“滴滴出行”遭遇“二连击”,互联网企业的启示与紧急应对之策
作者:吴卫明 2021-07-05一、步步升级---网络安全无小事
1、第一击:网络安全审查+停止新用户注册 7月2日晚,中国网信网发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。详细情况在(《“滴滴出行”被审查,从网络安全审查第一案看《网络安全审查办法》的适用与合规应对》,吴卫明,锦天城微信号文章)一文中已有介绍,这里不再展开。 2、第二击:违法违规收集个人信息+APP下架 7月4日晚,国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》,内容如下:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。 我们可以看出,7月2日发出第一个公告后,7月4日发出第二个通报,且在非工作日紧急发布通告,可见监管机构对于此事的重视。而“网络安全审查”引发停止注册新用户,“违法违规收集个人信息” 则引发APP下架,特别是第一个通知中提到了“防范国家数据安全风险,维护国家安全,保障公共利益”,充分说明了一个问题“网络安全无小事、数据安全无小事”。 不应把网络安全看成是一个简单的技术问题或者合规问题,而是应该从国家安全、国家战略、民族利益的高度看待这个问题。2015年,我国修改后的《国家安全法》阐述了全面的国家安全观,其中,网络空间安全是国家安全的重要构成部分。 关键信息基础设施运营者和重要互联网企业的网络安全、数据安全、个人信息保护问题,绝非企业的私事,同时更是国家安全范畴的大事。 二、追本溯源---两次公告/通报所涉法律事由 1、两次公告/通报多维度对比分析 通过分析两次公告/通报,我们发现,所述的法律事由有一些不同,吴卫明律师作了表格归纳,具体对比如下: 2、7月2日公告所涉事由的法律解读 (1)《国家安全法》层面的解读 7月2日公告里面提到了“防范国家数据安全风险,维护国家安全,保障公共利益”,且法律依据包括《国家安全法》。 法条表述 《国家安全法》第二十五条是这样表述的:国家建设网络与信息安全保障体系,提升网络与信息安全保护能力,加强网络和信息技术的创新研究和开发应用,实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控;加强网络管理,防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为,维护国家网络空间主权、安全和发展利益。 核心词条之一:网络与信息安全保障体系 事实上《网络安全法》、《数据安全法》、《个人信息保护法(草案)》及配套条例和规章的制度安排,目的就在于构建网络与信息的安全保障体系。当然,具体分析滴滴的行为,还需要依据其行为事实与具体制度。 核心词条之二:关键基础设施和重要领域信息系统及数据的安全可控 安全可控,意味着中国境内的网络设施、数据处于安全、可控状态,并且承载网络的硬件、软件均安全可控。吴卫明律师认为,安全是个技术概念,可控则是一个供应链安全的概念,并且与当前国际之间的科技封锁及贸易管制措施有关。 核心词条之三:维护国家网络空间主权、安全 网络安全与数据是网络运营者的事,也是国家网络空间主权与安全范畴的事情。这一点,比一般的合规意识更加重要。 (2)《网络安全法》层面的解读 《网络安全法》中,与国家数据安全风险、维护国家安全、保障公共利益相关的法条主要体现在第31、35、36、37条。 核心词条之一:关键信息基础设施 《网络安全法》第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。 核心词条之二:国家安全审查 《网络安全法》第三十五条:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。 这一内容在《网络安全审查办法》中得到细化,也是本次直接适用的一项具体制度。 核心词条之三:个人信息与重要数据境出境限制 《网络安全法》第三十七条:关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。 这一问题,在《数据安全法》以及《个人信息出境安全评估办法(征求意见稿)》、《个人信息与重要数据出境安全评估办法(征求意见稿)》中也有进一步的规定与细化。 根据现有披露的信息,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查,可以初步推断的是,具体制度方面,适用的是《网络安全法》第三十五条,当然,由于监管机构正在查处本案,具体适用规则、制度的维度,仍需等待进一步的消息。 2、7月4日通报所涉事由的法律解读 由于我国《个人信息保护法(草案)》尚未正式通过,且本次适用的是《网络安全法》,因此,我们主要从网络安全法的规定对于违反违规收集使用个人信息进行分析。相关的法条主要为41条至45条。当然,《民法典》相关内容以及司法解释、相关监管规则也可作为参照,由于篇幅原因,本文不再展开。 核心词条之一:合法、正当、必要 《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则。网络运营者不得收集与其提供的服务无关的个人信息。 核心词条之二:公开、明示、同意 《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当…公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 核心词条之三:依法依约处理 《网络安全法》第四十一条:网络运营者…不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 核心词条之四:不得非法提供 《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 根据现有披露的信息,网络安全审查办公室按照《网络安全法》,对“滴滴出行”实施的整改,具体涉及《网络安全法》中所列的哪一种违法行为,以及涉及哪一项具体法规、条例或规章,当前尚无法获知。