“對滴滴審查的重點是重要數據的出境安全風險”

南方周末記者 羅歡歡

2021年7月9日，網信辦下架了與滴滴相關的25款App。

IC?photo　?圖

2021年7月2日，在滴滴赴美上市的第三天，網信辦公告對滴滴進行網絡安全審查。

IC?photo　?圖

緊隨滴滴，2021年7月5日，運滿滿、貨運幫、BOSS直聘被實施網絡安全審查，它們都是6月赴美上市的企業。

IC?photo　?圖

★網信辦、發改委、工信部、公安部等十二家機關單位中任何一家認為有危害國家安全的風險，都可以按程序報批后啟動網絡安全審查。

“我認為這次審查主要關注的是，重要數據和公民個人信息的出境安全風險。”

從根本上來看，這次修訂是為了落實數據安全法的要求，建立國家的數據安全審查制度。

2021年7月2日，國家網信辦官網公告稱，“為防范國家數據安全風險，對‘滴滴出行實施網絡安全審查”。為配合網絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。

這是2020年6月《網絡安全審查辦法》實施以來，網信辦首次公開對某一家企業進行網絡安全審查。這也是滴滴（股票代碼NYSE：DIDI）在美股上市的第三天，受此消息影響，股價一度下跌超過8%。

7月9日，網信辦發布通告稱，“滴滴企業版”等25款App存在嚴重違法違規收集使用個人信息問題，要求在應用商店下架，同時各網站、平臺不得為這25款應用提供訪問和下載服務。

次日，國家網信辦對外公布了《網絡安全審查辦法（修訂草案征求意見稿）》（以下簡稱修訂案），公開向社會征集意見。

修訂案在多方面進行了重要調整。例如，對比過去僅要求“關鍵基礎設施運營者”申報，新增了“數據處理者”也要申報。工作機制成員單位，增加了中國證監會。

更重要的是，對赴境外上市公司的審查提出了新要求：要求掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。在申報材料中，新增要求提供擬提交的IPO材料等。

在審查內容上，針對國外上市公司新增兩條：一是核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險；二是國外上市后關鍵信息基礎設施，核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。

預備在海外上市的公司申報審查材料后，網絡安全審查辦公室會在10個工作日內確定是否需要審查并書面通知運營者。此次修訂案對特別審查程序的審查時間進行了修改，由過去的“45個工作日”改為“三個月內完成”。

為何在這個時間點啟動對滴滴的調查？《網絡安全審查辦法》的修訂案制定思路如何？　網信辦的一系列動作釋放了哪些信號？

南方周末記者就這些問題專訪了中國信息安全研究院副院長左曉棟，他曾參與過多部網絡安全重大政策法規的研究起草工作。

十二家機關單位可啟動網絡安全審查

南方周末：這是《網絡安全審查辦法》實施以來，首次對企業進行網絡安全審查嗎？

左曉棟：早在《網絡安全審查辦法》出臺之前，2017年5月已經印發了《網絡產品和服務安全審查辦法（試行）》，從2017年6月1日開始試行。

《網絡安全審查辦法》頒布之前，這個試行辦法已經試行了三年之久。《網絡安全審查辦法》出臺至今，正式實施也已經一年之久。四年里，這絕對不會是第一次對企業進行網絡安全審查。據我所知，之前也有企業進行過網絡安全審查。

南方周末：什么情況下會對企業啟動網絡安全審查？

左曉棟：對這個事情有很多猜測，其中一個說法是按照《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。大家都猜測，滴滴是不是關鍵性基礎設施？為什么要對它進行審查？　實際上，這個理解是不全面的。

我舉個最極端的例子，假如有一款產品存在著很大的安全隱患，使用的時候可能會嚴重危害國家安全，難道這款產品就沒人可以管它了嗎？非得等著哪個關鍵基礎設施的運營者去采購的時候，再通過程序進入網絡安全審查嗎？　顯然不可能。

事實上，《網絡安全審查辦法》第十五條就明確規定，網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。

南方周末：網絡安全審查工作機制成員單位有哪些單位？

左曉棟：由國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。

也就是說，這十二家機關單位中任何一家認為有危害國家安全的風險，都可以按程序報批后啟動網絡安全審查。

關注信息出境的安全風險

南方周末：網絡安全審查的內容是什么？會對企業哪些情況進行審查？

左曉棟：只要這個產品和服務可能對國家安全帶來風險，都有可能要接受審查。至于產品和服務提供商是國內還是國外，是一視同仁的。只要可能會為中國網絡安全帶來嚴重風險，按照文件規定都應該接受審查。

網絡安全審查重點評估關鍵信息基礎設施運營者，采購網絡產品和服務可能帶來的國家安全風險。包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規、部門規章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

南方周末：網絡安全審查辦公室是一個什么樣的機構？

左曉棟：網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。

南方周末：按照審查辦法規定，網絡安全審查工作是否由中國網絡安全審查技術與認證中心承擔？

左曉棟：根據審查辦法，網絡安全審查辦公室設在國家互聯網信息辦公室，具體工作委托中國網絡安全審查技術與認證中心承擔。

中國網絡安全審查技術與認證中心只是網絡安全審查的技術支持單位，它的上級主管單位是國家市場監管總局。由于承擔的是技術支撐工作，所以，名字是網絡安全審查技術與認證中心，而不是網絡安全審查與認證中心。

