滴滴出行APP在未被下架前,為當地網路叫車平台的龍頭。而本案之所以引發美、中或其他對象高度關注的原因,在於該公司擁有大量的使用者資料。且在此一案件內,網信辦認為滴滴出行涉及國家數據(資料)安全風險,其依據在於中國大陸網路安全法與相關法令內,對關鍵信息(資訊)基礎設施(CII)或相關業者皆有一定要求。
滴滴出行(NYSE: DIDI,有稱滴滴打車)是中國大陸知名的網路叫車平台,在2021年6月底赴美風光上市,當時創下近七年來大陸企業在美IPO(首次公開發行)規模最大的紀錄。然6月底完成上市後,7月初旋即被中國大陸主管機關(國家互聯網信息辦公室,簡稱網信辦)以違反網路(絡)安全審查為由,下架該公司之滴滴出行APP。近期更傳出滴滴出行考慮自美下市,改轉往香港或其他地區上市。
暫不深入討論美中博奕或其他議題,單純觀察本案衍生之影響,不僅造成美國證券交易委員會(States Securities and Exchange Commission,SEC)於2021年7月底對外宣布,考量資訊不透明或無法提供完整資訊以保障投資人權益等因素,除業經中國大陸主管機關許可外,暫停所有大陸企業赴美申請IPO。在大陸當地,也因涉及網路安全審查,核心業務之APP遭網信辦下架。種種緣由,讓本案引發外界不少議論。
案件關鍵:CII管理規範
滴滴出行APP在未被下架前,為當地網路叫車平台的龍頭。而本案之所以引發美、中或其他對象高度關注的原因,在於該公司擁有大量的使用者資料。且在此一案件內,網信辦認為滴滴出行涉及國家數據(資料)安全風險,其依據在於中國大陸網路安全法與相關法令內,對關鍵信息(資訊)基礎設施(Critical Information Infrastructure,CII)或相關業者皆有一定要求。
除2017年施行之網路安全法及其子法:網路安全審查辦法,中國大陸於2021年陸續通過數據安全法、關鍵資訊基礎設施安全保護條例及個人資訊保護法(個資法),都與CII管理有關。其中,CII之認定,無論依網路安全法或關鍵資訊基礎設施安全保護條例,皆係指公共通信與資訊服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業與領域,以及其他一旦遭到破壞、喪失功能或者資料洩露,可能嚴重危害國家安全、國計民生、公共利益之重要網路設施、資訊系統等。
從上述定義可知,中國大陸之CII並非專指特定領域或廠商,凡被各主管機關認定可能危害國家安全、國計民生或公共利益,都可能屬之。再加上中國大陸特殊的政經體系,CII的認定與實際適用範圍,可能較想像地大或多。
此外,滴滴出行案還涉及中國大陸個資法(2021年11月施行)第40條之規定,對於CII擁有個人資料符合網信辦規定之數量者,應落實資料在地化,即要求將於中國大陸收集與產生之個資儲存在境內。且其個資法第36條尚提及,須通過網信辦之安全評估,才能向境外提供。
然因國內法之性質,對於CII或相關業者赴美或其他地區上市之情形,並無前述之限制或管理等具體要求。為求完備,網路安全法之子法:網路安全審查辦法已於2021年7月對公眾徵求意見,將透過修法,以補強擁有大量使用者資料之業者的安全管理。其中,該辦法相關條文將修正為:若掌握超過100萬用戶個資的營運者赴國外上市,必須向網信辦下設的網路安全審查辦公室,申報網路安全審查。 此外,配合數據安全法之施行,2021年10至11月間網信辦也陸續草擬網路數據安全管理條例與數據出境安全評估辦法,尤其是後者,2021年10月29日對外公開徵求意見後,受到各界關注。因為該辦法直指類似滴滴出行等,擁有大量資料之業者,避免其將資料傳至中國大陸境外。據目前草案規定,凡在境內蒐集與產生的資料或個資,數據處理者向境外提供數據前,須透過省級之網信部門,向網信辦申報數據出境安全評估。
留意CII相關法律與行政規章
有關中國大陸CII之認定,依現行法令綜合觀之,將由各領域之主管機關自行制定認定標準或原則。另依關鍵資訊基礎設施安全保護條例規定,對於CII運營者之責任義務,除要求提供經費、配置人員、建立網路安全保護制度、事件通報等外,尚明文規範應配合主管機關之檢查檢測、資訊共享機制等,且對於違法者有相應之法律責任。欲向境外提供數據時,還需注意數據出境安全評估辦法(草案)等規範。
此一條例與網路安全法的差異在於,網路安全法多為原則性規範,至於具體要求如運營者責任義務或其他細節,悉由該條例處理。目前該條例主要規範包含CII之認定、運營者責任義務、保障與促進,以及法律責任。凡屬認定之CII,運營者即負有一定之義務,例如建立保護機制(含每年一次的檢測與評估)、事件通報,並應配合資訊分享機制。綜此,如有興趣的企業、組織或研究人員,對於各部門之CII相關法律與行政規章可持續注意。
此外,在數據出境安全評估辦法未完成立法程序前,除了大陸法律、部門之行政規章,具體運作上,還需注意其國家標準。如網路安全法第23條規定網路關鍵設備與網路安全專用產品,應當按照相關國家標準的強制性要求等,以及關鍵資訊基礎設施安全保護條例第1條提及網路安全等級保護制度,其與國家標準息息相關,如信息(資訊)安全技術網路(絡)安全等級保護基本要求(GB/T22239-2019),建議都應有所掌握或了解。
結語
因中國大陸法規對於網路或資料之安全管理已有一定規範,且各法令間更常互為配套。如滴滴出行案涉及之CII或相關業者,若有蒐集與產出重要數據,需要注意出境安全管理(如數據安全法第31條,及數據出境安全評估辦法(草案)),並應掌握中國大陸法令對於CII運行安全之規定(如網路安全法第31至39條),包含但不限於:實施網路安全等級保護制度、設置專門管理機構與安全管理人員,違反者還會有罰款。最後,建議在掌握與理解對岸此類規範,應注意整體安全管理機制,至少包含法律、部門規章及國家標準,以避免或減少可能之風險。
<本文作者陳宏志目前服務於資策會,專注於資料治理議題,如資安、個資政策或法令及管理實務,並協助零售、物流、智慧財產權等規劃區塊鏈應用。>