前不久,國家互聯網信息辦公室發布了《網路安全審查辦法(修訂草案徵求意見稿)》(以下簡稱《辦法》),向 社會 公開徵求意見。《辦法》新增第六條:掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網路安全審查辦公室申報網路安全審查。審查的重點評估對象新增了數據處理活動以及國外上市可能帶來的國家安全風險,如核心數據、重要數據或大量個人信息被竊取、泄露、毀損、非法利用或出境的風險以及被國外政府影響、控制、惡意利用的風險等。
到底什麼是網路安全?網路安全是以網路為主要的安全體系的立場,主要涉及網路安全域、防火牆、網路訪問控制、抗DDOS等場景,更多是指向整個網路空間的環境。網路資訊及資料均可存在於網路空間內或網路外。「資料可視為資料的主要載體,資料是對資料進行有意義分析的價值資產,常見的資料安全事件有網路入侵、資料泄露、資料篡改等。而數據安全則是以數據為中心,主要關注數據安全周期的安全和合規性,以此來保護數據的安全。常見的數據安全事件有數據泄露、數據篡改等。
我們的《網路安全法》要求網路運營商在處理個人信息方面設置各種鐵籠,從收集個人信息到使用個人信息,建立個人信息保護系統。在法律的層面,明確了網路運營者不能瞎收集、亂使用個人信息,並且設立了嚴苛的法律責任來針對瞎收集、亂使用個人信息的行為。從法律上杜絕出現你剛打完某APP的網路電話說想吃火鍋,打開某APP就給你推送火鍋點的優惠卷等等這種荒唐的現象。讓我們每個人的個人信息更加安全,不容易被泄露。
7月2日網路安全審查辦公室發布了關於對「滴滴出行」啟動網路安全審查的公告。此後半個月里,「滴滴」網路安全審查事件一直在持續。從最開始「滴滴出行」APP被要求下架,到7月9日「滴滴企業版」等25款App被曝存在嚴重違法違規收集使用個人信息問題,集體下架,再到近日七部門進駐,規格甚至超過了當初特斯拉的「五部門約談」。
為什麼滴滴前腳上市就被網路安全審查?因為滴滴「偷偷」上市的行為很容易讓人懷疑一點——在美國紐交所IPO的過程中,滴滴是否泄露了中國境內收集到的個人信息和其他數據。網路安全審查辦公室也可能有所擔心,便根據《網路安全法》第三十七條:「關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。」和《中華人民共和國國家安全法》、《網路安全審查辦法》等相關規定對滴滴進行網路安全審查。
信息泄露可能涉嫌犯罪,也就是拒不履行信息網路安全管理義務罪。這個罪指的是:網路服務提供者不履行法律、行政法規規定的信息網路安全管理義務,致使用戶信息泄露,造成嚴重後果的;或致使刑事案件證據滅失,情節嚴重的;或有其他嚴重情節的,經監管部門責令採取改正措施而拒不改正的行為。
所以,信息泄露不僅僅是個人的隱私問題,而且是涉及重大公共利益的 社會 問題。這是一個信息時代,誰掌握了信息,誰就掌握了金錢和權力。個人認為,大范圍的信息泄露的嚴重程度不亞於一場傳染病的流行。
❷ 「滴滴」事件背後的大國數據博弈
文章首發-公眾號: 鑽石研報 。
一、「滴滴」事件的背後是大國數據的博弈
1、滴滴赴美低調上市,旋即被網信辦啟動網路安全調查。 6月30日,滴滴低調完成赴紐交所IPO動作,募資不低於44億美元。7月2日,網信辦發布消息,為防範國家數據安全風險,維護國家安全,保障公共利益,依據《國家安全法》、《網路安全法》、《網路安全審查辦法》等,對滴滴實施網路安全審查,審查期間停止新用戶注冊。7月4日,網信辦再次發布消息,要求滴滴App下架。這樣的監管對象、監管措施和推動力度在行業內並不多見。
2、「滴滴事件」敲響了個人信息安全保護的警鍾,未來相關監管力度也將持續提升。 隨著互聯網的發展,個人信息安全問題愈發嚴重。2021年6月,工信部就通報過291款侵害用戶權益App,並進一步加大對App彈窗信息關不掉或者未顯著提供關閉功能標識,開屏信息、彈窗信息利用文字、圖片、視頻等方式欺騙誤導用戶跳轉至其他頁面等突出問題的整治力度。「滴滴事件」敲響了個人信息安全保護的警鍾,我們認為未來相關監管力度也將持續提升。
