網(wǎng)絡(luò)安全觀察 | 滴滴出行遭網(wǎng)安審查有什么后果？相關(guān)八個(gè)問題解讀【走出去智庫】-ESG跨境

走出去智庫觀察

7月4日晚，國(guó)家網(wǎng)信辦發(fā)布通報(bào)稱，根據(jù)舉報(bào)并經(jīng)檢測(cè)核實(shí)，“滴滴出行”App存在嚴(yán)重違法違規(guī)收集使用個(gè)人信息問題，通知應(yīng)用商店下架“滴滴出行”App。此前7月2日，國(guó)家網(wǎng)信辦曾發(fā)布公告，對(duì)“滴滴出行”實(shí)施網(wǎng)絡(luò)安全審查。

走出去智庫（CGGT）觀察到，網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者，采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國(guó)家安全風(fēng)險(xiǎn)。滴滴作為中國(guó)最大的出行和交通平臺(tái)，與能源、金融、電信等平臺(tái)一樣，是國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。有分析認(rèn)為，此次對(duì)滴滴審查主要關(guān)注的是，重要數(shù)據(jù)和公民個(gè)人信息的出境安全風(fēng)險(xiǎn)。

滴滴出行為什么被審查？后果可能是什么？今天，走出去智庫（CGGT）刊發(fā)金誠(chéng)同達(dá)律師事務(wù)所宋海新、彭凱、周晨黠的分析文章，供關(guān)注網(wǎng)路安全的讀者參閱。

要 點(diǎn)

CGGT，CHINA GOING GLOBAL THINKTANK

1、關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者自身必然會(huì)通過保護(hù)工作部門的通知而知悉自身的認(rèn)定結(jié)果，而保護(hù)工作部門有本行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單，公安部有各行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單。

2、在關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者身份界定之外，另一個(gè)原因可能在于，滴滴出行使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)出現(xiàn)了數(shù)據(jù)方面的安全問題。

3、依法作出的數(shù)據(jù)安全審查決定為最終決定，意味著數(shù)據(jù)安全審查的決定一經(jīng)作出即告生效，不會(huì)進(jìn)入行政復(fù)議或行政訴訟程序。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/宋海新 彭凱 周晨黠[1]

金誠(chéng)同達(dá)律師事務(wù)所

2021年7月2日晚間，網(wǎng)絡(luò)安全審查辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦公室關(guān)于對(duì)“滴滴出行”啟動(dòng)網(wǎng)絡(luò)安全審查的公告》（以下簡(jiǎn)稱“《公告》”），宣布對(duì)“滴滴出行”實(shí)施網(wǎng)絡(luò)安全審查。[2]這是國(guó)家首次對(duì)企業(yè)啟動(dòng)網(wǎng)絡(luò)安全審查，一時(shí)間，引起社會(huì)各界的高度關(guān)注。

僅在三天前的2021年6月30日，滴滴出行在美國(guó)紐約證券交易所掛牌上市，股票代碼為“DIDI”，發(fā)行定價(jià)為14美元，位于13-14美元/ADS的發(fā)行區(qū)間上限?；蚴芫W(wǎng)安審查事件影響，2021年7月2日，滴滴股價(jià)開盤跌幅近11%，不過隨后跌幅有所收窄，截至北京時(shí)間當(dāng)日23:00，跌5.49%至15.5美元/股。[3]

對(duì)于網(wǎng)絡(luò)安全審查，滴滴出行回應(yīng)稱，滴滴將積極配合網(wǎng)絡(luò)安全審查。審查期間，公司將在相關(guān)部門的監(jiān)督指導(dǎo)下，全面梳理和排查網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，持續(xù)完善網(wǎng)絡(luò)安全體系和技術(shù)能力。[4]接受網(wǎng)絡(luò)安全審查對(duì)股市的影響已然立竿見影，滴滴出行亦作出回應(yīng)，但大家心中仍滿是疑惑。你最想知道的八個(gè)問題，我們?cè)诖肆谐?，然后一一科普及探討?/p>

圖1 滴滴出行網(wǎng)安審查八問匯總圖

Q1：網(wǎng)絡(luò)安全審查是什么？

網(wǎng)絡(luò)安全審查的法律定義可見于《網(wǎng)絡(luò)安全審查辦法》（國(guó)家互聯(lián)網(wǎng)信息辦公室公告第6號(hào)，以下簡(jiǎn)稱“《辦法》”）的相關(guān)規(guī)定，具體包括：

