前言

“滴滴出行”6月30赴美上市,随即被启动网络安全审查。该事件引发了各种猜测以及其他企业的观望。国外媒体对此如何评述?其对国家数据安全构成了何种影响?违反了哪些法规?国家出台了哪些举措?中美不同审查和管理机制如何协调共融?如何平衡大型科技企业经济发展与数据安全?在我国网络安全发展受政策驱动及安全事件催化的背景下,“滴滴事件”折射出的数据安全管理问题,将为我国数据安全迎来加速发展的新拐点。对此,我们总结了相关情况,并提出了几点思考,供大家参阅。

一、滴滴网络安全审查事件概况及境外媒体评述

(一)事件发展简述

前奏(4-6月):国家互联网信息安全办公室等部门召集约谈滴滴等30多家互联网公司,滴滴宣称对其运营进行了自查,并发现了不合规问题。网信办建议滴滴推迟在美上市并对其网络安全进行自查。但“滴滴”仍于6月31日在纽交所挂牌上市。[1]

公告(7月2日):网络安全审查办公室发布关于对“滴滴出行”启动网络安全审查的公告,指出从防范国家数据安全风险,维护国家安全,保障公共利益角度出发,将对‘滴滴出行’实施网络安全审查。对此,滴滴回应将积极配合网络安全审查。

处罚与审查(7月4日-7月16日):7月4日,国家互联网信息办公室发布关于下架“滴滴出行”App的通报。7月9日,国家互联网信息办公室发布关于下架“滴滴企业版”等25款App的通报,通报了上述App存在严重违法违规收集使用个人信息问题,并要求相关运营者认真整改存在问题。7月16日,七部委联合进驻滴滴,开展网络安全审查。

(二)境外媒体评述

自滴滴事件发生以来,美国《华尔街日报》、路透社、《纽约时报》等境外主流媒体基于事件进行了相关报道,主流舆论认为该事件折射出中国加强数据治理的决心,同时也促使了中国监管机构在数据跨境管理时将采取更加谨慎的态度。具体披露信息主要包含以下几种观点:

1. 中国正在加强数据治理,维护数据安全

一是通过修改、施行隐私和数据安全政策来加快数据治理机制的发展[2][3]。《南华早报》等媒体以我国《个人信息保护法》《数据安全法》为例,说明我国正通过政策手段加快数据治理;滴滴事件表明,我国将严格执行相关立法,以实现释放经济潜力、保护消费者隐私并严格控制数据的目的。

二是强调在安全基础上的数据自由流动。[4]石英新闻指出,中国虽然支持数据自由流动,但强调自由流动要以安全为基础,自由与安全要达成平衡;这种理念旨在“平衡对外开放和国家安全的双重目标”,但也造成了数据自由和数据控制理想之间的冲突。

三是将数据安全列为国家安全问题。美国国家公共电台称,中国在对科技公司调查时使用了更为宽泛的国家安全概念,并将移动数据和交通数据作为影响国家安全的重要因素。石英新闻网认为,《网络安全法》《数据安全法》将网络安全审查和数据安全列为国家安全问题,并将惩处对“核心国家数据”处理不当的公司。

2. 中国正在加强对拥有大量用户数据的科技公司的上市监管

一是出于对美国管理规则的担忧,加强跨境数据流动和安全监管。路透社、“道琼斯风险合规”网指出,中国担忧国内赴美上市公司要按照美国标准披露其供应链运作细节;而滴滴事件就是中国政府打压赴美上市科技公司、促进其隐私和数据保护法律法规实施的具体表现。

二是中国的数据安全法规不是纸上谈兵。《南华早报》和彭博新闻指出,中国监管机构正在严格执行相关数据安全法规,加强对大型科技公司的海外上市的数据安全监管。[5]

二、滴滴网络安全审查事件简析

(一)滴滴网络安全审查相关法律依据

近年来我国数据监管法规体系逐渐完善,此次滴滴网络安全审查事件中就涉及诸多相关法律依据,即以《国家安全法》《网络安全法》为上位法,以《网络安全审查办法》为直接适用法律依据,同时相关数据操作原则问题还对应了《数据安全法》《密码法》中的相关条款。根据《网络安全审查办法》,滴滴此次网络安全审查重点是评估其作为关键信息基础设施运营者所采购网络产品和服务可能带来的国家安全风险,对滴滴实行网络安全审查的相关法律依据概括如下(具体如表1所示):