南方周末：為什么要停止新用戶注冊？

左曉棟：我認為這次審查主要關注的是，重要數據和公民個人信息的出境安全風險。停止新用戶注冊，我認為是對這個數據進行保護的一個措施。

建立國家數據安全審查制度

南方周末：7月10日，《網絡安全審查辦法》修訂案開始征求意見，結合近日滴滴等企業接受網絡安全審查的消息，該如何理解該辦法修訂的背景？

左曉棟：《網絡安全審查辦法》的修訂，發生在對滴滴等赴美上市企業審查期間，且其條款針對國外上市作了明確規定，所以大家很容易將這兩件事關聯起來。

但從更深層次上理解，這些相關上市要求條款是在落實最近中辦、國辦印發的《關于依法從嚴打擊證券違法活動的意見》，文件要求“加強跨境監管合作。完善數據安全、跨境數據流動、涉密信息管理等相關法律法規”。

從根本上來看，這次修訂是為了落實《中華人民共和國數據安全法》第二十四條的要求，該條提出國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查。

《中華人民共和國數據安全法》將在2021年9月1日實施，此次審查辦法的修訂，表明數據安全法進入實施前緊鑼密鼓的準備階段，法律中設立的重大制度將逐步通過法規和細則予以落實。

南方周末：這次審查辦法的修訂是否意味著，網絡安全審查制度和數據安全審查制度合并實施了？

左曉棟：網絡安全審查制度和數據安全審查制度的關系，這需要權威部門給出解讀。但至少有以下幾點是明確的：

（1）網絡安全審查辦法的修訂，主要針對的是數據處理活動帶來的國家安全風險，這是數據安全法中數據安全審查制度的立法宗旨。

（2）網絡安全和數據安全不可能絕對剝離，且很多網絡安全風險來自數據處理活動，網絡安全審查制度天然應當包括對數據處理活動的審查。

（3）在國家已經建立了整套網絡安全審查制度的前提下，不太可能也沒有必要另起爐灶重新建立一個數據安全審查辦公室、重新指定技術支撐機構。

當然，數據安全審查制度的建立是一個需要不斷探索的過程，這次修訂審查辦法只是一個開頭，相信這個制度會不斷健全完善。

“100萬主要考慮的是社會影響”

南方周末：對滴滴等企業審查在前，審查辦法修訂在后，且數據安全法還沒有生效，社會上為此對審查的法律依據有些疑問。您對此如何評價？

左曉棟：滴滴被審查之初，的確很多人猜測是因為滴滴被列為關鍵信息基礎設施。因為網絡安全審查的啟動條件是關鍵信息基礎設施運營者采購產品和服務時可能影響國家安全。甚至為此還引發了很多“陰謀論”。

事實上，這與滴滴是否被列為關基沒有必然關系，因為網絡安全審查的啟動還有第二種條件，即網絡安全審查機制成員單位認為網絡產品和服務可能影響國家安全。

因此，對滴滴等企業啟動安全審查，法律依據是充分的。

不同的是，滴滴等這些企業存在的網絡安全風險，主要是數據安全風險，且因企業赴美上市而引發。因此舉一反三，盡快建立我國數據安全審查制度，針對企業海外上市等特殊場景明確制度細則，就成了當務之急。

數據安全法的確還沒有生效，但審查辦法的修訂也有一個過程，修訂完成開始實施一定會和數據安全法的生效日期保持協調，也就是2021年9月1日。

南方周末：什么樣的企業是“數據處理者”？修訂案通過后，對目前已經在境外上市的互聯網企業是否會產生影響？它們是否會納入網絡安全審查范圍？

左曉棟：應當從數據安全法的實施范圍出發去理解“數據處理者”。數據安全法規定，數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。

所有涉及數據處理活動的主體，只要影響或可能影響國家安全，都應當接受數據安全審查。從這個角度而言，修訂后的網絡安全審查辦法的規范對象較廣。

審查辦法的修訂稿實施后，哪些企業需要補充申報網絡安全審查，或者主動提起網站安全審查，需要等待政策進一步的規定。

我認為，從現在起所有的數據處理者，特別是掌握了大量個人信息數據的基礎互聯網服務企業，要自行組織或者委托專業機構對本企業數據處理的合規性，特別是數據處理是否可能影響國家安全，抓緊開展自評估。

南方周末：新增的第六條“掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查”，這里面100萬用戶的門檻并不高，是否意味著所有赴國外上市的企業都需要接受網絡安全審查？

左曉棟：100萬的確不是一個高門檻，但是從企業經營角度來講，可能規模很大了才能上市，所以用戶不會只是100萬。

但是，從個人信息保護的角度而言，如果處理不當，100萬用戶也是很大一個群體。所以說這個門檻是相對合適的。

這是綜合考慮了我國互聯網產業發展的實際情況、批量個人信息泄露后對國家安全、公共利益帶來的影響而確定的標準，主要考慮的是社會影響。

南方周末：特別審查程序從之前的45個工作日改為了3個月內完成，相當于在過去的基礎上增加了1個月時間。這是否意味著審查程序會比過去更為復雜？

左曉棟：審查辦法修訂后，需要審查的情形增多，有的比較復雜，例如在國外上市這種情況。這次審查機制成員單位增加了證監會，針對的也是這類情況。

因此，特別審查程序的時間需要適當延長。當然，出于效率的考慮，常規審查程序的時長沒有變化。