中天无限网络安全审查下的危机公关与政府公关

一、网络安全审查背景2020年4月以来，相关部门陆续开展对一些知名的互联网科技企业进行安全审查。由于这些互联网企业掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我国重大项目、重要科技成果及关键技术动态等敏感信息，网络安全审查成为督导企业加强整改，对公民个人信息、国家安全信息进行积极保护的重要举措。随着数字化进程的加速推进，广大人民群众对网络安全、数据安全、个人信息安全的关注度与日俱增。我国不断健全网络安全审查制度和云计算服务安全评估制度，开展多种专项治理行动全力维护人民群众在网络空间的合法权益。因此，早在2021年7月5日，网络安全审查办公室就发布公告，对运满满货车帮BOSS直聘等大型企业实施网络安全审查。1.何为网络安全审查近年来，全球范围内针对关键信息基础设施的网络攻击行为不断攀升，涉及金融、医疗卫生、交通、能源、工业控制等领域，影响范围广泛、程度严重。开展网络安全审查成为各国防范关键基础设施安全风险的通用做法。依据《国家安全法》和《网络安全法》，2020年4月，国家互联网信息办公室、国家发改委等12部门联合发布《网络安全审查办法》。国家互联网信息办公室有关负责人曾在《网络安全审查办法》发布时介绍，我国建立网络安全审查制度，目的是通过网络安全审查这一举措，及早发现并避免采购产品和服务给关键信息基础设施运行带来风险和危害，保障关键信息基础设施供应链安全，维护国家安全。实际上，尽管一直未被大众所熟知，但《网络安全审查办法》始终密切围绕维护国家安全这一目的，在有限的可能涉及国家安全的领域内展开监管。早在2017年，网信办公开征求意见的《网络产品和服务安全审查办法（征求意见稿）》中，就首次提出网信办将会同11个部门成立网络安全审查委员会，负责审议网络安全审查的重要政策。网络安全审查委员会的组织架构最终在正式版本的《网络产品和服务安全审查办法（试行）》中确立，该试行办法作为《网络安全法》的重要配套规章，与《网络安全法》一同正式实施，但直至2021年7月2日，《网络安全审查办法》被网络安全审查办公室发布的名为《网络安全审查办公室关于对滴滴出行启动网络安全审查的公告》通告所引用，网络安全审查制度乃至其背后的国家安全利益才首次进入公众视野，并引发强烈关注。2.网络安全审查内容网络安全审查的重点是评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险。因此，其审查内容主要包括而就在6月29日晚间，中国最大的招聘平台BOSS直聘通过官方微博发布消息称，经报网络安全审查办公室同意，即日起恢复BOSS直聘的新用户注册。后续，公司将采取有效措施，切实保障平台设施安全和大数据安全，维护国家安全。不仅如此，帮同样通过官方微博宣布，近一年来，公司认真配合国家网络安全审查，严肃对待审查中发现的安全问题，进行了全面整改。经报网络安全审查办公室同意，即日起恢复运满满、货车帮的新用户注册。满帮表示，后续，公司将采取有效措施，切实保障平合设施安全和大数据安全，维护国家安全。网络安全审查制度的根本目标在于维护国家安全。在本次《网络安全审查办法》的正式稿中，适用主体被调整为明确的两类，即关键信息基础设施企业（CIIO），和网络平台运营者。相比于前一次的适用主体，新版《网络安全审查办法》的定义更为明确。也就是说，对于大部分企业而言，都有被进行网络安全审查的可能。因此，如何应对网络安全审查、做好政府公关就显得尤为重要。二、网络安全审查的进化之路中国的网络安全审查之路早在9年前就已经开始。2013年，《建立信息安全审查制度》的立法提案颁布；同年10月，《信息化发展规划》颁布。而就在下一年5月，确定了《关于建立网络安全审查制度的公告》。2015年年末，《关于加强党政部门云计算服务网络安全管理的意见》发布并出台了《中华人民共和国国家安全法》。2016年7月，出台了《国家信息化发展战略纲要》；同年11月，《中华人民共和国网络安全法》确立。2017年5月，《网络产品和服务安全审查办法（试行）》《关键信息基础设施安全保护条例（征求意见稿）》颁布。