7月2日晚,国家互联网信息办公室(下称“国家网信办”)发布消息称,将对滴滴出行进行网络安全审查,审查期间,暂停滴滴出行的新用户注册。
7月3日,有网络传言称,对滴滴进行安全审查,源起该公司为在美国上市,把中国道路数据打包交给了美国。对此,滴滴出行副总裁李敏回应称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据,包括道路数据都存放在国内服务器,绝无可能把数据交给美国。相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权”。
国家网信办在通报中提到,此次审查依据《国家安全法》、《网络安全法》,按照《网络安全审查办法》进行。《网络安全审查办法》由国家网信办、国家发改委、工信部、公安部等12个部委联合制定,自2020年6月1日开始实施。
《网络安全审查办法》第一条指出,为了确保关键信息基础设施供应链安全,维护国家安全,依据《国家安全法》、《网络安全法》,制定本办法。这意味着此法规针对的是关键信息基础设施的安全保护。《网络安全法》第三章第二节为:“关键信息基础设施的运行安全”,这是中国首次在立法中明确规定了关键信息基础设施的定义和具体保护措施。
关于网络安全审查的程序,《网络安全审查办法》第十条规定,网络安全审查办公室认为需要开展网络安全审查的,应当自向运营者发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见;情况复杂的,可以延长15个工作日。
2017年12月24日,全国人大常委会副委员长王胜俊就《网络安全法》和《全国人民代表大会常务委员会关于加强网络信息保护的决定》(下称“一法一决定”)的实施情况作报告。王胜俊在报告中提到,2017年8月至10月,全国人大常委会执法检查组就“一法一决定”进行了执法检查。目前全行业共确定了11590个关键网络设施和重要信息系统,但并未公布具体清单。
《财经》E法注意到,滴滴出行已在6月29日发布了新隐私条款,并将于7月7日起实施。与上一版本的隐私条款相比,新版条款做了一些更新。新增取送车业务中收集哪些信息,包括起终点信息、起终点联系人手机号码、取送车过程中的车辆位置及轨迹信息、车牌号码、车身照片(车辆前、后、左、右四个方位)、包含清晰里程数的仪表盘照片,并共享给服务人员,以便提供准确的取送车服务,以及处理服务过程中的纠纷等问题;新增代泊车业务中收集哪些信息,包括车辆在订单中的位置及轨迹信息、车牌号码、车身照片(车辆前、后、左、右四个方位)、包含清晰里程数的仪表盘照片,并共享给服务人员,以便提供安全准确的代泊车服务,以及处理服务过程中的纠纷等问题。
泰和泰律师事务所律师廖怀学对《财经》E法表示,网络传言中所提到的将数据交给美国,对应的专业概念是数据出境或数据交换。中国互联网企业在美国上市是否会有数据出境和数据交换,属于事实层面的判断,还不能下结论。但从法律层面来说,即使涉及数据出境,也必须严格遵守国内法律的规定。中国关于数据出境最主要的两部法律法规是《数据安全法》和《个人信息和重要数据出境安全评估办法》(下称《评估办法》),其中《数据安全法》已颁布,将于9月1日起实施,《评估办法》尚在征求意见中。
对于数据出境问题,《数据安全法》第三十一条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的重要数据的出境安全管理,适用《网络安全法》的规定;而《网络安全法》第三十七条规定,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。廖怀学指出,这两条规定是法律关于数据出境的原则性规定,即数据出境必须经过安全评估。
正在征求意见的《评估办法》第二条要求,网络运营者在中国境内运营中收集和产生的个人信息和重要数据,应当在境内存储。因业务需要,确需向境外提供的,应当按照本办法进行安全评估。《评估办法》对于安全评估的实施程序,也有详细规定。
《评估办法》第八条规定,数据出境安全评估应重点评估以下内容:数据出境的必要性;涉及个人信息情况,包括个人信息的数量、范围、类型、敏感程度,以及个人信息主体是否同意其个人信息出境等;涉及重要数据情况,包括重要数据的数量、范围、类型及其敏感程度等;数据接收方的安全保护措施、能力和水平,以及所在国家和地区的网络安全环境等;数据出境及再转移后被泄露、毁损、篡改、滥用等风险;数据出境及出境数据汇聚可能对国家安全、社会公共利益、个人合法利益带来的风险;其他需要评估的重要事项。
《评估办法》第九条规定,出境数据存在以下情况之一的,网络运营者应报请行业主管或监管部门组织安全评估:含有或累计含有50万人以上的个人信息;数据量超过1000GB;包含核设施、化学生物、国防军工、人口健康等领域数据,大型工程活动、海洋环境以及敏感地理信息数据等;包含关键信息基础设施的系统漏洞、安全防护等网络安全信息;关键信息基础设施运营者向境外提供个人信息和重要数据;其他可能影响国家安全和社会公共利益,行业主管或监管部门认为应该评估。第十一条规定,存在以下情况之一的,数据不得出境:个人信息出境未经个人信息主体同意,或可能侵害个人利益;数据出境给国家政治、经济、科技、国防等安全带来风险,可能影响国家安全、损害社会公共利益;其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。
廖怀学表示,虽然《数据安全法》和《评估办法》均未实施,但数据出境的合规对于一家互联网企业仍然极端重要。像滴滴这样的头部平台企业,不可能公然违背法律规定,私自开展数据出境活动。如果涉及数据出境,一定会经过安全评估。
