長江雲

多家APP被網絡安全審查,原因何在? 審查哪些內容?

2021-07-07 09:34:42 
分享到:

數據安全關乎國家安全

7月6日,中共中央辦公廳、國務院辦公廳公開發布《關於依法從嚴打擊證券違法活動的意見》。意見提出,完善數據安全、跨境數據流動、涉密信息管理等相關法律法規。抓緊修訂關於加強在境外發行證券與上市相關保密和檔案管理工作的規定,壓實境外上市公司信息安全主體責任。

近日,國家網信辦連續發佈了對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查的公告。審查期間,以上APP均已停止新用户註冊。

多家互聯網企業接受網絡安全審查,一時間,數據安全再次成為關注焦點。

接受網絡安全審查的幾家企業都掌握大量用户隱私數據,並且業務與關鍵信息基礎設施有關

“滴滴一下,美好出行”。作為中國最大的出行平台,“滴滴出行”的下架整改,讓這句廣告詞變了滋味。

7月4日,國家互聯網信息辦公室發佈公告稱,經檢測核實,“滴滴出行”APP存在嚴重違法違規收集使用個人信息問題。“滴滴出行”隨後迴應稱,將嚴格按照有關部門的要求下架整改,並積極配合網絡安全審查。目前,“滴滴出行”APP已暫停新用户註冊,並下架整改。

一天後,網絡安全審查辦公室發佈關於對“運滿滿”“貨車幫”“BOSS直聘”啓動網絡安全審查的公告。

對這幾家企業啓動網絡安全審查,原因是什麼?

記者查看“運滿滿”企業官網時發現,該公司成立於2013年,隸屬於江蘇滿運軟件科技有限公司,是國內基於雲計算、大數據、移動互聯網和人工智能技術開發的貨運調度平台。官網稱,“運滿滿已經成為全球出類拔萃的整車運力調度平台和智慧物流信息平台”。“貨車幫”公司官網則介紹,“貨車幫”是中國最大的公路物流互聯網信息平台,建立了中國第一張覆蓋全國的貨源信息網,併為平台貨車提供綜合服務,致力於做中國公路物流基礎設施。

相比於這兩家公司,“BOSS直聘”或許更廣為人知。招股書顯示,2021年3月,“BOSS直聘”月活躍用户數達3060萬,服務630萬家認證企業,其中82.6%為中小企業。官網介紹稱,該平台應用人工智能、大數據前沿技術,提高僱主與人才的匹配精準度,縮短求職招聘時間,從而提升求職招聘效率。

綜合來看,這幾家企業都掌握大量用户隱私數據,並且業務與關鍵信息基礎設施有關聯。

“上述幾家被審查的企業,分別為日常出行、網絡貨運及大眾求職領域的頭部平台,至少掌握了所屬行業領域80%以上的深度數據。這些數據可以直接或間接地反映我國各區域人口分佈、商業熱力、人口流動、貨物流動、企業經營等情況。”江蘇省大數據交易和流通工程實驗室副主任李可順表示。

被審查企業近期已赴美上市,將不可避免涉及數據出境問題

值得注意的是,這幾家被審查的企業有着共同的特點:近期赴美上市。

記者查閲資料發現,2021年6月11日,“BOSS直聘”於美國上市;6月22日,擁有“運滿滿”和“貨車幫”的滿幫集團於美國上市;6月30日,國內最大的移動出行平台滴滴於美國上市。

滴滴接受網絡安全審查的消息,迅速在網絡上發酵。

匯業律師事務所高級合夥人李天航認為,滴滴作為一家主要在中國經營的企業,所有數據首先是存儲在本地的。但是,在美國上市將不可避免地涉及數據出境問題。

去年6月份,美國參議院提出了《外國公司問責法案》,該法案規定,如果外國公司連續三年未能通過美國公眾公司會計監督委員會的審計,將被禁止在美國任何交易所上市。而有關信息的披露,可能導致重要數據、個人信息的泄露。今年3月份,美國證券交易委員會表示,通過了《外國公司問責法案》最終修正案。

“美國證券市場對於上市公司有很高的信息披露要求,包括必須根據美國公認會計原則編報其財務報表、必須根據美國證券法律規定,對公司重大信息及時披露等,這勢必涉及一些該公司在中國境內的經營情況數據是否能夠出境的問題。”李天航説。

