¿Qué hizo Didi?
La primera se publicó el 2 de julio y el texto completo es el siguiente:
Para evitar datos nacionales riesgos de seguridad y mantener la seguridad nacional, para salvaguardar los intereses públicos, de conformidad con la "Ley de Seguridad Nacional de la República Popular China" y la "Ley de Ciberseguridad de la República Popular China", la Oficina de Revisión de Ciberseguridad llevó a cabo una revisión de ciberseguridad de Didi Chuxing de conformidad con las "Medidas de revisión de la ciberseguridad". Para cooperar con la revisión de seguridad de la red y evitar que el riesgo se expanda, "Didi Chuxing" dejó de registrar nuevos usuarios durante el período de revisión.
El segundo artículo se publicó el 4 de julio. El texto completo es el siguiente:
El informe afirma que después de pruebas y verificación, la aplicación "Didi Chuxing" tiene graves violaciones de las leyes. y regulaciones en materia de recopilación y uso de información personal. De acuerdo con las disposiciones pertinentes de la "Ley de Ciberseguridad de la República Popular China", la Oficina Estatal de Información de Internet notificó a la tienda de aplicaciones que eliminara la aplicación "Didi Chuxing" y exigió a Didi Chuxing Technology Co., Ltd. que cumpliera estrictamente con los requisitos legales y hacer referencia a las normas nacionales pertinentes para resolver los problemas existentes. Realizar rectificaciones serias y proteger eficazmente la seguridad de la información personal de los usuarios.
A juzgar por las medidas de castigo actuales, la intensidad no es pequeña. Aunque el gobierno no ha anunciado sanciones específicas, existen varias dimensiones para su referencia.
Primero, el nivel regulatorio gubernamental decidió directamente retirar el software "Didi Chuxing" de los estantes, lo que indica que el comportamiento ilegal de Didi es relativamente grave.
La base legal para eliminar el software "Didi Chuxing" es la "Ley de Ciberseguridad". He resumido las disposiciones de la Ley de Ciberseguridad sobre la retirada de productos de los lineales de la siguiente manera para su referencia:
1. Disposiciones sobre el registro del nombre real del usuario.
De acuerdo con las regulaciones legales, las plataformas de Internet deben exigir a los usuarios que proporcionen información de identidad con su nombre real cuando brindan servicios a los usuarios. Si el usuario no lo proporciona, la plataforma no prestará servicios al usuario.
Si la plataforma infringe lo dispuesto en este artículo deberá realizar correcciones. Si el producto se niega a realizar correcciones o la infracción es grave, las autoridades reguladoras gubernamentales pueden exigir que el producto sea retirado de los estantes.
2. Normativa de certificación, pruebas y evaluación de riesgos de seguridad de la red.
Las plataformas de Internet deben cumplir con la normativa nacional a la hora de realizar certificaciones, pruebas y evaluaciones de riesgos de seguridad de la red. De lo contrario, las autoridades reguladoras pueden obligar a retirar el producto de los estantes.
3. Normativa sobre recogida de información de los usuarios.
Cuando las plataformas de Internet recopilan información de los usuarios, deben dejarlo claro a los usuarios y obtener su consentimiento. No deben recopilar, filtrar, alterar o destruir excesivamente la información recopilada, y no deben proporcionar la información personal recopilada. a otros sin su consentimiento. En caso contrario, si la infracción es grave, el producto será retirado de los lineales.
4. Normativa sobre el almacenamiento de información clave.
Según la ley, sobre la base del sistema de protección del nivel de seguridad de la red, el estado regula industrias y campos importantes como los servicios de comunicaciones e información, energía, transporte, conservación del agua, finanzas, servicios públicos, etc. -El gobierno y otras posibles infraestructuras de información críticas que pongan en grave peligro la seguridad nacional, la economía nacional y los medios de vida de las personas y los intereses públicos recibirán protección prioritaria.
Esta información crítica debe almacenarse en China. Si realmente es necesario proporcionarlo en el extranjero, es necesario que los departamentos gubernamentales lo evalúen.
Si una plataforma de Internet viola las normas anteriores, se le podrá ordenar la suspensión del negocio por rectificación, es decir, el producto será retirado de los lineales.
5. Normas sobre la gestión de la información difundida por los usuarios.
La plataforma de Internet es la encargada de gestionar la información publicada por los usuarios. Si la difusión de información ilegal no se detiene a tiempo, la plataforma asumirá la responsabilidad legal. Si la plataforma se niega a realizar correcciones o la infracción es grave, el producto podrá ser retirado de los lineales.
Las situaciones en las que se puede ordenar la retirada de productos de los lineales son principalmente las situaciones anteriores.
En segundo lugar, las violaciones actuales de Didi pueden estar relacionadas con la recopilación de información del usuario.
