2021年7月2日,网络安全审查办公室发布公告,对某在线出行平台实施网络安全审查;7月4日,网信办再发公告,经检测核实该公司App存在严重违法违规收集使用个人信息问题,通知应用商店下架其App;7月5日,网络安全审查办公室再发公告,对其他互联网APP实施网络安全审查。本文从网络安全审查、事件背景与启示、App收集使用个人信息如何进行合规评估进行讨论。
一、什么是网络安全审查?
网络安全审查是根据《国家安全法》、《网络安全法》和《网络安全审查办法》的规定,对关键信息基础设施运营者采购网络产品和服务,是否影响或可能影响国家安全进行评估的行政行为。
对某出行公司等4家App的网络安全审查是我国首次采取网络安全审查措施。
法律依据:
■ 《国家安全法》第五十九条规定国家安全审查制度,对“对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目”,进行国家安全审查。
■ 《网络安全法》第三十五条规定对关键信息基础设施运营者可以进行国家安全审查,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”
2020年4月13日发布,2020年6月1日起实施的《网络安全审查办法》系统地规定了网络安全审查的目的、内容、程序和期限。
目的:
确保关键信息基础设施供应链安全,维护国家安全确保
针对对象:
确保关键信息基础设施供应链安全,维护国家安全确保
审查内容:
关键信息基础设施运营者采购网络产品和服务,是否影响或可能影响国家安全的
审查部门:
网络安全审查办公室(设在国家互联网信息办公室)
针对对象:
依职权或依申请
■ 依职权:网络安全审查工作机制成员单位提起,经由网络安全审查办公室按程序报中央网络安全和信息化委员会批准
备注:网络安全审查工作机制成员单位包含十二家单位,分别是国家网信办、发改委、工信部、公安部、安全部、财政部、商务部、 中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局
■依申请:运营者预判后自行申报,向网络安全审查办公室提出应当提交以下材料:
(一)申报书;
(二)关于影响或可能影响国家安全的分析报告;
(三)采购文件、协议、拟签订的合同等;
(四)网络安全审查工作需要的其他材料。
审查期限:
■ 普通程序:10+30+15+15(情况复杂的,可以延长15天)
10天:是否需要审查并书面通知运营者
30天:自向运营者发出书面通知之日起30个工作日内完成初步审查,包括包括形成审查结论建议和将审查结论建议发送网络安全审查 工作机制成员单位、相关关键信息基础设施保护工作部门征求意见
15天:情况复杂的,可以延长15个工作日
15天:网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复 意见
■特别程序:普通程序+45天(情况复杂的可以适当延长)
45天:特别审查程序:网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门意见不一致的,按照特别审查程序处 理,并通知运营者。
特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。
备注:网络安全审查办公室要求提供补充材料的,运营者、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。
法律后果:
按照《网络安全法》第六十五条的规定处理:使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停 止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
二、事件背景与启示
第一, 在《数据安全法》实施前夕实施安全审查,标志着对于互联网平台和数据公司的全面规治时代已经到来。
《数据安全法》已于2021年6月10日通过,自2021年9月1日起实施。
数据安全进行立法标志着我国将数据安全作为国家安全的重要组成部分,其重要性不容忽视。数据安全法确立了数据安全审查制度,是《国家安全法》确立的对“对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目”的具化。
《数据安全法》首次在法律层面上将数据安全区别于网络安全,标志着数据活动逐渐由乱到治,围绕数字经济展开的数据活动将会受到法律的全面规治。数据安全法确立了数据出口管制制度和重要数据出境安全管理制度。涉案四家App可能涉及《中国禁止出口限制出口技术目录》的语音识别、基于数据分析的个性化信息推送服务技术等限制出口技术,同时还掌握大量的交通信息数据、个人身份信息数据等,可能被认定为“重要数据”。
《网络安全法》此前确立了重要数据境内存储原则,即“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
