网络安全审查，保护国家和你我

7月2日，网信办发布消息称，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。滴滴出行表示配合调查。
7月4日，网信办发布审查结果：根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。
随即，“BOSS直聘”“运满满”“货车帮”等企业也接受网络安全审查。国家网信办加大对企业网络安全审查的力度，引起社会各界的高度关注。那什么是“网络安全审查”？为什么要对其进行安全审查？公民在使用APP时需要注意些什么呢？

1.什么是网络安全审查？
关键信息基础设施对国家安全、公众安全和社会稳定至关重要。根据《中华人民共和国国家安全法》《中华人民共和国网络安全法》以及《网络安全审查办法》的相关规定，网络安全审查，系审查网络产品或者服务是否存在影响关键信息基础设施安全和国家安全的威胁或者风险。

2.为什么会对其进行网络安全审查？
信息技术为我们带来便利的同时，也为公民的个人隐私、商业秘密、国家数据安全等信息带来泄露的风险。从网信办发布的审查结果来看，“滴滴出行”被网络安全审查的原因显而易见：严重违法违规收集使用个人信息。企业对个人信息的过度收集和不当利用很可能会侵犯个人安全、引发财产风险，甚至存在危害社会公共安全的危险。“滴滴出行”作为国内的大型网约车服务企业之一，涉及的业务范围包括但不限于网约车服务，其收集信息的范围也不仅仅限于用户个人的录音录像、行车轨迹等，收集方式与去向不透明，违反了《网络安全法》中有关个人信息收集、使用的相关规定。
除了掌握大量用户隐私数据外，“滴滴出行”经营的业务与关键信息基础设施息息相关，比如地理测绘等涉及国家安全的关键信息。互联网企业在运营过程中产生的巨量数据，通过大数据分析能够反映出我国整体经济运行情况等涉及国家秘密的信息，对总体国家安全构成很大威胁。而“滴滴出行”于6月30日赴美上市，数据出境问题无法避免，出于国家安全的考虑，对关键信息基础设施运营者在向境外提供信息时进行安全审查具有十足的必要性。

3.律师说法
“滴滴出行”违法违规收集使用公民个人信息，给关键信息基础设施和国家安全造成严重威胁，被网络安全审查是必然。针对企业踩红线的行为，相关部门将责令其停止使用相关网络产品或服务，对机构、直接负责的主管人员和其他直接责任人员处以罚款。此外，不排除适用《国安法》规定的更严格的法律责任的可能性。大数据时代下，许多企业利用各种手段，非法收集使用甚至买卖公民个人信息，让公民没有隐私可言，危及社会，必将自食恶果。
因此，企业在涉及个人信息时，务必遵守相关法律法规的规定，充分保障用户的知情权和同意权，在合法合理的范围内收集使用个人信息。同时，在涉及国外相关业务时，企业务必通过相关安全审查再将数据传输出境。

4.法律适用
《网络安全审查办法》相关规定：
第二条 关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合，从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
第五条 运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。
关键信息基础设施保护工作部门可以制定本行业、本领域预判指南。
《中华人民共和国国家安全法》相关规定：
第五十九条 国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。
《中华人民共和国网络安全法》相关规定：
第三十五条 关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
第三十七条 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。
第四十条 网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。
网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。
网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。
第四十三条 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。
第四十九条 网络运营者应当建立网络信息安全投诉、举报制度，公布投诉、举报方式等信息，及时受理并处理有关网络信息安全的投诉和举报。
网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定，侵害个人信息依法得到保护的权利的，由有关主管部门责令改正，可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款，对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款；情节严重的，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
违反本法第四十四条规定，窃取或者以其他非法方式获取、非法出售或者非法向他人提供个人信息，尚不构成犯罪的，由公安机关没收违法所得，并处违法所得一倍以上十倍以下罚款，没有违法所得的，处一百万元以下罚款。
第六十五条 关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
第六十六条 关键信息基础设施的运营者违反本法第三十七条规定，在境外存储网络数据，或者向境外提供网络数据的，由有关主管部门责令改正，给予警告，没收违法所得，处五万元以上五十万元以下罚款，并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。

5.律师提醒
在此，律师提醒大家，在APP上注册用户时应仔细阅读隐私条款，检查电子设备对该应用开通的权限，提示需要使用您的通讯录、位置信息等隐私信息时，保持一定的警惕。遇到APP未尽到信息收集使用的告知义务以及收集与其所提供服务无关的个人信息时，建议关闭超范围的权限，要求网络运营者删除其个人信息，并向公安部门、互联网管理部门、工商部门、消协、行业管理部门和相关机构进行投诉举报。