《【CSA GCR何渊】美光网络安全审查及企业合规危机应对.pdf》由会员分享,可在线阅读,更多相关《【CSA GCR何渊】美光网络安全审查及企业合规危机应对.pdf(41页珍藏版)》请在三个皮匠报告上搜索。
1、何渊 上海交通大学数据法律研究中心执行主任2023年4月13日美光网络安全审查与企业合规危机应对美光到底怎么了?做了什么?美光到底怎么了?做了什么?公告原文关于对美光公司在华销售产品启动网络安全审查的公告为保障关键信息基础设施供应链为保障关键信息基础设施供应链安全安全,防范产品问题隐患造成网络安全风险,维护国家安全维护国家安全,依据中华人民共和国国家安全法中华人民共和国网络安全法,网络安全审查办公室按照网络安全审查办法,对美光公司(Micron)在华销售的产品实施网络安全审查。特此公告。网络安全审查办公室 2023年3月31日滴滴又是怎么一回事?12021年6月30日,滴滴在美国纽交所上市(时
2、间点,速度最快时间点,速度最快)22021年7月2日,对滴滴启动网络安全审查,并暂停新用户注册32021年7月4日,网信办下架滴滴出行APP42021年7月9日,网信办下架滴滴出行等25款APP52021年7月16日,7部门进驻滴滴,开展网络安全审查62021年12月3日,滴滴宣布将在美国退市,启动香港上市准备72022年6月12日,滴滴正式从美国纽交所退市82022年7月21日,网信办对滴滴罚款80.26亿7880亿是如何计算出来的?凭啥顶格处罚?亿是如何计算出来的?凭啥顶格处罚?网络安全审查发现:滴滴公司存在严重影响国家安全的数据处理活动存在严重影响国家安全的数据处理活动,以及拒不履行监管
3、部门的拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安给国家关键信息基础设施安全和数据安全带来严重安全风险隐患全风险隐患。因涉及国家安全,依法不公开。滴滴公司违法违规行为情节严重,应当予以从严从重处罚从严从重处罚。一是一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正
4、情况下,仍未进行全面深入整改,性质极为恶劣门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。二是二是从违法行为的持续时间看,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达时间长达7 7年年,持续违反2017年6月实施的网络安全法、2021年9月实施的数据安全法和2021年11月实施的个人信息保护法。三是三是从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害严重侵犯用户隐私,严重侵害用户个人信息权益。用户个人信息权益。四是四是从违法处理个人信息的数量看,滴滴公司违法处理个人信息达违法处理个人信息达
5、647.09647.09亿亿条,数量巨大条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏多类敏感个人信息。感个人信息。五是五是从违法处理个人信息的情形看,滴滴公司违法行为涉及多个App,涵盖涵盖过度收集个人信息、强制收集强制收集敏感个人信息、AppApp频繁索权频繁索权、未尽未尽个人信息处理告知告知义务、未尽未尽网络安全数据安全保护义务保护义务等多种情形。16项违法事实,归纳起来主要是8 8个方面个方面。1.违法收集用户手机相册中的截图信息手机相册中的截图信息1196.39万条;2.过度收集用户剪切板信息、应用列表信息剪切板信息、应用列表信息83.23亿条;3.过度收集乘客人
6、脸识别信息人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;4.过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息精准位置(经纬度)信息1.67亿条;5.过度收集司机学历信息学历信息14.29万条,以明文形式存储司机身份证号信身份证号信息息5780.26万条;6.在未明确告知乘客情况下分析乘客出行意图信息出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息旅游信息3.04亿条;7.在乘客使用顺风车服务时频繁索取无关的“
7、电话权限电话权限”;8.未准确、清晰说明用户设备信息等19项个人信息处理目的个人信息处理目的。网络安全审查的类型网络安全审查的类型国家安全审查网络安全审查数据安全审查相关条文相关条文数据安全法数据安全法第二十三条 国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家国家安全的数据活动进行国家安全审查安全审查。依法作出的安全审查决定为最终决定最终决定。网络安全审查办法网络安全审查办法第二条 关键信息基础设施运营者关键信息基础设施运营者采购网络产品和服务网络产品和服务,网络平台运营者网络平台运营者开展数据处理数据处理活动,影响或者可能影响国家安全国家安全的,应当按照本办法进行网络
