滴滴出行、运满满、货车帮、BOSS直聘接受网络安全审查

最新消息

据“网信中国”微信公众号5日发布的公告,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。

安全审查鸣笛,“滴滴”不会是最后一家

7月2日,网络安全审查办公室发布对“滴滴出行”启动网络安全审查的公告原文如下:

为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。

7月4日国家互联网信息办公室发布关于下架“滴滴出行”App的通报原文如下:

根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。

1次审查,1次下架,组合拳让滴滴响起网络安全审查警报。

数据问题成为此次审查关键,同时作为首次针对企业的网络安全审查案例,滴滴一事引起国内外高度关注。

目前,对于网络安全审查,滴滴低调回应称,将积极配合,在相关部门的监督指导下,全面梳理和排查网络安全风险,持续完善网络安全体系和技术能力。对于网络上部分质疑滴滴将用户数据“卖”给美国的声音,滴滴方面表示:“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。另外,相关恶意造谣者虽然已经主动删帖,但我们坚决起诉维权。 ”​​​

相关细节暂未有事实佐证,FreeBuf不予过多置评。仅围绕数据安全及此次事件中被提及的《网络安全审查办法》进行探讨。

2020年4月,FreeBuf曾就12部门联合发布并于2020年6月1日起实施的《网络安全审查办法》进行要点解读。该《办法》的出台,正是基于对关键信息基础设施运行安全的考虑,依据《国家安全法》《网络安全法》,为我国开展网络安全审查工作落地重要的制度保障。

滴滴作为一家企业,为何按照以关键基础设施安全为重点的《网络安全审查办法》进行审查?

在《网络安全审查办法》中,满足2个条件的网络运营者需要在采购产品和服务需要考虑申报网络安全审查:关键信息基础设施运营者;影响或可能影响国家安全。

明确来说包含电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者。

由于关键信息基础设施运营者目前缺乏明确定义或是相关公示名单,因此我们仅能从行业属性来判断,滴滴或被判定为公路水路运输行业领域的关键信息基础设施运营者。结合滴滴目前的业务范围、业务规模,尽管作为一家企业,滴滴的网络安全或者说数据安全对于关键信息基础设施整体安全有着一定影响。

根据《网络安全审查办法》第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。

什么时候申报

1、与产品和服务提供方正式签署合同前进行申报;

2、如在签署合同后申报,需要在合同中注明:此合同须在产品和服务采购通过网络安全审查后方可生效。

向谁申报

中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查、具体组织审查工作等任务。

申报要多久

一般情况下,会在45个工作日内完成;

情况复杂的,会延长15个工作日,即60个工作日;

进入特别审查程序的审查项目,可能还需要45个工作日或者更长。

注:补充提供材料的时间不计入审查时限。

没有申报的后果

应当申报网络安全审查而没有申报的;

使用网络安全审查未通过的产品和服务。

存在以上2种情况的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

根据上述条款,此次滴滴在审查期间“滴滴出行”停止新用户注册,可能是其作为关键信息基础设施运营者,未申报导致的处罚。预计从7月2日启动网络安全审查开始,滴滴需经历45个工作日或者更长的审查期。此外,公告中透露出“滴滴出行”App存在严重违法违规收集使用个人信息问题,也与 《网络安全审查办法》第六条、第九条相关:

第六条 对于申报网络安全审查的采购活动,运营者应通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或必要的技术支持服务等。

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,主要考虑以下因素:

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;

滴滴一事为企业运营者敲响了警钟,判断自身是否为关键信息基础设施运营者,是否存在数据非法获取、存储及传输问题,是当下企业需要重要自查自审的内容。滴滴是第一家受到网络安全审查的企业,但一定不会是最后一家。在网络安全相关法规愈发明确的当下,针对数据安全问题的审查也会愈发细致。在9月1日《数据安全法》正式施行前,企业需要尽快确认自身对于数据的安全保护的详细责任和义务,并依次落实。

来源:FreeBuf.COM

上一篇:新耀东方-2021上海网络安全博览会暨高峰论坛​成功在沪举行

下一篇:与骗子约会:欺诈性约会APP的生态