胡律师:13306647218

如何解决数据安全问题(数据安全律师对滴滴事件梳理了八个核心问题)

时间:2021-07-29 22:54:25

从网络安全审查的实施到APP瘫痪,数据安全律师就滴滴事件梳理了8个核心问题

数据安全律师对滴滴事件梳理了八个核心问题

十字财经移动支付网36分钟前

作者|宋海新、彭凯、周晨黥

编辑李意安

(作者均在金诚同达律师事务所工作,业务领域包括网络安全和数据合规性)

2021年7月2日晚,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》 (以下简称“《公告》”),宣布对“滴滴出行”实施网络安全审查。 这是国家首次对企业启动网络安全审查,不久后,引起了社会各界的高度关注。 7月4日,滴滴事件进一步发酵,国家互联网信息办公室根据通报,经检测核实,认定“滴滴出行”APP存在严重违法行为收集使用个人信息问题,根据《中华人民共和国网络安全法》相关规定,通知APP“滴滴出行”APP被吊销,

仅三天前,6月30日,滴滴出行刚在美国纽约证券交易所挂牌上市,股票代码为“DIDI”,发行价为14美元。 受网络审查事件的影响,2021年7月2日,滴滴股价下跌近11%。

针对网络安全审查,滴滴出行回应称,滴滴将积极配合网络安全审查。 审查期间,公司将在相关部门的监督指导下,全面梳理和排除网络安全风险,不断完善网络安全体系和技术能力。 但是,很明显事情还没有结束。

关于这个事件,我们要回到数据安全的水平,整理好八个核心问题在这里罗列,逐一探讨。

数据安全律师对滴滴事件梳理了八个核心问题

(滴滴出行网安审八问总结图) )。

Q1:网络安全审查是什么?

网络安全审查的法律定义可以在《网络安全审查办法》 (国家互联网信息办公室公告第6号,以下简称“《办法》”)的相关规定中看到,具体如下。

第二条重要信息基础设施运营者(以下简称运营者)购买网络产品和服务,可能影响或者影响国家安全的,应当依照本法进行网络安全审查。

第三条网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、流程公平透明与知识产权保护相结合、预审与持续监管相结合、企业承诺与社会监督相结合、产品与服务安全、可能带来的国家安全保障风险

从《办法》条文规定可以看出,网络安全审查人员对影响或可能影响国家安全的重要信息基础设施运营者购买互联网产品和服务的行为,在产品和服务的安全性、可能带来的国家安全风险等方面

Q2:滴滴出行被审查的法律依据?

根据《公告》的内容,滴滴出行被审查的上位法的依据是《中华人民共和国国家安全法》 (以下简称“《国安法》”。 ) 《中华人民共和国网络安全法》 )以下简称为“《网安法》”。 )直接适用的法律依据是《办法》。

数据安全律师对滴滴事件梳理了八个核心问题

(滴滴出行被审查的法律依据)

03010和《国安法》的情况下,适用的规定主要是《网安法》第59条和《国安法》第35条。

第五十九条国家建立国家安全审查和监管制度和机制,对可能影响或者影响国家安全的外商投资、特定物项和相关技术、网络信息技术产品和服务、国家安全保障相关事项的建设项目以及其他重要事项和活动,进行国家安全保障审查

第三十五条关键信息基础设施的运营者购买互联网产品和服务,可能影响国家安全的,应当通过国家互联网通信部门和国务院有关部门组织的国家安全审查。

上述条文规定为网络安全审查提供了法律依据,在此基础上,国家互联网事务局等12个中央部委联合制定了《网安法》。

数据安全律师对滴滴事件梳理了八个核心问题

(网络安全审查方法条文结构的设定)

《办法》于2020年4月13日发布,当年6月1日生效,为我国开展网络安全审查活动提供了重要的制度保障。 《办法》全文共22条,系统规定了网络安全审查的适用范围、审查原则、主管部门、申报审查资料、审查顺序、审查内容、法律责任等。

Q3:滴滴出行被审查的可能原因?

