官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
关键词:数据安全 审查范围 合规趋势 供应链安全
背景
2021年7月2日,中国网络安全审查办公室对“滴滴出行”实施网络安全审查。
2021年7月5日,中国网络安全审查办公室对“运满满”“货车帮”“BOSS直聘””实施网络安全审查。
从此次公布的审查对象可以发现,这些公司都是近期在美国上市的中概股企业;都属于搜集了海量用户数据的平台型企业;其中,汽车行业app数量占了3/4(“运满满”“货车帮”同属于满帮集团运营的卡车网约车应用)。
网络安全审查范围的解读
《网络安全审查办法》(《办法》)目的是通过网络安全审查这一举措,保障关键信息基础设施供应链安全,维护国家安全。《办法》全文一共22条,涉及审查内容的只有第九条(共5款),其表述为“重点评估”、“主要考虑以下因素”,没有覆盖全部审查范围;对其中“风险”、“危害”及“可靠”的判断和解释,也给了监管机构极大的自由裁量权。
《办法》的制订依据是《中华人民共和国国家安全法》第59条,《中华人民共和国网络安全法》第35条。其中《国家安全法》第59条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。
此处的“其他重大事项和活动”,意味着审查的范围将不作限定,只要可能危机国家安全的都在安全审查范围内。联系到《办法》第9条中“重要数据被窃取、泄露、毁损的风险”,我们认为,企业数据处理活动的合法合规性也在审查范围之中,特别是数据的搜集权限、敏感数据/重要数据的处理方式、跨境传输等。
汽车数据安全审查的范围
既然《办法》的规定比较抽象和概括,我们不妨从汽车安全领域的相关规定中寻找答案。
2021年5月12日,国家互联网信息办公室发布的《汽车数据安全管理若干规定(征求意见稿)》(《规定》)明确其立法目的,是为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。尽管《规定》尚处于征求意见状态,但对于汽车行业应对这一轮网络安全审查仍然具有重要指导意义。
《规定》中值得关注的几个问题:
1.重要数据的类型
《规定》列举了:军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;高于国家公开发布地图精度的测绘数据;汽车充电网的运行数据;道路上车辆类型、车辆流量等数据;包含人脸、声音、车牌等的车外音视频数据;
2.运营者处理个人信息和重要数据的基本原则
3.运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。
4.个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。
5.处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当将年度数据安全管理情况报省级网信部门和有关部门;如果存在向境外提供数据的情况,需要额外报送相关资料。
可见,《规定》对汽车数据处理活动的监管更加精准、严格。网约车平台,因涉及重要数据的处理,包括数据出境,则需要满足更高的合规要求。
合规趋势与建议
1.网络安全审查与行业数据监管相结合
一方面,网络安全审查的范围较为宽泛,企业需要作好全面的合规应对。另一方面,数据安全审查,是网络安全审查的重要组成部分,且数据处理活动具有明显的行业属性,相关细则及监管动态值得企业密切关注。
2.供应链安全与运营安全等相结合
一般而言,网络安全防范体系可划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等。
尽管《办法》重点关注的是关键信息基础设施供应链安全,但考虑到网络安全审查范围的不确定性、外延的宽泛性,以及安全风险评估的特点,建议企业不要将关注点停留在供应链安全,运营安全等也需要同步建设及完善。
3.自我合规与外部监管相结合
如果将工信部、国家网信办对app个人信息保护的专项整治,作为数据安全治理的1.0阶段。那么,以滴滴事件为开端,对汽车行业的平台型企业开展的网络安全审查,可视作2.0阶段,体现了国家对平台型企业存在的网络安全问题的担忧,宣告强力监管模式的正式开启。
对企业而言,宜尽快适应,从之前自我合规模式(无所适从),转向面对持续的政府监管压力,做好合规策略、融资计划的调整,乃至经营风险的全面评估。
未(hu) 来(si) 猜(luan) 想(xiang)
一批中概股公司因信息披露不实遭到集体诉讼;
重点行业主管机构出台细则,制订网络产品和服务准入标准或白名单;
外资网络产品和服务受到打压,在重点行业的市场份额逐步下降;
国产品牌受到资本热捧,股价持续上扬;
企业纷纷加强供应链管理,逐年加大在数据安全和隐私保护的投入;
国家有计划地对一批平台型企业(中概股公司)开展网络安全专项检查;
证监会出台指导意见,要求拟上市公司加强网络安全信息披露;
市场监督管理总局加大对平台型企业的反垄断调查;
网络安全保险开始被市场逐步接受。
作者介绍:
娄鹤 律师,北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、
注册信息安全专业人员(CISO)、国际商会(ICC)数字经济委员会委员,注册数据隐私保护工程师 (CDPSE)
执业领域:网络安全与数据隐私保护、企业投融资。