En un aviso emitido por las autoridades reguladoras el 4 de julio, se afirmaba claramente que la aplicación "Didi Chuxing" cometía graves violaciones de las leyes y regulaciones al recopilar y utilizar información personal.
Entonces, a juzgar por las divulgaciones actuales, los problemas de Didi pueden estar relacionados con la recopilación de información del usuario.
En tercer lugar, ¿por qué está involucrada la ley de seguridad nacional?
Si Didi recopila información de los usuarios sólo porque viola leyes y regulaciones, la intervención de la Ley de Seguridad Nacional parece un poco ilógica.
Hay dos situaciones básicas en las que los reguladores gubernamentales pueden citar directamente la "Ley de Seguridad Nacional":
1 Los objetos sujetos a supervisión incluyen traición, secesión, sedición, subversión y. filtración de secretos de Estado y otros actos directos.
2. Como operador de infraestructura de información crítica, el sujeto de supervisión tiene problemas en la gestión de la información crítica.
Algunos amigos pueden preguntarse por qué la gestión de información crítica también se incluye en el ámbito de la seguridad nacional.
Principalmente porque la información clave es importante. Si hay problemas con el control de información crítica, puede afectar directamente los intereses del público y luego afectar la seguridad nacional.
En la actualidad, los usuarios activos mensuales de Didi han alcanzado los 400 millones y, según los estándares actuales, puede considerarse una infraestructura de información crítica.
Así que si se aborda la Ley de Seguridad Nacional desde esta perspectiva, es lógicamente autoconsistente.
Vale la pena señalar que las perspectivas de la ley de ciberseguridad y la ley de seguridad nacional son diferentes.
El punto de entrada de la “Ley de Ciberseguridad” es proteger no sólo la seguridad de las redes, sino también la seguridad de la información de los ciudadanos y personas jurídicas. Sin embargo, el punto de entrada de la ley de seguridad nacional es principalmente salvaguardar la seguridad nacional y proteger los intereses fundamentales del pueblo, más que los intereses personales a nivel micro.
Por lo tanto, si Didi es castigada simplemente por recopilar excesivamente información personal, lógicamente no tendría sentido. Porque la protección de la información personal a nivel micro cae dentro del alcance de la ley de ciberseguridad, no de la ley de seguridad nacional.
En otras palabras, la ley de seguridad nacional protege principalmente intereses fundamentales como la seguridad nacional en el nivel macro, más que intereses personales en el nivel micro. Si Didi violó la ley sólo por recopilar excesivamente información personal, no debería ser el turno de la Ley de Seguridad Nacional.
4. ¿De qué manera Didi pudo haber violado las leyes de seguridad nacional?
Lo siguiente es solo una inferencia y los hechos específicos estarán sujetos a los resultados de la investigación.
Si seguimos el concepto de infraestructura de información crítica, puede haber dos direcciones:
1. La información y los datos críticos se envían al extranjero sin evaluación gubernamental.
Esta especulación ha sido desmentida por el vicepresidente de Weibo, Didi Chuxing. Si la negación fuera cierta, entonces esta situación no existiría. Por supuesto, si ocurre una reversión, Didi estará en un gran problema.
2. Existen lagunas en la gestión de información clave en la plataforma, que pueden poner en peligro la seguridad nacional.
Por ejemplo, una solidez técnica insuficiente puede causar accidentes de seguridad de la red, o una protección insuficiente de los datos del usuario puede causar fugas a gran escala, o los proveedores de software y hardware adquiridos pueden tener importantes riesgos de seguridad.
Para una plataforma muy grande, estos accidentes o peligros ocultos están fuera del alcance de la plataforma debido a la gran cantidad de usuarios.
Si es así, es mejor que el anterior. Después de todo, es una contradicción entre la gente.
Por supuesto, las dos direcciones de análisis anteriores son situaciones que pueden ocurrir en circunstancias normales, y no descarta algunas otras circunstancias especiales, o no descarta que las autoridades reguladoras puedan simplemente citar habitualmente las Ley de Seguridad Nacional, pero no ha perjudicado gravemente los intereses de seguridad nacional.
Sin embargo, las autoridades reguladoras emitieron dos avisos de sanción en un corto período de tiempo, lo que no está en línea con las operaciones normales. Para una empresa superestrella como Didi, las autoridades reguladoras deberían tener muy claro lo que significan notificaciones de sanciones tan intensivas.
Se desconoce la situación actual. Lo anterior son sólo análisis e inferencias legales y lógicas. Los hechos específicos sólo pueden esperar a que se divulguen los resultados de la investigación.
El artículo proviene de la cuenta oficial de WeChat: The Daobi Official under the Roots of the Imperial City