滴滴背后的网络安全监管走向：网络安全审查的范围及趋势

2021年7月2日，中国网络安全审查办公室对“滴滴出行”实施网络安全审查。

2021年7月5日，中国网络安全审查办公室对“运满满”“货车帮”“BOSS直聘””实施网络安全审查。

从此次公布的审查对象可以发现，这些公司都是近期在美国上市的中概股企业；都属于搜集了海量用户数据的平台型企业；其中，汽车行业app数量占了3/4（“运满满”“货车帮”同属于满帮集团运营的卡车网约车应用）。

网络安全审查范围的解读

《网络安全审查办法》（《办法》）目的是通过网络安全审查这一举措，保障关键信息基础设施供应链安全，维护国家安全。《办法》全文一共22条，涉及审查内容的只有第九条（共5款），其表述为“重点评估”、“主要考虑以下因素”，没有覆盖全部审查范围；对其中“风险”、“危害”及“可靠”的判断和解释，也给了监管机构极大的自由裁量权。

《办法》的制订依据是《中华人民共和国国家安全法》第59条，《中华人民共和国网络安全法》第35条。其中《国家安全法》第59条规定，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查。

此处的“其他重大事项和活动”，意味着审查的范围将不作限定，只要可能危机国家安全的都在安全审查范围内。联系到《办法》第9条中“重要数据被窃取、泄露、毁损的风险”，我们认为，企业数据处理活动的合法合规性也在审查范围之中，特别是数据的搜集权限、敏感数据/重要数据的处理方式、跨境传输等。

汽车数据安全审查的范围

既然《办法》的规定比较抽象和概括，我们不妨从汽车安全领域的相关规定中寻找答案。

2021年5月12日，国家互联网信息办公室发布的《汽车数据安全管理若干规定（征求意见稿）》（《规定》）明确其立法目的，是为了加强个人信息和重要数据保护，规范汽车数据处理活动，维护国家安全和公共利益。尽管《规定》尚处于征求意见状态，但对于汽车行业应对这一轮网络安全审查仍然具有重要指导意义。

《规定》中值得关注的几个问题：

1.重要数据的类型

《规定》列举了：军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据；高于国家公开发布地图精度的测绘数据；汽车充电网的运行数据；道路上车辆类型、车辆流量等数据；包含人脸、声音、车牌等的车外音视频数据；

2.运营者处理个人信息和重要数据的基本原则

3.运营者处理重要数据，应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式，以及是否向第三方提供等。

4.个人信息或者重要数据应当依法在境内存储，确需向境外提供的，应当通过国家网信部门组织的数据出境安全评估。

5.处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者，应当将年度数据安全管理情况报省级网信部门和有关部门；如果存在向境外提供数据的情况，需要额外报送相关资料。

可见，《规定》对汽车数据处理活动的监管更加精准、严格。网约车平台，因涉及重要数据的处理，包括数据出境，则需要满足更高的合规要求。

合规趋势与建议

1.网络安全审查与行业数据监管相结合

一方面，网络安全审查的范围较为宽泛，企业需要作好全面的合规应对。另一方面，数据安全审查，是网络安全审查的重要组成部分，且数据处理活动具有明显的行业属性，相关细则及监管动态值得企业密切关注。

2.供应链安全与运营安全等相结合

一般而言，网络安全防范体系可划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等。

尽管《办法》重点关注的是关键信息基础设施供应链安全，但考虑到网络安全审查范围的不确定性、外延的宽泛性，以及安全风险评估的特点，建议企业不要将关注点停留在供应链安全，运营安全等也需要同步建设及完善。

3.自我合规与外部监管相结合

如果将工信部、国家网信办对app个人信息保护的专项整治，作为数据安全治理的1.0阶段。那么，以滴滴事件为开端，对汽车行业的平台型企业开展的网络安全审查，可视作2.0阶段，体现了国家对平台型企业存在的网络安全问题的担忧，宣告强力监管模式的正式开启。

对企业而言，宜尽快适应，从之前自我合规模式（无所适从），转向面对持续的政府监管压力，做好合规策略、融资计划的调整，乃至经营风险的全面评估。

未（hu) 来(si) 猜(luan) 想(xiang)

1、一批中概股公司因信息披露不实遭到集体诉讼；

2、重点行业主管机构出台细则，制订网络产品和服务准入标准或白名单；

3、外资网络产品和服务受到打压，在重点行业的市场份额逐步下降；

4、国产品牌受到资本热捧，股价持续上扬；

5、企业纷纷加强供应链管理，逐年加大在数据安全和隐私保护的投入；

6、国家有计划地对一批平台型企业（中概股公司）开展网络安全专项检查；

7、证监会出台指导意见，要求拟上市公司加强网络安全信息披露；

8、市场监督管理总局加大对平台型企业的反垄断调查；

9、网络安全保险开始被市场逐步接受。