3、從立法層面來看,國家對個人信息保護重視程度明顯提升。 於2021年1月1日正式實施的《民法典》總則編第111條,規定:「自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息。」2021年4月29日,《中華人民共和國個人信息保護法(草案二次審議稿)》在經全國人大常委會會議審議後面向 社會 公布並徵求意見。二審稿第57條規定,「提供基礎性互聯網平台服務、用戶數量巨大、業務類型復雜的個人信息處理者」需要履行個人信息保護特別義務:成立主要由外部成員組成的獨立機構,對個人信息處理活動進行監督;對嚴重違反法律、行政法規處理個人信息的平台內的產品或者服務提供者,停止提供服務;定期發布個人信息保護 社會 責任報告,接受 社會 監督。該規定重點強化超大型互聯網平台信息保護義務。
4、歸根結底,滴滴事件還是網路安全問題,網路安全問題重要性超過傳統認知范疇。 盡管滴滴中國活躍用戶3.8億(據招股說明書),但此次受到監管審查,原因是網路安全,和較早對多個企業展開的反壟斷審查不盡相同。一方面,位置信息是更為敏感的數據,不僅涉及財產安全,往往還涉及人身安全、國家安全。和保護其實會滲透在更為廣闊的空間和場景,遠不止日常的線上辦公、生活領域。未來,網路安全還會緊密關聯到工業生產、虛擬現實、區塊鏈、物聯網、智慧城市等新領域。
二、數據戰略意義上升,警惕「以經濟之名行政治之實」。
1、數據作為核心生產要素,其戰略意義上升,保護/獲取數據資源尤為關鍵。 由於數據正在逐步成為核心生產要素,對生產生活活動,甚至人的思想產生的影響越來越大,因此從大國博弈的層面來看,首先如何保護本國的數據不輕易為他國所用,其次如何獲得他國數據為自身所用,就尤為關鍵。可以說,數據不只是一個商業問題,更具有戰略意義。從全球來看,不同經濟體目前採用的方式表面來看五花八門,但核心都是在互聯網數字 社會 「自上而下」構建法制體系來保護/獲取數據這一核心要素,看似市場行為,實則隱含國家安全和大國博弈的考量。
2、對內來看,美國可能正在借「反壟斷」之名,開始加強對數據的監管。 大多數人看美國反壟斷,只是從商業的角度去看,參考的是90年代的微軟反壟斷案,而忽略了互聯網平台實際上形成的雙重壟斷——表面是某一個商業領域的壟斷,背後實際上是對數據的壟斷。互聯網平台是大數據收集的載體,利用這些數據不僅危害行業本身的市場平等競爭,更重要的是可能造成隱私泄露、影響國家安全等非市場化的問題。因此,盡管拜登和特朗普在諸多觀點上大相徑庭,但是對於 科技 巨頭反壟斷的看法則較為一致。在特朗普執政的後期,美國眾議院司法委員會開始針對Google、Facebook、Amazon、Apple四家互聯網 科技 巨頭進行反壟斷調查,並於2020年7月29日舉行了反壟斷聽證會。而拜登執政之後延續,甚至試圖進一步加強了對互聯網平台的監管。
3、對外來看,美國或也正借「收緊對赴美上市企業監管」來獲取更多信息。 除了通過反壟斷調查,美國自2020年以來也加緊了對赴美尋求融資企業的審核和管控,需要警惕其將此作為獲取財務、營業數據等信息的渠道。2021年,《外國公司問責法案》正式生效。該法案對在美上市公司基本披露義務作了規定,要求向美國證監會(SEC)披露該公司審計報告、發行者本國(即該公司設立國)政府機構持有的該公司股份比例、公司所聘會計師事務所境外分支機構所在國政府機構是否對公司擁有控制權等信息。連續三年不能滿足美國公眾公司會計監督委員會(PCAOB)對會計師事務所檢查要求的外國發行人,將被迫從美國退市。而根據PCAOB的報告,截至2020年5月,全球225家因監管障礙而無法進行審計監察的美國上市公司,有213家來自中國內地及中國香港,其餘11家來自比利時。換言之,美國的《外國公司問責法案》,給中國企業(尤其是科創企業)境外融資增加了極大的摩擦成本,並且提升了中概股退市的風險。需要持續關注美國以自己的金融市場優勢,來獲取數據等關鍵要素的潛在風險。
參考內容:
《中銀證券-計算機行業點評:上市與下架,滴滴事件是不是網路安全問題?》
《開源證券-計算機行業點評報告:「滴滴事件」敲響個信安全警鍾,把握網安投資機會》
《興業證券-大國數據博弈系列開篇:「滴滴」事件背後的大國數據博弈》
❸ 網路安全審查到底查什麼
#BOSS直聘等被網路安全審查# #滴滴出行被下架#
原創:鎮長本人
公眾號:大樹鄉長
最近有一個新詞:網路安全審查。
反壟斷調查大家已經比較了解了,那網路安全審查是什麼,又為什麼好像特別針對在美國上市的企業呢?