隨着網絡安全法、數據安全法等法律的施行,我國網絡和數據相關的法律法規體系正在不斷完善

“我國在網絡安全和數據治理方面的立法體系不斷構建完善,為開展網絡安全和數據治理工作提供了充分的立法保障。”中國信息通信研究院互聯網法律研究中心研究員趙淑鈺告訴記者。

2017年6月1日,《中華人民共和國網絡安全法》施行,填補了我國綜合性網絡信息安全基本大法、核心的網絡信息安全法和專門法律的三大空白。

此次幾家互聯網企業接受審查的依據之一,是2020年6月1日正式實施的《網絡安全審查辦法》。該辦法為開展網絡安全審查提供了重要的制度保障和法律依據。

中國人民大學重陽金融研究院副研究員劉典告訴記者,網絡安全審查重點評估關鍵信息基礎設施運營者採購網絡產品和服務可能帶來的國家安全風險,包括:產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國家安全的因素。

“通常情況下,網絡安全審查在45個工作日內完成,情況複雜的會延長15個工作日。進入特別審查程序的審查項目,可能還需要45個工作日或者更長。”劉典説。

2021年3月,《中華人民共和國個人信息保護法(草案)》提請全國人大常委會審議。目前,該草案已處於審議階段,業界普遍認為,該法距離面世並生效實施已經為期不遠。

2021年6月,《中華人民共和國數據安全法》全文公佈,並將於9月1日起正式實施。“數據安全法明確了由中央國家安全領導機構‘統籌協調國家數據安全的重大事項和重要工作,建立國家數據安全工作協調機制’,這是亮點之一。”劉典告訴記者。

“網絡安全法、數據安全法和個人信息保護法這三部法律出台後,中國互聯網領域基礎性的法律法規框架體系就已完成,其他法律、法規、部門規章、地方性法規等等,都會在這三部法律組成的體系之下,繼續細化具體的內容,逐步覆蓋互聯網、個人信息和數據活動的方方面面。”李天航説。

國家在互聯網領域和數據安全領域的主導,符合推動高質量發展的內在要求

近幾年,大數據、雲計算、物聯網等技術和應用高速發展,互聯網企業在為人們生活帶來便利的同時,跨境數據流動、用户數據泄露等問題,也受到廣泛關注。

在趙淑鈺看來,隨着互聯網企業的迅速興起、發展,其在提升用户黏性、擴展業務生態方面不斷強化,巨量數據在互聯網企業生成、匯聚、融合,在釋放數據價值的同時也帶來了巨大的數據安全風險。

“一方面,造成侵犯用户個人信息的風險,目前過度收集、濫用用户個人信息的情形依然多發高發;另一方面,也會對國家安全產生影響,隨着數據分析技術的飛躍發展,互聯網企業在運營過程中產生的巨量數據通過大數據分析能夠反映出我國整體經濟運行情況等涉及國家祕密的信息,對總體國家安全構成重大安全威脅。”趙淑鈺説。

“近兩年,一些互聯網企業在用户個人信息泄露方面發生的問題屢見不鮮,原因之一是我國數據安全保護機制的建設還不是特別完善。”劉典表示,這與互聯網行業的高速變化不無關係。“新業態不斷推陳出新,監管對象在不停變化,規模不斷擴大,給治理帶來了一定的難度。”

互聯網企業的數據安全問題也可能從不同方面影響國家安全。類似地圖數據、位置數據等重要數據,同樣需要保護。

“從國家層面來説,監管互聯網企業的數據安全問題需要平衡一個內在矛盾,即大型科技公司跨境數據流動的業務需求和跨境數據流動帶來的安全風險的矛盾。”劉典表示。

在劉典看來,當前國家在互聯網領域和數據安全領域的主導,符合推動高質量發展的內在要求。“過去一些互聯網企業在野蠻高速增長的狀態下,主要從商業利益的角度出發進行數據的開發利用,對數據合規的投入相對較小。隨着數據保護問題成為一個社會焦點,國家開始不斷加強對於數據監管和數據安全合規的監管。雖然從短期來看,會對互聯網企業的發展模式帶來一定衝擊,但這也是由高速發展轉向高質量發展的必由之路。”劉典説。

在李天航看來,將來所有企業的所有經營行為,都必須受到國家安全法、網絡安全法、數據安全法和個人信息保護法這四部法律為綱的立體法律框架體系的規範。他建議,企業要有前瞻性,調整自己的經營、運維和治理理念,甚至重塑自身業務模式。“這不但能夠預防很多行政甚至刑事處罰風險,而且某種程度上來説,合規能夠成為企業的最大競爭力。”

