“滴滴出行”于2021年6月30日在纽约证券交易所上市。在纽约挂牌仅两天后,国家网信办对滴滴启动网络安全审查。7月4日,国家网信办宣布,“滴滴出行”存在严重违法违规收集使用个人信息问题,其应用程序被勒令下架。7月5日,国家网信办再宣布对“运满满”、“货车帮”以及“BOSS直聘”实施网络安全审查,审查期间这三个平台停止新用户注册。7月9日,国家网信办再次发布通报,下架滴滴25款APP。7月10日,网信办发布《网络安全审查办法(修订草案征求意见稿)》,将境外上市列入网络安全审查范围。7月16日,国家网信办会同公安部、国家安全部、自然资源部、交通运输部、税务总局、市场监管总局七部门联合进驻滴滴出行科技有限公司,开展网络安全审查。
我们认为本次事件是网络安全审查的分水岭,是在互联网领域加强个人信息保护的重大进展,拉长整个时间线,随着反垄断罚单、对金融科技企业约谈整改等系列事件,也是国家对互联网企业加强监管的进一步举措。
本文主要围绕从滴滴网络安全审查事件并结合个人信息保护和网络安全的相关法律规定和实务中的操作略作探讨和分析。其中,第一部分主要是关于隐私政策的制定,包括隐私政策常见整改意见和合规建议,及建立健全个人信息保护合规制度的实务操作;第二部分主要是目前阶段,对于网络安全审查启动的逻辑、可能的结果及企业的应对尝试作了一定分析和建议。
关键字:
个人信息保护合规、隐私政策、网络安全审查、数据博弈
我们先分析一下前述公告,主要涉及两个问题,第一是严重违法违规收集使用个人信息问题;第二是触发网络安全审查。我们先简单厘清一下二者的关系。
首先,个人信息与数据是有区别的,个人信息是数据中的一部分。根据GB/T 35273—2020 《信息安全技术 个人信息安全规范》,“个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。”根据《数据安全法》第三条之规定,“本法所称数据,是指任何以电子或者其他方式对信息的记录。”
其次,根据《网络安全法》第二十二条的规定,“网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。”。对于滴滴等互联网企业来说,既是网络产品和服务的提供者、数据处理者,也是个人信息的收集方,因此,除了需要遵守《网络安全法》、即将实施的《数据安全法》等相关数据安全、网络安全的法律法规,还需要遵守个人信息保护相关的法律法规。
最后,从信息处理的过程来看,根据《民法典》第一千零三十五条的规定,“个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开等。”收集信息往往是信息控制者的第一步,存储、使用、加工、传输、提供、公开等处理环节往往更容易危及网络安全,但过度、不当收集信息也会危及网络安全。
根据前述公告,由于时间较短,我们可以推断,国家网信办对于滴滴的审查应当主要是通过审核隐私政策等个人信息保护的合规制度。
(一)如何起草一份合法合规的隐私政策
个人信息保护目前涉及的法律、法规和规范性文件较多,实务中建议重点参考GB/T 35273-2020《信息安全技术 个人信息安全规范》、《网络安全标准实践指南—移动互联网应用程序(App)收集使用个人信息自评估指南》。结合过往的经验,我就隐私政策的常见整改意见和合规建议简单谈一下:
1、违反必要原则,收集与其提供的信息无关的功能
根据《民法典》第一千零三十五条,处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:
(一)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;
(二)公开处理信息的规则;
(三)明示处理信息的目的、方式和范围。
根据《个人信息安全规范》,个人信息包括姓名、出生日期、身份证件号码、个人生物识别信息、住址、通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。
根据《常见类型移动互联网应用程序必要个人信息范围规定》第五条规定,常见类型App的必要个人信息范围:(二)网络约车类,基本功能服务为“网络预约出租汽车服务、巡游出租汽车电召服务”,必要个人信息包括:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息(网络预约出租汽车服务)。
根据滴滴出行APP公布的《个人信息保护及隐私政策》,收集的个人信息涉及《个人信息安全规范》所指个人信息中的大部分信息。其中,滴滴出行APP《隐私政策》的2.3.5、2.3.6、2.3.15、2.3.21分别就行程录音和录像、滴滴平台通话录音和短信、设备信息和日志信息等进行收集。
前述信息显然已经超出了《常见类型移动互联网应用程序必要个人信息范围规定》的必要个人信息范围,也不符合我们通常理解的必要原则。退一步说,即便是附加功能,滴滴是否应当提供给用户选择的权利并明确说明关闭的途径?
