江苏云崖律师事务所 | 叶万
滴滴出行的下架整改
2021年7月2日晚间,网络安全审查办公室发布《关于下架“滴滴出行”App的通报》的公告,公告称:为防范国家数据安全风险,维护国家安全,保障公共利益,将依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》《网络安全审查办法》对“滴滴出行”实施网络安全审查。7月4日,国家互联网信息办公室再次发出通告,通告称:“滴滴出行”App存在严重违法违规收集使用个人信息问题。一时间,网络上类似“滴滴威胁国家数据安全”、“滴滴为了赴美上市,将中国的道路数据、用户信息等打包交给美国”的传言甚嚣尘上。尽管滴滴方面很快否认类似传言并表示将积极配合网络安全审查,但也止不住滴滴在美股盘前交易狂泻不止,股价应声大跌10%。
在全球数字经济发展的背景下,数据已经成为最具价值的生产要素之一。“滴滴出行”作为国内影响力最大的网约车平台,早就默默改变了国人的日常出行方式,此次安全审查和下架整改风波无疑给企业在数据合规方面敲响了警钟。本文将结合分析滴滴出行的下架整改,为企业在《数据安全法》框架下的数据合规提出建议。
美国证券监管制度VS中国数据安全保护要求
对滴滴出行数据泄露的猜测源于中美双方证券监管制度的冲突。美国公众公司会计监督委员会(PCAOB)对全美的会计师事务所进行全面监管,这其中就包括了对会计师事务所文件进行审查。依据中国《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》第六条的规定,“在境外发行证券与上市过程中,提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。”,出于国家安全等重大利益的考虑,《中华人民共和国国家安全法》、《中华人民共和国网络安全法》等相关法律法规对于数据出境作了较为严格的限制。
今年3月,美国证券交易委员会(SEC)通过了《外国公司问责法案》最终修正案,该法案对在美上市的外国公司在信息披露方面提出了更多要求,主要包括两个方面:第一,任何一家外国公司连续三年未能遵守PCAOB的审计要求,将禁止该公司的证券在美国证券交易所上市。第二,上市公司需要披露它们是否为外国政府所有或控制。这一看似适用于所有外国公司的法案实则针对中国的意味非常明显,例如,上市公司需要证明自身不被外国政府所有或控制,披露董事会里共产党官员姓名、共产党党章是否写入公司章程等,这些事项早已超出了证券监管的合理范围。
因此,中国企业在选择赴美上市时就注定选择了一条夹缝中求生的道路,若想取得美国上市资格,就必须接受PCAOB的全面监管,满足其信息披露要求,其中就可能包括向其提交会计底稿,而中国企业在运营过程中也必须要严格遵守国家在数据安全方面的规定并接受审查。如果中国企业在美国上市过程中按照美方规定提交了相关底稿或者重要数据,即使最终在美国上市成功也可能面临国内的查处。
滴滴出行的数据安全隐患
此次对“滴滴出行”进行安全审查的法律依据主要为《中华人民共和国国家安全法》《中华人民共和国网络安全法》,审查过程直接适用《网络安全审查办法》。
相关法条
《网络安全法》第三十五条规定:关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。关于关键信息基础设施,《网络安全法》在第三十一条中进行了列举,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。”。滴滴出行由于涉及了交通等重要行业领域,已被归于关键信息基础设施,符合接受安全审查的主体要求。
作为网约车服务平台的滴滴出行,在运营基础业务时不可避免地采集到了很多信息,例如乘客及司机注册时的实名制认证和移动电话号码;乘车人的出发到达位置信息及行程轨迹;支付时涉及的支付渠道;滴滴平台为了保证乘车安全而使用的全程车内录音系统中会存储大量录音信息。上述数据无论哪种出现泄露或乃至被滥用,都有可能对个人安全乃至国家安全造成威胁。
