互联网企业合规风暴临近-滴滴事件深度分析

来源:FO埃孚欧律师事务所

文章摘要
前言 2021年7月4日,也就是上周日,晚间7点40分国家互联网信息办公室在官网上发布了关于下架“滴滴出行”APP的通报。
前言
2021年7月4日,也就是上周日,晚间7点40分国家互联网信息办公室在官网上发布了关于下架“滴滴出行”APP的通报。根据通报,“滴滴出行”App因存在严重违法违规收集使用个人信息问题,被要求从应用商店下架,国家互联网信息办公室同时要求滴滴出行科技有限公司按照法律法规和有关标准,认真整改存在的问题。

图丨 中国网信网
此消息一经发布就引起了热烈讨论和市场震荡。
一方面,网民们都在讨论“滴滴出行”被处罚的具体原因是什么,另一方面,该消息也给“滴滴出行”的股价蒙上一层阴影。就在审查下架风波发生前不久,2021年6月30日,滴滴正式在纽交所挂牌上市,股票代码为“DIDI”,发行定价为14美元,位于13-14美元/ADS的发行区间上限。而受到近日一系列审查和下架风波的影响,股价一度跌逾10%。
2021年7月2日,网络安全审查办公室就发布了对“滴滴出行”启动网络安全审查的公告,并同时停止了“滴滴出行”在审查期间的新用户注册,7月4日的通报可以看作是审查后的初步结论。
风暴来袭?其他三款APP也遭遇审查
2021年7月5日一大早,继前一日宣布对“滴滴出行”的处理通报后,网络安全审查办公室马不停蹄在官网上发布了另一则公告,公告称将对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。审查期间这三款APP同样被停止新用户注册。

图丨 中国网信网
值得注意的是,和滴滴运行相似,运满满、货车帮共同成立的满帮集团、以及BOSS直聘也都在前不久刚在美股成功上市。由此可见,在国外上市的互联网企业将在下阶段成为网络安全审查的重点对象。
国家收紧网络信息安全的审查标准是可以理解的,尤其在目前中美大国博弈的长期格局下,“数据战略资源”就会变得非常敏感。
从2020年开始,美国监管层对这方面的管控也表现出日趋严苛的态度,去年字节跳动被美国政府强迫出售TikTok美国业务的很大一部分原因就是美国政府担心字节跳动对用户数据进行收集和利用。
《网络安全审查办法》带来的影响深远
《网络安全审查办法》(以下简称“《办法》”)于2020年4月27日联合发布,确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者(或简称“运营者”)则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》已于2020年6月1日正式实施。
此次滴滴下架风波是该《办法》的第一次适用,也是该法框架下开展的第一次审查工作,从该案中我们能分析出诸多互联网行业存在的风险。