第二條 ?關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者（以下簡(jiǎn)稱運(yùn)營(yíng)者）采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或可能影響國(guó)家安全的，應(yīng)當(dāng)按照本辦法進(jìn)行網(wǎng)絡(luò)安全審查。

第三條 ?網(wǎng)絡(luò)安全審查堅(jiān)持防范網(wǎng)絡(luò)安全風(fēng)險(xiǎn)與促進(jìn)先進(jìn)技術(shù)應(yīng)用相結(jié)合、過程公正透明與知識(shí)產(chǎn)權(quán)保護(hù)相結(jié)合、事前審查與持續(xù)監(jiān)管相結(jié)合、企業(yè)承諾與社會(huì)監(jiān)督相結(jié)合，從產(chǎn)品和服務(wù)安全性、可能帶來的國(guó)家安全風(fēng)險(xiǎn)等方面進(jìn)行審查。

從《辦法》條文規(guī)制可見，網(wǎng)絡(luò)安全審查系對(duì)影響或可能影響國(guó)家安全的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)的行為，從產(chǎn)品和服務(wù)安全性、可能帶來的國(guó)家安全風(fēng)險(xiǎn)等方面進(jìn)行審查。

Q2：滴滴出行被審查的法律依據(jù)？

《公告》內(nèi)容顯示，滴滴出行被審查的上位法依據(jù)為《中華人民共和國(guó)國(guó)家安全法》（以下簡(jiǎn)稱“《國(guó)安法》”）《中華人民共和國(guó)網(wǎng)絡(luò)安全法》（以下簡(jiǎn)稱“《網(wǎng)安法》”），直接適用的法律依據(jù)為《辦法》。

圖2 滴滴出行被審查的法律依據(jù)

對(duì)于《國(guó)安法》和《網(wǎng)安法》，其中適用的規(guī)定主要為《國(guó)安法》第五十九條和《網(wǎng)安法》第三十五條。

第五十九條 ?國(guó)家建立國(guó)家安全審查和監(jiān)管的制度和機(jī)制，對(duì)影響或者可能影響國(guó)家安全的外商投資、特定物項(xiàng)和關(guān)鍵技術(shù)、網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)、涉及國(guó)家安全事項(xiàng)的建設(shè)項(xiàng)目，以及其他重大事項(xiàng)和活動(dòng)，進(jìn)行國(guó)家安全審查，有效預(yù)防和化解國(guó)家安全風(fēng)險(xiǎn)。

第三十五條 ?關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過國(guó)家網(wǎng)信部門會(huì)同國(guó)務(wù)院有關(guān)部門組織的國(guó)家安全審查。

上述條文規(guī)制為網(wǎng)絡(luò)安全審查提供了法律依據(jù)，在此基礎(chǔ)上，國(guó)家網(wǎng)信辦等十二個(gè)中央部委聯(lián)合制定了《辦法》。

圖3 網(wǎng)絡(luò)安全審查辦法條文架構(gòu)設(shè)置

《辦法》于2020年4月13日發(fā)布，并在當(dāng)年6月1日生效，為我國(guó)開展網(wǎng)絡(luò)安全審查工作提供了重要的制度保障?！掇k法》全文共二十二條，系統(tǒng)規(guī)定了網(wǎng)絡(luò)安全審查的適用范圍、審查原則、主管部門、申報(bào)審查材料、審查程序、審查內(nèi)容、法律責(zé)任等。

Q3：滴滴出行被審查的可能原因？

滴滴出行被進(jìn)行網(wǎng)絡(luò)安全審查后，網(wǎng)絡(luò)消息滿天飛，難辨真假。在不了解詳細(xì)事實(shí)情況的基礎(chǔ)上，我們無法給出準(zhǔn)確的法律分析，否則將有失客觀、嚴(yán)謹(jǐn)。我們僅從《公告》內(nèi)容和《辦法》等規(guī)定出發(fā)，結(jié)合公開渠道可檢索的客觀信息資料，以及我們多年深耕網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)業(yè)務(wù)的經(jīng)驗(yàn)和我們對(duì)滴滴出行業(yè)務(wù)的理解，在后文探討兩個(gè)可能的原因：特殊身份與數(shù)據(jù)安全。

