據(jù)高度集中，加大了數(shù)據(jù)泄露的風險。而數(shù)據(jù)一旦泄露，將對經(jīng)濟社會、國家安全產(chǎn)生重要的影響。為此，保障數(shù)據(jù)安全成為維護國家安全的重要內容。未來，網(wǎng)絡安全、數(shù)據(jù)安全審查態(tài)勢將更加嚴格化。

（二）數(shù)據(jù)本地化存儲日益成為數(shù)據(jù)安全重要監(jiān)管方向

數(shù)據(jù)本地化存儲是數(shù)據(jù)主權的重要體現(xiàn)。如今，數(shù)據(jù)主權爭奪戰(zhàn)日益激烈，縱觀全球，美國、歐盟等均將數(shù)據(jù)本地化作為立法與司法的重要考量。例如美國《澄清合法域外使用數(shù)據(jù)法》(簡稱CLOUDAct)授權美國監(jiān)管、執(zhí)法等部門通過國內法律程序調取美國公司儲存在境外的數(shù)據(jù)，同時也允許其認可的“適格的外國政府”向美國公司調取數(shù)據(jù)用于偵查執(zhí)法。但前提是這些國家必須放棄數(shù)據(jù)本地化的要求。這無疑體現(xiàn)了美國希冀于在數(shù)據(jù)主權領域率先控制話語權，試圖通過設定標準控制外國企業(yè)將數(shù)據(jù)存儲于美國。歐盟也通過GDPR設立了嚴格的數(shù)據(jù)出境限制，其特色規(guī)定“長臂管轄”，將管轄原則擴展為“影響主義原則”，這意味著在實踐中任何向歐盟居民提供商品或服務的企業(yè)都將受制于GDPR，無論是否位于歐盟境內，是否使用境內設備。GDPR因而成為了事實上的世界性法律，意圖于歐盟市場的企業(yè)均需遵循相關標準。面對激烈的數(shù)據(jù)主權爭奪，赴美上市的相關企業(yè)更應牢牢守住“重要數(shù)據(jù)”紅線，以國家安全為首位，同時實現(xiàn)創(chuàng)造自身經(jīng)濟利益。

（三）數(shù)據(jù)合規(guī)是企業(yè)未來健康發(fā)展的重要賽道

從2015年《國家安全法》頒布施行到2017年《網(wǎng)絡安全法》生效，再到2021年《數(shù)據(jù)安全法》公布，我國正在形成一個全面規(guī)范網(wǎng)絡安全保護、數(shù)據(jù)安全保護、個人信息安全保護的基礎法律體系。同時，網(wǎng)絡安全、數(shù)據(jù)安全、個人信息安全規(guī)范、標準不斷發(fā)布，保護體系持續(xù)完善細化。

近年來，在執(zhí)法層面，國家有關部門持續(xù)開展APP專項治理行動，執(zhí)法力度不斷增強。國家對企業(yè)的監(jiān)管重心正在向企業(yè)數(shù)據(jù)合規(guī)、個人信息保護等方面轉移，并且監(jiān)管趨勢正在向著監(jiān)管執(zhí)法主動化、監(jiān)管主體措施多樣化、整改手段嚴格化的方向發(fā)展。在如此的嚴格監(jiān)管態(tài)勢下，數(shù)據(jù)合規(guī)成為企業(yè)合規(guī)發(fā)展的首要問題。因此，企業(yè)應加強內外部管理，健全相關制度，在保證企業(yè)合規(guī)的前提下實現(xiàn)效能最大化。

四、合規(guī)方向指引

（一）個人信息出境告知義務

我國相關規(guī)定明令禁止個人信息未經(jīng)個人信息主體同意即出境。企業(yè)應向個人信息主體說明數(shù)據(jù)出境的目的、范圍、內容、接收方及接收方所在的國家或地區(qū)并經(jīng)個人信息主體同意。同時企業(yè)還應將網(wǎng)絡運營者的聯(lián)系人及其聯(lián)系方式等信息明確告知個人信息主體。

