走出去智庫觀察

7月4日晚，國家網信辦發布通報稱，根據舉報并經檢測核實，“滴滴出行”App存在嚴重違法違規收集使用個人信息問題，通知應用商店下架“滴滴出行”App。此前7月2日，國家網信辦曾發布公告，對“滴滴出行”實施網絡安全審查。

走出去智庫（CGGT）觀察到，網絡安全審查重點評估關鍵信息基礎設施運營者，采購網絡產品和服務可能帶來的國家安全風險。滴滴作為中國最大的出行和交通平臺，與能源、金融、電信等平臺一樣，是國家關鍵信息基礎設施運營者。有分析認為，此次對滴滴審查主要關注的是，重要數據和公民個人信息的出境安全風險。

滴滴出行為什么被審查？后果可能是什么？今天，走出去智庫（CGGT）刊發金誠同達律師事務所宋海新、彭凱、周晨黠的分析文章，供關注網路安全的讀者參閱。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、關鍵信息基礎設施的運營者自身必然會通過保護工作部門的通知而知悉自身的認定結果，而保護工作部門有本行業領域的關鍵信息基礎設施運營者的名單，公安部有各行業領域的關鍵信息基礎設施運營者的名單。

2、在關鍵信息基礎設施的運營者身份界定之外，另一個原因可能在于，滴滴出行使用的網絡產品和服務出現了數據方面的安全問題。

3、依法作出的數據安全審查決定為最終決定，意味著數據安全審查的決定一經作出即告生效，不會進入行政復議或行政訴訟程序。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

文/宋海新 彭凱 周晨黠[1]

金誠同達律師事務所

2021年7月2日晚間，網絡安全審查辦公室發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》（以下簡稱“《公告》”），宣布對“滴滴出行”實施網絡安全審查。[2]這是國家首次對企業啟動網絡安全審查，一時間，引起社會各界的高度關注。

僅在三天前的2021年6月30日，滴滴出行在美國紐約證券交易所掛牌上市，股票代碼為“DIDI”，發行定價為14美元，位于13-14美元/ADS的發行區間上限。或受網安審查事件影響，2021年7月2日，滴滴股價開盤跌幅近11%，不過隨后跌幅有所收窄，截至北京時間當日23:00，跌5.49%至15.5美元/股。[3]

對于網絡安全審查，滴滴出行回應稱，滴滴將積極配合網絡安全審查。審查期間，公司將在相關部門的監督指導下，全面梳理和排查網絡安全風險，持續完善網絡安全體系和技術能力。[4]接受網絡安全審查對股市的影響已然立竿見影，滴滴出行亦作出回應，但大家心中仍滿是疑惑。你最想知道的八個問題，我們在此列出，然后一一科普及探討。

圖1 滴滴出行網安審查八問匯總圖

Q1：網絡安全審查是什么？

網絡安全審查的法律定義可見于《網絡安全審查辦法》（國家互聯網信息辦公室公告第6號，以下簡稱“《辦法》”）的相關規定，具體包括：

第二條 ?關鍵信息基礎設施運營者（以下簡稱運營者）采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。

第三條 ?網絡安全審查堅持防范網絡安全風險與促進先進技術應用相結合、過程公正透明與知識產權保護相結合、事前審查與持續監管相結合、企業承諾與社會監督相結合，從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。

從《辦法》條文規制可見，網絡安全審查系對影響或可能影響國家安全的關鍵信息基礎設施運營者采購網絡產品和服務的行為，從產品和服務安全性、可能帶來的國家安全風險等方面進行審查。

Q2：滴滴出行被審查的法律依據？

《公告》內容顯示，滴滴出行被審查的上位法依據為《中華人民共和國國家安全法》（以下簡稱“《國安法》”）《中華人民共和國網絡安全法》（以下簡稱“《網安法》”），直接適用的法律依據為《辦法》。

圖2 滴滴出行被審查的法律依據

對于《國安法》和《網安法》，其中適用的規定主要為《國安法》第五十九條和《網安法》第三十五條。

第五十九條 ?國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目，以及其他重大事項和活動，進行國家安全審查，有效預防和化解國家安全風險。

