2021年7月2日,国家网络安全审查办公室依法对滴滴出行实施网络安全审查。7月4日,国家互联网信息办公室认定,滴滴出行App存在严重违法违规收集使用个人信息问题,依法通知应用商店下架滴滴出行App。7月5日,网络安全审查办公室依法对运满满、货车帮、BOSS直聘实施网络安全审查。7月9日,国家互联网信息办公室认定,北京小桔科技有限公司旗下的滴滴企业版等25款App存在严重违法违规收集使用个人信息问题,依法通知应用商店下架相关App。7月10日,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》,《办法》要求,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
1、走向数据合规时代
数据是互联网企业的核心资产,数据本身可承载公民个人信息,如果不能妥善收集、存储和处理个人信息,就会侵害个人信息主体的合法权益。近十年来国内互联网企业蓬勃发展,掌握了大量个人信息和交易数据,若对于海量个人信息进行大数据分析,很可能刻画出经济运行和社会活动的关键画像,这些核心信息关乎国家经济安全、军事安全和社会稳定,属于国家秘密的范畴。如果缺乏严格的行政监管措施,核心信息被外国政府所影响、控制或恶意使用,必然带来严重的国家安全风险。
滴滴出行、运满满、货车帮、BOSS直聘皆是互联网企业,在国内拥有大量个人用户和企业用户,滴滴出行在中国拥有用户超过3.77亿,Boss直聘拥有8580万个人用户。他们控制着包括联系方式、家庭住址、出行记录、支付账户、个人简历等大量个人信息,其中不乏敏感个人信息。出行大数据可以间接反映出经济运行的状态、国内道路交通情况和城市地理坐标等重要信息,个人简历信息可以直接反应出就业市场情况、企业数据和招聘意愿等情况,这些重要数据如果不能被妥善使用,就会造成国家秘密泄漏引发严重的经济问题和社会问题。
数据是社会新型生产要素,如同农业时代的劳动力与土地,工业时代的资本与技术,将成为国家之间竞争博弈的新战场。大国在数据领域加速建立法律法规,推动本国数据安全和个人信息保护之立法,一方面是为了保护国内数据要素,为国内数据生产要素的收集、流转和使用创造法律规范,推动大数据支撑下的经济高质量发展;另一方面是占领国家间数据协作规则和标准的高地,为本国在未来数据资产时代谋求更多国家竞争力。
2、网络安全审查办法修订点评
国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》。修订草案主要修改点如下:
第一、延伸了需要申报网络安全审查的主体范围。原办法指出,关键信息基础设施运营者应当按照本办法进行网络安全审查,修订草案将数据处理者也纳入到网络安全审查的范围。我国并未公开关键信息基础设施运营者名单,多数互联网运营者通常认为不属于关键信息基础设施运营者的范畴,从而忽略网络安全审查步骤。修订草案明确提出,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。
第二、明确提出掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。如果运营者业务影响或可能影响国家安全的,其IPO材料也将一并审查,中国证券监督管理委员会亦是被列入协同审查的部委。
第三、网络安全审查将增加对于数据处理活动的审查力度。运营者处理个人信息,应当按照法律法规严格执行,不仅要遵循告知同意之原则,还应当采取必要适当的技术措施保障个人信息安全。运营者不可以随意使用其掌握的海量个人信息,应当在最小必须场景下有限使用。若运营者违规通过大数据处理海量个人信息,可能会分析出反映经济运行和社会活动的国家秘密信息,如果被国外政府影响、控制或恶意使用,就会影响到国家安全。
网络安全审查办法 | 网络安全审查办法 (修订草案) | 评论 |
第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。 | 第一条为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,制定本办法。 | 《中华人民共和国数据安全法》将于9月1日正式实施。 |
第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 | 第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。 | 与《数据安全法》衔接,将网络安全审查范围延展到数据处理者。如果运营者未被认定为关键信息基础设施运营者,但其数据处理活动可能影响到国家安全的,将适用于网络安全审查办法。我国并未公开关键信息基础设施运营者名单,多数运营者通常认为自己不属于关键信息基础设施运营者,从而忽略网络安全审查。本次修订将网络安全审查范围延伸至数据处理者,运营者将不再有理解误差。 |
第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 | 第四条在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 | 增加中国证券监督管理委员会作为管理部门,主要是审查中国企业赴国外上市过程中的提交IPO材料或信息披露过程是否存在危害网络安全和国家安全的行为。 |
| _ | 第六条掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 | 数据处理者掌握超过100万用户个人信息时,如果赴国外上市,必须事先向网络安全审查办公室申报网络安全审查。这要求数据处理者拥有完善、规范和充分的数据处理流程制度,拥有个人信息保护的制度和机制,确保对外国证券监管机构所披露的材料,不会侵害国家安全和民众利益。 |