2019年5月21日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》公开征求意见的通知。而就在两年前，也就是2020年4月13日，《网络安全审查办法》正式公布。可见，国家安全审查制度早在《国家安全法》和《网络安全法》中就进行了确立，并最终作为《网络安全审查办法》的立法背景予以确认。而《数据安全法》的出台则进一步重申了数据安全审查制度，《网络安全审查办法》正式稿也将其吸纳为制定依据之一。而在今年2月15日，修订后的《网络安全审查办法》也正式开始施行。与征求意见稿相比，正式稿的最大变化之处在于：限缩了《网络安全审查办法》的适用对象和情形，更加清晰地将网络安全审查流程确定在关键信息基础设施运营者和网络平台运营者主体身份上。上市活动整体纳入国家安全风险考虑因素，不再区分国外上市、香港上市和境内上市情形。首提审查期间当事人的预防和消减风险的义务。明确了网络安全审查制度与数据安全审查制度、外商投资审查制度的并行关系。三、网络安全审查监管框架的逐步探索网络安全审查的基本监管框架是监管机构通过多层次的立法尝试中逐步探索出来的。例如前述的2017年《网络产品和服务安全审查办法（征求意见稿）》中，首次提出网信办将会同11个部门成立网络安全审查委员会，负责审议网络安全审查的重要政策，统一组织网络安全审查工作，协调网络安全审查相关重要问题。在正式版本的《网络产品和服务安全审查办法（试行）》中网络安全审查委员会的组织架构的最终确立。以及2020年，在《网络安全审查办法》（2020版本）中网络安全审查委员会的职能也被网络安全审查办公室所取代。修订后的《网络安全审查办法》第四条中指出，在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。监管机构职能按照《网络安全审查办法》的规定，网络安全审查办公室承担多项职能，申报、审查也有具体程序：（1）关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。（2）掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查.（3）网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内，确定是否需要审查并书面通知当事人。（4）网络安全审查办公室认为需要开展网络安全审查的，应当自向当事人发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见；情况复杂的，可以延长15个工作日。（5）按照特别审查程序处理的，网络安全审查办公室应当听取相关单位和部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，按程序报中央网络安全和信息化委员会批准后，形成审查结论并书面通知当事人。（6）网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。（7）参与网络安全审查的相关机构和人员应当严格保护知识产权，对在审查工作中知悉的商业秘密、个人信息，当事人、产品和服务提供者提交的未公开材料，以及其他未公开信息承担保密义务；未经信息提供方同意，不得向无关方披露或者用于审查以外的目的。（8）当事人或者网络产品和服务提供者认为审查人员有失客观公正，或者未能对审查工作中知悉的信息承担保密义务的，可以向网络安全审查办公室或者有关部门举报。（9）网络安全审查办公室通过接受举报等形式加强事前事中事后监督。四、滴滴、知网、运满满……网络安全审查是否只是个例？《网络安全审查办法》主要针对三种情况，一是针对关键信息基础设施（关基）运营者采购网络产品和服务；二是针对超过100万用户个人信息的网络平台运营者赴国外上市；三是针对影响或可能影响国家安全的网络产品和服务以及数据处理活动发起自主调查。根据《网络安全审查办法》的规定，对一方启动审查，可通过当事方的主动申报，也可是国家有权机关依职权主动发起。