关于“滴滴出行”被网络安全审查及其App被下架的律师分析

来源:北京桦天律师事务所

文章摘要
2021年7月4日,继“滴滴出行”被网络安全审查办公室为防范国家数据安全风险于7月2日依据《中华人民共和国国家安全法》(以下简称“《国安法》”)、《中华人民共和国网络安全法》(以下简称“《网安法》”)

2021年7月4日,继“滴滴出行”被网络安全审查办公室为防范国家数据安全风险于7月2日依据《中华人民共和国国家安全法》(以下简称“《国安法》”)、《中华人民共和国网络安全法》(以下简称“《网安法》”)、《网络安全审查办法》实施网络安全审查后,国家互联网信息办公室又以“滴滴出行”App存在严重违法违规收集使用个人信息通知应用商店下架“滴滴出行”App。
一、事件严峻程度分析
根据“滴滴出行”被网络安全审查及其App被下架这前后两个动作以及原因看,本次“滴滴出行”面临的问题还是比较严峻的。
毕竟,网络安全审查办公室公告的“滴滴出行”被网络安全审查的缘由是“为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。”同时,时隔一日,又直接通知应用商店下架“滴滴出行”App,也即停止了滴滴新用户的注册和使用,力度也相当大。应该说,该种情形此前应该从未有过,“滴滴出行”为第一起因此被调查的案件,且将影响其开展新业务,还是相当严峻的。


二、滴滴被网审的分析
(一)何谓网络安全审查
网络安全审查系有权机关对关键信息基础设施运营者实施影响或可能影响国家安全的采购网络产品和服务的行为从产品和服务安全性、可能带来的国家安全风险等方面进行地审查。
《网安法》
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《网络安全审查办法》
第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
(二)网络安全审查的主体
网络安全审查的主体为网络安全审查办公室,其设在国家互联网信息办公室,职责是制定网络安全审查相关制度规范,组织网络安全审查。国家网信办有关负责人就《网络安全审查办法》答记者问时指出,“具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。”
《网络安全审查办法》
第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。
(三)滴滴出行被查的依据
《公告》内容显示,“滴滴出行”被网络安全审查的上位法法律依据为《国安法》、网安法》,直接依据为《网络安全审查办法》《网络安全审查办法》于2020年4月13日发布、6月1日实施,为我国开展网络安全审查工作提供了重要的制度保障和可操作性的规范,全文共二十二条,系统规定了网络安全审查的立法依据、适用范围和对象、审查原则和重点、主管机关和职责、申报材料、审查程序、审查内容、审查监督、法律责任等;网络安全审查办公室可依据第十五条提起。
《国安法》
第五十九条 国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《网安法》
第三十五条 关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
(四)滴滴出行为何会被查
根据前述二中关于网络安全审查的定义可见,被网络安全审查的主体一般满足两个条件就需要主动进行网络安全审查申报;若未主动申报的,网络安全审查工作机制成员单位认为是影响或可能影响国家安全的网络产品和服务的,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《网络安全审查办法》的规定进行审查。
1、条件一:为关键信息基础设施的运营者
要启动网络安全审查,其主体必须是关键信息基础设施运营者。根据滴滴的业务可知,滴滴应属于交通运输领域的关键信息基础设施的运营者。
《网安法》
第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
2、条件二:滴滴采购网络产品和服务的行为可能影响国家安全
根据滴滴的业务特点,其必然掌握交通运输领域方方面面的大数据,该等数据单独或结合其他信息可能对国家数据安全、公共利益有重大意义和影响。就此,一旦该等数据因滴滴采购网络产品和服务而被非法控制、遭受干扰或破坏以及重要数据被窃取、泄露、毁损将会带来国家安全风险。
《网络安全审查办法》
第二十条本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
(五)网络安全审查的程序
1、启动方式
网络安全审查的启动分为报请审查和依职权审查两种方式。
《网络安全审查办法》
第五条运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
第七条运营者申报网络安全审查,应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同等;
(四)网络安全审查工作需要的其他材料。
第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。
2、审查时限
依照《网络安全审查办法》的规定,按照一般程序的,网络安全审查一般在45个工作日内审结;情况复杂的可以延长15个工作日,则可以60个(45+15)工作日内审结。但是,转为特殊程序的,一般在105个工作日内审结;情况复杂的仍可以适当延长。
就滴滴出行的此次审查而言,审查时间可能最快45个工作日,也可能需要60个工作日,甚至不排除需要105个工作日以及更多时间的可能性。
《网络安全审查办法》
第十条网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。
第十一条网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见一致的,网络安全审查办公室以书面形式将审查结论通知运营者;意见不一致的,按照特别审查程序处理,并通知运营者。
第十二条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。
第十三条特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
第十四条网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
(六)滴滴网审的可能后果
根据《网络安全审查办法》第十九条的规定,若滴滴出行确实存在违反《网安法》规定的不当行为,可能被责令停止使用未经安全审查或者安全审查未通过的网络产品或者服务;对滴滴出行直接负责的主管人员和其他直接责任人员处以罚款。当然,若滴滴出行确实存在所传的在境外存储网络数据或者向境外提供网络数据的行为的,可能被责令改正,给予警告,没收违法所得,处罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处以罚款。此外,若其行为具有更大的违法性的,可能适用《国安法》等法律规定的更严厉的法律责任。
《网络安全审查办法》
第十九条运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
《网安法》
第六十五条关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

三、App被下架的分析
“滴滴出行”App被下架的的原因是“存在严重违法违规收集使用个人信息问题。”。就此,滴滴在运用中可能存在与如下规定不符之处并可能面临相应的处罚。
(一)收集用户信息应当明示并取得用户同意
《网安法》
第二十二条网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。
(二)收集和产生的的个人信息和重要数据应当在境内存储
《网安法》
第三十七条关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
(三)收集、使用个人信息的合法、正当、必要原则
《网安法》
第四十一条网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
(四)收集、使用个人信息的网络运营者的特定义务
《网安法》
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
(五)个人对个人信息的删除权与更正权
《网安法》
第四十三条个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
(六)个人信息的不受侵犯权
《网安法》
第四十四条 任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。
第四十五条 依法负有网络安全监督管理职责的部门及其工作人员,必须对在履行职责中知悉的个人信息、隐私和商业秘密严格保密,不得泄露、出售或者非法向他人提供。
(七)滴滴App被下架的可能后果
根据《网安法》第六十四条的规定,若滴滴出行确实存在违反《网安法》规定的不当行为,可能被责令改正,根据情节单处或者并处警告、没收违法所得、处以罚款,对直接负责的主管人员和其他直接责任人员处以罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。此外,若其行为具有更大的违法性的,可能适用《国安法》、《中华人民共和国刑法》等法律规定的更严厉的法律责任。
《网安法》
第六十四条网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定,窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息,尚不构成犯罪的,由公安机关没收违法所得,并处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款。
《刑法》
第二百五十三条之一 【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。
综上所述,“滴滴出行”被网络安全审查及其App被下架事件面临的问题还是比较严峻的。其实,结合《中华人民共和国数据安全法》已于2021年6月10日通过并将自2021年9月1日起施行及《中华人民共和国个人信息保护法(草案)》尚待通过的情况,更令人遐想。但是,无论如何,本次对“滴滴出行”的网络安全审查及其App被下架事件一定是中国网络安全、数据安全保护的标志性事件。

技术驱动法律,专业成就未来