撰文/王欣郑亚红
编辑/冒诗阳赵艳秋
低调的滴滴上市才过去3天,就陷入了一场严重的网络安全审查案中。
7月4日晚,国家网信办发布通报称,根据举报,经检测核实,滴滴出行App存在严重违法违规收集使用个人信息问题,通知应用商店下架滴滴出行App。继7月2日受到审查监管被要求暂停新用户注册后,滴滴出行App迅速回应称,“将严格按照有关部门的要求下架整改。”
“滴滴拥有大量司机,如果司机不了解情况,可能会出现大规模计提资金的情况,这对滴滴来说并非好事。但是滴滴为了保证现金流,它一定会控制资金的流转。”一位投资人对AI财经社表示。
更核心的关注点,还是在监管层面。AI财经社注意到,滴滴在IPO前已意识到了风险,招股书中,滴滴提到用户隐私数据是潜在风险之一,同时提到正在不断修订变化的网络安全法可能会让滴滴面临审查、监管、整改甚至刑事处罚等风险。
除滴滴外,就在7月5日,国家网信办宣布对运满满、货车帮、BOSS直聘三家公司实施网络安全审查,审查期间新用户注册停止。
值得注意的是,四家公司均涉及到用户信息安全问题,这是监管部门第一次公开就数据安全问题开出“罚单”。
“平台经济是大数据的收集者,而数据成了一个可交易或出售的战略资产。但个人数据是属于个人隐私,特别形成大数据后必须进行合规脱敏使用,同时在与国家利益攸关的时候,应该是归属国家去治理,国家相关部门有权合法管理纠偏。”奥纬咨询OliverWyman全球董事合伙人、汽车及私募股权业务负责人张君毅对AI财经社表示。
网络安全“第一枪”?
受网络安全审查的消息影响,滴滴出行美股开盘跌幅达10.98%,截至北京时间7月3日收跌5.30%。盘后继续下跌1.03%,市值744亿美元。有消息称,美国律所Labaton Sucharow已宣布将代表股东发起集体诉讼,向滴滴进行索赔。
“一旦滴滴出现大跌的情况,如果境外的投资人认同没有披露完所有的信息风险的话,加上有一些做空基金和一些律师事务所出面,滴滴马上就会出现一大堆诉讼。对这样的诉讼案,我们国家也不希望这样,因为这会影响整体中国企业在境外上市的信用。”一位知名投资人向AI财经社表示。
此前有传言称,滴滴为了去美国上市,涉嫌对外泄露道路信息和用户数据,对此,滴滴副总裁李敏在个人微博公开回应称,“滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。”
即便如此,紧迫的上市,被认为是滴滴遭遇监管问题的原因之一。AI财经社了解到,滴滴投资方希望公司尽快上市。相比美股,港股、A股对合规要求更严格,滴滴绕道美股,已经为监管风险埋下隐患。
“下架滴滴App,是一个非常严重的惩罚,这其实是国家给出的一个非常强的信号,互联网平台如果过度收集用户的隐私信息,就会涉嫌违法,政府一定要干预,不止审查,甚至会进行一系列处罚措施。对于滴滴,政府前期关注的是反垄断问题,接下来就是数据安全。”《中国共享出行发展报告(2020-2021)》主编、北方工业大学教授纪雪洪对AI财经社表示,国家后续的监管行为会常态化,滴滴可能只是被监管的其中之一。
过去两年,政府部门对数据安全和个人信息保护的监管持续加码,并在法规层面持续完善。2019年1月,网信办、工信部、公安部、市场监管总局四部门联合发起App违法违规收集使用个人信息专项治理,之后网信办、工信部、公安部已进行数十次调查,对于违规App要求整改,拒不整改的App则要求应用商店做出下架处理。
彼得森国际经济研究所(Peterson Institute for International Economics)高级研究员马永哲(Martin Chorzempa)表示,网信办最近对滴滴采取的行动,表明中国监管机构确实很重视数据保护问题。
“让滴滴现有客户不受影响也表明监管机构更愿意发出信息。”马永哲认为,比起影响滴滴业务,监管部门更希望释放出信号。
除了个人信息保护,对重要数据的跨境和本地化存储等要求,也出现在《数据安全法》《个人信息保护法》等多部法律草案当中。
根据《网络安全审查办法》,通常情况下,网络安全审查在45个工作日内完成,情况复杂的会延长15个工作日。进入特别审查程序的审查项目,可能还需要45个工作日或者更长。
这也就是说,滴滴将会面临45个工作日的审查监管。不过,滴滴App在6月29日更新了最新一版的隐私协议,生效日期为7月7日。有人乐观预计,7日之后,针对滴滴的下架审查就会有更清晰的结论。
然而,由滴滴开始的网络安全审查,却有逐渐扩大的趋势。继滴滴之后,7月5日,货运平台满帮(YMM.NYSE)和在线招聘平台 BOSS直聘(BZ.NASDAQ)同时被启动网络安全审查。审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。
满帮随即表示将积极配合审查工作,将对集团的网络安全进行全面梳理和排查,进一步完善自身的网络安全体系和技术能力。坚决维护国家安全,保障公共利益。
AI财经社了解到,2017年“运满满”和“货车帮”合并后隶属于满帮集团,刚刚在今年6月22日于美国纽交所上市。在货车领域,满帮集团就是货车界的滴滴。
“满帮、BOSS直聘与滴滴的共同点都是近期赴美上市,他们手中都掌握着海量的数据信息。站在国家利益的角度来讲,这些数据是非常敏感的。”纪雪洪说,满帮和滴滴这些出行公司,他们道路数据信息涉及到的地理信息是非常敏感的,它的重要性在国家角度来讲,显得更突出。
在业内人士看来,此轮滴滴、满帮、BOSS直聘相继遭审查,意味着自2015年以来,一系列关于网络安全等领域的立法开始进入实施阶段,未来针对相关企业的网络安全审查很可能会成为常态。而对于更多公司而言,其中释放出的信号将是一种警醒。
出行公司合规难度加大?
