freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

滴滴背后的网络安全监管走向 ——网络安全审查的范围、趋势及猜想
2021-07-06 14:46:30

关键词:数据安全 审查范围 合规趋势 供应链安全

背景

2021年7月2日,中国网络安全审查办公室对“滴滴出行”实施网络安全审查。

2021年7月5日,中国网络安全审查办公室对“运满满”“货车帮”“BOSS直聘””实施网络安全审查。

从此次公布的审查对象可以发现,这些公司都是近期在美国上市的中概股企业;都属于搜集了海量用户数据的平台型企业;其中,汽车行业app数量占了3/4(“运满满”“货车帮”同属于满帮集团运营的卡车网约车应用)。

网络安全审查范围的解读

《网络安全审查办法》(《办法》)目的是通过网络安全审查这一举措,保障关键信息基础设施供应链安全,维护国家安全。《办法》全文一共22条,涉及审查内容的只有第九条(共5款),其表述为“重点评估”、“主要考虑以下因素”,没有覆盖全部审查范围;对其中“风险”、“危害”及“可靠”的判断和解释,也给了监管机构极大的自由裁量权。

《办法》的制订依据是《中华人民共和国国家安全法》第59条,《中华人民共和国网络安全法》第35条。其中《国家安全法》第59条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务,以及其他重大事项和活动,进行国家安全审查。

此处的“其他重大事项和活动”意味着审查的范围将不作限定,只要可能危机国家安全的都在安全审查范围内。联系到《办法》第9条中“重要数据被窃取、泄露、毁损的风险”,我们认为企业数据处理活动的合法合规性也在审查范围之中特别是数据的搜集权限敏感数据/重要数据的处理方式跨境传输等

汽车数据安全审查的范围

既然《办法》的规定比较抽象和概括,我们不妨从汽车安全领域的相关规定中寻找答案。

2021年5月12日,国家互联网信息办公室发布的《汽车数据安全管理若干规定(征求意见稿)》(《规定》)明确其立法目的,是为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益。尽管《规定》尚处于征求意见状态,但对于汽车行业应对这一轮网络安全审查仍然具有重要指导意义。

《规定》中值得关注的几个问题:

1.重要数据的类型

《规定》列举了:军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;高于国家公开发布地图精度的测绘数据;汽车充电网的运行数据;道路上车辆类型、车辆流量等数据;包含人脸、声音、车牌等的车外音视频数据;

2.运营者处理个人信息和重要数据的基本原则

3.运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。

4.个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。

5.处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当将年度数据安全管理情况报省级网信部门和有关部门;如果存在向境外提供数据的情况,需要额外报送相关资料。

可见,《规定》对汽车数据处理活动的监管更加精准、严格。网约车平台,因涉及重要数据的处理,包括数据出境,则需要满足更高的合规要求。

合规趋势与建议

1.网络安全审查与行业数据监管相结合

一方面,网络安全审查的范围较为宽泛,企业需要作好全面的合规应对。另一方面,数据安全审查,是网络安全审查的重要组成部分,且数据处理活动具有明显的行业属性,相关细则及监管动态值得企业密切关注。

2.供应链安全与运营安全等相结合

一般而言,网络安全防范体系可划分为物理层安全、系统层安全、网络层安全、应用层安全和管理层安全等。

尽管《办法》重点关注的是关键信息基础设施供应链安全,但考虑到网络安全审查范围的不确定性、外延的宽泛性,以及安全风险评估的特点,建议企业不要将关注点停留在供应链安全,运营安全等也需要同步建设及完善。

3.自我合规与外部监管相结合

如果将工信部、国家网信办对app个人信息保护的专项整治,作为数据安全治理的1.0阶段。那么,以滴滴事件为开端,对汽车行业的平台型企业开展的网络安全审查,可视作2.0阶段,体现了国家对平台型企业存在的网络安全问题的担忧,宣告强力监管模式的正式开启。

对企业而言,宜尽快适应,从之前自我合规模式(无所适从),转向面对持续的政府监管压力,做好合规策略、融资计划的调整,乃至经营风险的全面评估。

(hu) (si) (luan) (xiang)

一批中概股公司因信息披露不实遭到集体诉讼;

重点行业主管机构出台细则,制订网络产品和服务准入标准或白名单;

外资网络产品和服务受到打压,在重点行业的市场份额逐步下降;

国产品牌受到资本热捧,股价持续上扬;

企业纷纷加强供应链管理,逐年加大在数据安全和隐私保护的投入;

国家有计划地对一批平台型企业(中概股公司)开展网络安全专项检查;

证监会出台指导意见,要求拟上市公司加强网络安全信息披露;

市场监督管理总局加大对平台型企业的反垄断调查;

网络安全保险开始被市场逐步接受。

作者介绍:

娄鹤 律师,北京德和衡(上海)律师事务所高级联席合伙人、国际隐私保护协会专家会员、

注册信息安全专业人员(CISO)、国际商会(ICC)数字经济委员会委员,注册数据隐私保护工程师 (CDPSE)

执业领域:网络安全与数据隐私保护、企业投融资。

louhe@deheng.com

本文作者:, 属于FreeBuf原创奖励计划,未经许可禁止转载

# 数据泄露 # 数据安全
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按热度排序

登录/注册后在FreeBuf发布内容哦

相关推荐
\
  • 0 文章数
  • 0 评论数
  • 0 关注者
文章目录
登录 / 注册后在FreeBuf发布内容哦
收入专辑