中國進入網絡安全監管新階段
7月4日,滴滴出行(NYSE:DIDI)因“嚴重違法違規收集使用個人信息問題”被要求下架App應用商店並接受審查,7月5日,國家網信辦又宣布:運滿滿、貨車幫、BOSS直聘三家公司也被要求實施網絡安全審查,審查期間,停止新用戶註冊。
對上述四家公司的網絡安全審查依據的是《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》,具體由網絡安全審查辦公室按照《網絡安全審查辦法》實施。暫停四個平台App的用戶註冊,則是出於配合網絡安全審查工作,防範風險擴大的考量。
運滿滿和貨車幫兩家公司在2017年11月合併為滿幫集團(NYSE:YMM),是中國大型貨車運輸服務平台型公司。滿幫集團在今年5月28日遞交招股書,6月22日在紐交所敲鐘上市。
BOSS直聘(NASDAQ:BZ)是中國最大的互聯網人才招聘公司,今年6月11日在納斯達克上市。
滴滴則是中國最大的網約車平台,今年6月11日遞交招股書,6月30日在紐交所掛牌上市。
三家公司分屬於不同領域,交集是三家公司近期先後赴美IPO。
整改要求發布之後,三家企業均在第一時間對外發佈公告稱,將積極配合審查工作,對網絡安全進行全面梳理和排查,進一步完善自身的網絡安全體系和技術能力。
滴滴在IPO之前顯然已經意識到了這些風險,招股書中提到了用戶隱私數據是潛在風險之一,也提到了正在不斷修訂變化的網絡安全法,可能會讓滴滴面臨審查、監管、整改甚至刑事處罰等風險。
一位券商人士告訴《財經》記者,滴滴的上市是“趕鴨子上架”,投資方希望滴滴可以盡快上市,同時認為可以搞定赴美上市可能帶來的一些風險。
一位滴滴人士告訴《財經》記者,滴滴此前考慮過在港股上市,但是因為多種因素,最後放棄了還是選擇了美股。去年10年,嘀嗒出行遞交港股上市申請,至今未通過。相比美股,港股對合規要求更嚴格,今年2月,交通部發言人孫文劍稱,在訂單量超過100萬單的網約車平台中,雙合規完成訂單率最低的是滴滴旗下的花小豬出行。
目前,關於這三家企業還未有最後的處理結果,但多位接受《財經》記者採訪的專業人士預測,隨著中國網絡安全法規的完善,對於企業的數據安全審查會越來越嚴格。也不排除越來越多的企業會進入審查名單。
為什麼是它們?
一家大型互聯網公司的法務告訴《財經》記者,企業有沒有違規採集和使用個人數據,現在都已經有成熟的技術監測,“如果存在問題,一定能查出來,接下來會審查更多相關企業,並非只有這三家。”
多位投資人和券商人士向《財經》記者表示,現在查這三家,和這三家掌握的數據體量,以及近期赴美IPO相關。
三家公司還有一個共同特點——掌握大量數據。通常來說,市場規模越大,用戶越多越活躍,擁有的數據量越大,可供分析的價值也越大。
一位熟悉這三家公司上市始末的投資人士投資人士告訴《財經》記者,滴滴掌握的個人的出行數據,分析一下會有很多結論,如果和其他的數據再交叉分析的話可以有更多有用結論。
一位研究公司法等領域的重點高校學者告訴《財經》記者,滴滴等出行公司的數據安全重要性不僅在於擁有大量用戶數據,還在於滴滴的自動駕駛技術中的高精度地圖。而高精度地圖與國家地理信息安全息息相關。2017年,滴滴旗下地圖公司獲得了導航電子地圖製作的甲級測繪資質,也是該領域含金量最高的資質。
滿幫旗下的貨車幫和運滿滿平台,擁有的數據涉及到全國范圍內的物流運輸及ETC。滿幫目前已經覆蓋全國300多個城市,涉及超過10萬條線路的全國運輸網絡。2020年12月,滿幫平台上的貨主MAU(月活躍用戶)超過130萬,GTV(平台交易總額)高達515億元;到今年3月,滿幫平台貨主月MAU達到140萬。
第三方諮詢機構灼識諮詢報告數據顯示,按2020全年的GTV計算,滿幫是全球最大的數字化貨運平台。
一位政府人士提到,如果說數據敏感度,相比滴滴,滿幫的數據可能更敏感,涉及到全國范圍內的道路交通運輸數據、貨運物流數據、ETC數據、金融保險數據等。