其实,滴滴出行在招股说明书的“风险因素”部分中提到了其存在的数据风险,表明其在平台上会接收、传输和存储大量个人身份信息和其他数据,坦言其业务会受有关数据隐私和保护的各种法律、法规、规则、政策和其他义务的约束,而且机密信息或个人数据的任何损失、未经授权的访问或发布都可能使其遭受重大的声誉、财务、法律和运营后果。
(图源:滴滴出行招股说明书)
《数据安全法》框架下的企业合规建议
2021年6月10日中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过了《中华人民共和国数据安全法》(以下简称“《数据安全法》”),该法将自2021年9月1日起施行。这部法律是中国数据安全领域的基础性法律,确立了我国数据安全立法的基本结构,明确了国家自上而下的监管方向,也为企业进行数据处理过程中的合规建设提出了明确的参考及指引。
尽管此次“滴滴出行”事件的主要处理依据援引的是《网络安全法》,但未来《数据安全法》正式施行后,企业的数据管理会面临更为明确和严格的约束。因此,提早进行合法合规性的自我评估,对于适应新法的生效或通过,具有重要的意义。以下是企业在数据合规方面的几点建议:
01
保证数据处理活动的合法合规
《数据安全法》从数据的源头提出了“合法、正当”的约束性条件。企业在收集数据的过程中,有义务维护良好的竞争环境,不得以窃取或任何不正当的手段获取数据,更不得以非法方式获取的数据来开展数据处理活动。尤其是在运营过程中可以接触到大量数据的互联网企业,不管是通过用户主动提供还是自动采集方式收集数据,应就收集的目的、方式和范围取得有效授权,并且数据采集手段、方式恰当、满足必要性原则。如收集和使用的数据中涉及个人信息的,还应该遵守关于个人信息保护的特殊法律规定。
02
企业内部建立健全数据安全管理制度,加强风险监测
《数据安全法》要求企业在开展数据处理活动时应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,并采取相应的技术措施保障数据安全。利用互联网等信息网络开展数据处理活动的,还应当在网络安全等级保护制度的基础上,履行好上述数据安全保护义务。
因此,企业在开展数据处理活动应当加强风险监测,如发现安全隐患应当及时采取补救措施,如果发生数据泄露等数据安全事故,企业应当立即采取处置措施,并按照规定及时告知用户并向有关主管部门报告。此外,重要数据的处理企业还应当按照规定对其数据处理活动定期开展风险评估,并负有向有关主管部门报送风险评估报告的义务。
03
规范处理数据跨境流动
《数据安全法》中明确规定:外国司法、执法机构请求提供数据时,我国主管机关以双边、多边条约以及平等互惠原则为基础进行处理;境内的组织、个人向外国司法或者执法机构提供存储于中国境内的数据,必须经中国主管机关批准,企业应当根据《数据安全法》的规定,配合相关审批程序;非经我国主管机关批准,任何境内的企业和个人均不得向外国司法或者执法机构提供存储于我国境内的数据。
因此,企业在数据处理过程中,如涉及到关键信息或重要数据需要出境的,为确保数据的安全,应当根据《中华人民共和国网络安全法》或我国网信部门等国家机构制定的法律法规依法履行行政前置手续。虽然《数据安全法》仅规定了关键信息或重要数据出境的行政前置手续。但从监管态度和立法趋势角度看,企业应保持更加谨慎的态度。企业在与境外数据接收方签订合同时应充分考虑未来跨境传输数据受限增加履约成本或引发违约责任的可能,故建议企业在相关合同中明确将政策调整纳入免责事由。
结语
《数据安全法》毫无疑问将对企业的业务运营和内部治理产生深远影响。企业在未来的产品设计和市场布局中将越来越多地考虑数据合规的要求,建议企业尽早梳理内部的数据治理现状和业务需求,明确潜在的风险点并且区分整改优先级别,在数据合规方面做到提前部署,掌握主动权。
电话咨询
业务领域
联系我们
云崖首页