一、事件聚焦

2021年7月2日，網(wǎng)絡(luò)安全審查辦公室在國(guó)家網(wǎng)信辦官網(wǎng)發(fā)布公告，宣布將對(duì)滴滴出行啟動(dòng)網(wǎng)絡(luò)安全審查，并要求為配合網(wǎng)絡(luò)安全審查工作，防范風(fēng)險(xiǎn)擴(kuò)大，審查期間“滴滴出行”停止新用戶注冊(cè)。7月5日，網(wǎng)絡(luò)安全審查辦公室宣布對(duì)“運(yùn)滿滿”“貨車幫”“BOSS直聘”等開展實(shí)施網(wǎng)絡(luò)安全審查，以上三款A(yù)PP也被要求停止新用戶注冊(cè)。據(jù)悉，自2020年4月，國(guó)家互聯(lián)網(wǎng)信息辦公室等12部門聯(lián)合制定的《網(wǎng)絡(luò)安全審查辦法》發(fā)布以來，“滴滴出行”觸發(fā)網(wǎng)絡(luò)安全審查程序?qū)偃珖?guó)首例。國(guó)家執(zhí)法部門接連對(duì)互聯(lián)網(wǎng)企業(yè)啟動(dòng)網(wǎng)絡(luò)安全審查，是當(dāng)前境內(nèi)外復(fù)雜環(huán)境下，維護(hù)國(guó)家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全的重要舉措，彰顯了國(guó)家執(zhí)法部門嚴(yán)格監(jiān)管的態(tài)度與決心，為互聯(lián)網(wǎng)企業(yè)敲響了合規(guī)發(fā)展的警鐘。2021年7月6日，中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)了《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見》，意見對(duì)數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī)的完善提出了要求。同時(shí)提出了抓緊修訂關(guān)于壓實(shí)境外上市公司信息安全主體保密責(zé)任，加強(qiáng)跨境信息提供機(jī)制與流程的規(guī)范管理的工作意見。由此可見，國(guó)家安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全已成為數(shù)字經(jīng)濟(jì)時(shí)代國(guó)家的重要戰(zhàn)略任務(wù)，同時(shí)境外上市公司信息安全主體保密責(zé)任也成為未來監(jiān)管執(zhí)法的新重點(diǎn)。

二、網(wǎng)絡(luò)安全審查的重點(diǎn)問題審視

國(guó)家安全是國(guó)家生存和發(fā)展的重要基石。網(wǎng)絡(luò)安全恰恰是國(guó)家安全工作中重要且不可或缺的一環(huán)?！秶?guó)家安全法》《網(wǎng)絡(luò)安全法》均規(guī)定，國(guó)家應(yīng)當(dāng)建立安全審查制度，就影響國(guó)家安全的重大事項(xiàng)和活動(dòng)進(jìn)行審查。2020年4月13日，多部委以《國(guó)家安全法》《網(wǎng)絡(luò)安全法》為依據(jù)，聯(lián)合發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡(jiǎn)稱該《辦法》，該辦法已于2020年6月1日生效），對(duì)網(wǎng)絡(luò)安全審查對(duì)象、程序、內(nèi)容等進(jìn)行了詳細(xì)的規(guī)定。此次網(wǎng)絡(luò)安全審查辦公室按照《網(wǎng)絡(luò)安全審查辦法》對(duì)“滴滴出行”“運(yùn)滿滿”“貨車幫”“BOSS直聘”等企業(yè)開展網(wǎng)絡(luò)安全審查是我國(guó)網(wǎng)絡(luò)安全審查制度的具體實(shí)踐。

網(wǎng)絡(luò)安全審查流程示意圖

（一）審查對(duì)象：關(guān)系國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者

網(wǎng)絡(luò)安全審查針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。根據(jù)《網(wǎng)絡(luò)安全審查辦法》的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱運(yùn)營(yíng)者）采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照該辦法進(jìn)行網(wǎng)絡(luò)安全審查。該辦法還規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營(yíng)者。國(guó)家互聯(lián)網(wǎng)信息辦公室相關(guān)負(fù)責(zé)人答記者問時(shí)指出，根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會(huì)《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有關(guān)事項(xiàng)的通知》精神，電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)按照辦法的要求考慮申報(bào)網(wǎng)絡(luò)安全審查。上述行業(yè)領(lǐng)域關(guān)乎國(guó)計(jì)民生、社會(huì)公共利益、國(guó)家安全，對(duì)此類運(yùn)營(yíng)者開展網(wǎng)絡(luò)安全審查是維護(hù)國(guó)家安全的應(yīng)有之義。滴滴、運(yùn)滿滿、貨車幫等網(wǎng)絡(luò)平臺(tái)，在提供相關(guān)服務(wù)時(shí)其網(wǎng)絡(luò)系統(tǒng)不可避免地會(huì)收集、使用、傳輸交通運(yùn)輸數(shù)據(jù)和地圖數(shù)據(jù)等重要數(shù)據(jù)。此次事件顯示，相關(guān)網(wǎng)絡(luò)平臺(tái)已被納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的考察范疇。