BOSS直聘MAU到今年3月已經高達3060萬。2020年平均MAU為1980萬,較2019年月均同比上漲73.2%。按MAU計,BOSS直聘已經成中國最大的在線招聘平台。
行業內多有分析稱,三家企業由於在美國資本市場IPO,可能向美國政府提交了一些敏感數據。這一說法並未獲得任何監管機構的肯定,三家企業也並未對此說法向《財經》記者提供回應。
真實的情況是,從2012年開始,美國證券交易委員會(SEC)就要求赴美上市的中國公司提交審計底稿。一位券商人士稱,並不是要求上市前或上市後立刻提交,而是在上市之後,SEC有要求的時候再提交。他據此分析,“現在幾家公司剛剛IPO,應該還沒提交。”
審計底稿中包含大量公司相關信息和數據,前述券商人士分析,這些數據和信息不排除有敏感內容,但可以脫敏處理,不同公司情況不一樣,涉及的數據也不一樣。
一位曾參與過中國公司海外上市的律師告訴《財經》記者,此前赴美上市的中國公司從未向SEC提交過審計底稿,2020年,美國監管部門提出要求,但這一要求並未被中國相關監管部門同意。雙方最後達成的一致意見是,經中國證監會審核之後的底稿才能給SEC。
有一種觀點認為,導致數據外洩的一種可能性是平台的一些數據存放在海外服務器上。
7月3日,滴滴表示,滴滴國內用戶的數據都存放在國內服務器上,絕無可能把數據交給美國。一位滴滴員工告訴《財經》記者,滴滴的數據中心建在天津,中國區的數據主要存放在天津。
2017年3月,滴滴宣佈在美國矽谷成立研究院,重點發展大數據安全和智能駕駛兩大領域,將配合滴滴研究網絡,助力國際化戰略。滴滴招股書中提到,過去曾經採購過阿里雲和騰訊雲的服務(阿里與騰訊也是滴滴的股東),以及滴滴自建的滴滴雲。
一位熟悉美股上市規定的律師告訴《財經》記者,據他了解,滴滴並未將關鍵數據存放在海外服務器上。
滿幫相關人士告訴《財經》記者,滿幫所有的業務均在中國境內展開,海外只有少許財務投資,跟實際業務無關。這意味著,從技術需求上說,滿幫沒有在海外存儲數據的必要性。對於相關疑問,boss直聘在其官方微博上回复:BOSS直聘嚴格保護各項數據,相關數據從未出售,從未出境。
滴滴在今年6月11日向SEC遞交招股書,招股書中提到,用戶隱私數據是滴滴的潛在風險之一,滴滴平台上收集、存儲了大量個人數據。
滴滴在招股書中強調,關於數據安全的法律法規正在不斷變化,如果滴滴未能遵守與隱私、數據保護或信息安全相關的適用法律或法規,可能會損害公司聲譽,阻止新的和現有的司機使用滴滴,或導致政府機構和私人索賠或訴訟罰款等。即使滴滴的做法符合法律要求,對隱私問題的討論,也會損害滴滴的聲譽和品牌,並對業務、財務狀況和經營業績產生不利影響。
滿幫與滴滴一樣,存在監管風險。今年4月30日,交通運輸新業態協同監管部際聯席會議辦公室對滿幫集團和貨拉拉約談,指出兩家平台存在著定價機制不合理、運營規則不公平、生產經營不規範、主體責任不落實等突出問題,平台部分經營行為涉嫌侵害貨車司機合法權益,廣大貨車司機對此反映強烈。
今年5月14日,交通運輸部等八部門對滿幫等十家交通運輸新業態平台公司進行聯合約談。約談指出,互聯網貨運平台壟斷貨運信息、惡意壓低運價、隨意上漲會員費等問題,涉嫌侵害從業人員合法權益,引發社會廣泛關注。
今年5月22日,BOSS直聘向SEC遞交上市申請,招股書顯示2021年一季度淨虧損1.76億元。早在2018年,就有人提出BOSS直聘存在信息洩露問題,有用戶表示,自己只是註冊了賬號並未投遞簡歷,卻收到了來自不同企業HR的問詢。
一位資深HR告訴《財經》記者,通過付費購買BOSS直聘上的一些服務、道具,可以看到未投遞簡歷用戶的相關工作經歷,在經過用戶同意後,可建立聯繫。
一位政府人士提到,這三家公司如果不是近期赴美上市,可能不會這麼快被“抓典型”。目前關於企業的數據安全問題,是政府的重點監管方向之一。
多位投資人告訴《財經》記者,一方面,三家公司因為財務上的一些現實情況,不符合A股主板的上市要求,港股雖然沒有盈利要求,但對合規方面的要求更嚴格,上市等待週期長,美股則只需要充分披露即可,上市週期短。
