一、事件聚焦

2021年7月2日，網絡安全審查辦公室在國家網信辦官網發布公告，宣布將對滴滴出行啟動網絡安全審查，並要求為配合網絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。7月5日，網絡安全審查辦公室宣布對“運滿滿”“貨車幫”“BOSS直聘”等開展實施網絡安全審查，以上三款APP也被要求停止新用戶注冊。據悉，自2020年4月，國家互聯網信息辦公室等12部門聯合制定的《網絡安全審查辦法》發布以來，“滴滴出行”觸發網絡安全審查程序屬全國首例。國家執法部門接連對互聯網企業啟動網絡安全審查，是當前境內外復雜環境下，維護國家安全、網絡安全、數據安全的重要舉措，彰顯了國家執法部門嚴格監管的態度與決心，為互聯網企業敲響了合規發展的警鐘。  2021年7月6日，中共中央辦公廳、國務院辦公廳印發了《關於依法從嚴打擊証券違法活動的意見》，意見對數據安全、跨境數據流動、涉密信息管理等相關法律法規的完善提出了要求。同時提出了抓緊修訂關於壓實境外上市公司信息安全主體保密責任，加強跨境信息提供機制與流程的規范管理的工作意見。由此可見，國家安全、網絡安全、數據安全已成為數字經濟時代國家的重要戰略任務，同時境外上市公司信息安全主體保密責任也成為未來監管執法的新重點。

二、網絡安全審查的重點問題審視

國家安全是國家生存和發展的重要基石。網絡安全恰恰是國家安全工作中重要且不可或缺的一環。《國家安全法》《網絡安全法》均規定，國家應當建立安全審查制度，就影響國家安全的重大事項和活動進行審查。2020年4月13日，多部委以《國家安全法》《網絡安全法》為依據，聯合發布《網絡安全審查辦法》（以下簡稱該《辦法》，該辦法已於2020年6月1日生效），對網絡安全審查對象、程序、內容等進行了詳細的規定。此次網絡安全審查辦公室按照《網絡安全審查辦法》對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”等企業開展網絡安全審查是我國網絡安全審查制度的具體實踐。

網絡安全審查流程示意圖

（一）審查對象：關系國家安全的關鍵信息基礎設施運營者

網絡安全審查針對關鍵信息基礎設施運營者。根據《網絡安全審查辦法》的規定，關鍵信息基礎設施運營者（以下簡稱運營者）採購網絡產品和服務，影響或可能影響國家安全的，應當按照該辦法進行網絡安全審查。該辦法還規定，關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。國家互聯網信息辦公室相關負責人答記者問時指出，根據中央網絡安全和信息化委員會《關於關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在採購網絡產品和服務時，應當按照辦法的要求考慮申報網絡安全審查。上述行業領域關乎國計民生、社會公共利益、國家安全，對此類運營者開展網絡安全審查是維護國家安全的應有之義。滴滴、運滿滿、貨車幫等網絡平台，在提供相關服務時其網絡系統不可避免地會收集、使用、傳輸交通運輸數據和地圖數據等重要數據。此次事件顯示，相關網絡平台已被納入關鍵信息基礎設施運營者的考察范疇。

（二）審查內容：數據安全是審查重點之一

網絡安全審查重點評估採購網絡產品和服務可能帶來的國家安全風險，主要包括關鍵信息基礎設施的安全性、數據安全及業務中斷可能性（供應鏈安全等）等多個方面。數據安全是重點方面之一，主要考慮產品和服務使用后帶來的重要數據被竊取、泄露、毀損等方面可能存在的風險。數字經濟時代，數據已然成為國家重要的戰略資源，數據對於國家安全與發展的意義不言而喻，數據安全是國家安全保障工作的重要方面，其中重要數據的安全更是重中之重。隨著網絡科技的高速發展，互聯網企業將掌握越來越多的個人信息、商業信息、甚至是國家核心數據等。隨著企業手中掌握的數據類型和量級的不斷積累和提升，其作為營利組織將具有公共機構的性質，與行政主體共性漸多，若不對其“權力”加以約束，企業將能影響個人、社會發展甚至是整個國家安全與穩定。在此種背景下，數據安全的地位更顯得極為特殊。滴滴、運滿滿、貨車幫等在提供服務時，處理的數據多涉及交通運輸、國家地圖等，以上數據屬於關系到國家安全、經濟發展、社會公共利益的重要數據。根據《數據安全法》（2021年9月1日生效）的規定，應當根據數據在經濟社會發展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權益造成的危害程度，對數據實行分類分級保護。所以，針對重要數據，應當加以特別保護。在數據出境方面，重要數據的安全性更為重要。《網絡安全法》第37條規定，原則上關鍵信息基礎設施運營者所收集的個人信息與重要數據應在境內存儲﹔確有需要的，應當根據相關規定進行安全評估。

三、發展趨勢

（一）數據安全是國家未來安全治理的重點關注問題

近年來，數據資源日益成為世界各國爭先搶佔的戰略要地，數據爭奪戰已經打響。在形勢日益嚴峻的背景之下，相關部門加快構建數據安全網絡，數據安全成為國家安全治理的重點關注問題。數據安全成為國家安全的重點，不僅僅是因為數據主權問題，還因為大數據時代海量的數據高度集中，加大了數據泄露的風險。而數據一旦泄露，將對經濟社會、國家安全產生重要的影響。為此，保障數據安全成為維護國家安全的重要內容。未來，網絡安全、數據安全審查態勢將更加嚴格化。