（二）審查內(nèi)容：數(shù)據(jù)安全是審查重點(diǎn)之一

網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國(guó)家安全風(fēng)險(xiǎn)，主要包括關(guān)鍵信息基礎(chǔ)設(shè)施的安全性、數(shù)據(jù)安全及業(yè)務(wù)中斷可能性（供應(yīng)鏈安全等）等多個(gè)方面。數(shù)據(jù)安全是重點(diǎn)方面之一，主要考慮產(chǎn)品和服務(wù)使用后帶來的重要數(shù)據(jù)被竊取、泄露、毀損等方面可能存在的風(fēng)險(xiǎn)。數(shù)字經(jīng)濟(jì)時(shí)代，數(shù)據(jù)已然成為國(guó)家重要的戰(zhàn)略資源，數(shù)據(jù)對(duì)于國(guó)家安全與發(fā)展的意義不言而喻，數(shù)據(jù)安全是國(guó)家安全保障工作的重要方面，其中重要數(shù)據(jù)的安全更是重中之重。隨著網(wǎng)絡(luò)科技的高速發(fā)展，互聯(lián)網(wǎng)企業(yè)將掌握越來越多的個(gè)人信息、商業(yè)信息、甚至是國(guó)家核心數(shù)據(jù)等。隨著企業(yè)手中掌握的數(shù)據(jù)類型和量級(jí)的不斷積累和提升，其作為營(yíng)利組織將具有公共機(jī)構(gòu)的性質(zhì)，與行政主體共性漸多，若不對(duì)其“權(quán)力”加以約束，企業(yè)將能影響個(gè)人、社會(huì)發(fā)展甚至是整個(gè)國(guó)家安全與穩(wěn)定。在此種背景下，數(shù)據(jù)安全的地位更顯得極為特殊。滴滴、運(yùn)滿滿、貨車幫等在提供服務(wù)時(shí)，處理的數(shù)據(jù)多涉及交通運(yùn)輸、國(guó)家地圖等，以上數(shù)據(jù)屬于關(guān)系到國(guó)家安全、經(jīng)濟(jì)發(fā)展、社會(huì)公共利益的重要數(shù)據(jù)。根據(jù)《數(shù)據(jù)安全法》（2021年9月1日生效）的規(guī)定，應(yīng)當(dāng)根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者個(gè)人、組織合法權(quán)益造成的危害程度，對(duì)數(shù)據(jù)實(shí)行分類分級(jí)保護(hù)。所以，針對(duì)重要數(shù)據(jù)，應(yīng)當(dāng)加以特別保護(hù)。在數(shù)據(jù)出境方面，重要數(shù)據(jù)的安全性更為重要?！毒W(wǎng)絡(luò)安全法》第37條規(guī)定，原則上關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者所收集的個(gè)人信息與重要數(shù)據(jù)應(yīng)在境內(nèi)存儲(chǔ)；確有需要的，應(yīng)當(dāng)根據(jù)相關(guān)規(guī)定進(jìn)行安全評(píng)估。

三、發(fā)展趨勢(shì)

（一）數(shù)據(jù)安全是國(guó)家未來安全治理的重點(diǎn)關(guān)注問題

近年來，數(shù)據(jù)資源日益成為世界各國(guó)爭(zhēng)先搶占的戰(zhàn)略要地，數(shù)據(jù)爭(zhēng)奪戰(zhàn)已經(jīng)打響。在形勢(shì)日益嚴(yán)峻的背景之下，相關(guān)部門加快構(gòu)建數(shù)據(jù)安全網(wǎng)絡(luò)，數(shù)據(jù)安全成為國(guó)家安全治理的重點(diǎn)關(guān)注問題。數(shù)據(jù)安全成為國(guó)家安全的重點(diǎn)，不僅僅是因?yàn)閿?shù)據(jù)主權(quán)問題，還因?yàn)榇髷?shù)據(jù)時(shí)代海量的數(shù)據(jù)高度集中，加大了數(shù)據(jù)泄露的風(fēng)險(xiǎn)。而數(shù)據(jù)一旦泄露，將對(duì)經(jīng)濟(jì)社會(huì)、國(guó)家安全產(chǎn)生重要的影響。為此，保障數(shù)據(jù)安全成為維護(hù)國(guó)家安全的重要內(nèi)容。未來，網(wǎng)絡(luò)安全、數(shù)據(jù)安全審查態(tài)勢(shì)將更加嚴(yán)格化。