圖4 網(wǎng)絡(luò)安全審查的可能誘因

一、滴滴出行被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者

從Q2的探討中，可以清晰地看出，網(wǎng)絡(luò)安全審查的適用對(duì)象為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。要啟動(dòng)網(wǎng)絡(luò)安全審查，其主體必須符合該要求，那結(jié)果就顯而易見了，根據(jù)滴滴出行的行業(yè)屬性，我們可以進(jìn)一步推測(cè)，滴滴出行屬于公路水路運(yùn)輸行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。為方便大家理解，在此補(bǔ)充一些背景知識(shí)。

1.關(guān)鍵信息基礎(chǔ)設(shè)施是什么？

《網(wǎng)安法》第三十一條 ?國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。關(guān)鍵信息基礎(chǔ)設(shè)施的具體范圍和安全保護(hù)辦法由國(guó)務(wù)院制定。

對(duì)此，國(guó)家網(wǎng)信辦曾于2017年7月10日發(fā)布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》并公開征求意見，但截至目前，該規(guī)定的正式稿尚無下文。

而在《辦法》答記者問時(shí)，國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人指出：“根據(jù)中央網(wǎng)絡(luò)安全和信息化委員會(huì)《關(guān)于關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作有關(guān)事項(xiàng)的通知》精神，電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)等行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)運(yùn)營(yíng)者在采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)時(shí)，應(yīng)當(dāng)按照《辦法》要求考慮申報(bào)網(wǎng)絡(luò)安全審查?！盵5]這意味著，至少電信、廣播電視、能源、金融、公路水路運(yùn)輸、鐵路、民航、郵政、水利、應(yīng)急管理、衛(wèi)生健康、社會(huì)保障、國(guó)防科技工業(yè)，這些行業(yè)領(lǐng)域的重要網(wǎng)絡(luò)和信息系統(tǒng)屬于關(guān)鍵信息基礎(chǔ)設(shè)施。但該答記者問的回答，又進(jìn)一步引發(fā)新問題：

重要網(wǎng)絡(luò)和信息系統(tǒng)又包括哪些呢？

由公安部于2020年9月22日發(fā)布并于當(dāng)日生效的《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的指導(dǎo)意見》（以下簡(jiǎn)稱“《意見》”）或能提供進(jìn)一步的答案。

三、建立并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度

（一）組織認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。根據(jù)黨中央和公安部有關(guān)規(guī)定，公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門（以下統(tǒng)稱保護(hù)工作部門）應(yīng)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則并報(bào)公安部備案。保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知相關(guān)設(shè)施運(yùn)營(yíng)者并報(bào)公安部。應(yīng)將符合認(rèn)定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點(diǎn)保護(hù)對(duì)象納入關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施清單實(shí)行動(dòng)態(tài)調(diào)整機(jī)制，有關(guān)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)發(fā)生較大變化，可能影響其認(rèn)定結(jié)果的，運(yùn)營(yíng)者應(yīng)及時(shí)將相關(guān)情況報(bào)告保護(hù)工作部門，保護(hù)工作部門應(yīng)組織重新認(rèn)定，將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并報(bào)公安部。

據(jù)此，初步結(jié)論或可得出：重要網(wǎng)絡(luò)和信息系統(tǒng)包括符合認(rèn)定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點(diǎn)保護(hù)對(duì)象。

2.關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者是什么？

第二十條第一款 本辦法中關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者是指經(jīng)關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定的運(yùn)營(yíng)者。

該條規(guī)定指出了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的認(rèn)定方法，即由關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門認(rèn)定。對(duì)此，我們可以再進(jìn)一步探討兩個(gè)細(xì)分問題：