數據安全已被提升至國家安全的層面,充分體現我國維護數據主權和國家安全的決心

“6月10日,十三屆全國人大常委會第二十九次會議表決通過數據安全法,將數據安全提升到了國家安全的層面,同時對重要數據出境安全管理也提出了相應要求。”李可順表示。

數據安全法第三十一條明確了重要數據出境安全管理制度,“關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理,適用《中華人民共和國網絡安全法》的規定;其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法,由國家網信部門會同國務院有關部門制定。”

此外,數據安全法還嚴格規制面向境外司法或者執法機構的數據出境活動。該法第三十六條規定,“非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。”

“這一條款制定的背景是近年來數據管轄權衝突日益激烈的國際環境。”中倫律師事務所顧問賈申刊文指出,在這一背景下,數據安全法的規定再度明確了我國對境內數據的管轄權,充分體現了我國維護數據主權和國家安全的決心。

“值得一提的是,數據安全法還特別明確了未經主管機關批准向境外的司法或者執法機構提供數據的法律責任,包括對企業和直接負責的主管人員的罰款,以及責令企業暫停相關業務、停業整頓、吊銷相關業務許可證或者吊銷營業執照等。這一明確的法律責任形式,不僅意味着第三十六條的規定是企業應嚴格履行的一項數據合規義務,也使得企業在對抗境外執法或司法機構可能的數據調取要求時,擁有了可援引的有力的法律規則。”賈申表示。

沒有網絡安全就沒有國家安全,就沒有經濟社會穩定運行,廣大人民羣眾利益也難以得到保障。要樹立正確的網絡安全觀,加強信息基礎設施網絡安全防護,加強網絡安全信息統籌機制、手段、平台建設,加強網絡安全事件應急指揮能力建設,積極發展網絡安全產業,做到關口前移,防患於未然。要落實關鍵信息基礎設施防護責任,行業、企業作為關鍵信息基礎設施運營者承擔主體防護責任,主管部門履行好監管責任。

“目前來看,圍繞這家企業(滴滴)的跨境數據流動問題,數據出境當中涉及的國家網絡安全審查問題,以及APP對於個體用户隱私信息的過度搜集問題,中國網信的治理實踐迎來了一個躍遷的契機。”復旦大學國際關係學院教授沈逸在專欄中寫道。

沈逸還表示,個人在關注企業的跨境數據流動問題時,應該避免“走極端”,“要麼就是認為它應該絕對地遵循技術市場的內生需求,要求最小化的監管,要麼將它視作洪水猛獸,對它進行過度監管”。

“對最後的政策出台,目前從實踐來看,大家可以抱有充分的信心。保障人民的福祉,最大限度地為人民服務,是我國網信部門在推動相應監管落實過程當中已經確立起來的堅定不移的目標。我們應該對網信部門保持堅定的信心。”沈逸説。

專家解讀“BOSS直聘”等APP被網絡安全審查

信息安全已經越來越受到重視。7月5日,國家網信辦發佈公告,對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查。對此, 中國傳媒大學人類命運共同體研究院副院長王四新,中國政法大學傳播法研究中心副主任、中國互聯網協會法律工作委員會專家委員朱巍接受了記者採訪。

APP為何收集個人信息?

個人信息具有潛在商業價值

APP收集用户個人信息的動力是什麼?中國傳媒大學人類命運共同體研究院副院長王四新接受記者採訪時表示:“收集個人信息是每一個APP都很願意幹的事情,因為信息越豐富,對用户的畫像就越具體,各類數據信息交叉比對,產生的潛在商業價值就越大。不論是APP自身變現,還是通過廣告等商業途徑變現,都需要收集這類信息。”

那麼,本次整治為何是從“BOSS直聘”、“運滿滿”、“貨車幫”等APP開始?對此,朱巍分析認為,對於BOSS直聘等平台的治理原因,或與今年3·15釋放的信號有關。

記者瞭解到,在今年的3·15晚會上,多個數字網絡經濟領域的黑色產業鏈被集中曝光,其中就包括用户人臉信息等個人隱私被非法採集,個人簡歷在招聘網站被下載後大量流向黑市等。晚會同時披露,只要在一些招聘網站註冊企業賬號,在支付一定費用後就可以隨意下載信息詳盡的個人簡歷。由此,大量的個人簡歷信息流入不法分子的黑手,甚至被用作精準詐騙的實施。

