滴滴遭安全审查，APP如何进入数据安全区？

吴月琴  季晓锋

导读：

2021年7月2日至7月5日，网信办的三则公告将“滴滴出行”、“运满满”、“BOSS直聘”等APP推至舆论焦点，运营者遭受网络安全审查，APP被要求下架。可见，随着我国相关法律规定的不断完善，数据安全强监管时代已然到来。对此，我们围绕该热点事件，分以下几部分进行评述：

²  梳理事件时间线

²  提出数据安全强监管环境下的合规建议

²  推测APP运营者触发审查机制的原因和问题

一、事件时间线梳理

2021年6月11日下午       滴滴向美国SEC递交招股书。

美东时间6月30日           滴滴挂牌纽交所上市，当天高开27%，市值破800亿美元，距递     交招股书不到20天。

7月2日                          网络安全审查办公室发布公告，以维护国家安全、保护公共利益为由，对“滴滴出行”实施网络安全审查，审查期间停止新用户注册。

7月3日                      滴滴副总裁李敏回应，绝无可能把数据交给美国，“滴滴在海外上市，把数据打包给美国”属于恶意谣言。

7月4日                      国家互联网信息办公室发布通告，“滴滴出行”APP存在严重违法违规收集个人信息问题，通知应用商店下架“滴滴出行”APP，要求滴滴出行科技有限公司进行整改，保障广大用户个人信息安全。

7月5日                     网络安全审查办公室发布公告，以维护国家安全、保护公共利益为由，对“运满满”、“货车帮”、“BOSS直聘”实施网络安全审查，审查期间停止新用户注册。

后续审查结果仍未公布。

二、数据安全强监管环境下的合规建议

场景1：平台型企业如何开展数据安全自查？

根据已发布的公告，接受网络安全审查的“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”运营者存在以下共同点：

Ø  均于近期在境外上市，涉及数据出境

Ø  均属平台型运营商，掌握数据范围广、数量大，属于重要数据

Ø  均没有主动申报数据安全审查、进行数据安全评估的迹象

Ø  均被停止新用户的注册，风险集中于数据收集和储存

对此，我们建议企业着重从以下几方面进行自查，并参考即将生效的《数据安全法》与相关法规征求意见稿，建立数据安全合规制度：

u  对数据进行分级分类。根据数据的性质、类别、范围等判断数据是否属于重要数据，是否涉及国家安全、经济发展、社会稳定，进而判断自身是否可能属于“关键信息基础设施的运营者”，是否应承担相应义务。

u 明确运营过程中数据活动的行为方式，对数据的收集、储存、使用、加工、传输、提供、公开等不同环节制定数据安全保护规则。全面考虑数据设备、程序的安全性，评估数据被窃取、泄露、毁损的风险。

u 对可能影响国家安全的数据活动主动申报国家机关进行安全审查。虽然现行《网络安全审查办法》将安全审查的条件限定为关键信息基础设施运营者采购网络产品和服务过程中，但即将生效的《数据安全法》并无此限定，企业应做好接受审查的充足准备。

u 参考《数据安全法》第30条对重要数据定期开展风险评估，[1]必要时向有关部门报送评估报告。

场景2：数据密集型企业赴海外上市，如何做到数据合规？

数据出境是国家数据监管的重点，也是舆论的敏感话题。在海外上市的数据密集型企业若未能合理处理数据出境问题，不仅会面临公权力机关的审查压力，也有可能导致招致广大消费者怀疑，对生产经营与企业商誉产生严重不利影响。

对此，我们建议企业参照《个人信息和重要数据出境安全评估办法（征求意见稿）》，对数据进行分类评估：

l对禁止出境的数据严格管控。

l对关键信息基础设施运营者收集的个人信息和重要数据出境报有关部门评估。《网络安全法》第37条的规定，[2]关键信息基础设施运营者收集的个人信息和重要数据应储存于境内，确有必要向境外提供的，应报相关部门进行评估。《数据安全法》第30条规定，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。

l对其他数据出境定期进行必要评估。《个人信息和重要数据出境安全评估办法（征求意见稿）》第12条规定，网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。

