上市仅两日,滴滴突然受到网络安全审查,股价大跌10%。这是国家首次对企业启动网络安全审查,引起社会各界高度关注。
7月2号晚,国家网信办网络安全审查办公室发布消息:对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。
7月4日晚,国家网信办官网发布公告,“ 滴滴出行”App存在严重违法违规收集使用个人信息问题,要求应用商店下架APP,要求滴滴出行严格按照法律法规要求,参照国家标准,认真整改,切实保障广大用户个人信息安全。
7月5号上午,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
中国信息安全研究院副院长左晓栋接受南方周末采访时表示,“我认为这次审查主要关注的是,重要数据和公民个人信息的出境安全风险。停止新用户注册,我认为是对这个数据进行保护的一个措施。”
为什么会对滴滴出行、BOSS直聘等APP开展此次网络安全审查工作?首先我们来学习一下相关法规:
1.《网络安全法》第三十五条:
关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2.《国家安全法》第五十九条:
国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
3.《数据安全法》第三十二条:
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
4.《数据安全法》第三十六条:
中华人民共和国主管机关根据有关法律和中华人民共和国缔结或者参加的国际条约、协定,或者按照平等互惠原则,处理外国司法或者执法机构关于提供数据的请求。非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
5.《网络安全审查办法》第五条:
运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。
网络安全审查重点评估因素:
网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)其他可能危害关键信息基础设施安全和国家安全的因素。
结合现有情况,有理由推断滴滴出行所使用的网络系统被列为了关键信息基础设施,因此才可能启动网络安全审查程序。
什么是关键基础信息设施?
关键信息基础设施定义:
面向公众提供网络信息服务或支撑能源、通信、金融、交通、公共事业等重要行业运行的信息系统或工业控制系统;这些系统、服务、网络和基础设施要么提供基本商品和服务,要么构成其他关键基础设施的基础平台。它们被视为重要的信息基础设施,因为它们的中断或破坏将对重要的社会功能产生严重影响。这些系统一旦发生网络安全事故,会影响重要行业正常运行,对国家政治、经济、科技、社会、文化、国防、环境以及人民生命财产造成严重损失
关键信息基础设施履行的安全保护义务:
(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;
(二)定期对从业人员进行网络安全教育、技术培训和技能考核;
(三)对重要系统和数据库进行容灾备份;
(四)制定网络安全事件应急预案,并定期进行演练;
(五)采取数据分类、重要数据备份和加密等措施;
(六)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(七)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(八)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(九)法律、行政法规规定的其他义务。