（二）數(shù)據(jù)本地化存儲(chǔ)日益成為數(shù)據(jù)安全重要監(jiān)管方向

數(shù)據(jù)本地化存儲(chǔ)是數(shù)據(jù)主權(quán)的重要體現(xiàn)。如今，數(shù)據(jù)主權(quán)爭(zhēng)奪戰(zhàn)日益激烈，縱觀全球，美國(guó)、歐盟等均將數(shù)據(jù)本地化作為立法與司法的重要考量。例如美國(guó)《澄清合法域外使用數(shù)據(jù)法》(簡(jiǎn)稱CLOUDAct)授權(quán)美國(guó)監(jiān)管、執(zhí)法等部門通過國(guó)內(nèi)法律程序調(diào)取美國(guó)公司儲(chǔ)存在境外的數(shù)據(jù)，同時(shí)也允許其認(rèn)可的“適格的外國(guó)政府”向美國(guó)公司調(diào)取數(shù)據(jù)用于偵查執(zhí)法。但前提是這些國(guó)家必須放棄數(shù)據(jù)本地化的要求。這無疑體現(xiàn)了美國(guó)希冀于在數(shù)據(jù)主權(quán)領(lǐng)域率先控制話語權(quán)，試圖通過設(shè)定標(biāo)準(zhǔn)控制外國(guó)企業(yè)將數(shù)據(jù)存儲(chǔ)于美國(guó)。歐盟也通過GDPR設(shè)立了嚴(yán)格的數(shù)據(jù)出境限制，其特色規(guī)定“長(zhǎng)臂管轄”，將管轄原則擴(kuò)展為“影響主義原則”，這意味著在實(shí)踐中任何向歐盟居民提供商品或服務(wù)的企業(yè)都將受制于GDPR，無論是否位于歐盟境內(nèi)，是否使用境內(nèi)設(shè)備。GDPR因而成為了事實(shí)上的世界性法律，意圖于歐盟市場(chǎng)的企業(yè)均需遵循相關(guān)標(biāo)準(zhǔn)。面對(duì)激烈的數(shù)據(jù)主權(quán)爭(zhēng)奪，赴美上市的相關(guān)企業(yè)更應(yīng)牢牢守住“重要數(shù)據(jù)”紅線，以國(guó)家安全為首位，同時(shí)實(shí)現(xiàn)創(chuàng)造自身經(jīng)濟(jì)利益。

（三）數(shù)據(jù)合規(guī)是企業(yè)未來健康發(fā)展的重要賽道

從2015年《國(guó)家安全法》頒布施行到2017年《網(wǎng)絡(luò)安全法》生效，再到2021年《數(shù)據(jù)安全法》公布，我國(guó)正在形成一個(gè)全面規(guī)范網(wǎng)絡(luò)安全保護(hù)、數(shù)據(jù)安全保護(hù)、個(gè)人信息安全保護(hù)的基礎(chǔ)法律體系。同時(shí)，網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息安全規(guī)范、標(biāo)準(zhǔn)不斷發(fā)布，保護(hù)體系持續(xù)完善細(xì)化。

近年來，在執(zhí)法層面，國(guó)家有關(guān)部門持續(xù)開展APP專項(xiàng)治理行動(dòng)，執(zhí)法力度不斷增強(qiáng)。國(guó)家對(duì)企業(yè)的監(jiān)管重心正在向企業(yè)數(shù)據(jù)合規(guī)、個(gè)人信息保護(hù)等方面轉(zhuǎn)移，并且監(jiān)管趨勢(shì)正在向著監(jiān)管執(zhí)法主動(dòng)化、監(jiān)管主體措施多樣化、整改手段嚴(yán)格化的方向發(fā)展。在如此的嚴(yán)格監(jiān)管態(tài)勢(shì)下，數(shù)據(jù)合規(guī)成為企業(yè)合規(guī)發(fā)展的首要問題。因此，企業(yè)應(yīng)加強(qiáng)內(nèi)外部管理，健全相關(guān)制度，在保證企業(yè)合規(guī)的前提下實(shí)現(xiàn)效能最大化。

四、合規(guī)方向指引

（一）個(gè)人信息出境告知義務(wù)

我國(guó)相關(guān)規(guī)定明令禁止個(gè)人信息未經(jīng)個(gè)人信息主體同意即出境。企業(yè)應(yīng)向個(gè)人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國(guó)家或地區(qū)并經(jīng)個(gè)人信息主體同意。同時(shí)企業(yè)還應(yīng)將網(wǎng)絡(luò)運(yùn)營(yíng)者的聯(lián)系人及其聯(lián)系方式等信息明確告知個(gè)人信息主體。

（二）數(shù)據(jù)出境安全評(píng)估義務(wù)

