建站公司互橙知乎网站建设研究课题

建站公司互橙知乎,网站建设研究课题,a站为什么不火了,长宁区网站建设网站制“滴滴出行”被审查#xff0c;从网络安全审查第一案看《网络安全审查办法》的适用与合规应对吴卫明/ 锦天城律师事务所高级合伙人 博士/高级律师前言#xff1a;笔者认为#xff0c;《网络安全审查办法》#xff08;简称《办法》#xff09;最大的价值在于塑造一种新的网…“滴滴出行”被审查从网络安全审查第一案看《网络安全审查办法》的适用与合规应对吴卫明/ 锦天城律师事务所高级合伙人 博士/高级律师前言笔者认为《网络安全审查办法》简称《办法》最大的价值在于塑造一种新的网络安全观并以此为统领维护我国网络系统乃至网络空间的安全态势。在复杂的国际大背景下规范关键信息基础设施运营者采购网络产品和服务维护网络空间的基础安全架构。滴滴被纳入网络安全审查是一个值得关注的重大事件预示着在复杂的网络安全态势下国家相关执法部门可能会进一步加强网络安全审查。企业在构建自身的网络与数据安全体系过程中合规将会是一个无法回避的重大问题。第一部分事件背景《网络安全审查办法》发布以来的首次审查行动。2021年7月2日晚中国网信网发布《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》。公告称为防范国家数据安全风险维护国家安全保障公共利益依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》网络安全审查办公室按照《网络安全审查办法》对“滴滴出行”实施网络安全审查。为配合网络安全审查工作防范风险扩大审查期间“滴滴出行”停止新用户注册。《网络安全审查办法》以下简称“《办法》”由国家互联网信息办公室、国家发改委等12个部门于4月27日下午联合发布确认国家互联网信息办公室下设的网络安全审查办公室作为网络安全审查的监管部门负责制定网络安全审查相关制度规范组织网络安全审查而被审查主体关键信息基础设施运营者或简称“运营者”则对其采购网络产品和服务负有预判风险、提前申报审查的义务。《办法》已于2020年6月1日正式实施《网络产品和服务安全审查办法试行》以下简称“《试行办法》”同时废止。根据《办法》网络安全审查办公室认为需要开展网络安全审查的应当自向运营者发出书面通知之日起30个工作日内完成初步审查包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见情况复杂的可以延长15个工作日。根据《办法》第八条至第十四条对网络安全审查细节的规定网络安全审查具体流程如下图对此滴滴方面回应媒体记者称将积极配合网络安全审查。审查期间将在相关部门的监督指导下全面梳理和排查网络安全风险持续完善网络安全体系和技术能力。“滴滴出行”接受网络安全审查新用户注册被叫停股价开盘跌逾10%可能因受此消息影响东方财富数据显示滴滴出行美股开盘跌幅达10.98%截至北京时间2021年7月3日11:50跌幅收缩至5.30%。数据来源东方财富网第二部分《网络安全审查办法》的适用与制度构建制度价值目标与“新网络安全观”1、《办法》制度价值目标《办法》更加侧重供应链安全和关键网络设备的自主可控。《办法》第一条开宗明义的规定“为了确保关键信息基础设施供应链安全…制定本办法。”同时《办法》第九条规定了在审查中应当重点注意的问题即网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险主要考虑以下因素(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏以及重要数据被窃取、泄露、毁损的风险(二)产品和服务供应中断对关键信息基础设施业务连续性的危害(三)产品和服务的安全性、开放性、透明性、来源的多样性供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况。《办法》在进行国家安全风险审查时将“产品和服务供应中断对关键信息基础设施业务连续性的危害”以及“供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险”作为安全风险审查的重要内容特别强调对于产品与服务“供应中断”风险的审查。而《办法》对于“供应渠道的可靠性”规定应该是与商务部的“不可靠实体清单”制度相对应的。从上述规定可以看出《办法》的颁布意味着网络安全观从更加侧重技术性规则到更加侧重核心供应链“自主可控”参见吴卫明《网络安全审查办法与 “新网络安全观”的构建》一文。审查对象的判断维度对于网络安全的审查对象涉及“主体”、“特定主体国外上市”、“网络产品与服务简称“产品””三个判断维度1、审查对象的主体维度《办法》第二条明确了被审查的主体为关键信息基础设施运营者第二十条确认了关键信息基础设施运营者是指经关键信息基础设施保护工作部门认定的运营者。根据《关键信息基础设施安全保护条例》规定国家网信部门负责统筹协调关键信息基础设施安全保护工作和相关监督管理工作。