目前,滴滴出行进行的网络安全审查的详细情况还没有明确。 从《办法》的内容和《公告》等规定出发,结合可以通过公开渠道检索的客观信息资料,以及多年来深入研究网络安全和数据合规业务的经验和对滴滴出行业务的理解,可以得出两个可能的原因,即特殊身份和日期

数据安全律师对滴滴事件梳理了八个核心问题

(网络安全审查的可能诱因)

(一)滴滴出行被认定为重要信息基础设施运营者;

Q2的讨论表明,网络安全审查的适用对象是重要的信息基础设施运营者。 要启动网络安全审查,其主体必须满足这一要求。 其结果很明显。 根据滴滴出行的行业属性,可以推测滴滴出行是公路水路运输行业领域重要的信息基础设施运营者。

关键信息基础架构的定义主要来自以下文件:

《办法》第三十一条国家通过公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域以及其他,一旦破坏、丧失功能或数据泄露,将严重危害国家安全、国家经济、民生、公共利益重要信息基础设施的具体范围和安全保护办法由国务院制定。

对此,国家互联网事务局于2017年7月10日发布了《网安法》,公开征求意见。 虽然还没有正式稿件,但在回答《关键信息基础设施安全保护条例(征求意见稿)》记者提问时,国家互联网事务局相关人士明确表示:“根据中央互联网安全信息化委员会《办法》的精神,电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、邮政。 国防科技工业等行业领域的重要网络和信息系统运营者在购买网络产品和服务时,必须按照《关于关键信息基础设施安全保护工作有关事项的通知》的要求复核网络安全审查的申报。 ”也就是说这些行业领域的重要网络和信息系统属于重要的信息基础设施

与此同时,公安部于2020年9月22日发布,当日生效的《办法》 (以下简称“《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》”。 公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门)以下统称保护工作部门)根据认定规则组织本行业、本领域重要信息基础设施的认定, 重点保护对象包括符合认证条件的基础网络、大型专用网络、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通信设施等

综合来看,重要的网络和信息系统包括符合认证条件的基础网络、大型专用网络、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、

重要的信息基础设施运营者的名单现在还没有公开。 从滴滴出行的观点来看,如果此次没有进行网络安全审查,则很难确定其重要的信息基础设施运营者的身份。 根据《意见》调查,重要信息基础设施的运营者自身一定会通过保护工作部门的通知知道自己的认定结果。 相应地,保护工作部门有本行业领域重要的信息基础设施运营者名单,公安部有各行业领域重要的信息基础设施运营者名单。 实际上,交通运输部可能已经认定滴滴出行为重要的信息基础设施运营者。

(二)滴滴出行使用的网络产品和服务可能发生了数据方面的安全问题

《意见》第20条第2项对“网络产品和服务”作了规定。 “本办法所称网络产品和服务,主要是指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和APP软件、网络安全设备、云计算服务、其他重要信息信息”

网络安全审查办公室发表的《办法》第一句话是“为了防止国家数据的安全风险”。 滴滴出行根据其业务需求掌握了道路交通数据(测绘数据、车流数据、汽车充电网运行数据等)等数据。 2021年5月12日公布的《公告》第3条定义了汽车行业的重要数据。 滴滴出行掌握的道路交通数据等很可能是该规定规定的汽车行业的重要数据。 如果这些数据出现安全问题,它可能直接影响国家安全、公共利益、社会稳定,与公告中“国家数据安全防范”相对应。

滴滴出行回应称:“全面梳理和消除网络安全风险,不断完善网络安全体系和技术力量。”

据此,滴滴出行的网络安全体系和技术能力还有待完善,存在网络安全风险,也有可能已经发生网络安全事件。 在《汽车数据安全管理若干规定(征求意见稿)》的上下文中,网络安全风险可能需要在《办法》第9条中进行推测(具体参见Q5 )。 《办法》第9条是关于网络安全审查时的主要考虑事项的规定,但是从角度来看,如果一个企业触发了网络安全审查,那么该企业应对这些因素的风险很高,或者很可能已经发生了问题。

至此,新的混乱再起,《办法》第9条规定了4个主要的考虑事项和驾驶规则。 滴滴出行最有可能引发哪些考虑因素呢?

