简评网络安全审查办法修订草案｜MHP君悦评论

引言：

2021年7月2日，国家网络安全审查办公室依法对滴滴出行实施网络安全审查。7月4日，国家互联网信息办公室认定，滴滴出行App存在严重违法违规收集使用个人信息问题，依法通知应用商店下架滴滴出行App。7月5日，网络安全审查办公室依法对运满满、货车帮、BOSS直聘实施网络安全审查。7月9日，国家互联网信息办公室认定，北京小桔科技有限公司旗下的滴滴企业版等25款App存在严重违法违规收集使用个人信息问题，依法通知应用商店下架相关App。7月10日，国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》，《办法》要求，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

一、走向数据合规时代

数据是互联网企业的核心资产，数据本身可承载公民个人信息，如果不能妥善收集、存储和处理个人信息，就会侵害个人信息主体的合法权益。近十年来国内互联网企业蓬勃发展，掌握了大量个人信息和交易数据，若对于海量个人信息进行大数据分析，很可能刻画出经济运行和社会活动的关键画像，这些核心信息关乎国家经济安全、军事安全和社会稳定，属于国家秘密的范畴。如果缺乏严格的行政监管措施，核心信息被外国政府所影响、控制或恶意使用，必然带来严重的国家安全风险。

滴滴出行、运满满、货车帮、BOSS直聘皆是互联网企业，在国内拥有大量个人用户和企业用户，滴滴出行在中国拥有用户超过3.77亿，Boss直聘拥有8580万个人用户。他们控制着包括联系方式、家庭住址、出行记录、支付账户、个人简历等大量个人信息，其中不乏敏感个人信息。出行大数据可以间接反映出经济运行的状态、国内道路交通情况和城市地理坐标等重要信息，个人简历信息可以直接反应出就业市场情况、企业数据和招聘意愿等情况，这些重要数据如果不能被妥善使用，就会造成国家秘密泄漏引发严重的经济问题和社会问题。

数据是社会新型生产要素，如同农业时代的劳动力与土地，工业时代的资本与技术，将成为国家之间竞争博弈的新战场。大国在数据领域加速建立法律法规，推动本国数据安全和个人信息保护之立法，一方面是为了保护国内数据要素，为国内数据生产要素的收集、流转和使用创造法律规范，推动大数据支撑下的经济高质量发展；另一方面是占领国家间数据协作规则和标准的高地，为本国在未来数据资产时代谋求更多国家竞争力。

二、网络安全审查办法修订点评

国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》。修订草案主要修改点如下：

第一、延伸了需要申报网络安全审查的主体范围。原办法指出，关键信息基础设施运营者应当按照本办法进行网络安全审查，修订草案将数据处理者也纳入到网络安全审查的范围。我国并未公开关键信息基础设施运营者名单，多数互联网运营者通常认为不属于关键信息基础设施运营者的范畴，从而忽略网络安全审查步骤。修订草案明确提出，数据处理者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。

第二、明确提出掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。如果运营者业务影响或可能影响国家安全的，其IPO材料也将一并审查，中国证券监督管理委员会亦是被列入协同审查的部委。

第三、网络安全审查将增加对于数据处理活动的审查力度。运营者处理个人信息，应当按照法律法规严格执行，不仅要遵循告知同意之原则，还应当采取必要适当的技术措施保障个人信息安全。运营者不可以随意使用其掌握的海量个人信息，应当在最小必须场景下有限使用。若运营者违规通过大数据处理海量个人信息，可能会分析出反映经济运行和社会活动的国家秘密信息，如果被国外政府影响、控制或恶意使用，就会影响到国家安全。

三、全球数据安全与个人信息保护

2018年，欧盟正式实施《通用数据保护条例》简称GDPR，赋予数据主体明确且广泛的法律权利，数据控制者和处理者必须满足相应义务，否则将面临不超过2000万欧元的罚款，或不超过全球营业收入4%的罚款。2019年1月，法国数据保护机构指出Android新用户设置流程违反GDPR之规定，收集个人信息时未获得用户明确且具体的同意，也未向用户充分说明如何处理个人信息，致使用户无法理解谷歌将如何使用和处理个人信息，为此该机构向谷歌开出5000万欧元的巨额罚单，成为GDPR实施以来最大的罚单。GDPR存在长臂管辖条款，影响着其他国家和地区的实体运营，加速着全球主要国家个人信息保护立法的进程，开启了全球个人信息保护立法的序幕。

2016年我国《网络安全法》正式实施，要求网络运营商有义务保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄漏或者被窃取篡改。2018年《个人信息安全规范》正式发布，明确定义个人信息的范围，提供个人信息收集、存储、使用、共享、转让、公开披露、删除等处理活动的原则和安全要求，以规范个人信息收集和使用的过程，最大程度上保护数据主体的合法权益。2021年我国立法机关已经公布《数据安全法》和《个人信息保护法（草案）》，国内个人信息保护法律体系日趋完善，将促进个人信息保护、商业使用和公共属性之间达到均衡，这也对互联网服务运营商提出更高的合规要求。

未来，数据合规不再是锦上添花，而是关乎企业生死存亡。