滴滴被查︱网络安全审查推演 滴滴存被责令停止使用风险
按照国家网络安全审查工作安排,7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
从7月2日晚间,网络安全审查办公室发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,宣布对“滴滴出行”实施网络安全审查,就已经引起社会各界的高度关注。要知道,这是国家层面首次对企业启动网络安全审查。刚刚赴美IPO的滴滴股价也因此遭遇滑铁卢。
此一举动自然亦“惊扰”了一众中概股。滴滴出行突遭如此整肃,这种网络安全审查会是常态吗?答案是必然的。那么,监管层将如何进行网络安全审查?将走怎样的程序,被查企业又将面临怎样的处罚?
要找其蛛丝马迹,根本的准绳是《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》,而直接适用的法律依据为《网络安全审查办法(修订草案征求意见稿)》。
财经媒体《巨子ICON》以滴滴出行为例进行了推演。
首先,什么样的企业需要接受网络安全审查?滴滴出行被进行网络安全审查后,网络消息满天飞,难辨真假。结合《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》和《网络安全审查办法(修订草案征求意见稿)》可推断两个可能的原因:特殊身份与数据安全。
滴滴出行被认定为关键讯息基础设施的运营者,而使用的网络产品和服务可能出现了数据方面的安全问题。7月2日《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》首句所采措辞为“为防范国家数据安全风险”。
滴滴出行于2021年6月10日提交至美国证券交易委员会(SEC)的招股说明书中“风险因素”部分指出:
Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences. We receive, transmit and store a large volume of personally identifiable information and other data on our platform……
可初步分析,滴滴出行触发可能性较高的是《网络安全审查办法》第十条第五项规定的因素,即“核心数据、重要数据或大量个人讯息被窃取、泄露、毁损以及非法利用或出境的风险”。
其次,被审查的可能时间。滴滴出行此次审查个案而言,审查时间可能为多久呢?
根据意见稿的规定,互联网安全审查办公室应当自收到审查申报材料起,10个工作日内确定是否需要审查并书面通知运营者。如果认为需要开展互联网安全审查的,自向运营者发出书面通知之日起30个工作日内完成初步审查,情况复杂的可以延长15个工作日。互联网安全审查工作机制成员单位和相关关键资讯基础设施保护工作部门自收到审查结论建议之日起15个工作日内向运营者书面回复意见。互联网安全审查工作机制成员单位意见不一致的,按照特别审查程式处理,特别审查程式一般应当在3个月内完成,情况复杂的可以延长。(《网络安全审查办法》第九、十一和十二条规定)
也即表示,一般程式所需时间,自申报开始,最快10+30=45个工作日,最长需要10+30+15+15=70个工作日。而对于特别审查程式,长则需要:70个工作日+3个月+n个工作日,即实际所需自然日可能达到180日(6个月)以上。
综合来说,滴滴出行被审查的可能时间为,最快45个工作日,不排除需要70个工作日+3个月+n个工作日的可能性,甚至还可能超过此数。
那么,等待滴滴出行的后果可能是什么?运营者违反《网络安全审查办法》规定的,依照《中华人民共和国网络安全法》《中华人民共和国数据安全法》的规定处理。
《中华人民共和国网络安全法》第六十五条——关键讯息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
因此,如若切实违反规定,等待滴滴出行的最严重的处罚可能是,责令停止使用相关网络产品或服务,被责令停止使用,对滴滴出行、直接负责的主管人员和其他直接责任人员处以罚款。此外,不排除适用《国安法》规定的更严格的法律责任的可能性。
很多人都会问,滴滴出行被审查会是个案吗?当然绝非个案。何以如此肯定,原因有二:
其一,很早习近平就已经公开表示“没有网络安全就没有国家安全”。近年来,在维护网络安全的层面上,不断完善法治。从《中华人民共和国网络安全法》、《中华人民共和国数据安全法》,到《网络安全审查办法(修订草案征求意见稿)》,有法可依和实施细则均已配置完善,开展网络安全审查具备明确、具体的法律依据。
其二,有例可循。蚂蚁集团被金融管理部门联合约谈并被要求整改,引起社会广泛关注和讨论,但蚂蚁集团是“出头鸟”,却不会是“冤大头”。而后,金融监管部门联合已约谈从事金融业务的十三家网络平台并对其提出整改要求。可以肯定地说,滴滴出行被进行网络安全审查,是第一例,但绝不会是最后一例。网络安全审查之风,已然刮起。
七部门进驻滴滴出行进行网络安全审查,表示网络安全审查工作行动全面铺开。关键讯息基础设施运营者的从业机构们,应当严格对照《中华人民共和国网络安全法》和《网络安全审查办法(修订草案征求意见稿)》的规定,开展全面排查,迎风而上,顺风而治。