表1滴滴网络安全审查相关联法律

法律名称

相关条例

《网络安全审查办法》

第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。

《网络安全法》

第三十五条关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查

《数据安全法》

第二十四条国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。

《国家安全法》

第五十九条国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。

《密码法》

第二十七条第二款关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

(二)滴滴可能存在的数据安全风险分析

1.作为关键信息基础设施运营者,其企业资本与核心技术存在被境外势力利用的不可控风险

一方面,海外资本的注入,使其存在被外国政府操控可能。作为交通运输领域的关键信息基础设施运营者,滴滴的最大单一股东和第二大股东均属海外企业,不排除关键时刻外国政府出于政治和经济目的通过操控资本手段,控制滴滴,迫使其提供敏感信息等。另一方面,网络产品和服务的不可控,导致了数据安全闸门被打开风险。目前由于我国以计算机芯片等为代表的网络产品仍来源于国外,若滴滴向美披露了供应商信息,不排除美国通过系统后门和入侵服务器等方式窃取滴滴存储数据,造成巨大安全隐患。[6]

2.中美监管冲突背景下,滴滴海量数据存在数据跨境安全隐患

一方面,美国监管体制要求滴滴披露供应商信息,存在数据跨境可能。根据美国《外国公司问责法案》规定,所有赴美上市企业必须接受美国公众公司会计监督委员会(PCAOB)对审计底稿的审查;同时美国《关于网络安全披露的声明和指南》[7],要求美证券交易委员会评估在美上市公司如何为网络安全威胁做好准备时所关注的领域就包括了供应商管理和培训。目前滴滴已赴美上市,所以存在由上述信息披露造成的数据跨境可能。另一方面,滴滴数据体量庞大,一旦被非法窃取,将产生严重数据跨境危害。目前滴滴作为网约车服务业的“数据大亨”,通过不断并购实现了“数据孤岛”的互联,已利用市场地位形成数据垄断,掌握了网约车行业庞大用户的海量敏感信息,这些数据无论是被技术手段窃取还是通过直接交付形式提供,均会被利用造成数据跨境危害。

3.滴滴过渡采集和违规使用数据,冲击个人隐私和国家安全

一是滴滴存在数据过度采集和违规使用行为。在数据采集方面,滴滴《个人信息保护及隐私政策》中强调了对个人信息的收集、使用、共享等权利,但其数据收集范围已超出正常使用滴滴平台核心功能所需,且这类信息“不全面授权就不让用”。在数据运用方面,上述政策在“个人信息的共享、转让、公开披露”中明确描述了滴滴在部分情况下,会对外共享个人信息。与《个人信息保护法》中要求个人信息处理者向其他个人信息处理者提供、变更信息处理目的、处理方式时,应当重新取得个人同意的规定相悖。

二是滴滴拥有的公民个人信息和重要数据被利用,将威胁个人隐私和国家安全。一方面,大量个人隐私信息关联用户行为,可用于情报收集。滴滴收集的个人隐私信息相互关联,可用于区分或追踪个人身份,从而挖掘特定用户。加之黑客可利用计算机恶意软件和网络钓鱼攻击等对其数据进行窃取,不排除美国情报机构通过数据分析,挖掘境外间谍实施策反的潜在目标群体。另一方面,所采集国家地理信息等,可被敌手利用造成威胁或损害。滴滴拥有的高精度国家地理数据为不能公开数据,其所持有的大量“直接或间接”反映中国国情的数据,还包括人口分布、地域流动等,如此大量敏感的数据若脱离政府的有力监管,一旦数据泄露将严重危及国家安全。

三、思考启示

目前,我国企业在赴美上市、寻求数字经济和数据跨境监管之间仍存在中美审计体制冲突中的双向制约挑战。而大型科技公司将赴海外上市,是顺应经济发展形势的一种选择。对此,应在认清数据跨境流动困境的基础上,从法规政策、监管审查、认证评估等角度完善数据跨境监管机制。

(一)细化数据跨境法规政策和制度标准

一是强化长臂管辖规则,互联网企业全球探索、即时通讯等软件在全球的推广应用,加剧了数据违规跨境流动的风险,美国、欧盟等国家都制定了具有“长臂管辖”特征的法规以加强其数据主权,对此,我国应在国家层面加强对跨境数据流动安全的研究,探索维护数据主权和安全的机制。二是加快制定承接《数据安全法》的数据安全管理办法,细化数据跨境管理办法,推动落实数据安全管理要求;同时,关键信息基础设施保护部门应依据相关法规制定并完善本行业领域的风险预判指南。三是完善数据安全标准体系,研究制定车联网、工业互联网等领域的数据安全重要标准;研究制定重要数据分级分类标准,加快推动实施数据按重要程度的跨境管理。