（1）哪些部門是關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門？

三、建立并實(shí)施關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度

（一）組織認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。根據(jù)黨中央和公安部有關(guān)規(guī)定，公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門（以下統(tǒng)稱保護(hù)工作部門）應(yīng)制定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則并報(bào)公安部備案。保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知相關(guān)設(shè)施運(yùn)營(yíng)者并報(bào)公安部。應(yīng)將符合認(rèn)定條件的基礎(chǔ)網(wǎng)絡(luò)、大型專網(wǎng)、核心業(yè)務(wù)系統(tǒng)、云平臺(tái)、大數(shù)據(jù)平臺(tái)、物聯(lián)網(wǎng)、工業(yè)控制系統(tǒng)、智能制造系統(tǒng)、新型互聯(lián)網(wǎng)、新興通訊設(shè)施等重點(diǎn)保護(hù)對(duì)象納入關(guān)鍵信息基礎(chǔ)設(shè)施。關(guān)鍵信息基礎(chǔ)設(shè)施清單實(shí)行動(dòng)態(tài)調(diào)整機(jī)制，有關(guān)網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)發(fā)生較大變化，可能影響其認(rèn)定結(jié)果的，運(yùn)營(yíng)者應(yīng)及時(shí)將相關(guān)情況報(bào)告保護(hù)工作部門，保護(hù)工作部門應(yīng)組織重新認(rèn)定，將認(rèn)定結(jié)果通知運(yùn)營(yíng)者，并報(bào)公安部。

由此可見，關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)工作部門主要包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的主管、監(jiān)管部門，具體來說包括工信部、發(fā)改委、交通運(yùn)輸部、水利部、中國(guó)人民銀行、銀保監(jiān)會(huì)、證監(jiān)會(huì)、國(guó)防部等。

（2）關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單會(huì)公開嗎？

根據(jù)《意見》的規(guī)定，保護(hù)工作部門根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域關(guān)鍵信息基礎(chǔ)設(shè)施，及時(shí)將認(rèn)定結(jié)果通知相關(guān)設(shè)施運(yùn)營(yíng)者并報(bào)公安部……

由此可以得出的結(jié)論是，按照規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者自身必然會(huì)通過保護(hù)工作部門的通知而知悉自身的認(rèn)定結(jié)果，而保護(hù)工作部門有本行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單，公安部有各行業(yè)領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單。

但上述規(guī)定并未提及關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單是否公開。而從滴滴出行角度來看，如果不是本次被進(jìn)行網(wǎng)絡(luò)安全審查，我們也難以界定其具備關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的身份。而實(shí)際情況可能是，交通運(yùn)輸部已經(jīng)將滴滴出行認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者。

因此，結(jié)論呼之欲出，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的名單公示可能性小，至少短時(shí)間內(nèi)不會(huì)公開。

3.相關(guān)立法的最新動(dòng)態(tài)

根據(jù)《國(guó)務(wù)院辦公廳關(guān)于印發(fā)國(guó)務(wù)院2021年度立法工作計(jì)劃的通知》（國(guó)辦發(fā)〔2021〕21號(hào)），擬制定的行政法規(guī)中包含有《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》，該條例由網(wǎng)信辦、工信部、公安部組織起草?？深A(yù)見的是，作為《網(wǎng)絡(luò)安全法》配套的行政法規(guī)，《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的保護(hù)和規(guī)范將發(fā)揮重要作用，建議從業(yè)機(jī)構(gòu)高度關(guān)注該條例的立法進(jìn)展。

二、滴滴出行使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能出現(xiàn)了數(shù)據(jù)方面的安全問題

在關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者身份界定之外，另一個(gè)原因可能在于，滴滴出行使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)出現(xiàn)了數(shù)據(jù)方面的安全問題。在此先補(bǔ)充一點(diǎn)背景知識(shí)，《辦法》語境下的“網(wǎng)絡(luò)產(chǎn)品和服務(wù)”的具體所指，在《辦法》第二十條第二款作出了規(guī)定：

第二十條第二款 ?本辦法所稱網(wǎng)絡(luò)產(chǎn)品和服務(wù)主要指核心網(wǎng)絡(luò)設(shè)備、高性能計(jì)算機(jī)和服務(wù)器、大容量存儲(chǔ)設(shè)備、大型數(shù)據(jù)庫和應(yīng)用軟件、網(wǎng)絡(luò)安全設(shè)備、云計(jì)算服務(wù)，以及其他對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施安全有重要影響的網(wǎng)絡(luò)產(chǎn)品和服務(wù)。

對(duì)于第二個(gè)原因的推測(cè)理由，我們?cè)诖苏归_分析如下：

1.《公告》首句所采措辭為“為防范國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)”