今年上半年,共有316家中國公司完成IPO,其中34家在美股上市。除了被安全審查的三家企業,還有霧芯科技、圖森未來、塗鴉智能、知乎、水滴公司、容聯易通、每日優鮮、叮咚買菜等中國科技公司。
數據安全審查收緊大勢所趨
此次三家公司被監管有兩大依據,分別是國家安全法和網絡安全法。
一位在網絡安全、數據合規領域有豐富執業經驗的資深律師向《財經》記者表示,網絡安全和數據合規監管是大趨勢,2017年網絡安全法發布後,這類企業需求大量增長。
他認為,目前的監管並非處罰,而是一種“制度性規定”。也就是說,可事先審查企業是否存在問題。
2015年7月,網絡安全法第一次向社會公開徵求意見,2016年11月,全國人大常委會表決通過,於2017年6月1日實行。
6月10日,新修訂的網絡安全法通過,將於9月1日正式施行。其中第三十六條指出,非經中華人民共和國主管機關批准,境內的組織、個人不得向外國司法或者執法機構提供存儲於中華人民共和國境內的數據。
網絡安全法第三十五條規定,關鍵信息基礎設施的運營者採購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。滴滴、滿幫與公共出行數據、地理位置信息等強相關,通常外界對這兩家公司的監管有預期。BOSS直聘涉及個人信息安全,在網絡安全法的管理之下,同樣有據可依。
觀韜中茂律師事務所合夥人王渝偉,一位長期進行網絡安全數據合規方面的律師,他告訴《財經》記者,這次針對滴滴的審查,嚴格來說,更像數據安全審查。只是今年6月10 日發布的數據安全法將在今年9月1日正式施行,現下的時間點需要有一套法規來進行監管。
支撐這個判斷的一個核心依據是,2020年6月實施的網絡安全審查中一個關鍵考量為”關鍵信息基礎設施運營者採購網絡產品和服務,影響或可能影響國家安全。” 更偏供應鏈安全,而滴滴的問題更偏向數據安全法中,關於數據收集和處理的內容。
由於新的數據安全法還未實施,北京師範大學新聞傳播學院與互聯網發展研究院副教授錢憶親認為,現行的處理措施是根據2020年6月生效的《網絡安全審查辦法》處理的。她認為,根據辦法頒布當天的“答記者問”,滴滴作為“關鍵信息基礎設施運營者”應當主動申報網絡安全審查。但比較尷尬的是,由於該辦法頒佈時間晚於滴滴公司開始運營時間,具體何時申報就成了難辦的問題。
滴滴並沒回應《財經》記者上市前是否有主動申報網絡安全審查的詢問。
北京市君澤君(廣州)律師事務所律師張金保向《財經》記者表示,網絡安全審查源於國家安全審查,法律基礎來源於國家安全法第五十九條,國家建立國家安全審查和監管的製度和機制,對影響或者可能影響國家安全的網絡信息技術產品和服務得以進行國家安全審查;以及網絡安全法第三十五條,關鍵信息基礎設施的運營者(Critical Information Infrastructure Operator,“CIIO ”)採購網絡產品和服務,可能影響國家安全的,應當通過國家網信部門會同國務院有關部門組織的國家安全審查。
在整個審查程序中,CIIO是主要的責任主體,也是網絡安全審查制度監管實施的著力點。目前CIIO的範圍和識別標準尚不清晰,因此,很多企業就不清楚自己是否是CIIO。但根據《國務院2021年立法工作計劃》《關鍵信息基礎設施安全保護條例》已列入2021的年度立法計劃。因此這一問題有望解決。
另一個值得討論的概念是“重要數據”,因為這個概念與網絡安全審查密切相關。
網絡安全法第三十七條規定,CIIO在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要,確需向境外提供的,應當按照國家網信部門會同國務院有關部門製定的辦法進行安全評估;法律、行政法規另有規定的,依照其規定。
《網絡安全審查辦法》第九條規定,網絡安全審查重點評估採購網絡產品和服務可能帶來的國家安全風險,包括“重要數據被竊取、洩露、毀損的風險”。
2021年9月日生效的數據安全法第三十條也重申和加強了重要數據保護製度,並規定,重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估,並向有關主管部門報送風險評估報告。
