其他
鱼跃法评丨大江东去浪淘尽——新《网络安全审查办法》草案与滴滴事件的启示
点击蓝字 • 关注我们
编者按 / /
自滴滴于6月30日低调赴美上市以来,相关事件和报道纷至沓来,但大都是捕风捉影的无稽之谈,从法律方面分析的文章甚少。本文由鱼跃法学团队经济法方向的小编新作,作者就读于中国人民大学法学院经济法专业,对滴滴事件中的法律问题进行了梳理和点评。对于企业而言,应当做好数据合规相关工作,重视网络安全审查中的“穿透式监管”,坚持法治精神,至关重要。
2021年7月2日,网络安全审查办公室公布对“滴滴出行”启动网络安全审查的公告,并告知为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。7月4日,网络安全审查办公室发出通报,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在问题,切实保障广大用户个人信息安全。该审查表明滴滴可能在网络安全运行与安全信息保护方面存在安全隐患。网络安全审查办公室的审查依据之一便是《网络安全法》,这提醒我们要更加深入地去认识这部法律。
一
立法背景
随着信息技术不断发展,互联网在开拓人类生活新空间的同时,也拓展了国家治理领域。自1969年诞生的互联网距今不过50多年,与之伴随的网络空间国家主权更是21世纪的新概念。但生活在当下的我们,早已深刻地意识到信息利用的重要性与数据保护的必要性。2016年12月,国家互联网信息办公室发布了《国家网络空间安全战略》。该战略明确了推进网络空间和平、安全、开放、合作、有序的目标以及尊重维护网络空间主权、和平利用网络空间、依法治理网络空间、统筹网络安全与发展四项基本原则,阐明了网络空间治理的基调。同年11月制定的《网络安全法》正是在这样的理念指导下应运而生。《网络安全法》融合了事前预防与事后惩治相结合,民事、行政、刑事等多种手段相结合的治理理念,规定了国家、网络平台、公民等多方主体的权利义务。由于网络平台向上承载国家战略,向下服务公民权利,是《网络安全法》的重点规制对象,今天就让小编带大家一起浏览企业在《网络安全法》中的权利和义务,观察滴滴平台究竟可能触犯了哪些规定。
二
法律规定
(一)总体规定
《网络安全法》共设有7章,第一章总则部分介绍国家网络治理的方针原则和管辖范围。该法既调整在中华人民共和国境内建设、运营、维护和使用网络及安全监管的行为(第2条),也明确对来源于中华人民共和国境外的网络安全风险和威胁的管辖(第5条)。此外,总则部分对网络空间各主体的基本权力与义务做了概括性的规定。第二章网络安全支持与促进部分主要赋予了政府机关网络安全防控治理的权力与责任。第三章网络运行安全与第四章网络信息安全主要设定了网络运营者的权利与义务,也是本文的重点内容,两部分从运行、信息两个方面对网络运营者的安全保障义务、信息披露义务等义务做了详细规定,并根据其对网络安全的潜在风险不同,区分设置了不同的义务。第五章监测预警与应急处置部分立足于重大风险的事先防控与应急处理。第六章法律责任使得本法有了更多的操作性和威慑力,网络空间法律规范体系正逐渐完善。
(二)运行安全网络安全,是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。前者主要针对网络运行安全,后一部分则是指网络信息安全,网络运营者在这两方面应当承担更大的责任。
1.一般义务网络运营者的运行安全保障义务依照所用基础设施的不同,区分为一般义务和关键信息基础设施的运行安全保障义务。一般网络运营主要履行的义务包括:◎安全性:(1)采取安全保障技术措施[21条];(2)数据分类保护[21条];(3)网络产品、服务的安全保障与维护义务[22条];(3)所涉关键设备、网络安全专用产品的安全认证或检测义务[23条];(4)风险预案与及时处理义务[25条]◎规范性:(1)制定内部安全管理制度和操作规程,确定网络安全负责人[21条](2)检测记录与备份留存制度[21条];(3)用户真实信息认证义务[24条];(4)遵守法律与协助办案义务[27、28条]◎透明性:(1)产品、服务危险的报备与告知义务[22条、25条];(2)产品、服务用户信息收集告知义务[22条];(3)运行状况社会公示义务[26条]