法规层面,此轮受影响的四家公司审查依据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,此外,暂停四个平台App的用户注册是出于配合网络安全审查工作。
值得注意的是,除BOSS直聘外,其余几家受波及企业均集中在出行领域。
事实上,出行行业已是近年赴境外上市的重点领域。在赴美上市的企业中,“蔚小理”被寄予厚望,此外,智能化浪潮下,自动驾驶、AI技术的推广应用,意味着需要海量数据的使用和共享,背后的用户隐私和数据安全问题也成为下一个行业焦点。
在今年中国汽车重庆论坛上,小鹏汽车董事长何小鹏已经做出预警,如何让全产业链把数据隐私保护做得更好,是迈入智能汽车时代的一个重要环节。
“像蔚来、理想、小鹏汽车,这些智能汽车和大量技术公司,需要主动跟网络信息主管部门进行积极沟通合作,评价自身潜在数据风险,避免不当使用和漏洞,并且促进行业专业协会合作,把潜在风险提前化解掉。另外,必须坚持存储服务器本地化,避免敏感数据出境处理。但即便这样,所有潜在要在美国上市的自动驾驶公司,乃至于大数据处理、saas化平台公司都可能会进行一些合规审查,而且企业一定要有预见性,走在政策前面,甚至要比可能的制度合规做得更到位,更有前瞻性。企业行业标准化协会和政府监管部门共同制定出最符合中国实际情况的,面向未来的体系。”张君毅告诉AI财经社,中美之间对于数据安全和数据治理需要进行磨合并达成一致,在《持有外国公司问责法》的规定中所涉及的,无论是现场调查还是查底稿的形式,都并非中方认可的业务运营、财务乃至数据监管规范。
此外,滴滴出了问题,未必对其他的出行公司是利好,因为其他出行公司必然要在数据治理和数据安全性上投入更大的精力。
早在今年4月底,哈啰出行向美国SEC递交了招股书,与滴滴、滴嗒争夺“共享出行第一股”,但哈啰至今一直没有启动路演,有外媒消息称,哈啰出行已经推迟在美上市计划。
去年12月,交通运输新业态协同监管部际联席会议办公室组织对嘀嗒、哈啰等顺风车平台公司进行提醒式约谈,强调这些平台涉嫌以顺风车名义从事非法网约车业务,存在安全风险隐患。
有分析称,政府收紧网约车平台,哈啰等平台要获得网约车的合法身份将不再那么容易。6月30日消息,网约车公司阳光出行计划最早于2021年年底赴美上市,目前正在与摩根士丹利等投行接洽。
上述投资人称,今后平台类公司到美国上市会越来越难,需要做更多的功课。
网络安全审查有何影响
滴滴、运满满、货车帮和BOSS直聘受到安全审查后,这场风暴制造出的余波已经辐射到了更远的范围,影响也在继续。
此前,一家国内App踩下了赴美IPO的急刹车。该公司在公告中称,暂停是由于资本运作的考虑。而据AI财经社了解,该公司实际上是由于监管和合规问题而做出了目前的选择。而根据媒体报道,稍早之前,也有互联网公司在IPO临门一脚前选择推迟进程。
斐石律师事务所管理合伙人周照峰对AI财经社表示,在这次事件之前,还从没有听说企业做过网络安全审查。周照峰称,目前各个企业都处于观望状态,尽管有企业向自己询问相关问题,但具体如何行动、要不要申报网络安全审查要看滴滴事件的结果。
数据合规方面的资深律师邢路告诉AI财经社,尽管《网络安全审查办法》对于大多数企业是陌生的,但上述四家企业并不是国内第一批因为数据安全问题受到处罚的机构,“很多面对消费者的外企、车企都受到过处罚。”
不过,两位律师都表示由于《网络安全审查办法》(以下简称《办法》)的定位是行政许可事项,现阶段很难谈去主动报备。邢路称,根据他的了解,目前并没有专门的审核程序让企业去报备安全审查,但反过来,如果被发现不合规就会面临处罚。“因为现在没有地方去申报,企业可以通过请专业的机构帮它进行评估,看是否合规。”邢路说。
根据中国信息安全研究院左晓栋的说法,如果使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上、十万元以下罚款。值得注意的是,周照峰称目前《办法》并没有前置性审查的要求,即并没有规定称如果不主动审查会遭到处罚。