也就是說,重要數據很重要,又是強監管,但重要數據識別的配套法規和標準尚未落地,重要數據目前可以理解為,中國政府、企業、個人在境內收集、產生的不涉及國家秘密,但與國家安全、經濟發展以及公共利益密切相關的數據(包括原始數據和衍生數據),一旦未經授權披露、丟失、濫用、篡改或銷毀,或匯聚、整合、分析後,可能對國家安全、國家經濟和金融安全、社會公共利益、個人合法權益等造成相關嚴重後果的數據。
網絡安全法第六十五條規定,應當申報網絡安全審查而沒有申報的,或者使用網絡安全審查未通過的產品和服務,由有關主管部門責令停止使用,處採購金額一倍以上十倍以下罰款;對直接負責的主管人員和其他直接責任人員處一萬元以上十萬元以下罰款。
針對企業的網絡安全審查,目前主要集中在兩個方面,一是是否涉及侵犯個人隱私數據;二是是否有危害國家安全的風險。
根據這條法規,違規的處罰辦法,除了停用,還有視程度不同而處以的罰款。
三家企業的審查目前才剛剛開始,尚未有最後結果。
過去幾年,網信辦曾多次因為濫用個人信息,要求超過100家企業的App下架整改,大部分App在下架一段時間後又回復正常運營。
觀韜中茂律師事務所合夥人王渝偉分析,單個個人信息洩露,不至於會對國家安全造成威脅,但如果是把這麼多個人信息匯聚起來,確實是有可能會涉及國家安全的。“這次的事件其實也說明政府意識到數據安全的相關問題,在數據安全法下一些配套制度需要快速跟進。”
中國公司海外上市或展開業務時常面臨數據監管問題。以“國家安全”為由對相關公司進行監管的做法不僅在國內存在,在美國、歐洲、印度等國家或地區也存在。
以字節跳動為例,在遭遇美國安全審查後,其海外業務Tiktok逐漸與阿里雲切割,轉為採用亞馬遜AWS、谷歌云等雲廠商的服務。
一位小米技術人士稱,在美國開展業務則需要遵循加州消費者隱私法案(CCPA)。中國公司在海外經營業務通常採用的策略是,遵守當地法律法規,將當地數據存放在當地雲計算基礎設施之上。
另一位中國雲公司的戰略規劃人士提到,中國企業在海外上市或開展業務時通常面臨兩個問題。一是避免境內數據輸送到海外,二是遵守海外法律。前者相對簡單,只需將數據中心置於國內且做好備案。後者略微複雜,主要問題是合規。他所在的廠商幫助中國企業出海時,通常會提供技術服務,但物理資源和運營能力則會尋找海外當地企業解決。
北京大學法治與發展研究院高級研究員洪延青今日在一篇文章中提到,接下來在美國上市的滴滴,要應對的是如何向SEC披露此次“重大”的網絡安全風險。進一步推演,如果滴滴向SEC披露正在進行中的網絡安全審查,這時候國家互聯網信息辦公室會如何處理?特別是數據安全法第36條的規定。
如果滴滴不向SEC披露,或者披露達不到SEC滿意的程度,這時候SEC會如何處理?此外,美國目前已經出現投資者針對滴滴的集體訴訟,其核心認為滴滴此前的風險披露不充分。
對於滴滴和其他已經或者即將在美股上市的科技公司來說,這些問題都將是挑戰。
錢憶親認為,滴滴、滿幫、BOSS直聘被審查只是一個開始,網絡安全法的頒布實施需要時間,現在開了先例,也是在提醒其他公司要注意數據安全的問題,“之後類似的執行會越來越多。”
浙江大學計算機科學與技術學院和網絡空間與技術學院教授周亞金向《財經》記者提到,這次政府監管機構釋放了非常明確的信號,即擁有海量數據的互聯網企業需要承擔起數據保護的責任,未來這很可能成為互聯網公司的常態。
互聯網公司可以做些什麼?周亞金說,可做的大概有兩點:一是梳理企業的數據安全風險,通過企業信息架構的安全化來完成安全合規;二是積極跟進網絡空間安全的前沿技術,通過前沿技術架構,將原先粗放的數據使用方式變得更精細化,將數據的安全問題解決在源頭。
“行業監管通常會滯後於行業發展,經過幾年的準備,數據安全監管已經到了一個關鍵節點。”一位數據安全分析人士說,“這是歷史進程中必須要走出的一步。”
文/劉以秦顧翎羽 陳伊凡柳書琪吳俊宇黃嘉慧
編輯/謝麗容