图丨互联网收集
滴滴为何会成为审查对象
《办法》第二条规定“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
也就是说,“关键信息基础设施运营者”就是《办法》主要适用的审查对象。所以审查对象应该具备三个要素,
其一是属于运营者的范畴,
其二是采购网络产品和服务,
其三是采购行为影响或可能影响国家安全。
关于何为“关键信息基础设施运营者”,指的是指经关键信息基础设施保护工作部门认定的运营者,但是没有法规进行更详细的规定,根据答记者问,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者在购买网络产品和服务时应当考虑申报审查。
同时根据《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》中第三条的内容“组织认定关键信息基础设施。根据党中央和公安部有关规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。
应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
关键信息基础设施清单实行动态调整机制,有关网络设施、信息系统发生较大变化,可能影响其认定结果的,运营者应及时将相关情况报告保护工作部门,保护工作部门应组织重新认定,将认定结果通知运营者,并报公安部。”
也就是说对于 “关键信息基础设施”的认定应该由相应行业的主管部门组织认定,并制定相关的认定规则。同时基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等被列为重点保护对象。此次事件中,根据上述规定,滴滴的网络平台有可能已经被交通运输主管部门认定为关键信息基础设施,而滴滴公司自然成为关键信息基础设施运营者,应接受审查。
关于何为网络产品和服务,《办法》第二十条规定“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”可见这些产品和服务主要集中于和信息基础设施运营息息相关的硬件和软件上。
关于审查的启动,根据《办法》的规定,主要有两种启动方式。
其一,根据《办法》第五条“运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”这类启动方式属于运营者申请启动审查的模式。
其二,根据《办法》第十五条“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”这类启动方式属于网络安全审查办公室依职权启动的审查。此次滴滴遭遇的审查显然属于后者。
这也同样解释了为什么在滴滴被下架后一天,同样完成赴美上市的运满满、货车帮、BOSS直聘也遭到了同样的审查,其背后逻辑是相似的。
滴滴的严重违法违规行为到底为何?
对于“滴滴出行”违法违规的具体原因,国家互联网信息办公室在通报中并没有提及,只是指出滴滴存在违法违规使用个人信息的问题。
网络上有声音认为可能是因为滴滴为在海外上市,而把数据打包交给美国,数据中可能涉及敏感信息。
根据《中华人民共和国网络安全法》第三十七条的规定“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”所以擅自将大陆运营市场收集到的信息数据打包发送给国外的,可能就属于违法行为。
而在“滴滴出行”被下架后的当天,网络上也在网络上扒出了六年前滴滴联合新华社制作的“新华-滴滴大数据揭秘:高温天部委加班大比拼”这一分析报告。
滴滴汇总起来各目的地为各部委的打车数据,并加以分析,最后分析得出各部委大致的工作情况和加班情况。这也被不少人认为是滴滴使用数据危害国家安全的证明。
其实就该报告而言,是新华社牵头制作的,新华社作为官方舆论机构也不可能危害国家安全。
根据《中华人民共和国网络安全法》第四十一条规定“网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。”
就现阶段公开的事项以及滴滴制定的《个人信息保护及隐私政策》来看,滴滴对其使用数据制作向公众公开的统计信息这一使用目的已经提前告知使用者并征得使用者的同意,制作这一分析报告并不能被认定为违规使用个人信息。
根据《中华人民共和国网络安全法》,除了上述网络上的各类猜测,还有可能导致违法违规使用个人信息的可能有:
泄露、篡改、毁损其收集的个人信息;
未经被收集者同意,向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外;
窃取或者以其他非法方式获取个人信息;
非法出售或者非法向他人提供个人信息等。
如何判定有影响国家安全的风险?
根据《网络安全审查办法》第九条的规定,审查评估对国家安全产生风险的因素主要有:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
同时根据滴滴在SEC的招股说明书,其在风险因素环节也指出其业务受有关隐私、数据保护和信息安全的各种法律、法规、规则、政策和其他义务的约束。
机密信息或个人数据的任何损失、未经授权的访问或发布都可能使我们遭受重大的声誉、财务、法律和运营后果。也就是说其自身也认为滴滴平台存在机密信息和数据被泄露、被窃取和被损毁的风险,这和上述的第一点因素不谋而合。
而对于第二、第三个因素也是现阶段较为高发的风险因素。比如一家公司采购的数据处理软件突然被断供,这些数据的临时储存和转移阶段都有可能产生泄露和损毁的风险。
《办法》进一步强化了对供应链安全的要求,有助于在新形势下更好地维护网络安全和国家安全。
互联网企业应积极应对,做好合规工作
各种迹象表明,国家对于新兴科技行业的监管将告别以往的宽松模式,走向越来越严格的方向。
从去年到今年,几大互联网巨头都被收到了来自监管层的罚单,今年4月,阿里巴巴因滥用市场支配地位被处以182亿元的天价罚单。所以对于各大互联网企业来说,做好合规工作对于企业的平稳长期发展而言不可获取。
全面网络安全合规理念的树立
网络安全+数据合规治理,是一个庞杂的法律体系,大量规则依托于《网络安全法》、《个人信息保护法》及大量的行政法规、规章、监管规则、行业监管规则、国家标准等。企业网络安全合规治理不能只见树木、不见森林。
通过树立全面网络安全合规理念,构建自身网络安全治理的宏观策略,并根据各项法律制度,结合行业监管规则、业务流程与场景,构建相应的管理制度。
在制度的基础上,通过流程管理、岗位职责管理、激励约束机制,达到网络安全合规治理的目标。
网络安全合规风险的再梳理
针对《网络安全审查办法》的具体制度,结合《网络安全法》《个人信息保护法(草案)》及其他法律草案、监管规则征求意见稿,对潜在的数据合规风险进行全面梳理。并进行分类处置:
对于《网络安全法》《网络安全审查办法》及其他法律法规已经明确界定的内容,发现问题后,应及时进行整改。
对于有关法律草案有界定,但尚未生效,且通过其他法律法规、规则无法进行合规风险判断的内容,作出有前瞻性的整改进程安排。
严格遵守网络安全审查制度
企业首先应该对自身属性进行判断,以认定自己是否有可能成为《办法》中的审查对象。在这方面的认定宜宽不宜紧。
在确认自己有可能成为审查对象后,应该在公司内部制定一套完整的审查申请和配合流程,并指定有关的负责部门和人员,每当公司进行新的网络产品和服务采购时,按照《办法》进行风险预判、审查申请和审查配合工作,并在审查机构公布后积极按照结果进行调整和改进。
技术驱动法律,专业成就未来