邢路称,数据安全在未来的几年里一定是一个执法热点,同时最重要的两部法律法规也在这一两年里开始实施,即《数据安全法》和《个人信息安全保护法》,前者将在2021年9月1日起正式施行,针对大数据应用,尤其是涉及到国家利益和社会公共利益的情况;后者已经进入二次审议程序,主要是涉及企业和消费者之间的数据安全问题,保护企业不侵犯消费者数据的个人隐私权。
一位企业人士称,《办法》中并没有指引和清单写明哪些企业需要做安全审查,也没有界定“基础设施运营者”的范围,这让他们感到困惑。邢路表示,由于它只是一个行政许可事项,因此并不会把具体的问题、指引都写进去,需要与《数据安全法》以及相关的国家标准相参考。
邢路称《办法》更针对数据安全层面,目前看来主要针对两种情况,一种是大数据的应用涉及到国家安全或者说是社会公共安全的部分;另一种情况,则是涉及到数据对外。
他表示《办法》与其他法律法规形成一个完整的关于数据安全的体系,有规定基本原则的上位法,也有规定操作的下位法,《办法》就是一个比较上位的行政法规,《数据安全法》、《个人信息安全保护法》属于更上位的法律,往下则是更细化的部门规章、技术标准,比如有专门的App搜集信息规范,针对未成年人搜集信息的规范、针对搜集生物识别信息的规范等,以及对于特定行业比如银行、房地产企业对信息搜集的规范。
“具体的执行和标准,在这些更细致的法律法规、标准文件里都能找到,可以互相参照。”邢路解释。
赴美上市企业首先做好国内合规
另一个显而易见的影响是,赴美上市的企业或面临更严峻的合规挑战。
除了国内的网络安全审查,赴美上市的企业也面临着PCAOB(美国公众公司会计监督委员会)要求会计底稿审查的现实。不过,实际的情况是,PCAOB与国内相关的法律法规相冲突,因此很长时间以来大部分在美国上市的中概股们都不接受美国PCAOB的底稿审查。
但美国借助瑞幸财务造假事件,要求中概股披露信息,甚至迫使几家中国企业从美国退市。今年3月,美国证券交易委员会(SEC)表示,通过了《外国公司问责法案》最终修正案。该法案正式生效之后,赴美上市的中国公司想要保留上市资格,就必须满足信息披露要求,否则就有可能被取消上市地位。
对此,邢路对AI财经社表示,他建议赴美上市的企业要优先做好国内的合规。“对数据安全最严格的就是中国和欧盟,未来国内也会把数据安全作为重点。据我所知美国并不会强调上市公司一定要把数据存储在美国,更多是数据的使用、传播合规就可以。”
邢路对AI财经社表示,当前企业数据合规问题集中在以下几个方面,也是企业在上市前需要自我审查的几个重点:第一,根据业务情况该企业是否要搜集用户个人信息,是否要进行人脸识别,如果需要,则要在隐私权保护协议中对用户披露,征得用户同意。
第二,根据业务类型,企业是否符合相关法律法规和技术规范,是否过度搜集用户信息,比如一些公司并不是所有业务都必须采集用户人脸信息、指纹识别、或者其他身份信息。
第三,在存储和传输上,是否会将搜集到的数据转移给关联机构或子公司,或出售给第三方,将用户个人信息泄露他人。
第四,对于那些涉及到社会公共数据的企业,对它的安全监管会从个人信息数据上升到数据安全层面,可能会涉及到设备的使用和服务是否规范。
另一位不愿意透露姓名的律师表示,此次安全审查事件也反映出另一个值得关注的问题,即数据资产的所有权。他解释,数据资产所有权指的是,企业所掌握的公共信息资源,到底应该属于谁。该律师告诉AI财经社,目前法国、德国、意大利等国家已经以法律的形式基本确定了数据资产的所有权属于社会所有,而不应该属于该企业所有。
“我的理解就是就是这些数据不是一个企业的私有财产,应该属于全民所有,由公权力机关一律掌握和规制。企业不得任意复制、任意调用,产生侵害用户权益和国家权益的情况。”上述律师称,这对当下国内应对数据安全有一定的参考性。这也意味着,企业对待数据问题需要更为谨慎,而数据安全审查还有更多的空间需要探索和完善。