仍需等待监管及滴滴方面进一步的信息披露。 三、答疑解惑---网络安全/数据安全/个人信息关系 对于普通公众,乃至法律工作者,或者企业法务部门的工作人员,连续两次的公告/通报,涉及多个法律概念,其相互关系是什么?仍存在一定的模糊边界,对此,简要分析如下: 1、网络安全 网络安全是一个最为抽象的大概念,既包括信息系统安全、信息系统自主可控、也包括数据安全、还包括数据合规利用、个人信息保护等内容。网络安全对应的是网络空间治理,是一个宏观的范畴(参见《网络安全法解读》,吴卫明)。 (1)重要信息系统安全可控 (2)系统软硬件与系统环境的可用性、可靠性和稳定性 (3)系统访问控制策略的可实现,阻止未经授权访问 (4)数据安全与合规 2、数据安全 数据安全是一个较为具体的概念,主要针对数据这一无形的信息记载形式,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。 (1)数据被有效保护,即未被窃取、盗用、不当删除(信息安全层面) (2)数据合法利用(合规层面) 3、个人信息保护 个人信息是数据的重要组成部分,但由于涉及个人的隐私和人格尊严,个人信息在《民法典》、《网络安全法》、《数据安全法(草案)》中,均有单独的规定。 个人信息保护,主要规范个人信息的收集、存储、利用、传输、共享、删除的合法性问题,以及个人信息主体的权益。 四、避免踩雷---互联网企业如何应对 事实上,《中华人民共和国国家安全法》、《中华人民共和国网络安全法》以及相关法律法规、条例、规章、监管规则,所规范的绝非只是我们所常见的网络平台,由于互联网化与数字化的普及,诸多传统行业已经互联网化,从而成为“网络运营者”或者“关键信息基础设施运营者”。因此,从防范网络安全风险或数据安全风险的角度,需要考虑必要的合规应对措施。 1、尽快启动评估/预先评估! 虽然当前《数据安全法》尚未生效(9月1日),《个人信息保护法(草案)》仍待审议通过,但由于相关制度的基础框架在《网络安全法》即相关配套规则中已经有所规定,且《个人信息保护法(草案)》通过应该是大概率的事件,因此,提早进行合法合规性的自评估,对于适应新法的生效或通过,具有重要的意义(参见《数据安全法解读与合规建议》,吴卫明,锦天城律师事务所微信号)。我们认为,以下几个方面应考虑展开自评估或预先评估: (1)网络安全管理整体合法合规性评估 如果企业整体合规基础较好,则整体评估的内容可以适当简化,而将重点放在一些重点问题的自评估方面。 (2)关键信息基础设施运营的合法合规评估 其一,网络产品及服务的采购安全评估制度,关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。虽然当前《关键信息基础设施安全保护条例》及风险预判指南尚未颁布,但仍建议参照已有的法律及规则及社会通行的常识进行判断。 其二、重要数据的出境,虽然评估指引尚未颁布,但企业从合规管理角度,建议应构建自身的重要数据目录与出境管理与评估规则,启动内部预先评估。同时,应密切关注《关键信息基础设施安全保护条例》,以及重要数据出境安全评估的规则的立法情况。 其三、其他合规要求的评估,如组织、人员安排、演练、应急预案、培训等制度的落实。 (3)数据处理整体合法合规情况的评估 如果企业整体合规基础较好,则整体评估的内容可以适当简化,而将重点放在一些重点问题的自评估方面。 (4)重要数据风险评估 《数据安全法》确立了重要数据风险评估制度。与重要数据出境评估作为特定事项监管不同,重要数据风险评估制度是一种针对重要数据的常态化监管机制。 (5)个人信息保护合法合规性评估 对于个人信息处理所涉及的全流程、个人信息处理全生命周期的合法合规性做自评估。 (6)个人信息出境的评估 虽然当前《个人信息保护法(草案)》、《个人信息出境安全评估办法(征求意见稿)》均未正式通过,但为了应对将来的评估,企业自身对于数据出境及利用情况可以进行必要的预先评估,以迅速应对新法的颁布。 2、意识、意识、提升意识! 网络安全、数据安全,虽然是一套制度体系,但反映的是一种全新的法律治理对象,网络空间的无形性,容易引发对于网络安全、数据安全的疏忽与懈怠心理。 事实上,并非只有中小企业会因为网络安全、数据安全、个人信息保护遭受调查,部分头部互联网企业同样会遇到这样的问题。从其内部合规制度的完备性、人员的专业性来看,都达到了很高的水准,为什么仍会遇到各种违法违规问题呢?很重要的原因在于合规意识不够,合规没有被作为企业最为重要的内在能力。 因此,在合规管理体系中,网络安全、数据安全意识同样也是重要影响因素(参见《数据安全合规体系的构建》一文,吴卫明),尤其是决策层和重要管理层的网络安全、数据安全意识。 意识是活的制度,是制度的重要驱动力。如何通过有效的约束、激励机制,加上流程控制与监督机制,让整个合规管理体系运转起来,在关键节点提出关键的警示建议,是企业特别需要关注的问题。 3、合规不仅是技术,更是宏观策略与架构! 如果从技术论角度看问题,那么合规部门、法务部门、信息安全部门的中观、微观操作性更强。然而,网络空间的虚拟性、外部环境的动态性、创新业态的复杂性、数据的流动性,导致如果仅仅从“操作技术”的角度进行网络安全、数据合规的管控,往往难以达到效果。 因此,吴卫明博士认为,需要从以下几个方面进行优化: (1)将网络安全与数据合规上升到公司的宏观策略层面,以安全策略统领合规制度。 (2)网络安全、数据安全(包括个人信息保护)制度的全方位覆盖。 (3)赋予合规部门、法务部门、信息安全部门更为宏观的管控职能,在组织架构上提供履行职责的保障,并更加深度介入业务、战略决策,才是防范风险的根本。 4、建立网络安全与数据安全风险评估长效机制 如前所述,当前企业可以开展系类问题的自评估。这是应急的策略,从长期合规经营的角度看,企业应建立完善的网络安全与数据安全风险的评估体系。 通过定期评估机制,或者重要事件触发评估的机制,或者通过自评估与第三方专业机构评估结合的方式,让企业对于自身的网络安全与数据安全风险有清晰的判断,从而使风险处于可控状态。