数据安全风云——滴滴事件背后的中美数据博弈 – 作者:FYosint

图源:视觉中国

在过去短短一周的时间里，“滴滴出行”的经历可谓是一波三折。

2021年6月30日，长期处于亏损状态、直到今年第一季度才报告盈利3000万美元的滴滴出行，终于在美国纽约证券交易所挂牌上市。首日估值约684.9亿美元，这是2014年以来中国公司在美国的最大上市案。

7月2日晚，网络安全审查办公室发布公告，宣布对“滴滴出行”启动网络安全审查，审查期间“滴滴出行”停止新用户注册。

让人比较意外的是，滴滴在整个上市过程中非常低调，并未举办任何庆祝活动，也没有在其官方社交平台（如微博、微信公众号等）发布相关信息。自6月11月正式递交招股书，到6月30日完成上市，整个过程可谓“光速”。

滴滴悄悄上市、毫无宣传的举动，加上董事会里的前美国军官（公开资料显示，滴滴董事会成员Adrian Perica毕业于美国西点军校，期间曾从事情报收集工作），一下子让整个事件变得敏感和诡异了。

安全审查公告发布后，迅速在各大社交平台上引起热议，部分网友质疑“滴滴为了上市，将中国用户数据和道路数据打包交给了美国”。

7月3日下午，“滴滴出行”副总裁李敏发布微博，就相关议论进行了回应，称滴滴用户数据（后续微博称包括道路数据）均存放在国内服务器，绝无可能将其交给美国。“滴滴出行”官方微博随即进行了转发评论。

7月4日晚，网络安全审查办公室再次发布公告，称经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。依据《中华人民共和国网络安全法》相关规定，通知应用商店下架该App。

目前，滴滴APP已正式从各大平台下架，但是已注册用户仍可正常使用。

回顾整个事件，大众焦点主要集中在两个方面：

1.滴滴有没有将国内用户数据和道路数据交给美国？

对此，滴滴官方与其副总裁已作出回应。网友的质疑主要在于滴滴独立董事AdrianPerica的美国军官身份，此外并无其他佐证。

据统计资料显示，2020年至今，赴美上市中国公司共72家（其中，2020年34家，2021年38家）。经调查核实，上述公司董事会中绝大多数包含美籍独立董事。

另一方面，7月5日，网络安全审查办公室同样对“运满满”“货车帮”“Boss直聘”同样对展开了调查。由此观之，滴滴并不十分特殊。至于其是否将相关数据交给美方，尚需等待官方后续调查结果。

2.滴滴在美国上市是否会对中国和中国用户构成潜在风险？

福韵君认为风险是客观存在的，具体主要表现在两个方面：

（1）数据管辖权风险

主要在于中美法律差异，导致双方在对于上市公司的审计数据管辖权之争还没有完全厘清。

2020年12月，美国国会通过《外国公司问责法案》（HoldingForeign Companies Accountable Act）。2021年3月24日，该法案最终落地。法案规定：

①被列为“委员会认定的发行人”（Commission-Identified Issuers）要提交材料，证明该公司并非外国政府国有或控股，同时还需要提交审计底稿。

②如发行人非美国公司，则还需要提交如下材料：一是要提交外国政府在该公司拥有的股份比例；二是需披露这些政府实体是否在该公司控股；三是要披露董事会成员里中国共产党官员的姓名；四则是要确认发行人的公司章程是否包含中国共产党的任何章程，包括该章程的文本。

③外国发行人连续三年不能满足美国公众公司会计监督委员会（PCAOB）对会计师事务所检查要求的，其证券将被摘牌。

与此同时，中国在近些年对数据安全的重视程度同样越来越高，已经陆续颁布多项相关法律法规。

• 2016年11月，全国人大常委会通过了《网络安全法》，规定关键信息基础设施的运营者在境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当进行安全评估。

• 2020年4月，十二个相关部委联合制定了《网络安全审查办法》，规定关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当进行网络安全审查。

• 2021年6月10日，全国人大常委通过了《数据安全法》（自2021年9月1日起施行），规定国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。任何组织、个人收集数据，应当采取合法、正当的方式；并应当在法律、行政法规规定的目的和范围内收集、使用数据。

• 2021年6月10日，全国人大通过《反外国制裁法》。禁止外国跨国企业以各种借口或者依据其本国法律对我国进行遏制、打压，对我国公民、组织采取歧视性限制措施并干涉我国内政。

同时，正在拟定的《个人信息保护法》（二次审议稿）同样明确规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在境内收集和产生的个人信息存储在境内。确需向境外提供的，应当通过安全评估。境外的司法或者执法机构要求提供存储于境内的个人信息的，非经主管机关批准，不得提供。

对于美国来说，这是以“保护投资者利益”为由来整中概股的明牌，也是贸易战的延伸；对中国来说，这是在数据管辖领域对美国“长臂管辖”的对抗，而且事涉安全风险，至关重要。截止到滴滴上市，中美之间并未就这种矛盾出台任何可执行的方案或文件。

（2）数据自身的价值与战略意义

滴滴作为一款网约车软件，掌握了海量真实的用户数据和道路数据，无疑具有极大的战略价值。

2015年，滴滴旗下的“滴滴媒体研究院”就曾发布《通过大数据监测国家各部委出行规律，公安部最忙中纪委最低调》一文，文章中对国家各部委的出行数据进行了监测和统计分析。

福韵君通过调查滴滴媒体研究院发现该研究院的报告是基于滴滴出行平台的海量数据数据，反映城市智能出行的现状及变化，以及透过智能出行反映城市发展、交通、生活、工作等各个方面，但其发布的报告已于2019年4月开始不再更新。

与滴滴类似，后续被调查的“运满满”“货车帮”同样掌握了大量的用户数据和国家道路数据，而“BOSS直聘”掌握的则是核心的企业招聘数据（可据此研究判断行业需求、企业经营情况等），这些数据的主要特点是海量、真实且敏感。

在相应监管和审查机制并不完善且国际形势越来越复杂的情况下，放任这些大数据运营企业在美国上市，可能存在较大的不确定性和潜在风险。

本文文章为福韵原创内容，未经授权禁止转载

封面来源：视觉中国

来源：freebuf.com 2021-07-07 16:29:08 by: FYosint