第七条运营者申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同等;(四)网络安全审查工作需要的其他材料。 | 第八条运营者申报网络安全审查,应当提交以下材料:(一)申报书;(二)关于影响或可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等;(四)网络安全审查工作需要的其他材料。 | 将拟提交的IPO材料,纳入到网络安全审查范畴。滴滴、运满满、货车帮、BOSS直聘等数据处理者,掌握大量个人信息和反应国内经济运行状态的敏感信息,如果完全执行国外证券监管机构穿透式的数据、信息披露要求,就可能会泄漏涉及国家安全的关键数据,所以对于处理大量个人信息的运营者事前评估其信息披露是否涉及网络安全和国家安全势在必行。 |
第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险; | 第十条:网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;(五)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险; | 网络安全审查重点增加数据处理活动。处理个人信息应当按照国内法律法规严格执行,不仅要遵循告知同意的原则,还应当采取充分适当的技术手段保障个人信息的安全,个人信息出境应按照相关规定执行。海量的个人信息的统计汇总结果,可能会成为反映社会运行和国家治理的核心数据,如果被国外政府影响、控制或恶意使用,就会影响到国家安全。 |
第十二条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 | 第十三条按照特别审查程序处理的,网络安全审查办公室应当听取相关部门和单位意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知运营者。 | 适用本办法的运营者从关键信息基础设施运营者延展到所有数据处理者后,相应评估、审查的监管部门也对应修订。 |
第十三条特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。 | 第十四条:特别审查程序一般应当在3个月内完成,情况复杂的可以延长。 | 适当延长特别审查程序期限,可能是考虑到数据处理者的数据处理活动复杂。数据处理活动的算法类型、数据规模和使用场景都更加复杂,需要更多审查时间来确认事实。 |
第十五条网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 | 第十六条:网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 | 与《数据安全法》相衔接,将数据处理活动和对国外监管机构的信息披露活动统一纳入网络安全审查之范围。中国公司赴国外上市在网络安全、数据安全和个人信息保护方面可能遇到监管不同、监管规则冲突、数据跨境披露的情形,对于公司可能陷入棘手的两难困境。所以,在全球数据安全和个人信息保护立法走向成熟之际,企业赴国外上市或跨国运营应当提前做足全面合规的功课,降低企业所面临的监管、信披和诉讼的风险。 |
第十九条运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。 | 第二十条:运营者违反本办法规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。 | _ |
本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 | 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。 | 增加重要通信产品类别,网络安全审查将覆盖数据全生命周期所涉及的产品和服务。 |
3、全球数据安全与个人信息保护
2018年,欧盟正式实施《通用数据保护条例》简称GDPR,赋予数据主体明确且广泛的法律权利,数据控制者和处理者必须满足相应义务,否则将面临不超过2000万欧元的罚款,或不超过全球营业收入4%的罚款。2019年1月,法国数据保护机构指出Android新用户设置流程违反GDPR之规定,收集个人信息时未获得用户明确且具体的同意,也未向用户充分说明如何处理个人信息,致使用户无法理解谷歌将如何使用和处理个人信息,为此该机构向谷歌开出5000万欧元的巨额罚单,成为GDPR实施以来最大的罚单。GDPR存在长臂管辖条款,影响着其他国家和地区的实体运营,加速着全球主要国家个人信息保护立法的进程,开启了全球个人信息保护立法的序幕。
2016年我国《网络安全法》正式实施,要求网络运营商有义务保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄漏或者被窃取篡改。2018年《个人信息安全规范》正式发布,明确定义个人信息的范围,提供个人信息收集、存储、使用、共享、转让、公开披露、删除等处理活动的原则和安全要求,以规范个人信息收集和使用的过程,最大程度上保护数据主体的合法权益。2021年我国立法机关已经公布《数据安全法》和《个人信息保护法(草案)》,国内个人信息保护法律体系日趋完善,将促进个人信息保护、商业使用和公共属性之间达到均衡,这也对互联网服务运营商提出更高的合规要求。
未来,数据合规不再是锦上添花,而是关乎企业生死存亡。