超範圍收集信息

必須徵得個人同意

那麼APP收集用户信息的邊界在哪裏?王四新表示,我國APP收集個人信息方面有一些基本的原則,比如收集想要的信息要和用户之間有明確的協議,而且這個協議要明示同意。不同類型的APP,國家法律規定了有明確的收集範圍,也就是説APP只能收集保證它功能發揮的必要信息。比如打車軟件,地理位置信息就是必要信息,但是如果收集其他方面的信息,顯然就超範圍了。超範圍的信息必須徵得個人同意。

2019年12月,國家互聯網信息辦公室祕書局、工業和信息化部辦公廳、公安部辦公廳、國家市場監督管理總局辦公廳聯合印發《APP違法違規收集使用個人信息行為認定方法》(以下簡稱《認定方法》)。該《認定方法》可以説更系統地回答了“APP收集用户信息的邊界在哪裏”的問題。

《認定方法》對上述《公告》中提到的“未公開收集使用規則”、“未明示收集使用個人信息的目的、方式和範圍”、“未經用户同意收集使用個人信息”、“違反必要原則,收集與其提供的服務無關的個人信息”、“未經同意向他人提供個人信息”、“未按法律規定提供刪除或更正個人信息功能”或“未公佈投訴、舉報方式等信息”六種違規做出了更加詳盡的解釋。

比如,哪些行為可被認定為“違反必要原則,收集與其提供的服務無關的個人信息”?《認定方法》提到:1.收集的個人信息類型或打開的可收集個人信息權限與現有業務功能無關;2.因用户不同意收集非必要個人信息或打開非必要權限,拒絕提供業務功能;3.APP新增業務功能申請收集的個人信息超出用户原有同意範圍,若用户不同意,則拒絕提供原有業務功能,新增業務功能取代原有業務功能的除外;4.收集個人信息的頻度等超出業務功能實際需要;5.僅以改善服務質量、提升用户體驗、定向推送信息、研發新產品等為由,強制要求用户同意收集個人信息;6.要求用户一次性同意打開多個可收集個人信息的權限,用户不同意則無法使用。

這種專項評估和整治的方式,屬於事後審查,審查範圍主要是:“問題反映集中、用户數量大、與民眾生活密切相關的APP”。

網絡安全審查有哪些內容?

那麼,網絡安全審查主要審查什麼?朱巍告訴記者,從目前國內多數網絡平台來看,其所暴露出的問題已經不僅是個人信息的泄露,還包括信息過度索權、個人信息使用不透明等不法行為,而根據《個人信息保護法》的規定,過度搜集個人信息、擅自披露個人信息、非法買賣個人信息等行為都將成為重點審查對象。

2020年4月,國家互聯網信息辦公室有關負責人就《網絡安全審查辦法》相關問題答記者問。答問中明確提到網絡安全審查的內容。其中提到,網絡安全審查重點評估關鍵信息基礎設施運營者採購網絡產品和服務可能帶來的國家安全風險,包括:產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險;產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;產品和服務提供者遵守中國法律、行政法規、部門規章情況;其他可能危害關鍵信息基礎設施安全和國家安全的因素。”

王四新解釋説,近年來網絡領域的一些數據問題,實際上可能涉及到很多行業。很多數據涉及到個人隱私或者數據權益的行使方式。還有一些數據越來越上升到了國家安全、公共安全的角度。這些數據存儲、使用的過程中,潛在的風險很大。這次審查,其實就是要給這些企業傳達一個強烈的信號。以後這些企業涉及到數據收集處理的,必須得有安全意識,採取安全措施。

“從大的時代走向來看,這更加説明我們正逐步從過去粗放追求經濟效益的模式,逐步過渡到了在安全的基礎上去追求效益。”中國政法大學傳播法研究中心副主任、中國互聯網協會法律工作委員會專家委員朱巍告訴記者,近日連續啓動的網絡安全審查釋放出一個比較重要的信號在於,現在要追求的不是網絡信息保護的事後安全,更多在於事前安全體系的構建,要做到未雨綢繆。

王四新表示,今年可能成為網絡安全審查元年。去年出台的《網絡安全審查辦法》可以説有了一個詳細的行動方案,一個程序性規定,一個操作規程。

“這可以看作是第一批審查對象,但未來很大可能會有第二批、第三批對更多平台的審查工作開展,這將會成為一種網絡安全的監管常態。“朱巍説。

來源:中國紀檢監察報、紅星新聞

(責任編輯 吳松)

11
分享到:

便民服務

定製服務