场景3：APP被要求下架，运营者应如何应对？

根据公告，“滴滴出行”APP被要求下架，原因在于严重违规收集使用个人信息，存在违法行为。

对此，我们建议企业面临APP下架时采取以下措施：

第一，及时进行公关处理，承认经营过程中存在的漏洞，及时公告内部责任人员追责情况，制定整改方案，避免舆情恶化。

第二，对已注册用户无法使用APP部分功能可能受到都影响或所遭受的损失，及时制定补偿或替代方案并予以公告，及时止损。

第三，配合行政机关进行相关调查，根据行政机关要求进行针对性整改。网络运营者收集个人信息应当遵循合法、必要、正当的原则；公开收集目的、方式和范围；保护个人信息不被毁损、篡改；未经同意不向想他人提供个人信息；不得窃取和出售个人信息。

三、“滴滴出行”等APP运营者存在问题的推测

就数据安全与数据保护而言，此次事件暴露出滴滴在数据安全风险预防和个人信息保护方面存在漏洞，后又有多家企业接受网络安全审查。本文结合法律规定，从宏观与微观层面推测企业触发安全审查机制的原因和存在的问题。

7月2日与7月5日网络安全审查办公室的公告性质类似于“行政强制”而非“行政处罚”，目的在于预防风险和及时止损；7月4日通告的性质更类似于“行政处罚”，是有关机关在发现违法行为后做出APP下架的决定。

宏观角度，部分企业负有主动向国家机关申报数据安全审查的义务。滴滴赴境外上市时间恰逢《数据安全法》即将生效，其作为交通出行领域全国性大型平台企业，掌握涉及国家安全、公共利益或者个人、组织合法权益的重要数据，存在对国家安全与社会稳定带来巨大风险的可能性。根据《国家安全法》第59条规定，[3]为有效预防和化解国家安全风险，有关机关进行国家安全审查，国家机关根据现行《网络安全法》、《网络安全审查办法》对滴滴采取措施。

第一，《网络安全法》第35条规定，[4]关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家安全审查。从业务范围来看，滴滴可能被纳入该条规定的关键信息基础设施的运营者。滴滴赴美上市的招股书表明，滴滴业务范围涉及网约车、出租车、代驾、顺风车、国际出行、外卖、共享单车、电单车、货运、自动驾驶等，甚至包括金融服务。滴滴高级副总裁陈汀也曾表示要建立出行帝国，囊括租车、养车、保险、加油、充电等业务。[5]由此可见，滴滴收集的数据可能包括交通饱和度、车流量、分时车况、道路管制信息等。而滴滴在全国享有日均4100万单的业务，掌握全国交通信息，交通又属于国家重大基础设施范畴，是国家安全与经济发展、社会稳定的大动脉。从这一角度分析，使滴滴担负维护交通出行数据安全的重大义务，具有合理性。

同理，“运满满”APP介绍显示，运满满拥有国内数百万卡车司机与有货货源，支持干线物流、长途货运、同城货运功能，提供全面的物流信息服务，其掌握的交通流量信息、运能数据等应当归入基础设施关键信息，“运满满”运营者赴美上市也应承担一定义务。

除交通领域之外，“BOSS直聘”作为一款求职APP也接受了国家安全审查，涉及的基础设施领域可能包括通信、人力资源、人流时域等。“BOSS直聘”APP介绍，“求职者与招聘者精准匹配”，可以推测运营者掌握了准确的个人年龄、通信方式等身份信息，以及用人单位的生产水平、需求方向等数据，在全社会生产生活中极其重要，运营者有义务通过安全审查，以确保信息数据安全。

第二，《网络安全审查办法》第5条和第15条分别规定了运营者申报审查的义务和国家机关依职权审查的权力。[6]“滴滴出行”、“运满满”、“BOSS直聘”等运营者掌握大量重要数据，有合理理由推测其负有主动申报数据安全审查的义务，然而上述企业并未主动申报，而由国家机关依职权介入。滴滴曾称，赴美上市募资30%用于扩大中国以外国际市场业务，20%用于推出新产品和拓展现有产品品类。由此可见，滴滴可能会涉及采购网络产品与服务，应当预判可能带来的国家安全风险，向网络安全审查办公室申报审查。滴滴此次大步流星赴美上市，未自行申报审查，而是由国家机关依职权介入，被责令停止新用户注册，虽然审查结果尚不可知，但舆论已向消极方向发展。

