滴滴遭遇网络安全审查，背后涉及哪些法律、机构和流程

2021年7月2日晚间，网络安全审查办公室发布公告，宣布启动对“滴滴出行”的网络安全审查。通知很简单，但信息量巨大：

此次对滴滴出行的网络安全审查，也是《网络安全审查办法》在2020年6月1日生效后的首次公开适用。网络安全审查的法律基础来自于：

• 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。（《网络安全法》第35条）
• 国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。（《国家安全法》第59条）
• 关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。（《密码法》第27条）

有理由推断，滴滴出行所使用的网络系统被列为了关键信息基础设施，因此才可能启动网络安全审查程序。截至目前，关键信息基础设施的名单并未公布，将来也可能不会公布。根据全国人大常委会执法检查报告中披露的数据，截至2017年底全行业共确定关键网络设施和重要信息系统11590个。这一数字现在想必有所提升。

除了《网络安全审查办法》，新近出台的《数据安全法》第24条中也搭建了数据安全审查制度：“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”并且明确数据安全审查结果是最终决定，这意味着对审查结果无法提起行政复议或行政诉讼。考虑到《数据安全法》要到今年9月1日方才生效，所以此次可能不会依据《数据安全法》进行审查。

根据《网络安全审查办法》，网络安全审查程序的启动需要满足若干条件：

根据《网络安全法》，关键信息基础设施的运营者未按照要求进行网络安全审查，将面临停止使用、最高采购金额10倍、责任人员最高10万元的罚款。滴滴出行此次在审查期间停止新用户注册，尚不能认为是一种具体的处罚措施。

网络安全审查制度本质上是一种事前审查，但《网络安全审查办法》第18条第2款明确接受举报的形式加强事后监督。

从机构职能的角度，此次发布通告的网络安全审查办公室设在国家互联网信息办公室下，负责制定网络安全审查相关制度规范，组织网络安全审查，具体工作委托中国网络安全审查技术与认证中心承担。

在流程上，网络安全审查遵循以下流程：

此次审查启动，距离滴滴出行在美国上市不超过48个小时。这也给所有在海外上市的中国关键信息基础设施运营者敲响了警钟。当中国的关键信息基础设施可以通过层层协议，被开曼或维京群岛的企业控制，很难说其中没有风险。而这种风险，先前被深埋于平静的国际关系之下，当国与国的关系开始变得汹涌，原本就未经检验避难所可能也不再安全。

在滴滴出行向美国证监会提交的Form F-1（招股说明书）中，有这么一段关于中国网络安全监管的内容：

与互联网安全有关的法规

中国政府已经制定了各种有关互联网安全和保护个人信息免受任何不适当的收集活动、滥用或未经授权披露的法律和条例。从国家安全的角度来看，中国的互联网信息受到管制和限制。

全国人民代表大会常务委员会于2000年12月28日颁布并于2009年8月27日修订的《关于加强网络信息保护的决定》规定，除其他外，通过互联网进行的下列活动，如果构成中国法律规定的犯罪，将受到刑事处罚：（一）侵入具有战略意义的计算机或者系统；（二）故意编造、传播计算机病毒等破坏性程序，攻击计算机系统和通信网络，破坏计算机系统和通信网络；（三）违反国家规定，擅自中断计算机网络或者通信服务；（四）传播政治性破坏性信息或者泄露国家秘密；（五）传播虚假商业信息；（六）侵犯知识产权。

根据《网络安全法》和其他相关法律法规，互联网服务提供商需要采取措施，通过遵守安全保护义务，制定网络安全应急预案，为公安和国家安全机关提供技术援助和支持，确保互联网安全。此外，对用户个人信息的任何收集、处理和使用都必须征得用户的同意，必须合法、合理和必要，并限制在特定的目的、方法和范围。网络服务提供者也必须对这些信息严格保密，并进一步禁止泄露、篡改或销毁任何此类信息，或将此类信息非法出售或提供给其他方。

如果不遵守上述法律和法规，互联网服务提供商可能会受到行政处罚，包括但不限于罚款、暂停业务经营、关闭网站、吊销执照甚至刑事责任。

2021年6月10日，中国全国人民代表大会常务委员会颁布了《数据安全法》，该法将于2021年9月生效。《数据安全法》规定了开展数据活动的实体和个人的数据安全和隐私义务。《数据安全法》还根据数据在经济和社会发展中的重要性，以及这些数据被篡改、破坏、泄露或被非法获取或使用时对国家安全、公共利益、个人或组织的合法权益的危害程度，引入了数据分类和分级保护制度。对于每一类数据，都需要采取适当的保护措施。例如，重要数据的处理者应指定负责数据安全的人员和管理机构，对其数据处理活动进行风险评估，并向主管部门提交风险评估报告。此外，《数据安全法》对那些可能影响国家安全的数据活动规定了国家安全审查程序，并对某些数据和信息规定了出口限制。由于《数据安全法》是最近颁布的，尚未生效，我们可能需要进一步调整我们的商业惯例，以符合该法律的规定。