中國信息安全研究院左曉棟：“對滴滴審查的重點是重要數據的出境安全風險”

這是2020年6月《網絡安全審查辦法》實施以來，網信辦首次公開對某家企業進行網絡安全審查。

網信辦、發改委、工信部、公安部等十二家機關單位中任何一家認為有危害國家安全的風險，都可以按程序報批后啟動網絡安全審查。

“我認為這次審查主要關注的是，重要數據和公民個人信息的出境安全風險。停止新用戶注冊，應該是對這個數據進行保護的一個措施。”

北京，滴滴總部大廈。（視覺中國/圖）

2021年7月2日，國家網信辦官網公告稱，“為防范國家數據安全風險，對‘滴滴出行’實施網絡安全審查”。為配合網絡安全審查工作，防范風險擴大，審查期間“滴滴出行”停止新用戶注冊。

這是2020年6月《網絡安全審查辦法》實施以來，網信辦首次公開對一家企業進行網絡安全審查。

這次審查的時間點頗為特殊，滴滴出行2021年6月30日于美國上市（股票代碼NYSE：DIDI），當日開盤價為18美元／股，較發行價上漲28.5%，市值一度超過800億美元，即逾5000億人民幣。上市三日后，受此消息影響，滴滴股價下跌超過8%。

根據2020年中旬《網絡安全審查辦法》發布時的答記者問，電信、廣播電視、能源、金融、公路水路運輸、鐵路、民航、郵政、水利、應急管理、衛生健康、社會保障、國防科技工業等行業領域的重要網絡和信息系統運營者，在采購網絡產品和服務時，應考慮申報網絡安全審查。

通常情況下，網絡安全審查在45個工作日內完成，情況復雜的會延長15個工作日，進入特別審查程序的審查項目，可能還需要45個工作日或者更長。應當申報網絡安全審查而沒有申報的，或使用網絡安全審查未通過的產品和服務，由有關主管部門責令停止使用，處采購金額一倍以上十倍以下罰款；對直接負責的主管人員和其他直接責任人員處一萬元以上、十萬元以下罰款。

為何在這個時間點啟動對滴滴的調查？審查哪些內容？南方周末記者就此專訪了中國信息安全研究院副院長左曉棟，他曾參與過多部網絡安全重大政策法規的研究起草工作。

南方周末：這是《網絡安全審查辦法》實施以來，首次對企業進行網絡安全審查嗎？

左曉棟：早在《網絡安全審查辦法》出臺之前，2017年5月已經印發了《網絡產品和服務安全審查辦法（試行）》，從2017年6月1號開始試行。

《網絡安全審查辦法》頒布之前，這個試行辦法已經試行三年之久了。《網絡安全審查辦法》至今，正式實施也已經一年之久。四年里，這絕對不會是第一次對企業進行網絡安全審查。據我所知，之前也有企業進行過網絡安全審查。

南方周末：什么情況下會對企業啟動網絡安全審查？

左曉棟：對這個事情有很多猜測，其中一個說法是按照《網絡安全審查辦法》，關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。大家都猜說，滴滴是不是關鍵性基礎設施？為什么要對它進行審查？實際上，這個理解是不全面的。

我舉個最極端的例子，假如有一款產品存在著很大的安全隱患，使用的時候可能會嚴重危害國家安全，難道這款產品就沒人可以管它了嗎？非得等著哪個關鍵基礎設施的運營者去采購的時候，再通過程序進入網絡安全審查嗎？顯然不可能。

事實上，《網絡安全審查辦法》第十五條就明確規定，網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。

南方周末：網絡安全審查工作機制成員單位有哪些單位？

左曉棟：由國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。

也就是說，這十二家機關單位中任何一家認為有危害國家安全的風險，都可以按程序報批后啟動網絡安全審查。

南方周末：網絡安全審查的內容是什么？會對企業哪些情況進行審查？

左曉棟：只要這個產品和服務可能對國家安全帶來風險，都有可能要接受審查。至于產品和服務提供商是國內還是國外，是一視同仁的。只要可能會為中國網絡安全帶來嚴重風險，按照文件規定都應該接受審查。

網絡安全審查重點評估關鍵信息基礎設施運營者，采購網絡產品和服務可能帶來的國家安全風險。包括：產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞，以及重要數據被竊取、泄露、毀損的風險；產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害；產品和服務的安全性、開放性、透明性、來源的多樣性，供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險；產品和服務提供者遵守中國法律、行政法規、部門規章情況；其他可能危害關鍵信息基礎設施安全和國家安全的因素。

南方周末：網絡安全審查辦公室是一個什么樣的機構？

左曉棟：網絡安全審查辦公室設在國家互聯網信息辦公室，負責制定網絡安全審查相關制度規范，組織網絡安全審查。

南方周末：按照審查辦法規定，網絡安全審查工作是否由中國網絡安全審查技術與認證中心承擔？

左曉棟：根據審查辦法，網絡安全審查辦公室設在國家互聯網信息辦公室，具體工作委托中國網絡安全審查技術與認證中心承擔。

中國網絡安全審查技術與認證中心只是網絡安全審查的技術支持單位，它的上級主管單位是國家市場監管總局。由于承擔的是技術支撐工作，所以，名字是網絡安全審查技術與認證中心，而不是網絡安全審查與認證中心。

南方周末：為什么要停止新用戶注冊？

左曉棟：我認為這次審查主要關注的是，重要數據和公民個人信息的出境安全風險。停止新用戶注冊，我認為是對這個數據進行保護的一個措施。