中国进入网络安全监管新阶段
对上述四家公司的网络安全审查依据的是《中华人民共和国国家安全法》、《中华人民共和国网络安全法》,具体由网络安全审查办公室按照《网络安全审查办法》实施。暂停四个平台App的用户注册,则是出于配合网络安全审查工作,防范风险扩大的考量。
运满满和货车帮两家公司在2017年11月合并为满帮集团(NYSE:YMM),是中国大型货车运输服务平台型公司。满帮集团在今年5月28日递交招股书,6月22日在纽交所敲钟上市。
BOSS直聘(NASDAQ:BZ)是中国最大的互联网人才招聘公司,今年6月11日在纳斯达克上市。
滴滴则是中国最大的网约车平台,今年6月11日递交招股书,6月30日在纽交所挂牌上市。
三家公司分属于不同领域,交集是三家公司近期先后赴美IPO。
整改要求发布之后,三家企业均在第一时间对外发布公告称,将积极配合审查工作,对网络安全进行全面梳理和排查,进一步完善自身的网络安全体系和技术能力。
滴滴在IPO之前显然已经意识到了这些风险,招股书中提到了用户隐私数据是潜在风险之一,也提到了正在不断修订变化的网络安全法,可能会让滴滴面临审查、监管、整改甚至刑事处罚等风险。
一位券商人士告诉《财经》记者,滴滴的上市是“赶鸭子上架”,投资方希望滴滴可以尽快上市,同时认为可以搞定赴美上市可能带来的一些风险。
一位滴滴人士告诉《财经》记者,滴滴此前考虑过在港股上市,但是因为多种因素,最后放弃了还是选择了美股。去年10年,嘀嗒出行递交港股上市申请,至今未通过。相比美股,港股对合规要求更严格,今年2月,交通部发言人孙文剑称,在订单量超过100万单的网约车平台中,双合规完成订单率最低的是滴滴旗下的花小猪出行。
目前,关于这三家企业还未有最后的处理结果,但多位接受《财经》记者采访的专业人士预测,随着中国网络安全法规的完善,对于企业的数据安全审查会越来越严格。也不排除越来越多的企业会进入审查名单。
为什么是它们?
一家大型互联网公司的法务告诉《财经》记者,企业有没有违规采集和使用个人数据,现在都已经有成熟的技术监测,“如果存在问题,一定能查出来,接下来会审查更多相关企业,并非只有这三家。”
多位投资人和券商人士向《财经》记者表示,现在查这三家,和这三家掌握的数据体量,以及近期赴美IPO相关。
三家公司还有一个共同特点——掌握大量数据。通常来说,市场规模越大,用户越多越活跃,拥有的数据量越大,可供分析的价值也越大。
一位熟悉这三家公司上市始末的投资人士投资人士告诉《财经》记者,滴滴掌握的个人的出行数据,分析一下会有很多结论,如果和其他的数据再交叉分析的话可以有更多有用结论。
一位研究公司法等领域的重点高校学者告诉《财经》记者,滴滴等出行公司的数据安全重要性不仅在于拥有大量用户数据,还在于滴滴的自动驾驶技术中的高精度地图。而高精度地图与国家地理信息安全息息相关。2017年,滴滴旗下地图公司获得了导航电子地图制作的甲级测绘资质,也是该领域含金量最高的资质。
满帮旗下的货车帮和运满满平台,拥有的数据涉及到全国范围内的物流运输及ETC。满帮目前已经覆盖全国300多个城市,涉及超过10万条线路的全国运输网络。2020年12月,满帮平台上的货主MAU(月活跃用户)超过130万,GTV(平台交易总额)高达515亿元;到今年3月,满帮平台货主月MAU达到140万。
第三方咨询机构灼识咨询报告数据显示,按2020全年的GTV计算,满帮是全球最大的数字化货运平台。
一位政府人士提到,如果说数据敏感度,相比滴滴,满帮的数据可能更敏感,涉及到全国范围内的道路交通运输数据、货运物流数据、ETC数据、金融保险数据等。
BOSS直聘MAU到今年3月已经高达3060万。2020年平均MAU为1980万,较2019年月均同比上涨73.2%。按MAU计,BOSS直聘已经成中国最大的在线招聘平台。
行业内多有分析称,三家企业由于在美国资本市场IPO,可能向美国政府提交了一些敏感数据。这一说法并未获得任何监管机构的肯定,三家企业也并未对此说法向《财经》记者提供回应。