第三十五條 ?關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查。

上述條文規制為網絡安全審查提供了法律依據，在此基礎上，國家網信辦等十二個中央部委聯合制定了《辦法》。

圖3 網絡安全審查辦法條文架構設置

《辦法》于2020年4月13日發布，并在當年6月1日生效，為我國開展網絡安全審查工作提供了重要的制度保障。《辦法》全文共二十二條，系統規定了網絡安全審查的適用范圍、審查原則、主管部門、申報審查材料、審查程序、審查內容、法律責任等。

Q3：滴滴出行被審查的可能原因？

滴滴出行被進行網絡安全審查后，網絡消息滿天飛，難辨真假。在不了解詳細事實情況的基礎上，我們無法給出準確的法律分析，否則將有失客觀、嚴謹。我們僅從《公告》內容和《辦法》等規定出發，結合公開渠道可檢索的客觀信息資料，以及我們多年深耕網絡安全和數據合規業務的經驗和我們對滴滴出行業務的理解，在后文探討兩個可能的原因：特殊身份與數據安全。

圖4 網絡安全審查的可能誘因

一、滴滴出行被認定為關鍵信息基礎設施的運營者

從Q2的探討中，可以清晰地看出，網絡安全審查的適用對象為關鍵信息基礎設施的運營者。要啟動網絡安全審查，其主體必須符合該要求，那結果就顯而易見了，根據滴滴出行的行業屬性，我們可以進一步推測，滴滴出行屬于公路水路運輸行業領域的關鍵信息基礎設施的運營者。為方便大家理解，在此補充一些背景知識。

1.關鍵信息基礎設施是什么？

《網安法》第三十一條 ?國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。

對此，國家網信辦曾于2017年7月10日發布《關鍵信息基礎設施安全保護條例（征求意見稿）》并公開征求意見，但截至目前，該規定的正式稿尚無下文。

而在《辦法》答記者問時，國家網信辦有關負責人指出：“根據中央網絡安全和信息化委員會《關于關鍵信息基礎設施安全保護工作有關事項的通知》精神，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者在采購網絡產品和服務時，應當按照《辦法》要求考慮申報網絡安全審查。”[5]這意味著，至少電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業，這些行業領域的重要網絡和信息系統屬于關鍵信息基礎設施。但該答記者問的回答，又進一步引發新問題：

重要網絡和信息系統又包括哪些呢？

由公安部于2020年9月22日發布并于當日生效的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》（以下簡稱“《意見》”）或能提供進一步的答案。

三、建立并實施關鍵信息基礎設施安全保護制度

（一）組織認定關鍵信息基礎設施。根據黨中央和公安部有關規定，公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門（以下統稱保護工作部門）應制定本行業、本領域關鍵信息基礎設施認定規則并報公安部備案。保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施，及時將認定結果通知相關設施運營者并報公安部。應將符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制，有關網絡設施、信息系統發生較大變化，可能影響其認定結果的，運營者應及時將相關情況報告保護工作部門，保護工作部門應組織重新認定，將認定結果通知運營者，并報公安部。

據此，初步結論或可得出：重要網絡和信息系統包括符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象。

2.關鍵信息基礎設施的運營者是什么？

第二十條第一款 本辦法中關鍵信息基礎設施運營者是指經關鍵信息基礎設施保護工作部門認定的運營者。

該條規定指出了關鍵信息基礎設施運營者的認定方法，即由關鍵信息基礎設施保護工作部門認定。對此，我們可以再進一步探討兩個細分問題：

（1）哪些部門是關鍵信息基礎設施保護工作部門？

三、建立并實施關鍵信息基礎設施安全保護制度

（一）組織認定關鍵信息基礎設施。根據黨中央和公安部有關規定，公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門（以下統稱保護工作部門）應制定本行業、本領域關鍵信息基礎設施認定規則并報公安部備案。保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施，及時將認定結果通知相關設施運營者并報公安部。應將符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。關鍵信息基礎設施清單實行動態調整機制，有關網絡設施、信息系統發生較大變化，可能影響其認定結果的，運營者應及時將相關情況報告保護工作部門，保護工作部門應組織重新認定，將認定結果通知運營者，并報公安部。

由此可見，關鍵信息基礎設施保護工作部門主要包括公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的主管、監管部門，具體來說包括工信部、發改委、交通運輸部、水利部、中國人民銀行、銀保監會、證監會、國防部等。