（二）數(shù)據(jù)出境安全評估義務

《網(wǎng)絡安全法》明確要求關鍵信息基礎設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù)應當做到數(shù)據(jù)本地化。因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估。企業(yè)在收集個人信息時應針對需要出境的個人信息的數(shù)量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內容進行詳細分類以應對數(shù)據(jù)出境安全評估的需要。同時，企業(yè)應及時了解本行業(yè)主管部門有關重要數(shù)據(jù)的規(guī)定及更新，對相關重要數(shù)據(jù)分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求。

（三）安全自評估報告保存義務

企業(yè)在完成數(shù)據(jù)安全自評估后，應形成安全自評估報告。內容包括評估對象的基本情況、安全自評估組織實施情況、評估結果、數(shù)據(jù)安全風險點、檢查修正建議等，并根據(jù)法規(guī)標準，將安全自評估報告上報行業(yè)主管部門。行業(yè)主管部門不明確的，上報國家網(wǎng)信部門。若企業(yè)在數(shù)據(jù)出境之前未啟動安全自評估，或者未保存至少兩年的自評估報告并上交主管部門，則可能面臨處罰。

（四）數(shù)據(jù)信息收集符合合法正當必要原則

數(shù)據(jù)合法收集是近年來企業(yè)數(shù)據(jù)合規(guī)的首要問題?！睹穹ǖ洹凡扇×藗€人信息收集的擇入機制，即對收人信息的前置程序作出了明確規(guī)定，要求在收集前充分告知相應自然人處理個人信息的一切事項，并取得自然人的同意。具體來說，收集個人信息必須經(jīng)過自然人的同意，對外公開其處理個人信息的規(guī)則，同時也要明確告知處理個人信的目的、方式和范圍。此外，企業(yè)在收集用戶個人信息時應注意避免違規(guī)私自收集、過度收集、超范圍收集用戶數(shù)據(jù)信息。如未經(jīng)用戶同意自動開啟收集地理位置、身份證號、人臉、指紋、讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務無關的功能。網(wǎng)絡運營者應在隱私政策中詳細列舉收集和使用個人信息的業(yè)務功能，所收集的個人信息類型。收集個人生物識別信息等敏感信息時，應在顯著位置明示告知，專門提醒個人信息主體此次收集活動涉及的信息，并說明處理目的、處理規(guī)則。

（五）其他數(shù)據(jù)安全保護義務

企業(yè)應建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓，采取相應的技術措施和其他必要措施，保障數(shù)據(jù)安全。重要數(shù)據(jù)的處理者應當明確數(shù)據(jù)安全負責人和管理機構，落實數(shù)據(jù)安全保護責任。企業(yè)在開展數(shù)據(jù)處理活動中應當加強風險監(jiān)測，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風險時，應當立即采取補救措施。若發(fā)生數(shù)據(jù)安全事件時，應當立即采取處置措施，按照規(guī)定及時告知用戶并向有關主管部門報告。根據(jù)法律、行政法規(guī)規(guī)定，提供數(shù)據(jù)處理相關服務應當取得電信增值業(yè)務經(jīng)營許可等行政許可。

附表：關鍵信息基礎設施的認定指引

根據(jù)有關規(guī)定，對關鍵信息基礎設施的認定可以從關鍵行業(yè)、關鍵業(yè)務和關鍵設備等方面進行綜合考量。當然，認定關鍵信息基礎設施的重點是基于業(yè)務場景動態(tài)識別，也有可能存在原先的關鍵信息或關鍵設施更迭而變?yōu)榉顷P鍵信息、非關鍵設施。因此，關鍵信息基礎設施的識別判斷要做到動態(tài)識別、持續(xù)更新。

本文由北京德恒律師事務所合伙人、律師張韜律師提供，如轉發(fā)請注明。