滴滴出行因其業(yè)務(wù)需要而掌握了道路交通數(shù)據(jù)（測(cè)繪數(shù)據(jù)、車流人流數(shù)據(jù)、汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)等）等數(shù)據(jù)。2021年5月12日發(fā)布的《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》第三條[6]對(duì)汽車行業(yè)的重要數(shù)據(jù)進(jìn)行了界定。滴滴出行掌握的道路交通數(shù)據(jù)等，很可能屬于該規(guī)定界定的汽車行業(yè)的重要數(shù)據(jù)。如果該等數(shù)據(jù)出現(xiàn)了安全問題，其可能直接影響國(guó)家安全、公共利益和社會(huì)穩(wěn)定，如此便與公告所述的“防范國(guó)家數(shù)據(jù)安全”建立起對(duì)應(yīng)。

2.滴滴出行回應(yīng)稱“全面梳理和排查網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，持續(xù)完善網(wǎng)絡(luò)安全體系和技術(shù)能力”

據(jù)此，似乎可以反向推導(dǎo)出滴滴出行的網(wǎng)絡(luò)安全體系和技術(shù)能力仍有待完善，存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)甚至可能已經(jīng)出現(xiàn)了網(wǎng)絡(luò)安全事件。而在《辦法》語境下，網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能需要通過《辦法》第九條[7]來推測(cè)。雖然《辦法》第九條系對(duì)網(wǎng)絡(luò)安全審查時(shí)主要考量因素的規(guī)定，但切換角度來看，如果某企業(yè)觸發(fā)了網(wǎng)絡(luò)安全審查，很可能也是因?yàn)樵撈髽I(yè)就該等因素對(duì)應(yīng)的風(fēng)險(xiǎn)較高或者已然出現(xiàn)問題。

至此，新惑再起，《辦法》第九條規(guī)定了四種主要考慮因素及兜底規(guī)定，滴滴出行最有可能觸發(fā)了哪個(gè)考慮因素呢？

滴滴出行于2021年6月10日提交至美國(guó)證券交易委員會(huì)（SEC）的招股說明書中“風(fēng)險(xiǎn)因素”部分指出：

Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences. We receive, transmit and store a large volume of personally identifiable information and other data on our platform……[8]

結(jié)合前述第1項(xiàng)理由，我們初步分析并認(rèn)為，滴滴出行觸發(fā)可能性較高的是《辦法》第九條第一項(xiàng)規(guī)定的因素，即“產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)”。

Q4：網(wǎng)絡(luò)安全審查辦公室是誰？

此次發(fā)布《公告》的主體、對(duì)滴滴出行啟動(dòng)網(wǎng)絡(luò)安全審查的主體為網(wǎng)絡(luò)安全審查辦公室，但對(duì)于網(wǎng)絡(luò)安全審查辦公室的具體所指，以及該辦公室是依據(jù)什么而設(shè)置，可能多有疑問。

《辦法》第四條明確了網(wǎng)絡(luò)安全審查的工作機(jī)制和網(wǎng)絡(luò)安全審查辦公室的設(shè)置及其職責(zé)。其指出，網(wǎng)絡(luò)安全審查工作的最高領(lǐng)導(dǎo)機(jī)構(gòu)為中央網(wǎng)絡(luò)安全和信息化委員會(huì)，工作機(jī)制組成部門包括國(guó)家網(wǎng)信辦、發(fā)改委、工信部、公安部、國(guó)安部、財(cái)政部、商務(wù)部、中國(guó)人民銀行、國(guó)家市場(chǎng)監(jiān)管總局、國(guó)家廣播電視總局、國(guó)家保密局、國(guó)家密碼局?？梢哉f，網(wǎng)絡(luò)安全審查工作機(jī)制涉及的有關(guān)部門基本涵蓋了與網(wǎng)絡(luò)安全密切相關(guān)的國(guó)家各重要管理部門。

其還指出，“網(wǎng)絡(luò)安全審查辦公室設(shè)在國(guó)家互聯(lián)網(wǎng)信息辦公室，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范，組織網(wǎng)絡(luò)安全審查?！本W(wǎng)絡(luò)安全審查辦公室設(shè)置在國(guó)家網(wǎng)信辦，有利于網(wǎng)絡(luò)安全審查工作的常態(tài)化和有效運(yùn)行。就具體工作職責(zé)而言，負(fù)責(zé)制定網(wǎng)絡(luò)安全審查相關(guān)制度規(guī)范、組織網(wǎng)絡(luò)安全審查，基本涵蓋了網(wǎng)絡(luò)安全審查的主要工作職責(zé)。

