(网经社讯)2020年4月27日,国家互联网信息办公室(以下简称“网信办”)联合11部门,正式发布了《网络安全审查办法》(以下简称“《审查办法》”)。在总体国家安全观的框架下,《审查办法》的出台,对于加强和保护关键信息基础设施的安全运行,维护国家网络安全,起到“安全阀”的重大作用。
距离《审查办法》正式实施一周年之际,7月伊始,网信办网络安全审查办公室先后发布公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《审查办法》,对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”“运满满”“货车帮”“BOSS直聘”停止新用户注册。
这是2020年6月《审查办法》实施以来,网信办首次公开对相关企业进行网络安全审查,一时引起热烈关注,其示范意义不言而喻。对于此类事件普遍受到关注的几个问题,我们简要分析如下:
一、对有关主体进行网络安全审查的法律依据
如上图可见,“滴滴出行”“运满满”“货车帮”“BOSS直聘”等相关主体被进行网络安全审查的直接适用法律依据为《网络安全审查办法》。《审查办法》第二条规定,关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
网络安全审查的上位法法律依据是《国家安全法》《网络安全法》。具体而言,《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险;《网络安全法》第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
此外,值得注意的是,除了上述法律依据外,近期出台并将于9月1日实施的《数据安全法》第24条也构建了数据安全审查制度,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,并且明确数据安全审查结果是最终决定。待《数据安全法》实施后,中国将形成以《国家安全法》《网络安全法》《数据安全法》《网络安全审查办法》等法律法规组成的网络安全、数据安全审查法律体系,对互联网平台的合规管理水平提出了新的要求。
二、网络安全审查启动模式
《审查办法》确立了两种网络安全审查启动的模式。一种是依申请审查,依申请审查是建立在“运营者预判是否存在影响或可能影响国家安全”这一重要前提上。另一种是依职权审查,即由网络安全审查工作机制成员单位提出,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后进行。
就依职权审查,《审查办法》第十五条明确规定,“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”结合当前《公告》等信息,未体现“滴滴出行”等有关主题申请进行网络安全审查的相关信息,可以推测出,本次网信办对“滴滴出行”等有关主题进行网络安全审查,系依职权启动审查。
根据《审查办法》,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局等十一家机关单位建立国家网络安全审查工作机制。这就意味着,上述十二家机关单位中任何一家认为有危害国家安全的风险,都可以按程序报批后对相关运营者启动网络安全审查。
三、网络安全审查对象和审查内容
网络安全审查的审查对象为关键信息基础设施运营者。审查重点为评估该类关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险,具体包括:产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;产品和服务供应中断对关键信息基础设施业务连续性的危害;产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;产品和服务提供者遵守中国法律、行政法规、部门规章情况;其他可能危害关键信息基础设施安全和国家安全的因素。
对于“滴滴出行”等有关主体是否为关键信息基础设施运营者:《审查办法》第二十条规定,本办法中关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。公安部于2020年9月份发布的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》规定,根据党中央和公安部有关规定,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门(以下统称保护工作部门)应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。
尽管目前有关关键信息基础设施运营者的认定标准并不十分明确,相关探讨存在观点上的争议,但根据当前《公告》信息、《审查办法》等法律法规,结合我们在数据合规、网络安全领域的持续关注,我们初步认为“滴滴出行”等有关主体遭受网信办进行网络安全审查的原因在于“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险”这一条。就这一问题,我们后续还会进一步探讨。
四、遭受网络安全审查后的可能法律后果
《审查办法》第十九条规定,有关运营者违反本办法规定的,将依照《中华人民共和国网络安全法》第六十五条的规定处理。根据《网络安全法》第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
根据上述法律规定,若“滴滴出行”等有关主体切实违反了《审查办法》的有关规定,上述相关主体很可能会面临相关网络产品或服务被责令停止使用、被处以罚款,以及有关直接负责的主管人员和其他直接责任人员被处以罚款的法律后果。目前,紧随网信办对“滴滴出行”进行网络安全审查的公告发布之后,7月4日“滴滴出行”App已经被网信办公告要求在应用商店下架。
