美光网络安全审查及企业合规危机应对

何渊 上海交通大学数据法律研究中心执行主任2023年4月13日美光网络安全审查与企业合规危机应对 美光到底怎么了？做了什么？ 公告原文关于对美光公司在华销售产品启动网络安全审查的公告为保障关键信息基础设施供应链安全，防范产品问题隐患造成网络安全风险，维护国家安全，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对美光公司（Micron）在华销售的产品实施网络安全审查。 特此公告。 网络安全审查办公室 2023年3月31日 滴滴又是怎么一回事？ 1•2021年6月30日，滴滴在美国纽交所上市（时间点，速度最快）2•2021年7月2日，对滴滴启动网络安全审查，并暂停新用户注册3•2021年7月4日，网信办下架滴滴出行APP4•2021年7月9日，网信办下架滴滴出行等25款APP5•2021年7月16日，7部门进驻滴滴，开展网络安全审查6•2021年12月3日，滴滴宣布将在美国退市，启动香港上市准备7•2022年6月12日，滴滴正式从美国纽交所退市8•2022年7月21日，网信办对滴滴罚款80.26亿 7 8 80亿是如何计算出来的？凭啥顶格处罚？ 网络安全审查发现:滴滴公司存在严重影响国家安全的数据处理活动，以及拒不履行监管部门的明确要求，阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全，依法不公开。 滴滴公司违法违规行为情节严重，应当予以从严从重处罚。一是从违法行为的性质看，滴滴公司未按照相关法律法规规定和监管部门要求，履行网络安全、数据安全、个人信息保护义务，置国家网络安全、数据安全于不顾，给国家网络安全、数据安全带来严重的风险隐患，且在监管部门责令改正情况下，仍未进行全面深入整改，性质极为恶劣。二是从违法行为的持续时间看，滴滴公司相关违法行为最早开始于2015年6月，持续至今，时间长达7年，持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看，滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息，严重侵犯用户隐私，严重侵害用户个人信息权益。四是从违法处理个人信息的数量看，滴滴公司违法处理个人信息达647.09亿条，数量巨大，其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看，滴滴公司违法行为涉及多个App，涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。 16项违法事实，归纳起来主要是8个方面。1.违法收集用户手机相册中的截图信息1196.39万条；2.过度收集用户剪切板信息、应用列表信息83.23亿条；3.过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条；4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置（经纬度）信息1.67亿条；5.过度收集司机学历信息14.29万条，以明文形式存储司机身份证号信息5780.26万条；6.在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条；7.在乘客使用顺风车服务时频繁索取无关的“电话权限”；8.未准确、清晰说明用户设备信息等19项个人信息处理目的。 网络安全审查的类型 国家安全审查网络安全审查数据安全审查 相关条文《数据安全法》第二十三条 国家建立数据安全审查制度，对影响或者可能影响国家安全的数据活动进行国家安全审查。依法作出的安全审查决定为最终决定。《网络安全审查办法》第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。16 网络安全审查CIIO网络产品网络服务网络平台运营者数据处理 CIIO《关键信息基础设施安全保护条例》第二条 本条例所称关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。第九条 保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并报国务院公安部门备案。制定认定规则应当主要考虑下列因素：（一）网络设施、信息系统等对于本行业、本领域关键核心业务的重要程度；（二）网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度；（三）对其他行业和领域的关联性影响。 网络平台运营者“网络平台运营者”尚且缺乏明确定义。《网络数据安全管理条例（征求意见稿）》- 互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。- 大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。《电子商务法》电子商务平台经营者，是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务，供交易双方或者多方独立开展交易活动的法人或者非法人组织。19 适用情形类别适用主体适用情形强制申报关键信息基础设施企业采购网络产品和服务，并预判影响或者可能影响国家安全（第五条、第六条）强制申报网络运营者掌握超过100万用户个人信息的网络运营者赴国外上市（第七条）自发申报网络运营者经分析认为自身活动可能影响或者可能影响国家安全的（包括全部上市活动）（第八条）20 启动条件之一：监管机构主动发起程序第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。 来源：送法上网 启动条件之二：主动申报之赴国外上市第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。 “赴国外上市”如何界定？《新办法》中仅提及“赴国外上市”，未提及“赴港上市”。网络安全审查制度的关注焦点是上市行为是否会触发网络安全及数据安全风险，重点考察上市公司的数据处理行为，而非拘泥于上市形式。证监会发布的《管理规定》明确将对境内企业直接和间接境外上市进行统一监管，不论是首次公开募股（IPO），还是特殊目的公司并购（SPAC）、反向收购（RTO）、直接上市（DPO）等方式的上市，均在审查范围内。 来源：送法上网 启动条件之三：主动申报之CIIO第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。 办法的合规要点 立法历程法律法规/立法政策颁布时间《建立信息安全审查制度》的立法提案2013《信息化发展规划》2013.10.24《关于建立网络安全审查制度的公告》2014.05.22《关于加强党政部门云计算服务网络安全管理的意见》2015.12.30《中华人民共和国国家安全法》2015.07.01《国家信息化发展战略纲要》2016.07《中华人民共和国网络安全法》2016.11.07《网络产品和服务安全审查办法（试行）》2017.05.02《关键信息基础设施安全保护条例（征求意见稿）》2017.07.10《贯彻落实总体国家安全观健全完善关键信息基础设施安全保护法律体系》2018.04.19《网络安全审查办法（征求意见稿）》2019.05.21《网络安全审查办法》《网络安全审查办法（修订版）》2020.04.132021.12.1828 《网络安全审查办法》2020版《网络安全审查办法》2020版《网络安全审查办法》2022版立法依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》立法目的确保关键信息基础设施供应链安全，维护国家安全确保关键信息基础设施供应链安全，保障网络安全和数据安全，维护国家安全适用对象关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。网络安全审查工作机制构成网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、国密局、国密管理局网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、证监会、国密局、国密管理局 网络安全审查触发条件1. 关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的2. 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务3.社会举报1. 关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的2. 网络平台运营者开展数据处理活动，影响或者可能影响国家安全的3.掌握超过100万用户个人信息的网络平台运营者赴国外上市4. 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动5.社会举报需提交的申报材料1.申报书；2.关于影响或可能影响国家安全的分析报告；3.采购文件、协议、拟签订的合同等；4.网络安全审查工作需要的其他材料1.申报书；2.关于影响或者可能影响国家安全的分析报告；3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；4.网络安全审查工作需要的其他材料 重点评估的国家安全风险因素1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；2.产品和服务供应中断对关键信息基础设施业务连续性的危害；3.产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；4.产品和服务提供者遵守中国法律、行政法规、部门规章情况；5.其他可能危害关键信息基础设施安全和国家安全的因素。1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险；2.产品和服务供应中断对关键信息基础设施业务连续性的危害；3.产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；4.产品和服务提供者遵守中国法律、行政法规、部门规章情况；5.核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或者非法出境的风险；6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。特别审查时限特别审查程序一般应当在45个工作日内完成，情况复杂的可以适当延长。特别审查程序一般应当在90个工作日内完成，情况复杂的可以延长。 新增义务为了防范风险，当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。网络产品和服务范围核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全有重要影响的网络产品和服务核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务，以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 五、网络安全审查程序 来源：PWC 网络安全审查