滴滴出行还指出了2021年6月10日向美国证券交易委员会(SEC )提交的招股说明书的“风险因素”部分。

ourbusinessissubjecttoavarietyoflaws,规则,规则, policiesandotherobligationsregardingdataprivacyandprotection.and unauthorizedaccessorreleasesofconfidentialinformationorpersss gnificantreputational,financial,legalandoperationalconsequences.we receive,transmitandstorealargevolumeofpersonalyidence

结合上述第1项的理由,滴滴出行触发的可能性较高的是《办法》第9条第1项规定的因素,“产品和服务使用后带来的重要信息基础设施受到非法控制、干扰、破坏、重要数据被盗、泄露

Q4:网络安全审查办公室是谁?

此次对发布《办法》的主体、滴滴出行开始网络安全审查的主体是网络安全审查事务所。 关于网络安全审查室,外界的知识有限。

《公告》第四条明确了网络安全审查的结构和网络安全审查办公室的设置及其职责。 指出,网络安全审查工作的最高领导机关是中央网络安全和信息化委员会,活动机制的组成部门是国家互联网事务局、发展改革委员会、工业信息部、公安部、国家安全部、财政部、商务部、中国人民银行、国家广播电视总局、国家广播电视总局可以说,与网络安全审查机制相关的相关部门基本上涵盖了与网络安全密切相关的国家各重要管理部门。

数据安全律师对滴滴事件梳理了八个核心问题

(网络安全审查机制的图解)

因此,网络安全审查办公室应对滴滴出行进行网络安全审查,并在其法定职责范围内有组织地进行审查工作。

这里扩展一个问题,网络安全审查办公室负责组织工作,但具体的网络安全审查工作由谁来做?

在回答《办法》记者提问时,国家网信办公室相关人士作出了回答,“具体工作交给了中国网络安全审查技术和认证中心。 中国网络安全审查技术和认证中心在网络安全审查办公室的指导下,承担着申报材料的接收、申报材料的形式审查、具体的组织审查工作等任务。 ”

Q5:网络安全审查主要审查哪些内容?

从《办法》第9条可以看出网络安全审查的主要考虑事项。

数据安全律师对滴滴事件梳理了八个核心问题

为了便于理解,根据与《办法》的对比角度进行解读。 与《办法(征求意见稿)》第10条相比,《办法(征求意见稿)》第9条:

删除“对国防军工、重要信息基础设施相关技术和产业的影响”和“产品和服务提供者接受外国政府资助、控制等情况”。

添加了“产品和服务……来源多样性、供应渠道可靠性”的要求

将“产品和服务提供者遵守国家法律和行政法规的情况”扩展为“产品和服务提供者遵守中国法律、行政法规、部门规章的情况”。

由此可见,《办法》删除了一部分可能会产生争议的审查要素。 正如国家互联网信息办公室相关负责人在回答记者关于《办法》相关问题时指出的,网络安全审查的目的是维护国家的网络安全,而不是限制或歧视国外的产品和服务。 《办法》进一步加强供应链对安全的要求,有利于在新形势下更好地维护网络安全和国家安全。

Q6:网络安全审查程序如何?