（2）關鍵信息基礎設施運營者的名單會公開嗎？

根據《意見》的規定，保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施，及時將認定結果通知相關設施運營者并報公安部……

由此可以得出的結論是，按照規定，關鍵信息基礎設施的運營者自身必然會通過保護工作部門的通知而知悉自身的認定結果，而保護工作部門有本行業領域的關鍵信息基礎設施運營者的名單，公安部有各行業領域的關鍵信息基礎設施運營者的名單。

但上述規定并未提及關鍵信息基礎設施運營者的名單是否公開。而從滴滴出行角度來看，如果不是本次被進行網絡安全審查，我們也難以界定其具備關鍵信息基礎設施運營者的身份。而實際情況可能是，交通運輸部已經將滴滴出行認定為關鍵信息基礎設施的運營者。

因此，結論呼之欲出，關鍵信息基礎設施運營者的名單公示可能性小，至少短時間內不會公開。

3.相關立法的最新動態

根據《國務院辦公廳關于印發國務院2021年度立法工作計劃的通知》（國辦發〔2021〕21號），擬制定的行政法規中包含有《關鍵信息基礎設施安全保護條例》，該條例由網信辦、工信部、公安部組織起草。可預見的是，作為《網絡安全法》配套的行政法規，《關鍵信息基礎設施安全保護條例》對于關鍵信息基礎設施的保護和規范將發揮重要作用，建議從業機構高度關注該條例的立法進展。

二、滴滴出行使用的網絡產品和服務可能出現了數據方面的安全問題

在關鍵信息基礎設施的運營者身份界定之外，另一個原因可能在于，滴滴出行使用的網絡產品和服務出現了數據方面的安全問題。在此先補充一點背景知識，《辦法》語境下的“網絡產品和服務”的具體所指，在《辦法》第二十條第二款作出了規定：

第二十條第二款 ?本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。

對于第二個原因的推測理由，我們在此展開分析如下：

1.《公告》首句所采措辭為“為防范國家數據安全風險”

滴滴出行因其業務需要而掌握了道路交通數據（測繪數據、車流人流數據、汽車充電網的運行數據等）等數據。2021年5月12日發布的《汽車數據安全管理若干規定（征求意見稿）》第三條[6]對汽車行業的重要數據進行了界定。滴滴出行掌握的道路交通數據等，很可能屬于該規定界定的汽車行業的重要數據。如果該等數據出現了安全問題，其可能直接影響國家安全、公共利益和社會穩定，如此便與公告所述的“防范國家數據安全”建立起對應。

2.滴滴出行回應稱“全面梳理和排查網絡安全風險，持續完善網絡安全體系和技術能力”

據此，似乎可以反向推導出滴滴出行的網絡安全體系和技術能力仍有待完善，存在網絡安全風險甚至可能已經出現了網絡安全事件。而在《辦法》語境下，網絡安全風險可能需要通過《辦法》第九條[7]來推測。雖然《辦法》第九條系對網絡安全審查時主要考量因素的規定，但切換角度來看，如果某企業觸發了網絡安全審查，很可能也是因為該企業就該等因素對應的風險較高或者已然出現問題。

至此，新惑再起，《辦法》第九條規定了四種主要考慮因素及兜底規定，滴滴出行最有可能觸發了哪個考慮因素呢？

滴滴出行于2021年6月10日提交至美國證券交易委員會（SEC）的招股說明書中“風險因素”部分指出：

Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences. We receive, transmit and store a large volume of personally identifiable information and other data on our platform……[8]

結合前述第1項理由，我們初步分析并認為，滴滴出行觸發可能性較高的是《辦法》第九條第一項規定的因素，即“產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險”。

Q4：網絡安全審查辦公室是誰？

此次發布《公告》的主體、對滴滴出行啟動網絡安全審查的主體為網絡安全審查辦公室，但對于網絡安全審查辦公室的具體所指，以及該辦公室是依據什么而設置，可能多有疑問。

《辦法》第四條明確了網絡安全審查的工作機制和網絡安全審查辦公室的設置及其職責。其指出，網絡安全審查工作的最高領導機構為中央網絡安全和信息化委員會，工作機制組成部門包括國家網信辦、發改委、工信部、公安部、國安部、財政部、商務部、中國人民銀行、國家市場監管總局、國家廣播電視總局、國家保密局、國家密碼局。可以說，網絡安全審查工作機制涉及的有關部門基本涵蓋了與網絡安全密切相關的國家各重要管理部門。