而近期超星疑似遭遇1.7亿用户数据泄露后，国家也开展了对知网的安全审查，知网作为储藏和搬运知识，供读者付费下载和阅读的学术平台，掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据，以及我国重大项目、重要科技成果及关键技术动态等敏感信息，易成境外黑客组织攻击的对象。因此，今年6月，网络安全审查办公室宣布对知网启动网络安全审查。1.知网成为期刊数据库行业首家接受安全审查的企业由于知网的特殊行业地位，此次安全审查引起了业内普遍关注，这也从侧面印证了安全审查的行业范围在不断扩展。对于知网如何维护网络信息安全、应对网络安全审查，根据专家意见称，一方面，为了防范风险，知网应当及时开展全面的风险自评估，并且在审查期间按照网络安全审查要求采取预防和消减风险的措施。另一方面，在网络安全审查的过程中，知网业务模式和经营方式等方面，也应相应做出较大的改变和完善，特别是在数据治理层面和市场策略层面的合规提升。2.网络安全审查的号角已经吹响事实上，网络安全审查的企业范围正在不断增加。2021年7月2日晚间，网络安全审查办公室发布《网络安全审查办公室关于对滴滴出行启动网络安全审查的公告》，宣布对滴滴出行实施网络安全审查。这是国家首次对企业启动网络安全审查，一时间，引起社会各界的高度关注。仅仅一个星期后，网络安全审查办公室再次发布关于对BOSS直聘运满满货车帮等平台启动网络安全审查的公告。公告表示，为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对BOSS直聘等平台实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间BOSS直聘运满满货车帮停止新用户注册。以BOSS直聘为例，Boss直聘作为目前国内用户数量最多的招聘软件之一，口号就是老板与员工直接沟通，但有不少用户反映，Boss直聘实际上存在不少中介公司。在平台上填写档案时，用户需要填入姓名、手机号、工作经历等众多隐私信息，如果平台泄露了这些信息，对于用户的影响极大。而BOSS直聘的中介与猎头不少，平台有可能将用户的信息泄露给了这些人。因此，对BOSS直聘而来说，隐私问题是此次审查的关键。对于企业而言，目前最大的问题在于，后续还会触发网络安全审查吗？而根据专家意见以及法律公告信息不难看出，此次滴滴、知网等企业进行网络安全审查只是开始，后续将会有更多案例出现。网络安全审查的号角已经吹起，这已然给各大企业敲响了警钟。五、做好政府公关，把握网络安全的红线在滴滴被实施网络审查的前一天，正是滴滴赴美上市的关键节点。每年都会来一次的滴滴上市传闻终于成了真，但受审查的影响，滴滴当天的股价跌幅一度接近11%，截至收盘，滴滴的股价跌掉了5.43%。雪上加霜的是，7月4日晚间，国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架滴滴出行App。根据一则简短的官方声明，这是因为滴滴出行App存在严重违法违规收集使用个人信息问题。随着App被下架，再加上各类机构对《网络安全审查办法》解读的深入，可想而知，滴滴的股价可能还有进一步下探的空间。由此可见，网络审查对于一个公司声誉和形象建设有着较大影响。滴滴被查也是为其他科技公司敲响了一记警钟，尤其是拥有巨量数据和信息的平台型科技公司。不难想象，在未来，网络安全审查将会成为我国网络安全生态治理和相关监管执法中的常态化元素，成为包括大型网络平台在内的各类运营者合规经营的重要指引，也成为各界维护公共利益和国家安全的重要机制凭借。企业除了平台治理和反垄断方面的合规自查之外，需要时刻审视自己是否会被列为关键信息基础设施、是否有数据安全方面的风险，平台是否有违规使用和收集用户数据的行为，应对网络安全审查、做好政府公关也许将成为企业的一个基本功。近些年来，我国对构建安全的数字经济环境、维护网络安全的政策考量也同样愈发严格。从2015年《国家安全法》颁布施行到2017年《网络安全法》生效，再到2021年《数据安全法》公布，我国正在形成一个全面规范网络安全保护、数据安全保护、个人信息安全保护的基础法律体系。