第三，数据安全强监管趋势下，各企业没有提前准备，应对审查措手不及。《数据安全法》即将生效，《个人信息和重要数据出境安全评估办法》、[7]《数据安全管理办法》等规定已处于征求意见状态，有关制度大体明确，可供参考。此次事件表明，包括“滴滴”、“运满满”、“BOSS直聘”在内的大多数网络运营者并没有提前适应法律要求。《数据安全法》规定数据分级分类管理制度，大多数企业并没有对自身收集处理的信息进行相应分类，对数据重要性有所低估。《评估办法》已经列出了数据出境安全的评估条件，部分企业满足规定的条件，但仍未主动进行准确评估。数据安全领域的法律规定将逐步完善，监管力度并不会因法规的滞后而有所松弛。

微观角度，网络运营者采购的网络产品和服务可能带来的国家安全风险。

第一个问题：对于重点评估的采购网络产品和服务存在的风险主要考虑哪些因素？

根据《网络安全法》第35条的规定，在推测滴滴等APP运营者属于关键信息基础设施运营者的基础上，重点审查其采购网络产品和服务是否存在国家安全风险。

根据《网络安全审查办法》第9条的规定，主要考虑的因素包括：

v  产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

v  产品和服务供应中断对关键信息基础设施业务连续性的危害；

v  产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

v  产品和服务提供者遵守中国法律、行政法规、部门规章情况；

v  其他可能危害关键信息基础设施安全和国家安全的因素。

结合“滴滴出行”、“运满满”、“BOSS直聘”等APP运营者在境外上市的事实看，其采购网络产品和服务存在的安全风险可能情形包括：

1. 产品和服务本身的可靠性存在风险。APP运营商用于存储数据的服务器设备由第三方供应商提供，而供应商提供的设备难以确保在海外环境中保护数据不被非法控制、遭受干扰。

2. 产品和服务相关信息披露后招致风险。APP运营商存储数据的服务器供应商尚未被境外敌对势力知晓，APP运营商在海外上市过程中披露供应商信息而使供应商暴露在网络攻击风险之中。

第二个问题：网络安全审查的内容和流程是怎样的？

网络安全审查的启动部门包括网信办、发改委、工信部、公安部、国安部、财政部、商务部、央行、市监总局、广电总局、保密局、密码管理局共计十二个部门，进行全面审查。根据《网络安全审查办法》第10条，网络安全审查程序期限一般为30日，情况复杂的可延长15日。滴滴被发现存在个人信息保护违法行为，并非数据安全审查的结论，审查期间还可能发现其他法律漏洞。

结语

舟大者任重，马俊者远驰。“滴滴出行”等APP运营者作为超大平台型数据企业，应当肩负起维护数据安全的重任。同时，此次密集性的网络安全审查事件也提醒着企业管理层：只有及时建立数据安全制度，才能在数据时代安全远行。

注释：

1.《数据安全法》第30条，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等。

2.《网络安全法》第37条，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的，依照其规定。

3.《国家安全法》第59条，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

4.《网络安全法》第35条，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。

5.参见微信公众号“雷锋网”：滴滴为什么要趟「买菜」这波浑水？https://mp.weixin.qq.com/s/vWsoqn2KZGE-SvZyMzluiA

6.《网络安全审查办法》第5条，运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。第15条，网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

7.《个人信息和重要数据出境安全评估办法（征求意见稿）》第9条，出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB；（三）包含核设施、化学生物、国防军工、人口健康等领域数据，大型工程活动、海洋环境以及敏感地理信息数据等；（四）包含关键信息基础设施的系统漏洞、安全防护等网络安全信息；（五）关键信息基础设施运营者向境外提供个人信息和重要数据；（六）其他可能影响国家安全和社会公共利益，行业主管或监管部门认为应该评估。行业主管或监管部门不明确的，由国家网信部门组织评估。