重点关注丨滴滴下架,网安审查拉开序幕


7月4日,“滴滴出行”App因存在严重违法违规收集使用个人信息问题,国家互联网信息办公室依据《中华人民共和国网络安全法》(以下简称“《网安法》”)相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全

人民网7月5日消息,网络安全审查办公室已对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查。

看似事发突然,其实有迹可循。去年4月底,国家互联网信息办公室、国家发改委等12个部门联合发布了《网络安全审查办法》(以下简称“《办法》”),确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门,负责制定网络安全审查相关制度规范,组织网络安全审查,而被审查主体关键信息基础设施运营者则对其采购网络产品和服务负有预判风险、提前申报审查的义务。

此次“滴滴出行”事件,正式拉开浩浩荡荡的关键信息基础设施运营者及其采购网络产品和服务的网络安全审查序幕。

 

“你”会是下一个审查的对象吗?

 

《办法》明确了审查主体和对象为“关键信息基础设施运营者”及其网络产品和服务。不过对于主体的界定,目前并没有给出一个非常明晰的说法。


图注:主体与产品两个维度的关系
图片来源:锦天城律师事务所(ABL-shanghai)
1、审查主体的界定

《办法》第二条明确了被审查的主体为关键信息基础设施运营者,第二十条确认了关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。

本次《办法》的联名起草发布单位中,有带头的国家互联网信息办公室会,还有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。所以可以初步判断关键信息基础设施保护工作部门可能由上述部门组成。

但鉴于《网安法》第三十一条规定关键基础设施的具体范围和安全保护办法由国务院制定,且目前尚未正式发布关键信息基础设施的具体认定细则,对于《办法》中关键信息基础设施运营者范围的界定尚未有明确的法规规定。

日前,国家互联网信息办公室有关负责人提到,应当预判风险申报网络安全审查的义务主体为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。

而重要网络和信息系统运营者,又包括符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象。

目前来看,在关键信息基础设施的具体认定细则正式出台之前,上述范围内的运营者将作为《办法》的被审查主体承担申报审查的义务。

 

2、审查对象的界定

对于纳入安全审查的网络产品和服务,《办法》的规定也更加突出网络基础安全层面。《办法》第二十条规定:“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”

从《办法》的规定可以看出,纳入产品审查范围的设施界定更加清晰,从网络结构角度看,涉及到了网络系统的物理层、数据链路层、网络层、传输层等基础层面。从功能角度看,涉及到了信息传输、运算、存储、网络安全、数据库、云计算等各个重要方面。

关键信息基础设施运营者将成为“新基建”的主要建设任务承担者,对关键信息基础设施安全有重要影响的网络产品和服务,无疑是保障“新基建”基础设施安全、可控的基础。

 

网络安全审查如何进行?

 

1、法律依据

《办法》是配套2017年6月1日正式施行的《网安法》的一项很重要的制度。对于《国家安全法》和《网安法》,其中适用的规定主要为《国安法》第五十九条和《网安法》第三十五条。《网安法》第三十一条和《密码法》第二十七条也可做参考。

《国家安全法》第五十九条规定:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全……网络信息技术产品和服务……进行国家安全审查,有效预防和化解国家安全风险。

《网安法》的第三十五条明确规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

《网安法》第三十一条规定:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域……在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。

《密码法》第二十七条规定:关键信息基础设施的运营者采购涉及商用密码的网络产品和服务……按照《中华人民共和国网络安全法》的规定……国家安全审查。

上述条文规制为网络安全审查提供了法律依据。值得注意的是,《网安法》确定了网络安全审查制度,即将于2021年9月1日生效的《数据安全法》确定了数据安全审查制度。

 

2、网络安全审查办公室

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担,包括接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

网络安全审查工作机制成员单位由国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

这十二家机关单位中任何一家认为有危害国家安全的风险,都可以按程序报批后启动网络安全审查。

 

3、网络安全审查启动、周期、流程

被审查主体是关键信息基础设施运营者;被审查的网络产品和服务范围包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务、其他产品和服务;被审查原因是影响或可能影响国家安全;三个条件和要素涉及,即可启动网络安全审查。

网络安全审查的时间通常会在30个工作日内完成初步审查,情况复杂会延长15个工作日,共45个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。此次“滴滴出行”或将在45个工作日内暂停新用户注册。

网络安全审查的启动分为报请审查和依职权启动审查两种方式,具体如下:

图片来源:Acelaw法培学苑(Acelaw-Class)

其流程如下图:


图片来源:Acelaw法培学苑(Acelaw-Class)

 

有法可依,有法必依的互联网新时代

 

由网信办、工信部、公安部组织起草的《关键信息基础设施安全保护条例》将会落地。作为《网络安全法》配套的行政法规,该条例将对于关键信息基础设施的保护和规范将发挥重要作用,建议从业机构高度关注该条例的立法进展。

互联网并非网络安全法外之地,只要网络产品和服务可能对国家安全带来风险,都有可能要接受审查。至于产品和服务提供商是国内还是国外,是一视同仁的。

目前来看,法律和案例都已经具有很强的参考性了。从《网安法》到《办法》,上位法和实施细则均已配置完善,开展网络安全审查具备明确、具体的法律依据。未来,互联网企业尤其是关键信息基础设施运营者,应充分读懂《办法》所蕴含的深层含义与审查措施,并积极规划自身的合规方案。

 

本文主要内容如下:

1、互联网并非网络安全法外之地,只要网络产品和服务可能对国家安全带来风险,都有可能要接受审查。

2、目前,审查主体“关键信息基础设施运营者”的范围在“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。未来《关键信息基础设施安全保护条例》可能会给出进一步的界定。

3、安全审查聚焦于“关键信息基础设施运营者”采购“对安全有重要影响的网络产品和服务”。

4、《国安法》、《网安法》、《密码法》、《网络安全审查办法》协同,法律发布不断完善。
内容来源:

Acelaw法培学苑 起风了 请添衣 | 关于滴滴出行被实施网络安全审查你最想知道的八个问题 作者:宋海新、彭凯、周晨黠

https://mp.weixin.qq.com/s/82fd2WWd_3ynKO5jQpYpoA

南方周末 中国信息安全研究院左晓栋:“对滴滴审查的重点是重要数据的出境安全风险”

https://mp.weixin.qq.com/s/udv_SFuz2CEvJ-W3DNHKLA

锦天城律师事务所 “滴滴出行”被审查,从网络安全审查第一案看《网络安全审查办法》的适用与合规应对

https://mp.weixin.qq.com/s/nT_OblTID3BRn8Jlgw9-2A