这个问题可以从网络安全审查的启动方法、审查的过程和时间两个方面来回答。

(一)网络安全审查的启动方式

网络安全审查的启动分为申请审查和基于职权开始审查两种方式,具体如下。

数据安全律师对滴滴事件梳理了八个核心问题

《办法》虽然没有显示滴滴出行申请网络审查的相关信息,但结合《公告》的表现,可以推测此次滴滴出行的网络安全审查将根据职权开始审查。

(二)考核流程和时间根据考核的开始方式不同,在考核流程和时间方面也有所区别,具体如下:

1 .请审查情况审查程序和时间

数据安全律师对滴滴事件梳理了八个核心问题

(申请审查情况的审查程序和时间图) ) ) ) )。

2 .根据职权开始审查时的审查程序和时间

数据安全律师对滴滴事件梳理了八个核心问题

(根据职权开始审查时的审查程序和时间图() ) ) ) ) ) ) ) )。

3 .滴滴出行可能被审查的时间

是否有审查过程和时间的印象,还留有问题,但在这次审查案例中,审查时间有可能是多长?

相比之下,我们理解,作为《公告》实施后的首次网络安全审查,最快需要45个工作日,如果适用情况复杂的延长时限要求,则需要45 15个工作日,共计60个工作日的审查时间。

此外,并不排除进入特别审查进程的可能性,进入特别审查进程后,可能为60个工作日加上45个工作日,也就是“45 15 45”,达到105个工作日。 当然,105个工作日不是最长期限,在特别审查过程中,如果情况复杂,可以适当延长。

Q7:等待滴滴出行的后果可能是什么?

03010第19条被《办法》第65条援引,是相关的法律责任条款,具体如下。

03010第十九条经营者违反本法规定的,按照《办法》第六十五条的规定处理。

《网安法》第六十五条重要信息基础设施的运营者违反本法第三十五条的规定,使用未经安全审查或者未通过安全审查的网络产品或者服务的,由有关主管部门责令停止使用,处以购买金额两倍以上十倍以下的罚款。 对直接负责的主管人员和其他直接负责人处以1万元以上10万元以下的罚款。

因此,在切实违反《办法》规定的情况下,等待滴滴出行的很可能被责令停止使用相关网络产品和服务,并对滴滴出行、直接负责的主管人员和其他直接负责人处以罚款。 此外,不排除适用《中华人民共和国网络安全法》规定的更严格的法律责任的可能性。

Q8:滴滴出行被审查会是个案吗?

先说答案,绝非个案。

为什么这么肯定,有两个理由。

其一,有法。 从《网安法》年到《办法》年,上位法和实施细则已经布局完善,开展网络安全审查已具备明确具体的法律依据。

其二,有必须遵循的例子。 蚂蚁集团被要求与金融管理部门联合协商,加以改善,引起社会的关注和讨论,但蚂蚁集团是“出头之鸟”,不是“冤大头”。 果然,随后金融监管部门共同讨论了十三个从事金融业务的网络平台,并提出了改进要求。

诚然,滴滴出行接受网络安全审查是第一例,但绝非最后一例。 网络审查的风,已经刮了。

迎风而上 顺风而治

滴滴出行进行了网络安全审查,正式拉开了《国安法》生效后我国网络安全审查工作的大幕。 有可能被认定为关键信息基础设施运营者的经营者们,不能只是默默地“吃瓜”。 否则,迟早会“把甜瓜吃在自己身上”。 这些机构必须严格比照《网安法》和《办法》的规定,立即开展合规工作,全面检查采购准备和使用过的网络产品和服务。 有必要申请网络安全审查的及时申报。 如果停止使用,有必要立即停止使用并安排更换。 因为必须一边被风吹着,一边顺风治愈。

特别是,010-3010决定了网络安全审查制度,2021年9月1日生效的010-3010决定了数据安全审查制度。 依法作出的数据安全审查决定是最终决定,意味着数据安全审查决定一经作出即生效,不进入行政复议和行政诉讼程序。 数据安全审查,工作人员也应高度关注,在数据安全审查制度配套立法出台后,及时开展合规安排。

数据安全律师对滴滴事件梳理了八个核心问题

十字财经

又酸又辣又咸,游戏看人。

在移动支付网络上发表了129篇文章

本论文是为作者授权分发的,不代表移动支付网的立场。 转载请注明作者和出处。 未按规范转载者,移动支付网保留追究相应责任的权利。