其還指出，“網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。”網絡安全審查辦公室設置在國家網信辦，有利于網絡安全審查工作的常態化和有效運行。就具體工作職責而言，負責制定網絡安全審查相關制度規范、組織網絡安全審查，基本涵蓋了網絡安全審查的主要工作職責。

圖5 網絡安全審查工作機制圖解

因此，網絡安全審查辦公室對滴滴出行開展網絡安全審查，系在其法定職責范圍內組織開展審查工作。

在此延伸一個問題，網絡安全審查辦公室負責組織開展工作，那么具體網絡安全審查工作由誰來做？

《辦法》答記者問時，國家網信辦有關負責人給出了答案，其指出“具體工作委托中國網絡安全審查技術與認證中心承擔。中國網絡安全審查技術與認證中心在網絡安全審查辦公室的指導下，承擔接收申報材料、對申報材料進行形式審查、具體組織審查工作等任務。”

Q5：網絡安全審查主要審查哪些內容？

前面我們提到，《辦法》第九條規定了網絡安全審查的主要考量因素。我們來全面、具體地看一下這些因素：

為方便理解，我們基于與《辦法（征求意見稿）》的對比角度進行解讀。相較于《辦法（征求意見稿）》第十條，《辦法》第九條：

1. 刪去了“對國防軍工、關鍵信息基礎設施相關技術和產業的影響”和“產品和服務提供者受外國政府資助、控制等情況”；

2. 新增了“產品和服務……來源的多樣性，供應渠道的可靠性”的要求；

3. 將“產品和服務提供者遵守國家法律與行政法規情況”擴張至“產品和服務提供者遵守中國法律、行政法規、部門規章情況”。

由此可以看出，《辦法》刪去了部分可能產生爭議的審查因素，正如國家互聯網信息辦公室有關負責人就《辦法》相關問題答記者問時指出，網絡安全審查的目的是維護國家網絡安全，不是要限制或歧視國外產品和服務；《辦法》進一步強化了對供應鏈安全的要求，有助于在新形勢下更好地維護網絡安全和國家安全。

Q6：網絡安全審查程序如何？

該問題可從網絡安全審查的啟動方式、審查的流程和時間兩方面進行解答：

一、網絡安全審查的啟動方式

網絡安全審查的啟動分為報請審查和依職權啟動審查兩種方式，具體如下：

《公告》未體現出滴滴出行申請進行網絡審查的相關信息，結合《公告》的表述，可以推測出，本次對滴滴出行進行網絡安全審查，系依職權啟動審查。

二、審查流程和時間

根據審查啟動方式的不同，在審查流程和時間方面亦有區分，具體如下：

1.報請審查情形下的審查流程和時間

圖6 報請審查情形下的審查流程和時間圖解

2.依職權啟動審查情形下的審查流程和時間

圖7 依職權啟動審查情形下的審查流程和時間圖解

3.滴滴出行被審查的可能時間

雖有審查流程和時間示意圖，或有的問題仍然存在，就滴滴出行此次審查個案而言，審查時間可能為多久？

對此，我們理解，作為《辦法》施行后的首次網絡安全審查，其最快需要45個工作日，如果適用情況復雜的延長時限要求，需要45+15，共計60個工作日的審查時間。

此外，不排除其進入特別審查程序的可能性，如果進入特別審查程序，其可能那就是在60個工作日的基礎上，再加45個工作日，即“45+15+45”，共計105個工作日。當然，105個工作日并非最長時限，在特別審查程序中，情況復雜的可以適當延長。

綜合來說，滴滴出行被審查的可能時間為，最快45個工作日，可能需要60個工作日，不排除需要105個工作日的可能性，甚至還可能超過105個工作日。

Q7：等待滴滴出行的后果可能是什么？

《辦法》第十九條援引至《網安法》第六十五條，系相關的法律責任條款，具體如下：

《辦法》第十九條 ?運營者違反本辦法規定的，依照《中華人民共和國網絡安全法》第六十五條的規定處理。

《網安法》第六十五條 ?關鍵信息基礎設施的運營者違反本法第三十五條規定，使用未經安全審查或者安全審查未通過的網絡產品或者服務的，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。

