“滴滴出行”APP被安全审查和下架之启示

2021年6月10日，“滴滴出行”的实质控股公司Xiaoju Kuaizhi Inc.向美国证监会(SEC)提交招股书，以正式名称“小桔快智”提出申请，拟在美国上市，股票代码为“DIDI”。6月30日，正式在纽交所挂牌上市。从公开递交招股书到正式上市仅仅用了20天，滴滴创造了今年以来中国互联网公司在美募资的最快纪录。但是，2021年7月2日，网络安全审查办公室依据《中华人民共和国国家安全法》（简称“国安法”）、《中华人民共和国网络安全法》（简称“网安法”）及《网络安全审查办法》对“滴滴出行”启动网络安全审查的公告：为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。2021年7月4日，国家网信办发布公告称，根据举报，经检测核实，“滴滴出行”APP存在严重违法违规收集使用个人信息问题，依据《网安法》相关规定，通知应用商店下架滴滴出行App。2021年7月7日，国家市场监督管理总局通报对互联网领域二十二起违法实施经营者集中案作出行政处罚决定，其中八起涉及滴滴，滴滴共计被处以400万元的罚款。2021年7月9日，国家网信办发布公告，因存在严重违法违规收集使用个人信息问题，将包括“滴滴企业版”、“滴滴车主”在内的25款滴滴旗下应用全部下架。

“滴滴出行”作为目前国内影响力最大、受众最广的网约车平台，此次遭遇安全审查和下架整改、处罚，还涉及“国家数据安全”“国家安全”，引起民众广泛关注，也为跨境上市的互联网企业敲响了警钟。笔者就“滴滴出行”被审查以及处罚事件，具体分析如下，希望给其他互联网公司予以启示。

一、“滴滴出行”被审查的相关法规和可能原因分析

1.公告指明此次对“滴滴出行”进行安全审查的法律依据主要为《国安法》、《网安法》和《网络安全审查办法》等。具体规定如下：

《国安法》第五十九条规定，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目，以及其他重大事项和活动，进行国家安全审查，有效预防和化解国家安全风险。

《网安法》第三十五条规定，关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。该国家安全调查也规定于《国安法》第五十九条中，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查。

《网络安全审查办法》第二条规定，关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查“关键信息基础设施运营者”。《网安法》第三十一条¹对关键信息基础设施进行了列举描述。尽管目前国务院还尚未出台规定对关键信息基础设施予以准确的定义。2017年7月1日，网信办发布了《关键信息基础设施安全保护条例（征求意见稿）》，但始终未正式颁布，但采取列举和兜底的方式对关键信息基础设施的范围进行了确定²。由此可以确认：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等行业领域的重要网络和信息系统都属于关键信息基础设施。

2.滴滴出行属于网络高科技公司是“关键信息基础设施的运营者”。

（1）根据小桔快智招股说明书中的披露，“滴滴出行”作为国内的网约车行业的龙头企业，占据了中国近90%的网约车市场，仅在中国就拥有3.77亿活跃用户。这意味着，该App记录着至少3.77亿用户的同时，也无疑在记录着广大用户的数据信息，包括联系方式、行程路线、录音录像、行为习惯等，可以更准确地说滴滴出行亦属于网络高科技公司。同时，滴滴出行拥有国家测绘地理局颁发的电子地图甲级测绘资质。因此，可以确认，小桔快智属于“关键信息基础设施的运营者”，相关部门可以依网安法及审查办法规定的主体要求对其进行网络安全审查。

（2）“滴滴出行”作为网约车服务平台，有许多基于业务需要而不得不采集的信息，例如乘客用户以及司机用户都需要实名制认证，需要用到注册用户的移动电话号码；还有与约车关系最为密切的行程信息，如乘车人的出发地、到达地、位置信息，行踪轨迹等；以及相关支付信息如支付时间、金额、渠道等；此外，为了保护用户的人身安全，滴滴平台还上线了全程车内录音系统，会存在大量录音信息。