由于法律从发布到实施需要一定的时间,以及对于法律条文如何解释在实践中需要明确具体的指引,给我国数据司法实践带来困难,如对于“关键信息基础设施”和“重要数据”的认定还存在一定的模糊地带,企业对于自己是否属于“关键信息基础设施”可能跟监管机关认识不一致,就造成了实践中,企业对于网络信息安全和数据保护离监管要求和公众期待有差距。此次对于四家App的网络安全审查执法将有助于厘清模糊地带,对于如何认识“关键信息基础设施”和“重要数据”具有明确的借鉴意义。
值得注意的是,《重要数据识别指南》已经于2020年立项,作为《数据安全法》的配套国家标准预期也将会尽快发布。
第二, 赴美上市的数据公司和互联网企业应当重新认识监管风险,慎重选择上市地。
从新浪2000年通过VIE架构赴美上市后,VIE架构被众多的互联网公司所采用,即通过代持协议的方式规避中国监管机构对于外商对于限制和禁止类行业的投资。从最初的互联网门户网站规避对于ICP证对于外商投资的限制,到其他众多与互联网信息服务和数据处理业务相关的行业,也包括在线教育、在线医疗等行业,每年都有几十到上百家企业通过VIE形式赴美和赴港上市。但VIE架构本质上是绕开了国家监管,存在一定的法律风险。
在目前美国对中国企业进行限制和打压的情形下,特别是美国以国家安全将包括华为在内的多家公司列入实体清单,限制技术出口,后又将中国的31家企业列入禁止投资清单,今年年初纽约证券交易所要求中国移动、中国联通、中国电信三家公司退市,在这种情形下,科技公司赴美上市确实应考虑政策法律变化的风险。
在数据主权领域, 2018年3月,美国发布了《澄清合法使用境外数据法案》(“Cloud Act”),根据该法案,只要电子通信或者远程计算服务商拥有、保管或控制数据,无论该数据存在美国境内或者境外,均应根据该法案进行保存、备份或者披露,即为美国司法要求企业提供存储于域外的数据证据提供了法律依据。在目前,我国与美国在数据证据的司法调取问题没有建立一个长效的解决机制的前提下,如果中国境内运营企业选择在美国上市后,如果被美国的执法机构或者司法机构要求提供数据,就会面临着监管冲突。美国SEC和司法部的处罚数额动辄数亿美元,另外美国的集体诉讼也是让中国众多的赴美上市公司苦不堪言,如果无法提供证据,就会难以获得法院的支持,从而面临败诉风险。
去年赴美上市的瑞幸咖啡发生造假事件后,美国于2020年12月18日签署了《外国公司问责法案》,2021年又公布了实施细则,要求SEC对外国公司(主要针对新兴市场,尤其是中国)对审计事务所进行监管,其不能受到政府的控制或者由政府官员担任高管。事实上,美国监管机构对于中概股的财务报表问题担忧已久,2013年5月,美国上市公司会计监督委员会(“PCAOB”)与中国财政部、中国证监会签署了一份执法合作备忘录,正式开展中美会计审计跨境执法合作。但就审计底稿问题,特别是涉及到国有企业或者可能涉嫌禁止出口或者限制出口技术等领域的,仍然面临着监管冲突。2020年12月1日生效的《出口管制法》第二条规定管制物项包括物项相关的技术资料等数据。最近一次修订的《中国禁止出口限制出口技术目录》中将无人机技术,语音识别、语音合成、智能阅卷、基于数据分析的个性化信息推送服务技术,基础软件安全增强技术、数据库系统安全技术列入限制出口目录。如何对数据资产进行审计,以及以何种方式提供审计底稿,也值得关注。
此次的四家互联网平台均是刚刚赴美完成上市。互联网平台和数据公司在选择上市地时,不仅应当考虑上市的难度和市场认可度,同时亦应道考虑上市后面临的多重监管问题。
三、App收集使用个人信息
如何进行合规性评估
2019年中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》,在全国范围组织开展APP违法违规收集使用个人信息专项治理,并成立APP违法违规收集使用个人信息专项治理工作组。包括制定印发了《App违法违规收集使用个人信息行为认定方法》《App违法违规收集使用个人信息自评估指南》,今年3月12日又印发了《常见类型移动互联网应用程序必要个人信息范围规定》,对App可以收集哪些个人信息做了非常明确的规定。如:
■ 网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:
1.注册用户移动电话号码;
2.乘车人出发地、到达地、位置信息、行踪轨迹;
3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
■求职招聘类,基本功能服务为“求职招聘信息交换”,必要个人信息包括:
1.注册用户移动电话号码;
2.求职者提供的简历。
笔者注意到,比如涉案的某在线出行平台对于用户乘车期间全程进行录音,某在线招聘平台收集用户的身份证号码,是否超出了必要合理的范围,以及对于这些收集到的信息是否合理使用,也是十分期待监管机关的调查结论。
此外,国家标准化管理委员会制定的《信息安全技术 个人信息安全规范》(2020年10月1日实施)也提供了非常具体的可参考的国家标准。
App收集使用个人信息做合规性评估,首先满足法律层面的要求,按照最小够用的原则收集必要的信息,不收集与App实现功能无关的信息,同时亦考虑法律强制性的要求,如留存个人身份或者交易信息等,其次需要根据行业的不同满足行业监管部门的具体要求,同时参考国家标准和行业的最佳实践。最后,App中如果嵌入了其他应用程序,还应当审查嵌入程序是否违规收集信息。
