因为相关部门的审查工作才刚刚启动,后面不排除会存在很大的变局,确实需要有了审查结果才能看得更清晰。
短短三天之内,先后有多家在美上市公司被实施网络安全审查,包括:上市不满一周的滴滴(年月日上市),上市超过一周的满帮(年月日上市)以及上市即将满月的BOSS直聘(年月日上市),这些公司无一例外都被要求,在审查期间,“停止新用户注册”。
年月日、日,网络安全审查办公室先后发布了对“滴滴出行”和“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查的通告。
其中,遭遇网络安全审查“头炮”拷问的滴滴,因存在严重违法违规收集使用个人信息问题,其APP被相关部门于月日通知应用商店做下架处理。
当然,停止新用户注册、APP应用商店下架,是两个孤立的事件,还是属于密切联系的监管“组合拳”,目前尚不得而知。
因此,对于“运满满”、“货车帮”和“BOSS直聘”等相继被实施网络安全审查的APP,后续是否被处以“应用商店下架”则是重要的观测指标。
那么,略感神秘的“网络安全审查”到底是怎么回事?对正在被审查中的滴滴、运满满、货车帮和BOSS直聘们,会产生哪些影响?未来哪些厂商还可能会遭遇类似审查?
《网络安全审查办法》是由国家互联网信息办公室等在内的部门联合出台的部门规章,于年月日公布,并于年月日起施行。
值得注意的是,《网络安全审查办法》的前身为《网络产品和服务安全审查办法(试行)》(年月日起实施,并于年月日起废止。)
整体而言,不论是之前的《网络产品和服务安全审查办法(试行)》,亦或是现在的《网络安全审查办法》,它们的立法依据都是《国家安全法》和《网络安全法》,而触发网络安全审查的核心问题是“网络产品和服务的采购”。
其中,可能需要审查的网络产品或服务主要包括:核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
对于上述产品或服务,网络安全审查评估的焦点在于:)有无被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;)供应中断对业务连续性的危害;)供应中断的风险;)提供者遵守中国法律、行政法规、部门规章情况;)其他。
按照《网络安全审查办法》相关规定,一般情况下,网络安全审查是依申请启动,特殊情况下,由相关部门依职权报批后启动。
从目前披露的公告内容来看,网络安全审查办公室对“滴滴出行”和“运满满”、“货车帮”、“BOSS直聘”等启动的网络安全审查,可能属于后者。
相关公告内容显示,此番对上述公司实施网络安全审查,目的是为了“防范国家数据安全风险”。
由此可见,上述公司业务运营中形成的或使用的数据,可能构成“国家数据”,而这些数据存储使用的网络产品或服务,有可能存在数据据被窃取、泄露、毁损的风险。
当然,也有观点猜测,相关部门对前述单位的网络安全审查,是基于《网络安全法》第三十七条的规定,即:相关公司收集和产生的个人信息和重要数据,可能“因业务需要,确需向境外提供的”。
年月日,在第十三届全国人民代表大会常务委员会第二十九次会议上,《数据安全法》获审议通过,将于年月日起施行。
关于我国安全审查制度,《国家安全法》第五十九条明确了“国家建立国家安全审查和监管的制度和机制。”《网络安全法》第三十五条和第三十七条分别就“网络产品和服务采购”和“向境外提供数据”提出建立“安全审查”和“安全评估”机制。《数据安全法》第二十四条规定“国家建立数据安全审查制度”。
如果说,《国家安全法》是建立“国家安全审查制度” 的基础性法律,那么,《网络安全法》和《数据安全法》则分别是建立“网络安全审查制度”和“数据安全审查制度”的专门法律依据。
而网络安全审查和数据安全审查都是国家安全审查的组成部分。
年月日, 《网络安全审查办法(修订草案征求意见稿)》(以下简称《征求意见稿》)面向社会公开征求意见。
而这距离《网络安全审查办法》正式施行刚满一年零一个月时间。
一部部门规章如此频繁修订,足以凸显网络安全审查的重要性以及面临的新形势、新挑战的紧迫性。
与现行《网络安全审查办法》相比,《征求意见稿》最大的变化是加大了数据处理和海外上市行为的安全审查力度。
《征求意见稿》规定,掌握超过万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
而这或许正是“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”遭遇网络安全审查的深层次原因所在。
有趣的是,上述几家遭遇网络安全审查的公司,海外上市时间位于月日至月日期间,而《数据安全法》于年月日获审议通过。
而对于类似知乎(月日)、水滴(月日)等在今年月之前就完成国外或海外上市的公司以及类似每日优鲜(月日)、叮咚买菜(月日)等电商类海外上市公司,相关部门暂未公告对他们启动网络安全审查。
年月日,继“滴滴出行”App后,“滴滴企业版”等款由滴滴公司推出的App因存在严重违法违规收集使用个人信息问题,也遭遇监管部门处以“应用商店下架”处理。
据此评估,与滴滴主营业务密切相关的App可能都被处以“应用商店下架”了。
如果该处理方式,未来是网络安全审查期间的标配处理行为,这势必会对后续可能面临网络安全审查的相关企业或平台形成强烈震慑效应。
根据《网络安全法》相关规定,如果属于“网络产品和服务”采购行为违规,也就是使用未经安全审查或者安全审查未通过的网络产品或者服务的,那么,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
而如果属于“数据不当出境”违规行为,也就是在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
而对于其他数据处理活动,按照《数据安全法》的规定,如果有“不履行数据安全保护义务的”、“向境外提供重要数据的”或“危害国家主权、安全和发展利益的”等违法数据处理行为的,最高可由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
当然,需要注意的是,《数据安全法》正式生效施行的时间为月日,预计修改后的《网络安全审查办法》生效施行日期不会早于月日。
在相关法律及规章未生效前,相关部门对“滴滴出行”、“运满满”、“货车帮”和“BOSS直聘”的网络安全审查,应该更多聚焦在《网络安全法》范畴内的“网络产品或服务采购”或是可能的“因业务需要数据出境”问题,而非《数据安全法》范畴内的数据处理行为。
否则,如无特殊规定, 现阶段就对数据处理行为等进行安全风险评估和审查,可能会有悖于“法不溯及既往”的一般原则。