(二)加强数据安全监管和网络安全审查

一是通过加大新技术投入及创新监管手段等方式加强数据安全监管。目前大型互联网平台迅速崛起,传统数据安全监管技术正逐渐失效,应发展新型多样化技术手段进行数据安全监管。一方面,加大新技术研发投入。鼓励企业和科研机构研究创新人工智能、区块链等安全监管技术,加强核心技术产业化投入,改善数据安全监管能力。另一方面,探索建立在线分析平台等监管工具,借助技术手段确立审查对象。例如美国建立的基于《外国投资风险审查现代化法》(FIRRMA)的在线分步分析平台,可通过一系列问题的设置和选择步骤,帮助确定拟进行的交易是否受 FIRRMA 规定的美国外资投资委员会管辖,以及是否适用强制性备案要求。

二是拓宽网络安全审查范围、加强审查力度。在审查范围方面,对采购网络产品和服务并拟在国外上市的企业进行重点、定期审查和强制约束,将敏感个人数据的国家安全风险纳入外资安全审查范围,通过暂停或禁止涉及敏感个人数据的交易,防范敏感个人数据泄露导致的国家安全风险;在审查流程上,国家网络安全监管部门研究设置前置审批程序,重点对滴滴等拥有海量数据的企业进行网络安全审查,提前预判该产品和服务投入使用后可能带来的国家安全风险,防范和禁止重要和核心数据流向境外。

(三)完善数据安全认证体系和风险评估机制

一是建议组织研究数据安全保护认证体系,制定行业数据安全保护能力的评定规范,建立由行业组织、科研机构、骨干企业共同参与的评估认证机制。二是完善风险评估机制。针对大型互联网企业、尤其是涉及外资投资企业定期进行数据安全风险自评估。同时,网络安全监管部门定期组织第三方数据安全风险评估工作,评估超级网络平台的数据安全风险并制定相关整改策略。

此外,在国家进行系列数据安全监管“组合拳”过程中,还应关注关键信息基础设施供应链安全,自主研制关键信息基础设施核心产品、可控利用关键产品,对供应商进行网络安全评估并报国家网络安全监管部门备案;通过分散大型互联网平台的数据中心,缩减数据安全风险;推动拥有处理重要数据和批量个人信息和国内大型互联网公司的积极自律,增强其数据安全意识和自觉性。

参考文献:

【1】Lingling Wei and KeithZhai,Chinese Regulators Suggested Didi Delay Its U.S. IPO,The Wall Street Journal,2021.7.5,https://www.wsj.com/articles/chinese-regulators-suggested-didi-delay-its-u-s-ipo-11625510600

【2】Xinmei Shen, Masha Borak and Tracy Qu,China’s Big Tech face wake-up call as country’s web of data protection laws grows moreelaborate,Southe China Morning Post,2021,7,11,https://www.scmp.com/tech/big-tech/article/3140573/chinas-big-tech-face-wake-call-countrys-web-data-protection-laws?module=perpetual_scroll&pgtype=article&campaign=3140573

【3】Josh HorwitzYilei Sun,Explainer: What is driving China"s clampdown onDidi and data security?,REUTERS,2021,7,7,https://www.reuters.com/technology/what-is-driving-chinas-clampdown-didi-data-security-2021-07-07/

【4】Mary Hui,Didi showcases Beijing’s tug of war between data flowsand data security,2021,7,7,Quartz,https://qz.com/2030277/didi-crackdown-shows-chinas-data-flow-vs-data-security-dilemma/

【5】XinmeiShen, Masha Borak and Tracy Qu,China’s Big Tech face wake-up call as country’s web of data protection lawsgrows more elaborate,South China Morning Post,2021,7,11,https://www.scmp.com/tech/big-tech/article/3140573/chinas-big-tech-face-wake-call-countrys-web-data-protection-laws?module=perpetual_scroll&pgtype=article&campaign=3140573

【6】https://www.sec.gov/rules/interp/2018/33-10459.pdf

【7】Commission Statement and Guidance on Public CompanyCybersecurity Disclosures, Release No. 33-10459 (Feb. 21, 2018) [83 FR 8166],https://www.sec.gov/rules/interp/2018/33-10459.pdf

声明:本文来自网安思考,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。