国务院公安、国家安全、国家保密行政管理、国家密码管理等部门在各自职责范围内负责相关网络安全保护和监督管理工作。同时本次《办法》的联名起草发布单位中有带头的国家互联网信息办公室会还有国家发展和改革委员会、工业和信息化部、公安部、国家安全部、商务部、财政部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局。所以可以初步判断关键信息基础设施保护工作部门可能由上述部门组成。并且《办法》第四条确定了中央网络安全和信息化委员会统一领导的地位。鉴于《网络安全法》第三十一条规定关键基础设施的具体范围和安全保护办法由国务院制定且目前尚未正式发布关键信息基础设施的具体认定细则对于《办法》中关键信息基础设施运营者范围的界定尚未有明确的法规规定。针对这一问题国家互联网信息办公室有关负责人在就《办法》答记者问中明确了《办法》中规定的应当预判风险申报网络安全审查的义务主体为“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。在关键信息基础设施的具体认定细则正式出台之前上述范围内的运营者将作为《办法》的被审查主体承担申报审查的义务。基于以上情况有理由推测滴滴出行所使用的网络系统被列为了关键信息基础设施因此才可能启动网络安全审查程序。随后国家颁布了修订后的《网络安全审查办法》将拥有100万人以上个人信息的企业国外上市列入了必须进行安全审查的范围。2、对于国外上市的审查2021年修订的《网络安全审查办法》第七条规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。对于掌握超过100万用户个人信息的网络平台运营者赴国外上市由于公司在境外上市可能导致控制权的变化以及境外监管机构对于公司数据的干预因此这一项审查具有很强的必要性。3、审查对象的产品维度对于纳入安全审查的网络产品和服务《办法》的规定也更加突出网络基础安全层面。《办法》第二十条规定“本办法所称网络产品和服务主要指核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务以及其他对关键信息基础设施安全有重要影响的网络产品和服务。”从《办法》纳入产品审查范围的设施界定出发从网络结构角度看涉及到了网络系统的物理层、数据链路层、网络层、传输层等基础层面。从功能角度看涉及到了信息传输、运算、存储、网络安全、数据库、云计算等各个重要方面。《办法》在我国开启“数字中国”的关键时期发布具有积极的规范意义。从数字中国的角度看毫无疑问关键信息基础设施运营者将成为“数字中国”的重要参与者而对关键信息基础设施安全有重要影响的网络产品和服务无疑是保障“数字中国”基础设施安全、可控的基础。因此将安全审查聚焦于“关键信息基础设施运营者”采购“对安全有重要影响的网络产品和服务”在“数字中国”与国际上围绕信息网络安全所展开的大博弈背景下其意义可谓深远。主体与产品两个维度其关系具体如下图示审查主体全面覆盖《办法》第四条规定“在中央网络安全和信息化委员会领导下国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、中国证监会、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局建立国家网络安全审查工作机制。”由上述规定可以看出网络安全审查机制中中央网络安全和信息化委员会是领导机构但并不直接参与审核而是领导和协调审查机制的建立。参与审查机制的机构则包括国家互联网信息办公室以及十一个中央政府职能部门参与主体职能分布相当广泛。为什么要这样设立审查机制呢其核心仍是“新网络安全观”的体现网络产品和服务的采购必然涉及国家产业政策、网络系统维护与管理、网络系统的信息安全、国家安全、财政资金的使用和划拨、对外贸易政策的制定与调整、金融安全与金融支持、市场秩序的维护与清理、新闻发布与传播、保守国家秘密、以及密码体系的安全与可靠。这些功能任何一个部门均无法单独完成为了避免在安全审查上的漏洞和标准不一需要建立多部门的强力协同机制。“多样、可控”新理念具体而言《办法》第九条规定了网络安全审查过程中对于国家安全影响的重要考量因素其中第三款的规定特别值得关注“产品和服务的安全性、开放性、透明性、来源的多样性供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。”该条款的关键词包括“来源的多样性”以及“供应渠道的可靠性”。应该说这一规则有深刻的国际信息技术博弈的大背景。近几年来中国的网络设备与服务领域面临巨大的不确定性对于国家安全形成一定压力。如美国政府对于纳入“实体清单”的中国企业或其他机构在采购美国相关网络产品或服务时设置了诸多审查或限制而这些限制往往与政治、外交、贸易冲突等背景紧密相关。同时由于在诸多核心技术领域中国对于境外供应商的依赖度较高来源过于集中。一旦受到其他因素影响“断供”对于网络安全与正常运营将带来巨大冲击参见吴卫明《网络安全审查办法与 “新网络安全观”的构建》一文。