圖5 網(wǎng)絡(luò)安全審查工作機(jī)制圖解

因此，網(wǎng)絡(luò)安全審查辦公室對(duì)滴滴出行開展網(wǎng)絡(luò)安全審查，系在其法定職責(zé)范圍內(nèi)組織開展審查工作。

在此延伸一個(gè)問題，網(wǎng)絡(luò)安全審查辦公室負(fù)責(zé)組織開展工作，那么具體網(wǎng)絡(luò)安全審查工作由誰來做？

《辦法》答記者問時(shí)，國(guó)家網(wǎng)信辦有關(guān)負(fù)責(zé)人給出了答案，其指出“具體工作委托中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心承擔(dān)。中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，承擔(dān)接收申報(bào)材料、對(duì)申報(bào)材料進(jìn)行形式審查、具體組織審查工作等任務(wù)。”

Q5：網(wǎng)絡(luò)安全審查主要審查哪些內(nèi)容？

前面我們提到，《辦法》第九條規(guī)定了網(wǎng)絡(luò)安全審查的主要考量因素。我們來全面、具體地看一下這些因素：

為方便理解，我們基于與《辦法（征求意見稿）》的對(duì)比角度進(jìn)行解讀。相較于《辦法（征求意見稿）》第十條，《辦法》第九條：

1. 刪去了“對(duì)國(guó)防軍工、關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)技術(shù)和產(chǎn)業(yè)的影響”和“產(chǎn)品和服務(wù)提供者受外國(guó)政府資助、控制等情況”；

2. 新增了“產(chǎn)品和服務(wù)……來源的多樣性，供應(yīng)渠道的可靠性”的要求；

3. 將“產(chǎn)品和服務(wù)提供者遵守國(guó)家法律與行政法規(guī)情況”擴(kuò)張至“產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況”。

由此可以看出，《辦法》刪去了部分可能產(chǎn)生爭(zhēng)議的審查因素，正如國(guó)家互聯(lián)網(wǎng)信息辦公室有關(guān)負(fù)責(zé)人就《辦法》相關(guān)問題答記者問時(shí)指出，網(wǎng)絡(luò)安全審查的目的是維護(hù)國(guó)家網(wǎng)絡(luò)安全，不是要限制或歧視國(guó)外產(chǎn)品和服務(wù)；《辦法》進(jìn)一步強(qiáng)化了對(duì)供應(yīng)鏈安全的要求，有助于在新形勢(shì)下更好地維護(hù)網(wǎng)絡(luò)安全和國(guó)家安全。

Q6：網(wǎng)絡(luò)安全審查程序如何？

該問題可從網(wǎng)絡(luò)安全審查的啟動(dòng)方式、審查的流程和時(shí)間兩方面進(jìn)行解答：

一、網(wǎng)絡(luò)安全審查的啟動(dòng)方式

網(wǎng)絡(luò)安全審查的啟動(dòng)分為報(bào)請(qǐng)審查和依職權(quán)啟動(dòng)審查兩種方式，具體如下：

《公告》未體現(xiàn)出滴滴出行申請(qǐng)進(jìn)行網(wǎng)絡(luò)審查的相關(guān)信息，結(jié)合《公告》的表述，可以推測(cè)出，本次對(duì)滴滴出行進(jìn)行網(wǎng)絡(luò)安全審查，系依職權(quán)啟動(dòng)審查。

二、審查流程和時(shí)間

根據(jù)審查啟動(dòng)方式的不同，在審查流程和時(shí)間方面亦有區(qū)分，具體如下：

1.報(bào)請(qǐng)審查情形下的審查流程和時(shí)間

圖6 報(bào)請(qǐng)審查情形下的審查流程和時(shí)間圖解

2.依職權(quán)啟動(dòng)審查情形下的審查流程和時(shí)間

圖7 依職權(quán)啟動(dòng)審查情形下的審查流程和時(shí)間圖解

3.滴滴出行被審查的可能時(shí)間

雖有審查流程和時(shí)間示意圖，或有的問題仍然存在，就滴滴出行此次審查個(gè)案而言，審查時(shí)間可能為多久？

對(duì)此，我們理解，作為《辦法》施行后的首次網(wǎng)絡(luò)安全審查，其最快需要45個(gè)工作日，如果適用情況復(fù)雜的延長(zhǎng)時(shí)限要求，需要45+15，共計(jì)60個(gè)工作日的審查時(shí)間。

