来源:视觉中国
文/ 曹彦君 杨松 编辑/ 江昱玢
针对互联网企业的网络安全审查,将成为常态。
7月2日,据“网信中国”公告,为防范国家数据安全风险,维护国家安全,保障公共利益,对滴滴出行实施网络安全审查,审查期间平台停止新用户注册。
7月4日,滴滴出行APP被下架。
7月5日,同属满帮集团的运满满、货车帮,以及BOSS直聘被实施网络安全审查。
数据跨境流动隐忧不断,关键信息基础设施运营商一旦触碰“生死底线”,即面临严厉打击。
栽跟头
三家被审查企业,均于今年6月赴美上市。
6月11日,BOSS直聘在美国纳斯达克挂牌上市;6月22日,满帮集团在纽交所上市;6月30日,滴滴出行同在纽交所上市。
三家企业在用户端和企业端积累了海量数据,关乎国家数据安全。
滴滴招股书显示,截至2021年3月31日,滴滴全球平台年度活跃用户超4.93亿。中国为其核心市场,拥有年活跃用户3.77亿和年活跃司机1300万。
2020年,超过280万辆卡车司机在满帮平台获得订单,约占我国重型和中型卡车司机的20%。
截至2021年3月31日,BOSS直聘月活跃用户数(MAU)达3060万,拥有1300万认证企业端用户,服务630万家认证企业。
滴滴累计促成超过500亿笔交易。根据CIC数据,按年活跃用户数和截至2021年3月31日止十二个月的平均每日交易量计算,滴滴已成为全球最大的出行技术平台。
满帮2020年全年GTV(平台总交易额)达1738亿元,约占中国数字货运平台GTV总量的64%;业务覆盖全国超过300座城市,线路覆盖超过10万条。
北京高勤律师事务所合伙人王源告诉《21CBR》记者,滴滴与满帮拥有大量交通运输及地理信息,BOSS直聘有海量真实简历信息,“这些重要数据,对国计民生有重大影响”。
中国赴美上市企业面临美国证券交易委员会(SEC)更多的信息披露要求。此轮网络安全审查,一定程度上为赴美上市企业处理敏感信息划定了红线。
被审查信息曝出后,品牌口碑遭受损失。滴滴出行App已在应用商店下架,相关微博话题阅读量高达14亿。
深度科技研究院院长张孝荣表示,审查会导致公司股价下跌。“滴滴能否顺利实现IPO预期的无人驾驶、海外市场开拓等战略构想,存在极大不确定性。”
重灾区
根据通告,此次依据《网络安全法》和《网络安全审查办法》,对三家上市企业启动网络安全审查。
《网络安全法》2017年生效,确定了国内的网络安全审查制度;《网络安全审查办法》2020年6月1日生效,是前者的落地细则。两者都提到关键信息基础设施保护。
华东政法大学经济法学院副教授翟巍告诉《21CBR》记者,此次受审查的三家企业都落了关键信息基础设施领域。滴滴属于客运,满帮属于货运,都是交通领域;BOSS直聘是公共通信和信息服务领域。
通告称,“滴滴出行”App存在严重违法违规收集、使用个人信息问题。美国亚太法学研究院执行长孙远钊表示,涉及数据信息问题主要在收集、储存和转移三个环节。
违法行为认定难点重重。翟巍表示,平台收集、使用数据属于后台信息,个人或其他企业很难取证。
孙远钊对《21CBR》记者表示,平台企业违规收集使用数据案例不少,但相关信息不够公开透明,涉及企业隐讳不提,外界难以评估实际状况和改善情况。
受审查三家企业中,交通运输领域占掉两席。
2021年5月12日发布的《汽车数据安全管理若干规定(征求意见稿)》第三条,界定了汽车行业重要数据。滴滴掌握测绘、车流人流、汽车充电网运行等道路交通数据,属于重要数据。
汽车行业数据和个人隐私、国家安全密切关联。以行驶路线数据收集为例,企业能收集家庭住址、工作单位、周边地理区域等数据信息。
“潜在风险是暴露公民个人隐私甚至国家核心数据信息,影响军事安全。”翟巍说。
王源表示,中美两国法律都要求网约车数据本地化,即相关数据必须储存在境内服务器。如果滴滴将数据储存到境外,即涉嫌违法。
大冲击
根据《网络安全法》第六十五条,违反规定的关键信息基础设施运营者,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款。
翟巍表示,下架滴滴、停止四家平台新用户注册的决定,或依据以上法条。此前,中国没有根据《网络安全法》执法的公开案例,罚款金额难以评估。
《网络安全法》颁布逾三年,此次风波是国家首次对企业启动网络安全审查。
“哪些企业被认定为关键信息基础设施运营者?应当履行什么样的数据安全义务?《网络安全法》中采购金额如何定义?都是需要厘清的问题。”翟巍表示。
翟巍提示,随着今年《数据安全法》生效和《个人信息保护法》立法推进,企业的网络、数据安全将面临多部法律竞合规制,需要考虑数据安全、个人信息保护、国家安全等多个层面,合规成本将进一步上升。
翟巍认为两大行业受此影响较大。一是“纯数据”行业,例如经营数据库产品的企业。二是大型互联网平台企业,重度依赖数据整合和使用。
除了上述三家被审查的中概股企业,每日优鲜、叮咚买菜、万物新生也于6月赴美上市。截至目前,后三家企业尚未被曝出遭遇网络安全审查。
孙远钊表示,此次审查向平台运营者释放明确信号:“子弹乱飞的时期已然结束,不要再试图无止境地搜刮使用者的各种数据信息。”