真实的情况是,从2012年开始,美国证券交易委员会(SEC)就要求赴美上市的中国公司提交审计底稿。一位券商人士称,并不是要求上市前或上市后立刻提交,而是在上市之后,SEC有要求的时候再提交。他据此分析,“现在几家公司刚刚IPO,应该还没提交。”
审计底稿中包含大量公司相关信息和数据,前述券商人士分析,这些数据和信息不排除有敏感内容,但可以脱敏处理,不同公司情况不一样,涉及的数据也不一样。
一位曾参与过中国公司海外上市的律师告诉《财经》记者,此前赴美上市的中国公司从未向SEC提交过审计底稿,2020年,美国监管部门提出要求,但这一要求并未被中国相关监管部门同意。双方最后达成的一致意见是,经中国证监会审核之后的底稿才能给SEC。
有一种观点认为,导致数据外泄的一种可能性是平台的一些数据存放在海外服务器上。
7月3日,滴滴表示,滴滴国内用户的数据都存放在国内服务器上,绝无可能把数据交给美国。一位滴滴员工告诉《财经》记者,滴滴的数据中心建在天津,中国区的数据主要存放在天津。
2017年3月,滴滴宣布在美国硅谷成立研究院,重点发展大数据安全和智能驾驶两大领域,将配合滴滴研究网络,助力国际化战略。滴滴招股书中提到,过去曾经采购过阿里云和腾讯云的服务(阿里与腾讯也是滴滴的股东),以及滴滴自建的滴滴云。
一位熟悉美股上市规定的律师告诉《财经》记者,据他了解,滴滴并未将关键数据存放在海外服务器上。
满帮相关人士告诉《财经》记者,满帮所有的业务均在中国境内展开,海外只有少许财务投资,跟实际业务无关。这意味着,从技术需求上说,满帮没有在海外存储数据的必要性。对于相关疑问,boss直聘在其官方微博上回复:BOSS直聘严格保护各项数据,相关数据从未出售,从未出境。
滴滴在今年6月11日向SEC递交招股书,招股书中提到,用户隐私数据是滴滴的潜在风险之一,滴滴平台上收集、存储了大量个人数据。
滴滴在招股书中强调,关于数据安全的法律法规正在不断变化,如果滴滴未能遵守与隐私、数据保护或信息安全相关的适用法律或法规,可能会损害公司声誉,阻止新的和现有的司机使用滴滴,或导致政府机构和私人索赔或诉讼罚款等。即使滴滴的做法符合法律要求,对隐私问题的讨论,也会损害滴滴的声誉和品牌,并对业务、财务状况和经营业绩产生不利影响。
满帮与滴滴一样,存在监管风险。今年4月30日,交通运输新业态协同监管部际联席会议办公室对满帮集团和货拉拉约谈,指出两家平台存在着定价机制不合理、运营规则不公平、生产经营不规范、主体责任不落实等突出问题,平台部分经营行为涉嫌侵害货车司机合法权益,广大货车司机对此反映强烈。
今年5月14日,交通运输部等八部门对满帮等十家交通运输新业态平台公司进行联合约谈。约谈指出,互联网货运平台垄断货运信息、恶意压低运价、随意上涨会员费等问题,涉嫌侵害从业人员合法权益,引发社会广泛关注。
今年5月22日,BOSS直聘向SEC递交上市申请,招股书显示2021年一季度净亏损1.76亿元。早在2018年,就有人提出BOSS直聘存在信息泄露问题,有用户表示,自己只是注册了账号并未投递简历,却收到了来自不同企业HR的问询。
一位资深HR告诉《财经》记者,通过付费购买BOSS直聘上的一些服务、道具,可以看到未投递简历用户的相关工作经历,在经过用户同意后,可建立联系。
一位政府人士提到,这三家公司如果不是近期赴美上市,可能不会这么快被“抓典型”。目前关于企业的数据安全问题,是政府的重点监管方向之一。
多位投资人告诉《财经》记者,一方面,三家公司因为财务上的一些现实情况,不符合A股主板的上市要求,港股虽然没有盈利要求,但对合规方面的要求更严格,上市等待周期长,美股则只需要充分披露即可,上市周期短。
今年上半年,共有316家中国公司完成IPO,其中34家在美股上市。除了被安全审查的三家企业,还有雾芯科技、图森未来、涂鸦智能、知乎、水滴公司、容联易通、每日优鲜、叮咚买菜等中国科技公司。
