从滴滴打车事件看何为关键信息基础设施运营者

从滴滴打车事件看何为关键信息基础设施运营者

张晓宇 夏晨斌

01

滴滴打车下架事件概览

从目前中央网信办官网发布的《关于下架“滴滴出行”App的通知》（以下简称《通知》）内容来看，本次对“滴滴”所做处罚的依据主要是《国家安全法》、《网络安全法》和《网络安全审查办法》，其中《国家安全法》和《网络安全法》较为宏观笼统，本次处罚的依据实际上是参照《网络安全审查办法》作出。

本次对“滴滴”所做出的的处罚决定为下架违法APP，从处罚结果来看，对于一家以APP为运营基础的互联网公司来说，下架APP无异于强制退市，对于互联网企业是损失是不可估量的。本次处罚之重史无前例，即彰显了国家为了推动互联网数字新基建、新经济，落实2020年全国经济工作会议关于防止资本无序扩张重要精神的决心，又给互联网企业再次敲响警钟。随着《网络安全法》、《数据安全法》的落地，以总体国家安全观为核心，以网络安全、数据安全、个人信息安全为条块的网络安全监管体系已经初具雏形，网络安全、数据安全和个人信息安全对于互联网企业来说不再是“说起来重要、忙起来次要、做起来不要”的工作，而是企业必须面对，必须直接承担起主体责任的切实义务和企业经营中的重要和主要法罚风险，构建网络数据安全合规体系对于互联网企业来说已经刻不容缓。

02

滴滴打车是否是关键信息基础设施运营者

1、我国关于关键信息基础设施运营者的规定

《网络安全审查办法》第二条规定了网络安全审查的主体为关键信息基础设施运营者，因此，想要启动网络安全审查程序首先要主体适格。关于关键信息基础设施运营者的规定在《网络安全法》中亦有体现，但可惜的是无论是《网络安全法》还是《网络安全审查办法》都对何为关键信息基础设施没有做出明确而具体的规定，唯一较有信服的说法是国家网信办相关负责人就《网络安全审查办法》答记者问时说到关键信息基础设施运营者是“电信、广播电视、能源、金融、公路水路运输、铁路、民航、邮政、水利、应急管理、卫生健康、社会保障、国防科技工业等行业领域的重要网络和信息系统运营者”。从此说法来看，依然难以具体判断。关于何为关键信息基础设施可以从立法较早、提法较为完备的英国相关法规来看，事实上，后来其他国家的立法者都普遍吸收并采纳了英国的定义。

2、英国关于关键信息基础设施运营者的定义

2007年英国设立了国家基础设施保护中心（Centre for the Protection of National Infrastructure,CPNI），专司为英国企业和组织的基础设施提供安全咨询保护，并对“关键国家基础设施”（Critical National Infrastructure,CNI）的概念进行了界定。首先，英国确定了“关键国家基础设施”的行业范围为化工、核能、通信、国防、应急管理、能源、金融、食品、政府、医疗、航天、交通运输和水务等十三个方面。

但值得注意的是，英国并未将十三个部门的信息基础设施都涵盖到关键范畴中。CPNI认为英国政府对CNI中Critical的立场是，“关键国家基础设施”还必须是十三部门中那些关键要素，例如重要设备、系统、网络以及从事操作和运营的重要人员。同时，英国也为“关键”设置了两项危及要件，即

“a) Major detrimental impact on the availability, integrity ordelivery of essential services–includingthose services whose integrity, if compromised, could result in significantloss of life or casualties–taking into accountsignificant economic or social impacts; and/or 

b) Significant impact onnational security, national defence, or the functioning of the state.”

