卢秉辉
滴滴“数据门”进一步发酵。
7月10日,国家互联网信息办公室(以下简称“网信办”)发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知。其中,在第六条指出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
7月9日,网信办依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”和“滴滴企业版”等滴滴旗下25款App。
因滴滴“数据门”,围绕跨境上市公司数据安全的监管风暴正在强势来袭。
低调上市 高调下架
滴滴“暗度陈仓”。这家为国内3.77亿年活跃用户提供出行服务,抢占线上打车出行市场半壁江山的出行平台,在成立的第九个年头后于6月30日登陆纽交所完成上市。上市的过程,急促而低调,从“递表”到“挂牌”仅仅用了20天的时间,上市后没有敲钟声,没有新闻稿,自然也没有庆功宴。然而,好不容易才搭上上市这艘巨轮的滴滴,可能并没有料到一系列围绕数据安全问题的监管追击正纷至沓来。
“作为日常出行的头部平台,滴滴至少掌握了所属行业领域80%以上的深度数据。这些数据可以直接或间接地反映我国各区域人口分布、商业热力、人口流动、货物流动、企业经营等情况。”江苏省大数据交易和流通工程实验室副主任李可顺表示。
滴滴上市之仓促,以至于其间并没有与有关部门充分沟通,也没有按照关键信息基础设施运营者的身份,根据《网络安全审查办法》要求自主申请审查工作,这为滴滴之后被推入监管风暴眼埋下了伏笔。
数据监管风暴速至。7月2日,网络安全审查办公室发布公告称,对滴滴出行实施网络安全审查。两天后,网信办发布通报,经检测核实,“滴滴出行”存在严重违法违规收集个人信息问题,根据《网络安全法》相关规定,通知应用商店下架“滴滴出行”App。
又过了一天,监管风暴所经的“运满满”“货车帮”“BOSS直聘”等均受到了网络安全审查。而这几家公司也存在未主动提请网络安全审查就于近期赴美上市的境况。“美国证券市场对于上市公司有很高的信息披露要求,包括必须根据美国公认会计原则编报其财务报表、必须根据美国证券法律规定,对公司重大信息及时披露等,这势必涉及一些该公司在中国境内的经营情况数据是否能够出境的问题。”汇业律师事务所高级合伙人李天航解释。
7月9日,网信办再度通报,要求下架滴滴旗下存在严重违法违规收集使用个人信息问题的25款App。这场针对滴滴的监管风暴来势汹汹,使得当下互联网市场混乱的个人信息管理漏洞被进一步暴露在社会焦点的同时,亦加速相关监管、法律的补充与完善。
从内至外“缝补”数据管理办法
移动互联网时代下,数据承载的价值越来越高,英国数据科学家及数学家克莱夫·哈姆比(Clive Humby)将其比作是“新时代的石油”。过去国内互联网市场呈现高速、野蛮的生长态势,各平台机构从商业利益的角度出发,大规模爬取、收集、利用用户数据,而相对忽视对数据合规的投入与管理,由此引发数据价值与保护管理之间、国内数据存储与国外数据流转间的矛盾越发突出,促使国内数据合规监管力度在近年来不断加强。
对内扎紧数据安全保护篱笆。数据隐患的根本是互联网平台超范围、超权限跟踪与捕获用户信息、用户足迹,生成、汇聚、融合成巨量数据库,在释放数据价值同时产生不可忽视的数据安全风险。在大数据分析技术不断迭代的当下,各平台掌握的数据已经能够反映出我国整体经济运行情况等涉及国家秘密的信息,对总体国家安全构成重大安全威胁。对此,有关部门正在积极制定《数据安全法》《个人信息保护法》等相关法律,明确跨数据权益、主体权利、保护主体责任、监管机构权利等事项,守住数据安全底线。此外,部门规章、地方性法规等细分监管条例将进一步明确具体内容,逐步覆盖互联网、个人信息和数据活动的方方面面。
对外防范重要数据“漂洋过海”。以滴滴为代表的国内大型互联网集团远赴美国上市背后带起了数据跨境披露矛盾,即意味着国内数据资源的对外流转,积聚风险。7月10日,网信办发布关于《网络安全审查办法(修订草案征求意见稿)》(以下简称《征求意见稿》)公开征求意见的通知(图2)。其中要求,关键信息基础设施运营者(以下简称“运营者”)采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
而就在《征求意见稿》发布的4天前,7月6日,中共中央办公厅、国务院办公厅印发《关于依法从严打击证券违法活动的意见》,对跨境上市工作提出三大要求:一是要压实境外上市公司信息安全主体责任;二是要加强跨境信息提供机制与流程的规范管理;三是要坚持依法和对等原则,进一步深化跨境审计监管合作。