数据安全审查收紧大势所趋
此次三家公司被监管有两大依据,分别是国家安全法和网络安全法。
一位在网络安全、数据合规领域有丰富执业经验的资深律师向《财经》记者表示,网络安全和数据合规监管是大趋势,2017年网络安全法发布后,这类企业需求大量增长。
他认为,目前的监管并非处罚,而是一种“制度性规定”。也就是说,可事先审查企业是否存在问题。
2015年7月,网络安全法第一次向社会公开征求意见,2016年11月,全国人大常委会表决通过,于2017年6月1日实行。
6月10日,新修订的网络安全法通过,将于9月1日正式施行。其中第三十六条指出,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
网络安全法第三十五条规定,关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。滴滴、满帮与公共出行数据、地理位置信息等强相关,通常外界对这两家公司的监管有预期。BOSS直聘涉及个人信息安全,在网络安全法的管理之下,同样有据可依。
观韬中茂律师事务所合伙人王渝伟,一位长期进行网络安全数据合规方面的律师,他告诉《财经》记者,这次针对滴滴的审查,严格来说,更像数据安全审查。只是今年6月10 日发布的数据安全法将在今年9月1日正式施行,现下的时间点需要有一套法规来进行监管。
支撑这个判断的一个核心依据是,2020年6月实施的网络安全审查中一个关键考量为"关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全。" 更偏供应链安全,而滴滴的问题更偏向数据安全法中,关于数据收集和处理的内容。
由于新的数据安全法还未实施,北京师范大学新闻传播学院与互联网发展研究院副教授钱忆亲认为,现行的处理措施是根据2020年6月生效的《网络安全审查办法》处理的。她认为,根据办法颁布当天的“答记者问”,滴滴作为“关键信息基础设施运营者”应当主动申报网络安全审查。但比较尴尬的是,由于该办法颁布时间晚于滴滴公司开始运营时间,具体何时申报就成了难办的问题。
滴滴并没回应《财经》记者上市前是否有主动申报网络安全审查的询问。
北京市君泽君(广州)律师事务所律师张金保向《财经》记者表示,网络安全审查源于国家安全审查,法律基础来源于国家安全法第五十九条,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的网络信息技术产品和服务得以进行国家安全审查;以及网络安全法第三十五条,关键信息基础设施的运营者(Critical Information Infrastructure Operator,“CIIO”)采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
在整个审查程序中,CIIO是主要的责任主体,也是网络安全审查制度监管实施的着力点。目前CIIO的范围和识别标准尚不清晰,因此,很多企业就不清楚自己是否是CIIO。但根据《国务院2021年立法工作计划》《关键信息基础设施安全保护条例》已列入2021的年度立法计划。因此这一问题有望解决。
另一个值得讨论的概念是“重要数据”,因为这个概念与网络安全审查密切相关。
网络安全法第三十七条规定,CIIO在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
《网络安全审查办法》第九条规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险,包括“重要数据被窃取、泄露、毁损的风险”。
2021年9月日生效的数据安全法第三十条也重申和加强了重要数据保护制度,并规定,重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。