8、安全审查。16网络安全审查CIIO网络产品网络服务网络平台运营者数据处理CIIO关键信息基础设施安全保护条例关键信息基础设施安全保护条例第二条本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。第九条保护工作部门结合本行业、本领域实际,制定关键信息基础设施认定规则认定规则,并报国务院公安部门备案。制定认定规则应当主要考虑下列因素:(一)网络设
9、施、信息系统等对于本行业、本领域关键核心业务的重要程度关键核心业务的重要程度;(二)网络设施、信息系统等一旦遭到破坏、丧失功能或者数据泄露可能带来的危害程度危害程度;(三)对其他行业和领域的关联性影响关联性影响。网络平台运营者网络平台运营者“网络平台运营者”尚且缺乏明确定义。网络数据安全管理条例(征求意见稿)网络数据安全管理条例(征求意见稿)-互联网平台运营者互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。-大型互联网平台运营者大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。电
10、子商务法电子商务法电子商务平台经营者电子商务平台经营者,是指在电子商务中为交易双方或者多方提供网络经营场所、交易撮合、信息发布等服务,供交易双方或者多方独立开展交易活动的法人或者非法人组织。19适用情形适用情形类别类别适用主体适用主体适用情形适用情形强制申报强制申报关键信息基础设施企业采购网络产品和服务,并预判影响或者可能影响国家安全(第五条、第六条)强制申报强制申报网络运营者掌握超过100万用户个人信息的网络运营者赴国外上市(第七条)自发申报自发申报网络运营者经分析认为自身活动可能影响或者可能影响国家安全的(包括全部上市活动)(第八条)20启动条件之一:监管机构主动发起程序启动条件之一:监管
11、机构主动发起程序第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。来源:送法上网启动条件之二:主动申报之赴国外上市启动条件之二:主动申报之赴国外上市第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。“赴国外上市赴国外上市”如何界定?如何界定?新办法中仅提及“赴国外上市”,未提及未提及“赴港上市赴港上市”。网络安全审查制度的关注焦点是上市行为是否会触发网络安全及数据安全风险,重点考察上市公司的数据处理行为
12、,而非拘泥于上市形式重点考察上市公司的数据处理行为,而非拘泥于上市形式。证监会发布的管理规定明确将对境内企业直接和间接境外上市进行统一监管,不论是首次公开募不论是首次公开募股(股(IPOIPO),还是特殊目的公司并购(),还是特殊目的公司并购(SPACSPAC)、反向收购()、反向收购(RTORTO)、直接上市)、直接上市(DPODPO)等方式的上市,均在审查范围内)等方式的上市,均在审查范围内。来源:送法上网启动条件之三:主动申报之启动条件之三:主动申报之CIIOCIIO第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响
13、国家安全的,应当向网络安全审查办公室申报网络安全审查。办法的合规要点立法历程立法历程法律法规法律法规/立法政策立法政策颁布时间颁布时间建立信息安全审查制度的立法提案2013信息化发展规划2013.10.24关于建立网络安全审查制度的公告2014.05.22关于加强党政部门云计算服务网络安全管理的意见 2015.12.30中华人民共和国国家安全法2015.07.01国家信息化发展战略纲要2016.07中华人民共和国网络安全法2016.11.07网络产品和服务安全审查办法(试行)2017.05.02关键信息基础设施安全保护条例(征求意见稿)2017.07.10贯彻落实总体国家安全观健全完善关键信息
14、基础设施安全保护法律体系2018.04.19网络安全审查办法(征求意见稿)2019.05.21网络安全审查办法网络安全审查办法(修订版)2020.04.132021.12.1828网络安全审查办法2020版网络安全审查办法网络安全审查办法20202020版版网络安全审查办法网络安全审查办法20222022版版立法依据立法依据中华人民共和国国家安全法中华人民共和国网络安全法中华人民共和国国家安全法、中华人民共和国网络安全法、中华人民共和国数据安全法、关键信息基础设施安全保护条例立法目的立法目的确保关键信息基础设施供应链安全,维护国家安全确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护
15、国家安全适用对象关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。网络安全审查工作机制构成网络安全审查工作机制构成网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、国密局、国密管理局网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、央行、市监总局、广电总局、证监会、国密局、国密管理局网络安全审查网络安全审查触发条件触发条