此外，不排除其進(jìn)入特別審查程序的可能性，如果進(jìn)入特別審查程序，其可能那就是在60個(gè)工作日的基礎(chǔ)上，再加45個(gè)工作日，即“45+15+45”，共計(jì)105個(gè)工作日。當(dāng)然，105個(gè)工作日并非最長(zhǎng)時(shí)限，在特別審查程序中，情況復(fù)雜的可以適當(dāng)延長(zhǎng)。

綜合來說，滴滴出行被審查的可能時(shí)間為，最快45個(gè)工作日，可能需要60個(gè)工作日，不排除需要105個(gè)工作日的可能性，甚至還可能超過105個(gè)工作日。

Q7：等待滴滴出行的后果可能是什么？

《辦法》第十九條援引至《網(wǎng)安法》第六十五條，系相關(guān)的法律責(zé)任條款，具體如下：

《辦法》第十九條 ?運(yùn)營(yíng)者違反本辦法規(guī)定的，依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第六十五條的規(guī)定處理。

《網(wǎng)安法》第六十五條 ?關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者違反本法第三十五條規(guī)定，使用未經(jīng)安全審查或者安全審查未通過的網(wǎng)絡(luò)產(chǎn)品或者服務(wù)的，由有關(guān)主管部門責(zé)令停止使用，處采購金額一倍以上十倍以下罰款；對(duì)直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處一萬元以上十萬元以下罰款。

因此，如若切實(shí)違反《辦法》規(guī)定，等待滴滴出行的很可能是責(zé)令停止使用相關(guān)網(wǎng)絡(luò)產(chǎn)品或服務(wù)，被責(zé)令停止使用，對(duì)滴滴出行、直接負(fù)責(zé)的主管人員和其他直接責(zé)任人員處以罰款。此外，不排除適用《國(guó)安法》規(guī)定的更嚴(yán)格的法律責(zé)任的可能性。

Q8：滴滴出行被審查會(huì)是個(gè)案嗎？

先說答案：絕非個(gè)案。何以如此肯定，原因有二：

其一，有法可依。從《網(wǎng)安法》到《辦法》，上位法和實(shí)施細(xì)則均已配置完善，開展網(wǎng)絡(luò)安全審查具備明確、具體的法律依據(jù)。

其二，有例可循。螞蟻集團(tuán)被金融管理部門聯(lián)合約談并被要求整改，引起社會(huì)廣泛關(guān)注和討論，但螞蟻集團(tuán)是“出頭鳥”，卻不會(huì)是“冤大頭”。果不其然，后續(xù)金融監(jiān)管部門聯(lián)合約談從事金融業(yè)務(wù)的十三家網(wǎng)絡(luò)平臺(tái)并對(duì)其提出整改要求。

可以肯定地說，滴滴出行被進(jìn)行網(wǎng)絡(luò)安全審查，是第一例，但絕不會(huì)是最后一例。網(wǎng)絡(luò)安全審查之風(fēng)，已然刮起。

迎風(fēng)而上 順風(fēng)而治

滴滴出行被進(jìn)行網(wǎng)絡(luò)安全審查，正式拉開了《辦法》生效后我國(guó)網(wǎng)絡(luò)安全審查工作的大幕?？赡鼙徽J(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的從業(yè)機(jī)構(gòu)們，不能僅僅默默“吃瓜”，不然終會(huì)“吃瓜吃到自己身上”。該等機(jī)構(gòu)需要嚴(yán)格對(duì)照《網(wǎng)安法》和《辦法》的規(guī)定，立刻開展合規(guī)工作，全面排查準(zhǔn)備采購和已經(jīng)使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)，需要報(bào)請(qǐng)網(wǎng)絡(luò)安全審查的及時(shí)申報(bào)，需要停止使用的及時(shí)停止使用并做好更換安排，是為，既要迎風(fēng)而上，又要順風(fēng)而治。