值得补充的是,对待跨境数据安全的监管态度上还需避免极端化趋势,用复旦大学国际关系学院教授沈逸的话来说“要么就是认为它应该绝对地遵循技术市场的内生需求,要求最小化的监管,要么将它视作洪水猛兽,对它进行过度监管”。
经营收益与监管成本间的博弈
短短一周内,面对数据安全的相关监管文件频频发布,不论是滴滴,还是赴美上市的中概股,抑或是广大互联网企业发展都受到了一定的冲击。截至美国当地时间7月12日收盘,滴滴股票震荡跳水,从6月30日最高点18.01美元暴跌近40%至11.16美元。资本市场的反应给了滴滴一记重拳,但紧随其后的集体诉讼及高额的赔偿费抑或使滴滴付出惨痛代价。根据美国商业资讯网站消息,美国股东权益律师事务所以及罗森律师事务所正准备对滴滴发起集体诉讼,诉讼理由为滴滴可能向投资者发布了严重误导性的商业讯息。
从独占国内交通出行鳌头到蒸发千亿元市值跌落互联网界“神坛”,滴滴只用了一周时间。倘若事先知道监管重拳要袭来,滴滴還会选择仓促上市吗?答案是肯定的。对于监管重拳的出击,滴滴并非一无所知,也并非毫无预感。
数据安全方面。其公布的《F-1证券登记(外国私人发行人)》中就曾指出“公司业务受到各种有关数据隐私和数据保护的法律、法规、规则、政策和其他义务的约束。任何机密信息或个人数据的损失、未经授权的访问或发布可能会使公司遭受重大的声誉、财务、法律和业务后果”“与隐私、数据和信息相关的法律法规的变更,要求加强对某些类型数据进行保护与保留、传输或披露相关的新义务可能会大大增加公司经营成本,甚至影响公司的未来运作。”
事实上,包括滴滴在内的众多互联网平台或直接或间接陷入过大数据杀熟风波之中,在监管底线、人道主义、用户体验、服务效率等多元诉求中反复试探,谋求利益最大化之解。以滴滴为例,复旦大学管理学院副教授孙金云曾带领团队在北京、上海、深圳、成都、重庆等城市实地调查,通过打车逾800次,花费超5万元的实践,得出使用越贵的手机,打车费可能越贵的结论(图3),其研究数据显示,iPhone手机用户平均只能获得2.07元的优惠,显著低于非iPhone用户的4.12元。然而,在当时“宽松”的环境下,滴滴等平台虽处于舆论风口浪尖,却并未受到市场管理的相应处罚。不过着眼当下,以大数据杀熟为背景的监管法律亦在逐步完善,将于2022年1月1日起施行的《深圳经济特区数据条例》提出,针对大数据杀熟行为最高可罚款5000万元。
反垄断方面。《F-1证券登记(外国私人发行人)》显示,“针对反垄断的监管行动可能导致公司受到罚款,以及限制、修改业务惯例等不利影响经营状况。”同样,对于滴滴反垄断行为的监管前奏可以追溯到2021年4月,国家市场监督管理总局和网信办就曾要求滴滴和30多家中国主要互联网公司在一个月内进行自查,发现并纠正可能存在的垄断、竞争、税收和其他方面的违规行为。虽然这次垄断自查的结果仍是未知数,但不可否认的是,面对资本的压力,滴滴显然轻视了监管合规的重要性。
在行业规范、市场健康发展的框架下,滴滴的贸然上市,自然会迎来监管的“有备而来”。7月7日,市场监管总局发布对22起违法实施经营者集中案的处罚通报,其中涉及滴滴出行违法实施经营者集中案8起,显著高于阿里巴巴的6起,腾讯5起,美团1起。滴滴总计被罚款400万元,这和其去年高达1417.36亿元的营业收入而言,宛如“九牛一毛”,但却是当下的《反垄断法》的顶格处罚,其背后的监管意义重大,并不能以简单的数字作为衡量标准。另外,以2020年1月发布的《<反垄断法>修订草案 (公开征求意见稿)》来看,未来违法行为的处罚上限或将大幅提高至上一年度销售额的10%,若以此计数,则滴滴面临惩罚金额则要远远高于目前。
新“打车大战”下的反思
在滴滴“搁浅”留下出行市场竞争空隙的同时,一场以美团打车、高德、曹操出行、首约汽车等为主角的“打车大战”打响。在北京,美团打车打开App就送4.5折的新人红包,高德在抖音视频中投放百元优惠券,曹操出行、首约汽车等出行App优惠通知即刻弹出……现在的出行市场,无人不想分杯羹,这或许是滴滴为自身草率行为付出的另一种代价。
在这场“大战”打响的同时,市场参与者们又能否从滴滴的前车之鉴中汲取经验,吸取教训?在监管规范逐步完善且充分体现出我国维护数据主权和国家安全决心的当下,与民生息息相关的互联网市场,或将迎来新的竞争浪潮,而这一次,合规将成为其中的重要競争利器。
责任编辑:钟立群