（二）數據本地化存儲日益成為數據安全重要監管方向

數據本地化存儲是數據主權的重要體現。如今，數據主權爭奪戰日益激烈，縱觀全球，美國、歐盟等均將數據本地化作為立法與司法的重要考量。例如美國《澄清合法域外使用數據法》(簡稱CLOUDAct)授權美國監管、執法等部門通過國內法律程序調取美國公司儲存在境外的數據，同時也允許其認可的“適格的外國政府”向美國公司調取數據用於偵查執法。但前提是這些國家必須放棄數據本地化的要求。這無疑體現了美國希冀於在數據主權領域率先控制話語權，試圖通過設定標准控制外國企業將數據存儲於美國。歐盟也通過GDPR設立了嚴格的數據出境限制，其特色規定“長臂管轄”，將管轄原則擴展為“影響主義原則”，這意味著在實踐中任何向歐盟居民提供商品或服務的企業都將受制於GDPR，無論是否位於歐盟境內，是否使用境內設備。GDPR因而成為了事實上的世界性法律，意圖於歐盟市場的企業均需遵循相關標准。面對激烈的數據主權爭奪，赴美上市的相關企業更應牢牢守住“重要數據”紅線，以國家安全為首位，同時實現創造自身經濟利益。

（三）數據合規是企業未來健康發展的重要賽道

從2015年《國家安全法》頒布施行到2017年《網絡安全法》生效，再到2021年《數據安全法》公布，我國正在形成一個全面規范網絡安全保護、數據安全保護、個人信息安全保護的基礎法律體系。同時，網絡安全、數據安全、個人信息安全規范、標准不斷發布，保護體系持續完善細化。

近年來，在執法層面，國家有關部門持續開展APP專項治理行動，執法力度不斷增強。國家對企業的監管重心正在向企業數據合規、個人信息保護等方面轉移，並且監管趨勢正在向著監管執法主動化、監管主體措施多樣化、整改手段嚴格化的方向發展。在如此的嚴格監管態勢下，數據合規成為企業合規發展的首要問題。因此，企業應加強內外部管理，健全相關制度，在保証企業合規的前提下實現效能最大化。

四、合規方向指引

（一）個人信息出境告知義務

我國相關規定明令禁止個人信息未經個人信息主體同意即出境。企業應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區並經個人信息主體同意。同時企業還應將網絡運營者的聯系人及其聯系方式等信息明確告知個人信息主體。

（二）數據出境安全評估義務

《網絡安全法》明確要求關鍵信息基礎設施的運營者收集和產生的個人信息和重要數據應當做到數據本地化。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。企業在收集個人信息時應針對需要出境的個人信息的數量、范圍、類型、敏感程度，以及個人信息主體是否同意其個人信息出境等內容進行詳細分類以應對數據出境安全評估的需要。同時，企業應及時了解本行業主管部門有關重要數據的規定及更新，對相關重要數據分類備案，一旦需要跨境傳輸，及時加工處理以滿足安全評估的要求。

（三）安全自評估報告保存義務

企業在完成數據安全自評估后，應形成安全自評估報告。內容包括評估對象的基本情況、安全自評估組織實施情況、評估結果、數據安全風險點、檢查修正建議等，並根據法規標准，將安全自評估報告上報行業主管部門。行業主管部門不明確的，上報國家網信部門。若企業在數據出境之前未啟動安全自評估，或者未保存至少兩年的自評估報告並上交主管部門，則可能面臨處罰。

（四）數據信息收集符合合法正當必要原則

數據合法收集是近年來企業數據合規的首要問題。《民法典》採取了個人信息收集的擇入機制，即對收人信息的前置程序作出了明確規定，要求在收集前充分告知相應自然人處理個人信息的一切事項，並取得自然人的同意。具體來說，收集個人信息必須經過自然人的同意，對外公開其處理個人信息的規則，同時也要明確告知處理個人信的目的、方式和范圍。此外，企業在收集用戶個人信息時應注意避免違規私自收集、過度收集、超范圍收集用戶數據信息。如未經用戶同意自動開啟收集地理位置、身份証號、人臉、指紋、讀取通訊錄、使用攝像頭、啟用錄音等功能以及與服務無關的功能。網絡運營者應在隱私政策中詳細列舉收集和使用個人信息的業務功能，所收集的個人信息類型。收集個人生物識別信息等敏感信息時，應在顯著位置明示告知，專門提醒個人信息主體此次收集活動涉及的信息，並說明處理目的、處理規則。

（五）其他數據安全保護義務

企業應建立健全全流程數據安全管理制度，組織開展數據安全教育培訓，採取相應的技術措施和其他必要措施，保障數據安全。重要數據的處理者應當明確數據安全負責人和管理機構，落實數據安全保護責任。企業在開展數據處理活動中應當加強風險監測，發現數據安全缺陷、漏洞等風險時，應當立即採取補救措施。若發生數據安全事件時，應當立即採取處置措施，按照規定及時告知用戶並向有關主管部門報告。根據法律、行政法規規定，提供數據處理相關服務應當取得電信增值業務經營許可等行政許可。

附表：關鍵信息基礎設施的認定指引

根據有關規定，對關鍵信息基礎設施的認定可以從關鍵行業、關鍵業務和關鍵設備等方面進行綜合考量。當然，認定關鍵信息基礎設施的重點是基於業務場景動態識別，也有可能存在原先的關鍵信息或關鍵設施更迭而變為非關鍵信息、非關鍵設施。因此，關鍵信息基礎設施的識別判斷要做到動態識別、持續更新。

本文由北京德恆律師事務所合伙人、律師張韜律師提供，如轉發請注明。