《網(wǎng)絡(luò)安全法》明確要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)做到數(shù)據(jù)本地化。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評(píng)估。企業(yè)在收集個(gè)人信息時(shí)應(yīng)針對(duì)需要出境的個(gè)人信息的數(shù)量、范圍、類型、敏感程度，以及個(gè)人信息主體是否同意其個(gè)人信息出境等內(nèi)容進(jìn)行詳細(xì)分類以應(yīng)對(duì)數(shù)據(jù)出境安全評(píng)估的需要。同時(shí)，企業(yè)應(yīng)及時(shí)了解本行業(yè)主管部門有關(guān)重要數(shù)據(jù)的規(guī)定及更新，對(duì)相關(guān)重要數(shù)據(jù)分類備案，一旦需要跨境傳輸，及時(shí)加工處理以滿足安全評(píng)估的要求。

（三）安全自評(píng)估報(bào)告保存義務(wù)

企業(yè)在完成數(shù)據(jù)安全自評(píng)估后，應(yīng)形成安全自評(píng)估報(bào)告。內(nèi)容包括評(píng)估對(duì)象的基本情況、安全自評(píng)估組織實(shí)施情況、評(píng)估結(jié)果、數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)、檢查修正建議等，并根據(jù)法規(guī)標(biāo)準(zhǔn)，將安全自評(píng)估報(bào)告上報(bào)行業(yè)主管部門。行業(yè)主管部門不明確的，上報(bào)國(guó)家網(wǎng)信部門。若企業(yè)在數(shù)據(jù)出境之前未啟動(dòng)安全自評(píng)估，或者未保存至少兩年的自評(píng)估報(bào)告并上交主管部門，則可能面臨處罰。

（四）數(shù)據(jù)信息收集符合合法正當(dāng)必要原則

數(shù)據(jù)合法收集是近年來企業(yè)數(shù)據(jù)合規(guī)的首要問題?！睹穹ǖ洹凡扇×藗€(gè)人信息收集的擇入機(jī)制，即對(duì)收人信息的前置程序作出了明確規(guī)定，要求在收集前充分告知相應(yīng)自然人處理個(gè)人信息的一切事項(xiàng)，并取得自然人的同意。具體來說，收集個(gè)人信息必須經(jīng)過自然人的同意，對(duì)外公開其處理個(gè)人信息的規(guī)則，同時(shí)也要明確告知處理個(gè)人信的目的、方式和范圍。此外，企業(yè)在收集用戶個(gè)人信息時(shí)應(yīng)注意避免違規(guī)私自收集、過度收集、超范圍收集用戶數(shù)據(jù)信息。如未經(jīng)用戶同意自動(dòng)開啟收集地理位置、身份證號(hào)、人臉、指紋、讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務(wù)無關(guān)的功能。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)在隱私政策中詳細(xì)列舉收集和使用個(gè)人信息的業(yè)務(wù)功能，所收集的個(gè)人信息類型。收集個(gè)人生物識(shí)別信息等敏感信息時(shí)，應(yīng)在顯著位置明示告知，專門提醒個(gè)人信息主體此次收集活動(dòng)涉及的信息，并說明處理目的、處理規(guī)則。

（五）其他數(shù)據(jù)安全保護(hù)義務(wù)

企業(yè)應(yīng)建立健全全流程數(shù)據(jù)安全管理制度，組織開展數(shù)據(jù)安全教育培訓(xùn)，采取相應(yīng)的技術(shù)措施和其他必要措施，保障數(shù)據(jù)安全。重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu)，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任。企業(yè)在開展數(shù)據(jù)處理活動(dòng)中應(yīng)當(dāng)加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，發(fā)現(xiàn)數(shù)據(jù)安全缺陷、漏洞等風(fēng)險(xiǎn)時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施。若發(fā)生數(shù)據(jù)安全事件時(shí)，應(yīng)當(dāng)立即采取處置措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。根據(jù)法律、行政法規(guī)規(guī)定，提供數(shù)據(jù)處理相關(guān)服務(wù)應(yīng)當(dāng)取得電信增值業(yè)務(wù)經(jīng)營(yíng)許可等行政許可。

附表：關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定指引

根據(jù)有關(guān)規(guī)定，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定可以從關(guān)鍵行業(yè)、關(guān)鍵業(yè)務(wù)和關(guān)鍵設(shè)備等方面進(jìn)行綜合考量。當(dāng)然，認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)是基于業(yè)務(wù)場(chǎng)景動(dòng)態(tài)識(shí)別，也有可能存在原先的關(guān)鍵信息或關(guān)鍵設(shè)施更迭而變?yōu)榉顷P(guān)鍵信息、非關(guān)鍵設(shè)施。因此，關(guān)鍵信息基礎(chǔ)設(shè)施的識(shí)別判斷要做到動(dòng)態(tài)識(shí)別、持續(xù)更新。

本文由北京德恒律師事務(wù)所合伙人、律師張韜律師提供，如轉(zhuǎn)發(fā)請(qǐng)注明。