也就是说,重要数据很重要,又是强监管,但重要数据识别的配套法规和标准尚未落地,重要数据目前可以理解为,中国政府、企业、个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据),一旦未经授权披露、丢失、滥用、篡改或销毁,或汇聚、整合、分析后,可能对国家安全、国家经济和金融安全、社会公共利益、个人合法权益等造成相关严重后果的数据。
网络安全法第六十五条规定,应当申报网络安全审查而没有申报的,或者使用网络安全审查未通过的产品和服务,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
针对企业的网络安全审查,目前主要集中在两个方面,一是是否涉及侵犯个人隐私数据;二是是否有危害国家安全的风险。
根据这条法规,违规的处罚办法,除了停用,还有视程度不同而处以的罚款。
三家企业的审查目前才刚刚开始,尚未有最后结果。
过去几年,网信办曾多次因为滥用个人信息,要求超过100家企业的App下架整改,大部分App在下架一段时间后又回复正常运营。
观韬中茂律师事务所合伙人王渝伟分析,单个个人信息泄露,不至于会对国家安全造成威胁,但如果是把这么多个人信息汇聚起来,确实是有可能会涉及国家安全的。“这次的事件其实也说明政府意识到数据安全的相关问题,在数据安全法下一些配套制度需要快速跟进。”
中国公司海外上市或展开业务时常面临数据监管问题。以“国家安全”为由对相关公司进行监管的做法不仅在国内存在,在美国、欧洲、印度等国家或地区也存在。
以字节跳动为例,在遭遇美国安全审查后,其海外业务Tiktok逐渐与阿里云切割,转为采用亚马逊AWS、谷歌云等云厂商的服务。
一位小米技术人士称,在美国开展业务则需要遵循加州消费者隐私法案(CCPA)。中国公司在海外经营业务通常采用的策略是,遵守当地法律法规,将当地数据存放在当地云计算基础设施之上。
另一位中国云公司的战略规划人士提到,中国企业在海外上市或开展业务时通常面临两个问题。一是避免境内数据输送到海外,二是遵守海外法律。前者相对简单,只需将数据中心置于国内且做好备案。后者略微复杂,主要问题是合规。他所在的厂商帮助中国企业出海时,通常会提供技术服务,但物理资源和运营能力则会寻找海外当地企业解决。
北京大学法治与发展研究院高级研究员洪延青今日在一篇文章中提到,接下来在美国上市的滴滴,要应对的是如何向SEC披露此次“重大”的网络安全风险。进一步推演,如果滴滴向SEC披露正在进行中的网络安全审查,这时候国家互联网信息办公室会如何处理?特别是数据安全法第36条的规定。
如果滴滴不向SEC披露,或者披露达不到SEC满意的程度,这时候SEC会如何处理?此外,美国目前已经出现投资者针对滴滴的集体诉讼,其核心认为滴滴此前的风险披露不充分。
对于滴滴和其他已经或者即将在美股上市的科技公司来说,这些问题都将是挑战。
钱忆亲认为,滴滴、满帮、BOSS直聘被审查只是一个开始,网络安全法的颁布实施需要时间,现在开了先例,也是在提醒其他公司要注意数据安全的问题,“之后类似的执行会越来越多。”
浙江大学计算机科学与技术学院和网络空间与技术学院教授周亚金向《财经》记者提到,这次政府监管机构释放了非常明确的信号,即拥有海量数据的互联网企业需要承担起数据保护的责任,未来这很可能成为互联网公司的常态。
互联网公司可以做些什么?周亚金说,可做的大概有两点:一是梳理企业的数据安全风险,通过企业信息架构的安全化来完成安全合规;二是积极跟进网络空间安全的前沿技术,通过前沿技术架构,将原先粗放的数据使用方式变得更精细化,将数据的安全问题解决在源头。
“行业监管通常会滞后于行业发展,经过几年的准备,数据安全监管已经到了一个关键节点。”一位数据安全分析人士说,“这是历史进程中必须要走出的一步。”
文/刘以秦 顾翎羽 陈伊凡 柳书琪 吴俊宇 黄嘉慧
编辑/谢丽容