特別補(bǔ)充提示的是，《網(wǎng)安法》確定了網(wǎng)絡(luò)安全審查制度，即將于2021年9月1日生效的《數(shù)據(jù)安全法》確定了數(shù)據(jù)安全審查制度。而依法作出的數(shù)據(jù)安全審查決定為最終決定，意味著數(shù)據(jù)安全審查的決定一經(jīng)作出即告生效，不會(huì)進(jìn)入行政復(fù)議或行政訴訟程序。數(shù)據(jù)安全審查，從業(yè)機(jī)構(gòu)們亦應(yīng)予以高度關(guān)注，在數(shù)據(jù)安全審查制度的配套立法出臺(tái)后，及時(shí)開展合規(guī)安排。

注釋：

[1] 作者均供職于金誠(chéng)同達(dá)律師事務(wù)所，同時(shí)系Shairk INT團(tuán)隊(duì)成員，主要業(yè)務(wù)領(lǐng)域包括網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)、金融科技、公司治理與合規(guī)、爭(zhēng)議解決。

[2]?網(wǎng)絡(luò)安全審查辦公室：《網(wǎng)絡(luò)安全審查辦公室關(guān)于對(duì)“滴滴出行”啟動(dòng)網(wǎng)絡(luò)安全審查的公告》，載http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm，最后訪問時(shí)間為2021年7月3日。

[3]?券商中國(guó)：《突發(fā)！滴滴遭網(wǎng)絡(luò)安全審查股價(jià)一度跌逾10%最新回應(yīng)來了》，載https://mp.weixin.qq.com/s/WWRbbzlX88h-ubuKHcACkw，最后訪問時(shí)間為2021年7月3日。

[4]?參見前引3。

[5] 中國(guó)網(wǎng)信網(wǎng)：《<網(wǎng)絡(luò)安全審查辦法>答記者問》，載http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm，最后訪問時(shí)間為2021年7月3日。

[6] 《汽車數(shù)據(jù)安全管理若干規(guī)定（征求意見稿）》第三條規(guī)定：……本規(guī)定所稱重要數(shù)據(jù)包括：（一）軍事管理區(qū)、國(guó)防科工等涉及國(guó)家秘密的單位、縣級(jí)以上黨政機(jī)關(guān)等重要敏感區(qū)域的人流車流數(shù)據(jù)；（二）高于國(guó)家公開發(fā)布地圖精度的測(cè)繪數(shù)據(jù)；（三）汽車充電網(wǎng)的運(yùn)行數(shù)據(jù)；（四）道路上車輛類型、車輛流量等數(shù)據(jù)；（五）包含人臉、聲音、車牌等的車外音視頻數(shù)據(jù)；（六）國(guó)家網(wǎng)信部門和國(guó)務(wù)院有關(guān)部門明確的其他可能影響國(guó)家安全、公共利益的數(shù)據(jù)。

[7]《辦法》第九條規(guī)定：網(wǎng)絡(luò)安全審查重點(diǎn)評(píng)估采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)可能帶來的國(guó)家安全風(fēng)險(xiǎn)，主要考慮以下因素：（一）產(chǎn)品和服務(wù)使用后帶來的關(guān)鍵信息基礎(chǔ)設(shè)施被非法控制、遭受干擾或破壞，以及重要數(shù)據(jù)被竊取、泄露、毀損的風(fēng)險(xiǎn)；（二）產(chǎn)品和服務(wù)供應(yīng)中斷對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施業(yè)務(wù)連續(xù)性的危害；（三）產(chǎn)品和服務(wù)的安全性、開放性、透明性、來源的多樣性，供應(yīng)渠道的可靠性以及因?yàn)檎巍⑼饨?、貿(mào)易等因素導(dǎo)致供應(yīng)中斷的風(fēng)險(xiǎn)；（四）產(chǎn)品和服務(wù)提供者遵守中國(guó)法律、行政法規(guī)、部門規(guī)章情況；（五）其他可能危害關(guān)鍵信息基礎(chǔ)設(shè)施安全和國(guó)家安全的因素。

[8] 《滴滴出行招股說明書》，載https://www.sec.gov/Archives/edgar/data/1764757/000104746921001194/a2243272zf-1.htm#da10201_risk_factors，最后訪問時(shí)間為2021年7月3日。

來源：金誠(chéng)同達(dá)

特別聲明：以上文章內(nèi)容僅代表作者本人觀點(diǎn)，不代表ESG跨境電商觀點(diǎn)或立場(chǎng)。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。