7月5日,国家网信办官网发布公告,网络安全审查办公室宣布对“运满满”“货车帮”“BOSS直聘”启动网络安全审查。就在三天前的7月2日,网络安全审查办公室宣布对滴滴出行启动网络安全审查。
两次公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查。
公告要求,为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”停止新用户注册。
这两次审查行动的对象,均于近期在美国上市。2021年6月30日,滴滴出行在美国纽约证券交易所挂牌上市,股票代码为“DIDI”,发行定价为14美元,位于13-14美元/ADS的发行区间上限。或受网安审查事件影响,2021年7月2日,滴滴股价开盘跌幅近11%,不过随后跌幅有所收窄,截至北京时间当日23:00,跌5.49%至15.5美元/股。
成立1年多的国家互联网信息办公室首次对企业启动网络安全审查,引起社会各界的高度关注。
现将网络安全审查的相关问题进行梳理。
网络安全审查的法律依据?
《公告》内容显示,相关机构被审查的上位法依据为2015年7月1日颁布实施的《中华人民共和国国家安全法》(以下简称“《国安法》”),2016年11月7日颁布、2017年6月1日实施的《中华人民共和国网络安全法》(以下简称“《网安法》”),直接适用的法律依据为2020年4月27日发布、同年6月1日实施的《网络安全审查办法》(以下简称“《办法》”)。
其中,《国安法》第五十九条规定:国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
《网安法》第三十五条明确规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
《办法》第二条规定:关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
网络安全审查办公室是什么机构?
《办法》第四条明确了网络安全审查的工作机制和网络安全审查办公室的设置及其职责。
《办法》第四条规定:网络安全审查工作的最高领导机构为中央网络安全和信息化委员会,工作机制组成部门包括国家网信办、发改委、工信部、公安部、国安部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码局。网络安全审查工作涉及的有关部门基本涵盖了与网络安全密切相关的国家各重要管理部门。
《办法》还指出,“网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。”
网络安全审查目的是什么?
根据《办法》的规定:网络安全审查的目的是“确保关键信息基础设施供应链安全”。
其中,《办法》第一条规定:为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,制定本办法。
“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”被网络安全审查,意味着进入了关键信息基础设施运营者采购的产品目录之中。
网络安全审查主要审查哪些内容?
根据《网络安全审查办法》第九条的规定, 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)其他可能危害关键信息基础设施安全和国家安全的因素。
网络安全审查可能面临什么后果?
《办法》第十九条援引至《网安法》第六十五条,系相关的法律责任条款,具体如下:
《办法》第十九条 运营者违反本办法规定的,依照《中华人民共和国网络安全法》第六十五条的规定处理。
《网安法》第六十五条 关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因此,如若切实违反《办法》规定,相关机构的很可能会面临责令停止使用相关网络产品或服务,对机构、直接负责的主管人员和其他直接责任人员处以罚款。此外,不排除适用《国安法》规定的更严格的法律责任的可能性。
相关机构网络安全审查需要多久?
根据《办法》发布时的解读:通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。
进入特别审查程序的审查项目,可能还需要45个工作日或者更长。根据《办法》要求,补充提供材料的时间不计入审查时限。
被审查机构可能出现了什么安全问题?
《公告》称“为防范国家数据安全风险,维护国家安全,保障公共利益,”依据相关法规,对相关机构实施网络安全审查。这意味着相关机构使用的网络产品和服务可能出现了数据方面的安全问题。
中国信息安全研究院副院长左晓栋接受媒体采访时也表示,“我认为这次审查主要关注的是,重要数据和公民个人信息的出境安全风险。停止新用户注册,我认为是对这个数据进行保护的一个措施。”
除网络安全审查,机构还需关注哪些安全审查?
除了《国安法》、《网安法》确定的网络安全审查制度,即将于2021年9月1日生效的《数据安全法》确定了数据安全审查制度。
第二十四条规定:国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
值得注意的是,国家依法作出的数据安全审查决定为最终决定,这意味着数据安全审查的决定一经作出即告生效,将无法通过行政复议、行政诉讼等形式进行申诉。
数据安全审查,从业机构们亦应予以高度关注,在数据安全审查制度的配套立法出台后,及时开展合规安排。