这些信息可以说不仅涉及数据安全，对于特殊群体及道路信息的泄露或滥用，甚至对个人安全乃至国家安全造成威胁。作为记录着用户数据和道路数据的App,滴滴出行应属于运输领域的关键信息基础设施运营者，因此其符合本次调查的适格对象，当其拥有的数据存在向海外披露的风险时，国家必然要对此加强监管。同时，《网络安全审查办法》第九条规定的国家安全风险，该条规定了四种风险和兜底条款³。

由此可知，滴滴出行最可能触发的是第一款“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险”。

3.“滴滴出行”赴美上市涉及我国的数据安全和国家安全，美国对外国证券公司的长臂管辖也是原因之一。

在美国资本市场，IPO新股的发行上市实行的是“注册制”，由美国SEC和交易所（NYSE Nasdaq）共同完成发行上市审核过程。审核人员不对发行人进行价值判断，任何财务状态下的符合法律规定的公司均有机会上市。这一制度设计意味着投资者必须依赖其自身判断来进行投资，考虑到任何的信息披露的不充分或者虚假披露将给投资者带来不确定风险，因此，信息披露是联邦注册制的核心，美国SEC对于信息披露有着诸多要求。

同时，美国根据《国防生产法案》第721节、《外国投资与国家安全法》等法规，由美国外国投资委员会对外国投资者的交易进行国家安全审查。美国外国投资委员会曾频繁插手中国投资，主要监管跨境并购，如Tiktok收购Musically交易审查等。

总之，以上美国SEC对于境外发行人信息披露的高标准和国家安全审查，令赴美上市中企很难保证美国未曾染指上市中企的数据信息，这些信息对于国家安全异常敏感。

二、审查流程和后果

根据《网络安全审查办法》规定，关于不同的审查方式具有不同的审查流程。根据审查启动方式的不同，网络安全审查的启动分为报请审查和依职权启动审查两种方式。本次“滴滴出行”网络安全审查是依职权启动的审查，根据《网络安全审查办法》第十条，初步审查需要在自向运营者发出书面通知之日起30个工作日内完成，情况复杂的可延迟15日，因此滴滴出行最快的审理时间为45个工作日。同时，还规定了网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见，如果进入特别审查程序，还需要再加45个工作日（情况复杂可延长，具体延长时间未规定）。

根据《网安法》第六十五条，关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。当然，若数据安全触发更高级别的国家安全调查，不排除“滴滴出行”会进一步接受国家安全审查并适用《国家安全法》中更严厉的制裁措施。

三、建议和启示

此次“滴滴出行”事件，无疑对整个互联网行业都造成了较大冲击。已经在美上市的公司，只能设法同时满足中美双方存在冲突的监管需求，寻求在双重监管的夹缝中生存之路径。

数据已经成为了一种具有战略意义的财富，但数据也绝非任何主体的私有财产，其具有影响国家安全、个人隐私保护等问题的多重属性。在个人数据方面，任何组织、个人收集数据，应当采取合法、正当的方式，不得窃取或者以其他非法方式获取数据，不得收集使用与服务无关个人信息、不得泄露。同时，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于境内的数据。

另外，相关公司应当密切关注此次“滴滴出行”事件的发展，必须重点关注数据、网络安全和合规相关法律法规、国家标准以及国际规则，明确大数据收集、利用和个人数据安全保护的规则，同时应当尽早进行全面、审慎的网络、数据安全合规自查，提前梳理排查可能存在的数据安全隐患，完善公司个人信息安全管理制度，建立完善的数据安全合规体系。

^{1.《网络安全法》第三十一条 国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。}

^{2. 《关键信息基础设施安全保护条例（征求意见稿）》，一是政府机关和能源、金融、交通、水利、卫生医疗、教育、社保、环境保护、公用事业等行业领域的单位；二是电信网、广播电视网、互联网等信息网络，以及提供云计算、大数据和其他大型公共信息网络服务的单位；三是国防科工、大型装备、化工、食品药品等行业领域科研生产单位；四是广播电台、电视台、通讯社等新闻单位。}

 ^{3.《网络安全审查办法》第九条网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（五）其他可能危害关键信息基础设施安全和国家安全的因素。}