16、件1.关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的2.网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务3.社会举报1.关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的2.网络平台运营者开展数据处理活动,影响或者可能影响国家安全的3.掌握超过100万用户个人信息的网络平台运营者赴国外上市4.网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动5.社会举报需提交的申报需提交的申报材料材料1.申报书;2.关于影响或可能影响国家安全的分析报告;3.采购文件、协议、拟签订的合同等;4.网络安全审查工作需要的
17、其他材料1.申报书;2.关于影响或者可能影响国家安全的分析报告;3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;4.网络安全审查工作需要的其他材料重点评估的国重点评估的国家安全风险因家安全风险因素素1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏,以及重要数据被窃取、泄露、毁损的风险;2.产品和服务供应中断对关键信息基础设施业务连续性的危害;3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;4.产品和服务提供者遵守中国法律、行政法规、部门规章情况;5.其他可能危害关键信息
18、基础设施安全和国家安全的因素。1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;2.产品和服务供应中断对关键信息基础设施业务连续性的危害;3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;4.产品和服务提供者遵守中国法律、行政法规、部门规章情况;5.核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或者非法出境的风险;6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;7.其他可能危害关键信息基础设施安全、网络安全和
19、数据安全的因素。特别审查时限特别审查时限特别审查程序一般应当在45个工作日内完成,情况复杂的可以适当延长。特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。新增义务新增义务为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。网络产品和网络产品和服务范围服务范围核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全
20、、网络安全和数据安全有重要影响的网络产品和服务。五、网络安全审查程序五、网络安全审查程序来源:PWC网络安全审查申报制度网络安全审查申报制度企业合规危机应对中国中国、美国和欧盟正在打造独立的数字治理王国美国和欧盟正在打造独立的数字治理王国(互不兼容互不兼容+殊途同归殊途同归)欧盟:基本权利基本权利为基础的模式美国:自由式市场自由式市场+强强监管监管为基础的模式中国:安全安全风险防范风险防范为主兼顾为主兼顾数字数字经济发展经济发展的模式 中国会不会逆全球化?中国会不会逆全球化?外资企业的日子会不会难过?外资企业的日子会不会难过?不会。不符合中国利益。不会。不符合中国利益。理由一:从自主的安全可控
21、到供应链的安全理由二:从重要网络和服务到聚焦关键信息基础设施理由三:从国家安全和公共利益到仅聚焦国家安全理由四:对外开放是中国的基本国策。不限制或歧视国外产品和服务。用国际通行的法律语言来维护国家网络用国际通行的法律语言来维护国家网络安全。安全。现状尽调对公司业务流程,相关系统进行梳理。审阅公司制度、授权同意文件、隐私政策、合同等文件,了解数据传输、系统架构等。访谈相关人员,了解公司数据特别是个人信息的处理情况及数据处理方和接收方信息安全保障能力。专业律师和专业技术专家组成团队,结合实践经验进行分析解读。设计有效的检查点和控制点。发现差距并从影响度和可能性进行风险评估。以差距分析为基础,结合法规要求、公司风险策略及成本、业界趋势等提出合理的整改建议。和相关人讨论确认整改方案,协助公司整改落地。协助搭建公司数据出境合规体系。出境合同起草、谈判。自评估、申报差距分析根据整改后的公司情况协助公司出具风险自评估报告。持续合规自评估流程整改谢 谢欢迎分享建议及观点E-mail:欢迎实名加好友