“渠道单一化”一旦遭遇“供应渠道的不可靠”其叠加效果将会非常巨大。因此通过对“来源的多样性”以及“供应渠道的可靠性”进行规定并作为审查的重要内容有利于促成企业选择多元产品和更为“可靠”的渠道。通过企业的选择可以进一步培育“多元化”的供应链。某种意义上讲“来源的多样性”以及“供应渠道的可靠性”并不是一个传统意义上的网络安全技术审核标准而是一个供应链安全的标准。这一标准的设立不仅有利于国际间网络信息技术的均衡分布于合理流动也有利于国内相关网络产品及服务提供者的长期发展。不同主体面的合规策略选择总体而言《办法》是一部体现全面网络安全观的规范。在强调技术带来的网络安全风险的同时对于产品于服务来源单一、供应渠道不可靠性等供应链安全风险也提升到了重要的位置。对于《办法》企业也应顺势而为1、关键信息基础设施运营者关键信息基础设施运营者应充分读懂《办法》所蕴含的深层含义与审查措施并积极规划自身的合规方案在源头采购环节就应采用全面安全观指导自己的采购行为。简单的技术风险容易解决而产品组合不合理带来的供应链风险则不仅难以解决而且成本巨大参见吴卫明《网络安全审查办法与 “新网络安全观”的构建》一文。2、国外上市的企业对于拟在国外证券交易所上市的企业需要充分考虑网络安全审查带来的影响规范自身的数据安全与个人信息保护制度。3、网络产品与服务的供应商除常规的技术能力外供应商需要考虑的是如何证明“供应渠道的可靠性”以及如何避免被纳入“因为政治、外交、贸易等因素导致供应中断的风险”中。境外供应商对于可靠性问题的考量通常更为复杂因为不仅要受制于中国的法律规范还要受制于其所在国的法律规范。如何减少所在国法律、政治、贸易政策对于设备与服务出口造成影响成为其首先应考量的合规策略。3、充分评估网络安全审查对合同签约等采购活动的影响《办法》第六条规定了对采购合同的要求对于申报网络安全审查的采购活动运营者应通过采购文件、合同或其他有约束力的手段要求产品和服务提供者配合网络安全审查并与产品和服务提供者约定网络安全审查通过后合同方可生效。同时《办法》第七条规定将“采购文件、协议、拟签订的合同等”明确纳入申报材料要求运营者申报网络安全审查时应当提交以下材料一申报书二关于影响或可能影响国家安全的分析报告三采购文件、协议、拟签订的合同等四网络安全审查工作需要的其他材料。据此涉及此类采购的合同对于合同生效应作必要的约定以免影响合同的履行。第三部分其他相关制度的延申简介与网络安全审查制度协同建立的其他国家安全风险管理制度1、数据安全审查制度新近出台的《数据安全法》第二十四条中也协同建立了数据安全审查制度规定“国家建立数据安全审查制度对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”并且明确“依法作出的安全审查决定为最终决定”这将意味着对审查结果无法提起行政复议或行政诉讼。考虑到《数据安全法》自2021年9月1日起施行虽然本次“滴滴出行”案可能不会依据《数据安全法》进行审查但在未来企业合规与配合执法过程中关键信息基础设施运营者在关注采购网络产品与服务的供应链安全风险时不仅需注意包括《办法》中提到的“重要数据被窃取、泄露、毁损的风险”还需注意数据处理活动带来的其他国家安全风险。另外根据《数据安全法》规定利用互联网等信息网络开展数据处理活动应当注意在网络安全等级保护制度的基础上履行上述数据安全保护义务。2、重要数据分类分级、出境安全评估及管理制度根据《数据安全法》国家建立数据分类分级保护制度根据数据在经济社会发展中的重要程度以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用对国家安全、公共利益或者个人、组织合法权益造成的危害程度对数据实行分类分级保护。后续国家关部门还将制定重要数据目录并对关系国家安全、国民经济命脉、重要民生、重大公共利益等国家核心数据实行更加严格的管理制度。根据《网络安全法》与《数据安全法》关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要确需向境外提供的应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。目前个人信息与重要数据出境安全评估及管理办法并未正式出台有关部门正在征求意见。待正式监管细则出台后将为国际环境下数据流动及国家安全风险管理提供更清晰明确的安全合规活动边界综上我国建立网络安全审查制度目的是通过网络安全审查这一举措维护国家安全。《办法》的出台为我国开展网络安全审查工作提供了重要的制度保障。网约车行业在互联网经济下的交通出行行业中占有重要地位其运营的网络设施承载着大量设施及交通出行网络节点交互与数据存储。这样的角色变化与升级促使互联网企业不得不主动关注、认知和承担关键信息基础设施合规体系中的网络安全、数据安全责任与义务。引用文章《网络安全审查办法与“新网络安全观”的构建》吴卫明。《网络产品安全审查制度及相关合规风险—写于美国关于禁用华为设备的法案获批之后》吴卫明、刘昀东。《网络安全审查办法解读》吴卫明、朱凯凡。