因此，如若切實違反《辦法》規定，等待滴滴出行的很可能是責令停止使用相關網絡產品或服務，被責令停止使用，對滴滴出行、直接負責的主管人員和其他直接責任人員處以罰款。此外，不排除適用《國安法》規定的更嚴格的法律責任的可能性。

Q8：滴滴出行被審查會是個案嗎？

先說答案：絕非個案。何以如此肯定，原因有二：

其一，有法可依。從《網安法》到《辦法》，上位法和實施細則均已配置完善，開展網絡安全審查具備明確、具體的法律依據。

其二，有例可循。螞蟻集團被金融管理部門聯合約談并被要求整改，引起社會廣泛關注和討論，但螞蟻集團是“出頭鳥”，卻不會是“冤大頭”。果不其然，后續金融監管部門聯合約談從事金融業務的十三家網絡平臺并對其提出整改要求。

可以肯定地說，滴滴出行被進行網絡安全審查，是第一例，但絕不會是最后一例。網絡安全審查之風，已然刮起。

迎風而上 順風而治

滴滴出行被進行網絡安全審查，正式拉開了《辦法》生效后我國網絡安全審查工作的大幕。可能被認定為關鍵信息基礎設施運營者的從業機構們，不能僅僅默默“吃瓜”，不然終會“吃瓜吃到自己身上”。該等機構需要嚴格對照《網安法》和《辦法》的規定，立刻開展合規工作，全面排查準備采購和已經使用的網絡產品和服務，需要報請網絡安全審查的及時申報，需要停止使用的及時停止使用并做好更換安排，是為，既要迎風而上，又要順風而治。

特別補充提示的是，《網安法》確定了網絡安全審查制度，即將于2021年9月1日生效的《數據安全法》確定了數據安全審查制度。而依法作出的數據安全審查決定為最終決定，意味著數據安全審查的決定一經作出即告生效，不會進入行政復議或行政訴訟程序。數據安全審查，從業機構們亦應予以高度關注，在數據安全審查制度的配套立法出臺后，及時開展合規安排。

注釋：

[1] 作者均供職于金誠同達律師事務所，同時系Shairk INT團隊成員，主要業務領域包括網絡安全與數據合規、金融科技、公司治理與合規、爭議解決。

[2]?網絡安全審查辦公室：《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》，載http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm，最后訪問時間為2021年7月3日。

[3]?券商中國：《突發！滴滴遭網絡安全審查股價一度跌逾10%最新回應來了》，載https://mp.weixin.qq.com/s/WWRbbzlX88h-ubuKHcACkw，最后訪問時間為2021年7月3日。

[4]?參見前引3。

[5] 中國網信網：《<網絡安全審查辦法>答記者問》，載http://www.cac.gov.cn/2020-04/27/c_1589535446378477.htm，最后訪問時間為2021年7月3日。

[6] 《汽車數據安全管理若干規定（征求意見稿）》第三條規定：……本規定所稱重要數據包括：（一）軍事管理區、國防科工等涉及國家秘密的單位、縣級以上黨政機關等重要敏感區域的人流車流數據；（二）高于國家公開發布地圖精度的測繪數據；（三）汽車充電網的運行數據；（四）道路上車輛類型、車輛流量等數據；（五）包含人臉、聲音、車牌等的車外音視頻數據；（六）國家網信部門和國務院有關部門明確的其他可能影響國家安全、公共利益的數據。

[7]《辦法》第九條規定：網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險，主要考慮以下因素：（一）產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；（二）產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；（三）產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；（四）產品和服務提供者遵守中國法律、行政法規、部門規章情況；（五）其他可能危害關鍵信息基礎設施安全和國家安全的因素。

[8] 《滴滴出行招股說明書》，載https://www.sec.gov/Archives/edgar/data/1764757/000104746921001194/a2243272zf-1.htm#da10201_risk_factors，最后訪問時間為2021年7月3日。

來源：金誠同達

特別聲明：以上文章內容僅代表作者本人觀點，不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。