基于此，对于经营主体，特别是大型网络平台而言，需要重点提高对维护网络安全、维护国家数据安全的自觉性，做好政府公关，把握网络安全的红线。那么企业应该如何做好政府公关？积极整改，做好风险排查没有网络安全，就没有国家安全。越来越多典型网络审查案例的公开，向社会传递出了执法必严、违法必究的强烈讯息，再次表明数据安全已上升到国家安全的高度。随着安全审查的越来越严格，企业更应该主动地对自身可能存在的安全风险进行排查，若排除出风险，对风险源头的控制和传播机制的阻断可以有效杜绝风险的进一步扩大，积极的整改也能推动安全风险从大到小，从小到无。在风险排查过程中，企业需识别出涉及国家和行业领域安全的重要数据、核心数据、个人信息数据，并基于分类分级结果、对敏感数据和重要数据的流转及使用情况，结合企业场景化的数据安全风险分析及数据安全能力需求分析，制定企业的数据安全策略和技术防护保障措施。尤其对掌握了与国家安全、重点科研、国计民生紧密相关的重要和敏感数据的企业平台而言，更需要具备‘红线意识’，严格遵守相关法律，承担保护数据安全的责任，树立良好的企业形象，维护自身声誉。做好声誉管理，舆情推演与公关预案企业在发生网络安全危机事件后，应该积极主动地对此次危机事件涉及到的利益相关者以及其诉求进行分析，对可能产生对舆情进行推演，就如果企业接受审查后，确实存在重大安全漏洞，或已发生用户信息、安全信息泄露。一旦审查结果公布，必定引发企业负面舆情，对于此类舆情可能会如何演变、发展？又分别需要怎么样的应对？，可以提前准备好相应的公关预案。建立声誉风险与危机公关数据库完善的历史风险数据库是声誉风险防御的核心步骤。以银行业为例，根据欧美各国银行协会根据巴塞尔协议对操作风险与声誉风险的规定，已经建立成成熟的声誉风险历史数据库体系，对风险进行积极的量化，第一时间通过新闻发言制度向市场进行披露，以杜绝市场因为信息不充分而造成恐慌。但是目前中国缺乏全面的行业数据库参考。在危机发生前，企业就应该对行业内与自身相关的声誉风险以及危机公关进行汇总，并进行标签化处理，以便企业能够在危机发生的第一时间就可以对应数据库内的案例，分析本次危机时间可能会造成的量化影响。建立新闻发言人制度无论企业出现网络安全问题时是否打算与媒体以及大众进行交流和对话，也绝对不能让一个不了解整个事件来龙去脉的人随意对外发声。因此，企业需要制定和完善新闻发言人制度，并且选拔出合适的新闻发言人。企业也应该明确新闻发言人应该储备多名涉及可能产生声誉风险的主要部门，并以专家的姿态进行呈现，对发言人要制定周全对培训计划和发言侧重点、发言方式、灵活机动的应对能力进行提升。当然，无论谁是指定的新闻发言人，都要确保该发言人有一个简洁明确且严谨的观点并时刻保持重点。5.引入专业的第三方公关公司把专业的事情交给专业的人去做，企业在发生网络安全问题时，也应该把企业危机的工作交给专业的公关公司去处理。媒体资源与专家资源。公关公司有充足的媒体、第三方沟通资源，可以帮助企业通过更加有效的方式解决问题。同时，企业也可以借用公关公司专家网络资源向行业积极的进行发声，对主流认知进行有效引导，杜绝社会舆论走向不可控，引发舆情进一步扩大，甚至危及企业正常运营；独立的第三方立场。外部公关公司独立于企业的第三方立场，也可以帮助企业更多的与大众建立公正客观的沟通，而非被企业固有的认知和行为模式所影响。此外，公关公司的第三方立场也可以帮助企业从外部进行手术，推动企业组织或业务进行变革，优化服务体验，这也是企业内部团队往往难以达成的，根本原因是内部团队会受到更多的部门间合作关系影响，需要顾及的因素过多导致最终难以取得重大成果；简单的说，就是伤人的事最好交给企业外部的人来做。有更多的专业性服务经验。大型公关公司因为服务大型企业多而具备丰富的传播经验，判断和提供更加准确的传播策略。而同时公关公司会服务于不同的客户，每完成一个项目都会增加从业人员的知识储备。从业者的经验和不同职能的专业人员使得能够在公关公司协同作战。当面对新的客户，新的挑战时，都有处理先前遇到的类似形势和成败得失的知识、经验做支撑。获取《2022上市公司危机公关与声誉管理手册》，请移步中天无限官网获取。发布于：浙江省