這件事要放在整個國際大環境尤其中美博弈的視角下去考量,比如下半年必然要進行的中美談判。
最近關於網路安全審查說法很多,但有的太過於荒唐,小鎮始終認為對企業要就事論事,要批評但不能造謠,要打擊不當得利但也要保護企業的正當利益。
造謠式的批評也分散了 社會 輿論,實不可取;這種造謠對企業正當利益如果造成損害,也理應付出代價。
先辟幾個典型的謠言:
第一個:企業把國內數據賣給了美國換取在美國上市。
這個謠言太過低級,要在美國上市的中國企業大多數業務仍然在國內,這么做簡直自絕於人民,在美國上市本身也比較簡單,沒有必要這么做。
更何況,不要小瞧中國政府的威懾力,中美同為世界大國,如果有企業做了這種事,中國一定會追究到底,哪怕在一些方面做出讓步也在所不惜,美國也沒必要保護幾個人。
所以,這個謠言可以停了,在中國成長起來的企業在紅線問題上絕不會犯糊塗。
第二個:有的質疑中國企業去美國上市傷害中國利益。
一些企業為什麼去美國上市,跟VIE架構有關。拆掉VIE架構在國內掛牌上市大概成本是上一輪估值的3%,假如上一輪估值100億美元,付出的成本大概是20億人民幣,確實很多,但也不是不能接受。
相比付出的資金成本,在國內上市審核遠比美國嚴格、周期太長、不確定性因素影響是更大的因素。
更重要的原因在於外國投資者套現需求,中國現在資金監管太嚴,如果在國內上市,那外國投資者能拿到的只能是人民幣,在香港又溢價太低。
至於中國企業去美國上市,一般來說,國家其實是樂見的。畢竟業務在中國,在美國上市,拿外國人的錢發展中國,對中國沒啥不好。
接下來,再簡單分析下網路安全審查到底查什麼?
直接上結論:審查的重點不在於企業已經做了什麼,而在於查企業有沒有能力做好信息安全防護。
就拿這幾天來說:
1. 這是監管部門第一次啟動網路安全審查,而且是依職權主動發起。被調查企業被認定是關鍵信息基礎設施的運營者,需要進行網路安全審查。
2. 《網路安全審查辦法》是一個偏向於技術審查的辦法,重點是審查「關鍵信息基礎設施運營者采購網路產品和服務,影響或可能影響國家安全」的情況。
3. 被調查企業可能被查的是「產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險」。
4. 被查企業系統運行必然大量采購眾多供應商提供的網路設備和服務,是否存在信息安全問題,將是審查重點。
5. 由於是首次啟用網路安全審查,監管部門需要確定一些基本的原則,大概率需要啟動特別審查程序,由中央網路安全和信息化委員會批准。審查的時間估計在3個月以上,可能持續到2021年底,這也跟中美談判時間有一定關系。
至於審查結果和最終影響,今天就先不談了。
為什麼要查這些呢?舉個例子。
互聯網的發展,使得用戶個人隱私越來越多的被獲取,比如一個人的行程、履歷、聊天記錄又或者錄音等等,根據這些信息可以分析很多事情,比如說分析某些人員有什麼樣的特徵,日常去哪裡,家在哪裡,跟什麼人有接觸等等。
這些信息一旦達到一個數量級,將具有戰略性價值,會使得一個國家透明化。不在於有沒有做,而是存在風險就必須重視。
我們當然相信成長在中國的企業是不會有膽子更沒必要泄露這些數據的,但是面對外國的國家力量,我們的企業是否有能力保護這些數據?如何確保企業自己的員工不會出現問題?維持運營的相關設備和服務有沒有問題?