2.特殊义务如果网络运营者在经营过程中涉及关键信息基础设施的使用,由于其对国家安全具有重要影响。故在一般义务的遵守要求同时,该类运营者还应承担更高的安全保障义务。◎关键信息基础设施认定:本法对关键信息基础设施认定采取了列举加兜底的规定方式,并将具体范围的认定办法交由国务院制定。其第31条规定,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。2017年,国家互联网信息办公室关于《关键信息基础设施安全保护条例(征求意见稿)》公开征求意见的通知中,该条例第18条规定:下列单位运行、管理的网络设施和信息系统,一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的,应当纳入关键信息基础设施保护范围:(一)政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位;(二)电信网、广播电视网、互联网等信息网络,以及提供云计算、大数据和其他大型公共信息网络服务的单位;(三)国防科工、大型装备、化工、食品药品等行业领域科研生产单位;(四)广播电台、电视台、通讯社等新闻单位;(五)其他重点单位。公安部【2020】1960号关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》的函中指出:应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。关键信息基础设施清单实行动态调整机制。据此,关键信息基础设施可具体分类公共事业、大型公共信息网络服务、重要科研生产、新闻单位、其他重点单位(其他重点单位可以参考公安部的函进行认定)五类,并严格根据其对于国家安全、国计民生、公共利益的相关影响进行认定。◎特殊网络运营者的额外义务:(1)设置专门安全机构与负责人,并进行背景审查;对相关从业人员定期教育、培训、考核;对重要系统和数据库进行容灾备份;制定应急预案,定期演练[34条];(2)在采购活动中,若活动涉及国家安全,应当通过国家网信部门和国务院其他部门的安全审查,并应当按照规定与提供者签订安全保密协议,明确安全和保密义务与责任。[35、36条];(3)在信息收集使用与传输过程中,运营者在境内收集的信息应当在境内储存,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。[37条];(4)运营者每年应当自行或委托专门机构进行安全检查评估,并报送负责关键信息基础设施安全保护工作的部门。[38条]此外,关于关键信息基础设施网络运营者的采购活动,除本法第35、36条规定外,2020年4月发布的《网络安全审查办法》对该采购活动有着更为详尽的规制。该办法明确了网络安全审查办公室为网络安全审查的主要机构[4条],规定了网络安全审查应当递交的文件[7条]以及审查机构的考虑因素[9条]和程序[8条、10条-18条]。此外,该办法赋予了网络安全审查办公室主动进行调查的权力,但程序上应当先报中央网络安全和信息化委员会批准[15条]。
(三)网络信息安全网络信息安全的保护,同样采用安全等级分类保护的思想。2007年6月公安部、国家保密局、国家密码管理局、国务院信息工作办公室关于印发《信息安全等级保护管理办法》的通知第7条将我国的信息保护分为五级:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。不同等级下,国家进行安全审查的程度和力度皆各不相同。本法规定了一般的网络运营者应当遵守的义务:1.安全性:(1)信息保密并建立相关机制[40条];(2)采取各项措施保障个人信息安全,防止信息泄露、毁损、丢失并在危险发生时及时补救[42条];安全服务与管理义务[47条、48条]。2.规范性:(1)信息收集、使用应遵循合法、正当、必要原则[41条];(2)保证信息完整、正确义务[43条];(3)守法义务[44条、46条];(4)建立网络信息安全投诉、举报制度并及时受理义务[49条];(5)协助国家调查与安全管理义务[49条、50条]。3.透明性:(1)公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意[41条];(2)信息泄露或遭破坏时,及时告知与报告义务[42条、47条];(3)公布投诉、举报方式等信息义务[49条]。其中,信息收集必要原则在国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局联合制定的《常见类型移动互联网应用程序必要个人信息范围规定》中有详细的表述。该规定将各项网络服务分为39类,并分别规定其收集用户信息的必要范围。
三
网络安全审查办法的最新动向
四
滴滴事件的启示
鱼跃法学
微信号|鱼跃法学
新浪微博 知乎 豆瓣|鱼跃法学
名校法学硕士/法学博士深度解读
专注于五院四系等国内一流法学院校精品学科
点击下方阅读原文即可购买