从其“and/or”的条件连接词设计来看，a款与b款的“且”关系与“或”关系皆可使得危机要件成立，换而言之满足a、b任意条款皆可满足“Critical”的危及要件。即关键要素停运或受损，a）会对社会经济造成重大影响，对服务完整性造成影响，包括完整性受损会导致重大人员伤亡，或 b）会对国家与国防安全造成影响。

除了CPNI定义的“关键国家基础设施外”，英国国家网络安全战略（2016-2021）还将其他容易遭受网络安全攻击并对英国经济、社会与国家安全造成损害的企业与社会组织纳入“关键国家基础设施”的考量中来，并将这些企业与社会组织主要概括为5个类别：一是在研发或知识产权具备巨大优势的重要企业；二是大量个人信息数据拥有者；三是容易对国家经济、荣誉与安全造成影响的高威胁目标：如重大媒体；四是高端数字技术提供商；五是保险、投资、监管、专业咨询组织等。

3、确定是否为关键信息基础设施运营者的若干要素

1.关键信息基础设施运营者首先是关键基础设施运营者。

对比中英各自对“十三”个领域的罗列式规定可以看出所罗列的行业都是一个国家平稳运行的关键行业、基础行业，例如交通、能源、通信、水利等。滴滴自从2016年与优步合并后独占了网约车行业80%的市场份额，而其所处的行业正是新兴的“互联网+”交通运输业，从其市场份额及其行业门类来看其固然是关键基础设施的运营者。

2.企业也可以成为关键信息基础设施运营者。

我国法律并未明确规定企业不能成为关键信息基础设施运营者，而从滴滴打车案的审查结果来看，企业显然可以成为关键信息基础设施运营者。那怎样的企业具备成为关键信息基础设施运营者的条件呢？从英国给定的标准出发，结合滴滴打案的实际可以概括出如下特征：

（1）数字产品与服务的提供者。网络安全审查的关键在于网络行业，滴滴打车便属于数字服务的提供者。

（2）具备巨大市场优势的企业。除了是数字产品与服务提供者以外，该企业还需要在市场中具备巨大的竞争优势，这种优势可以是市场支配地位，例如滴滴已经占据了网约车行业80%的市场份额。

（3）大量个人信息、重要数据或国家核心数据的拥有者。这里的数量规定参照个人信息及重要数据相关规定的具体细则，国家核心数据的规定参照《数据安全法》。从滴滴打车案的审查结果来看，对其进行处罚的主要依据也来源于不当的个人信息收集处理活动。

（4）易对国家安全、社会稳定造成安全威胁的高风险目标。这里的风险包括实体意义上的经济损失风险、社会秩序混乱风险还包括非实体意义上的政治安全、舆论安全风险。滴滴打车几乎独占了互联网交通运输市场，积极容易给国家的交通运输秩序和人民交通出行安全带来威胁。

3.危及要件是衡量的关键要素。

《网络安全审查办法》第九条规定了在审查中应当重点注意的问题，主要包括：

(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

(二)产品和服务供应中断对关键信息基础设施业务连续性的危害；

(三)产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况。

其中第4项为概括性义务，前1-3项为危及要件。具体来说包括已经出现或可能出现的实际性损害，例如遭到非法控制、干扰或破坏或极可能发生此类风险。此外，还包括服务因各种原因中断极可能导致严重的国家安全影响，服务中断与危害结果之间具有高度概然的因果关系，具有高度盖然的致害可能。

03

滴滴打车下架事件带来的启示

从事互联网服务的企业首先应该通过上述标准对自己进行一次评估，首先判断自己是否是关键信息基础设施的运营者。如果是，一定要立刻与专业法务人员建立联系，结合自身业务实际对相关法律进行一次梳理，构建起合规体系，规避法罚风险。如果不是也不能掉以轻心，企业应当进行第二步工作，对自己掌握的数据进行分级分类。尽管当前《个人信息保护法》尚未落地，但从此次对滴滴打车的处罚事由来看，我国对互联网企业的安全监管重点正在向个人信息安全领域聚焦，构建数据安全合规体系已是互联网企业的“规定动作”。

本文不代表耀时律师事务所及其律师出具的正式法律意见

如需转载或引用本文的任何内容

请扫描我们公众号获得许可并标注来源