短短几天内,中国官方针对多家企业启动网络安全审查。
7月2日,国家网信办官网公告称,“为防范国家数据安全风险,对‘滴滴出行’实施网络安全审查”。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
国家网信办7月4日发布消息称,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。
国家网信办依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
紧随其后,网络安全审查办公室5日发布公告称,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
一时间,网络数据安全成为全民关注焦点。
何为“严重违法违规收集使用个人信息”?
中国信息安全研究院副院长左晓栋对中新社国是直通车表示,2019年和2020年,网信办、公安部、工信部、市场监管总局四部委联合开展了App违法违规收集使用个人信息专项治理活动。其中,上述四部委于2019年12月联合印发了《App违法违规收集使用个人信息行为认定方法》。因此,对App的违法违规行为的认定,目前有明确的标准。
“但这个文件中没有对严重程度作规定。”左晓栋表示,网信办通报中指,滴滴属于“严重违法违规”,这应该是违法违规项较多,或者后果、情节严重。
网络安全审查,查的是什么?
“网络安全审查不同于测评、认证,也不同于通用性审查、外商投资国家安全审查,重点审查网络产品或者服务是否存在影响关键信息基础设施安全和国家安全的威胁或者风险。”北京邮电大学互联网治理与法律研究中心副主任崔聪聪曾发表文章指出。
赛迪智库网络安全研究所副所长闫晓丽对中新社国是直通车表示,互联网企业运营关键信息基础设施的,则其在运营中收集和产生的重要数据一旦被窃取、泄露等,可能会导致关键信息基础设施中断或停止运营,不仅造成经济损失,还可能危及国家安全。
此外,互联网企业运营关键信息基础设施的,则其在中国境内收集和产生的个人信息和重要数据应当在境内存储;因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。如果互联网企业没有按照规定进行安全评估,则可能会危及公共利益和国家安全。
“数据出境”是审查核心?
“一些人猜测,可能因为滴滴属于关键信息基础设施运营者,导致其进入审查,因为《网络安全审查办法》主要规范的是关键基础设施运营者的采购行为。但后来网信办又宣布了三家被审查的企业,有的企业明显不属于关基运营者。”左晓栋表示。
因此,左晓栋认为,对这些企业实施网络安全审查,应当依据的是《网络安全审查办法》第十五条,即由网络安全审查机制成员单位提出,对可能影响国家安全的产品提出审查建议。
“他们的共同特点是都赴美上市了。”左晓栋表示,这批审查,指向数据安全,可能与企业赴美上市有关。
从去年年底开始,美国加重了对中国企业在美上市的资料披露要求,例如要求提交详细的“审计底稿”,即对企业审计的原始工作记录。左晓栋指出,这一环节可能导致重要数据、个人信息的泄露。
“这是一种典型的数据出境问题,应当经过审批。”左晓栋表示,因此,在企业已赴美上市情况下,启动网络安全审查,了解存在哪些数据安全风险,这是维护国家安全的必然之举。
数据安全怎么保护?
互联网企业在为人们生活带来便利的同时,数据安全也是不容忽视的话题。
闫晓丽认为,目前,互联网企业的数据安全存在的问题主要包括,一是违法违规收集和使用个人信息,如在个人不知情的情况下收集个人敏感信息、超出数据主体同意使用的范围而使用个人信息等;
二是未采取有效的技术和管理措施保护数据,导致其收集或在运营中产生的重要数据被窃取、泄露、毁损等情况发生,从而对国家安全、公共利益和个人权益等构成威胁。
正如业内人士所说,个人信息安全和网络安全、国家安全并不是孤立的存在,很多时候是休戚与共的。
除了“大数据杀熟”危害消费者权益之外,互联网企业的数据安全问题也可能从不同方面影响国家安全。
国家秘密信息直接关系国家安全无需赘言,此外,大众较为关心的地图数据、位置数据等重要数据也可能影响到国家安全。左晓栋指出,《中华人民共和国数据安全法》对保护重要数据提出了一系列的要求,今后相关法规政策也会把保护重要数据作为一项重要的关注。
对于重要数据的界定和识别,左晓栋介绍道,目前,全国信息安全标准化技术委员会已经立项制定重要数据识别指南国家标准,相关工作正在加快推进。
对于互联网企业而言,闫晓丽认为,应当依照法律、法规的规定,开展数据收集、处理活动,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。在确需向境外提供数据时,按照国家规定进行安全评估。