【原创研究】网络安全审查—为什么查了知网?
来源: 远桥资产-汪中海日期:2022-07-01浏览量:421
中国知网,始建于1999年6月,是中国核工业集团资本控股有限公司控股的同方股份有限公司旗下的学术平台。中国知网收录从1915年开始的学术文章和期刊,目前已经积累了近3亿篇学术文章和9300多份期刊,中心网站的日更新量达5万篇以上,用户达到2亿多人,是国内最大的中文期刊平台。2022年6月23日,网络安全审查办公室约谈知网负责人,宣布对知网启动网络安全审查。据悉,知网掌握着大量个人信息和涉及国防、工业、电信、交通运输等重点行业的重要数据,以及重大项目、重要科技成果及关键技术动态等敏感信息。前有滴滴,后有知网,网络安全审查到底有何等威力?这些巨头到底因为何种原因被审查?本文将从知网此次审查角度,来探讨网络数据安全审查这一新时代下的制度。
自《数据安全法》出台以来,数据安全的重要性已经上升到国家战略层面,作为“数据安全领域的基础性法律”,其重点关注了数据安全保障层面的制度建设。包括从数据的分类保护、到数据的应急处置和数据安全的国家审核。而对于企业而言,需要重点关注到落实登记保护2.0的系列标准,即《网络安全等级保护基本要求》和《网络安全等级保护定级指南》,并建立内部的数据分类分级和核心数据保护制度;同时在数据的来源获取上,应避免采用非法获取第三方的平台数据、侵犯商业秘密等手段来排除竞争。而在数据的使用上,应当特别注意数据的出境的特殊义务。根据《网络安全审查管理办法》的规定,明确可能会被开展网络安全审查的主要是两类企业。一类是“关键信息基础设施运营者”,另一类是“网络平台运营者”。而当中的关键信息基础设施运营者通常是一些重大的数据库、数据中心等,截至2017年底,全行业共确定关键网络设施和重要信息系统11590个。因上述均属于机密信息,也未曾对外公开。而“网络平台运营者”所涉及的主体就相对很多,其在开展数据处理活动的过程中,如果涉及影响或者可能影响国家安全,那么就有权对其进行网络安全审查。自《网络安全审查办法》于2020年4月公布以来,目前已经有若干家平台运营主体被进行网络安全审查,其中包括滴滴、运满满、货车帮、BOSS直聘等。上述主体均是收集了大量的信息数据,包括行车记录、个人简历等等。而此次知网,同样也是海量数据集中体,知网成立于1999年,收录从1915年开始的学术文章和期刊,目前已经积累了近3亿篇学术文章和9300多份期刊,用户达到2亿多人,是国内最大的中文期刊平台。由于《网络安全审查管理办法》是国家互联网信息办公室、国家发展和改革委员会、工业和信息化部等12个部门联合发布的,参考之前滴滴的审查经验,由国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局等进行。知网此次审查的部门虽未公布,但是仍可参考上述审查经验,有可能也是多家部门进行共同会审。
根据网信办相关负责人之前的答复和介绍,网络安全审查的重点是网络产品和服务的“安全性”、“可控性”。重点判定是否影响国家安全和公共利益。从审查核心来看,主要包括:
(1)数据的窃取、泄露等风险。这当中包括核心数据、重要数据或者大量个人信息的窃取、泄露、毁损的风险。以知网为例,笔者搜索“导弹”信息,合计有86522条相关结果,其中涉及导弹的飞行控制、化学涂层、空气动力计算、雷达识别、电力等等,而且不少期刊为网络首发。笔者非导弹相关专业,也无法判断上述信息的真实价值,更无法判断上述信息泄露情况下的风险,上述信息是否具有重大价值,更需要相关行业的人员进行判断。
(2)数据非法利用和非法出境审查。2021年10月29日出台的《数据出境安全评估办法(征求意见稿)》,对于向境外提供的数据的应当向国家网新部门申报数据出具出境安全,其中对于处理个人信息达到一百万人的个人信息处理者向境外提供个人信息,以及出境数据中心包含重要数据的,均是强制履行前述义务。
而在《数据安全管理办法》中,也规定,向境外提供数据,需要报行业主管部门、省级网信部门批准。而知网本身的用户多达2亿人,如果有向境外提供数据的情况,自然需要进行网络安全审查。
从审查的角度和思路而言,总体上的目标是判断是否损害到公共利益和国家利益。
数据安全未来会成为悬在所有重要数据运营企业头上的达摩克利斯之剑,数据企业需要特别注意在处理数据时遵循中国法律法规的,并谨慎向境外提供任何数据。整体而言,作为数据企业,应当注意:(1)明确并要求客户签署隐私收集规则。根据《数据安全管理法》的规定,通过网站和APP收集个人数据的,应当公开收集使用规则。收集使用规则当中的内容应当包括收集这些信息的目的、种类、数量、用途等等,且不得以默认形式进行收集。同时,所有的数据收集均应当取得被收集的主体的同意。(2)收集的内部数据进行分类整理,分别保护。敏感数据和普通数据,应当进行明确的分类。根据《信息技术个人信息安全规范》,个人信息分为敏感信息和一般信息。而敏感信息一旦泄露,人身权利就可能会受到不可逆转的侵害,包括生物识别(面部特征)、宗教信仰、特定身份、账户和轨迹等。对于这类信息,企业在收集完成后,予以更为严格的保护。(3)数据处理应当合理合规。对于收集的数据使用也需要注意,一方面是注意不得向境外进行提供。以2022年4月份上海国安所处置的案子为例,上海某信息公司受境外机构委托,采集中国铁路信号数据,包括物联网、蜂窝和GMS-R,也就是轨道使用的频谱等数据,仅仅一个月就采集了500G的数据,对于国家安全形成重大危害。另一方面,是在授权第三方使用时应当注意将个人信息进行匿名化,同时也不得违反已经签署的收集规则,扩大收集的范围。今后,数据安全审查可能会变成一个常规性的事项,企业在该层面应当时刻关注,查漏补缺,定时开展内部数据安全核查。