而這些,就是本次審查的重點。
中國企業赴美上市,還將面臨一個難題:美國通過的《外國公司承擔責任法案》,明確要求在美上市公司證明「其不受外國政府擁有或控制」,美國相關部門可以要求企業提供上市審計底稿和相關數據,屆時如何處理將是很艱難的決斷。
相比之下,反壟斷不過是市場經濟領域的事情。
最後提醒下有志於上市或者海外開拓的企業家,中國已經是世界性大國,除了考慮行業、商業,還要考慮國家戰略和政策,一些企業還應該把國際因素考慮在內。
時代變了,盡可能避免誤判,才能更好的發展企業。
❹ 美國網路安全相關部門的整理
國土安全部 (DHS = Department of Homeland Security)有一項重要使命:保護國家免受面臨的諸多威脅。這需要超過 240,000 名員工緻力於從航空和邊境安全到應急響應,從網路安全分析師到化學設施檢查員的各種工作。DHS的職責范圍很廣,DHS的目標很明確——保護美國的安全。
網路安全和基礎設施安全局( CISA=Cybersecurity and Infrastructure Security Agency) 領導國家努力了解、管理和降低我們的網路和物理基礎設施的風險。CISA將行業和政府中的利益相關者相互聯系起來,並與資源、分析和工具聯系起來,以幫助他們建立自己的網路、通信和物理安全性和彈性,進而幫助確保為美國人民提供安全和有彈性的基礎設施。
美國國家標准與技術研究院 (NIST=National Institute Standards and Technology) 成立於 1901 年,現在是美國商務部的一部分。NIST 制定網路安全標准、指南、最佳實踐和其他資源,以滿足美國行業、聯邦機構和更廣泛公眾的需求。我們的活動范圍從產生組織可以立即付諸實踐的特定信息到預測技術進步和未來挑戰的長期研究。
一些 NIST 網路安全任務由聯邦法規、行政命令和政策定義。例如,管理和預算辦公室 (OMB) 要求所有聯邦機構實施 NIST 的網路安全標准和針對非國家安全系統的指南。我們的網路安全活動也受到美國行業和廣大公眾需求的推動。NIST積極與利益相關者合作,確定優先事項,並確保我們的資源解決他們面臨的關鍵問題。
NIST 還增進了對隱私風險的理解並改進了管理,其中一些與網路安全直接相關。
NIST 貢獻並計劃更多關注的優先領域包括密碼學、教育和勞動力、新興技術、風險管理、身份和訪問管理、測量、隱私、可信賴網路和可信賴平台。
外交安全局(DSS=Diplomatic Security Service)是美國國務院的聯邦執法和安全局。外交安全局的任務是確保外交安全並保護美國旅行證件的完整性,在美國聯邦執法機構中擁有最大的全球影響力,在美國 29 個城市和全球 270 多個地點設有辦事處,並在全球 270 多個地點保護國務院的信息和信息技術 (IT) 資產。這包括保護由網路和移動設備組成的全球網路基礎設施。
自 1986 年成立以來,DSS 不斷擴展其網路安全能力,並於 2017 年 5 月成立了網路和技術安全局。該局使用先進的技術和運營安全專業知識來更好地識別和應對網路風險和威脅,包括來自黑客、流氓運營商、民族國家和內部威脅的安全挑戰。
DSS 網路安全核心職責包括:
國家安全局/中央安全局 (NSA/CSS) 在密碼學領域領導美國政府,包括信號情報 (SIGINT) 洞察和網路安全產品和服務,並使計算機網路運營能夠為國家和我們的盟友獲得決定性優勢。在整個站點中,NSA/CSS 將統稱為 NSA。
中央安全局 為軍事密碼學界提供及時准確的密碼學支持、知識和幫助,同時促進國家安全局與武裝部隊密碼學部門之間的夥伴關系。
cisa.gov
nist.gov/cybersecurity
state.gov/cybersecurity
dhs.gov