合规建议:数据收集需明确合法、正当、必要原则,并明确收集的目的。如果收集方出于改善服务、数据分析等理由,应当谨慎处理收集信息的范围,尤其是个人敏感信息。在必要性原则如何把握上,应当采用限缩解释,即最少必要原则。
2、未对影响用户重大权益的条款进行提示注意
一般而言,格式合同为合同一方提前制定,为了公平起见,法律对格式合同有一定限制,特别是电子合同。
关于格式条款是否有效,主要从两个方面来看,第一,提供格式条款一方不合理地免除或者减轻其责任、加重对方责任、限制对方主要权利,或排除对方主要权利,合同无效;第二,对免除或者减轻其责任等与对方有重大利害关系的条款,应采取合理的方式提示对方注意和说明的义务。关于第二点,《民法典》扩充了原《合同法》关于提示注意和说明的范围,从“免除或者限制其责任的条款”到“所有与对方有重大利害关系的条款”。
合规建议:对于涉及用户重要权益的条款,应当特别提示,可以以加粗或下划线方式;由于隐私政策往往内容比较多,对于特别重要的条款可以放置在最前面重点提示。
3、存在影响用户选择同意权的情形
保障个人信息主体自主意愿包括两个方面:一是不强迫个人信息主体接受多项业务功能;二是保障个人信息主体对个人信息收集、使用的知情权和授权同意的权利。
建议:
(1) 适当区分核心功能和附加功能;
(2) 对于核心功能所需要收集的信息需要列明,以及以及个人信息主体拒绝提供或拒绝同意收集将造成的影响,并对附加功能逐项分别说明所需收集的信息,说明如不同意附加功能所收集的信息不影响核心功能的使用。
(3) 对于关闭或退出功能的途径,应当进行清楚说明和可以方便操作。
(4) 对系统权限的调用进行逐项说明并获得同意,包括录音、相机和照片等。
4、未对隐私政策的更新进行适当通知
通常会见到隐私政策中写明,如隐私政策发生更新,在公告后30日内自动生效。这么写是有一定风险的,特别是重大变更,因为用户可能注意不到。建议在对隐私政策进行重大变更时,如在用户登录时要求重新确认或注册确认新的版本,或者以邮件、短信进行通知。
(二)建立健全个人信息保护规章制度
除此之外,除了隐私政策以外,建议企业建立健全个人信息保护规章制度,具体包括:
1、建立健全并有效实施第三方接入管理制度
企业采取建立第三方产品或服务接入管理机制和工作流程;与第三方产品或服务提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施;向个人信息主体明确标识产品或服务由第三方提供;要求第三方根据本标准相关要求向个人信息主体征得收集个人信息的授权同意;监督第三方产品或服务提供者加强个人信息安全管理等措施。
2、建立健全并有效实施个人信息跨境传输管理
在中华人民共和国境内运营中收集和产生的个人信息向境外提供的,个人信息控制者应遵循国家相关规定和相关标准的要求。详见本文第二部分。
3、建立健全个人信息安全事件处置制度
企业建立健全个人信息安全事件处置制度,包括制定个人信息安全事件应急预案;定期组织内部相关人员进行应急响应培训;发生个人信息安全事件后,个人信息控制者根据应急响应预案进行处置和报告等措施。
4、建立个人信息安全部门并明确部门职责
企业建立个人信息安全部门并明确公司负责人及部门人员就个人信息安全的职责,开展个人信息安全影响评估,建立适当的数据安全能力,加强个人信息处理人员管理与培训,对个人信息保护政策、相关规程和安全措施的有效性进行定期审计。
分析本次事件的时间线,可以发现滴滴、运满满、货车帮以及BOSS直聘企业赴美上市是一个关键节点。当然我们也注意到,近期知乎赴美上市(2021年3月),但并没有被启动网络安全审查程序。
本次启动网络安全审查的主要依据是《网络安全法》、《网络安全审查办法》等。根据现行的《网络安全审查办法》第十五条,“网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”这里提到启动网络安全审查的前置条件是“影响或可能影响国家安全”。那么滴滴等企业赴美上市会影响或可能影响国家安全?这里有两个问题:1)如滴滴等企业控制的数据是否足以“影响或可能影响国家安全”;2)美国是否对在美上市企业的数据有管辖权。
1、如滴滴等企业控制的数据是否足以“影响或可能影响国家安全”?
根据目前的《网络安全审查办法》,确实未对“影响或可能影响国家安全”作出明确的规定。我们也注意到,2021年7月10日,国家网信办公布了《网络安全审查办法》(修订草案征求意见稿),对《网络安全审查办法》第十五条之规定进行了修改,增加了对国外上市行为启动网络安全审查的机制。修改后的规定为:
“第六条 掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”“第十六条 网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务、数据处理活动以及国外上市行为,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”
分析前述法律规定,其实“网络安全审查”所规制的应该是:第一,如果网络产品和服务提供者或数据处理者在正常经营活动中存在影响或可能影响国家安全的行为,如违反数据安全、出口管制的法律规定导致重要数据非法出境、出口等行为;第二,网络产品和服务提供者或数据处理者在境外上市等重大事项和活动中存在重要数据向境外泄密的风险,导致影响或可能影响国家安全。
以滴滴为例,根据前述分析的滴滴所收集的信息范围,涉及到大量个人敏感信息、出行信息、地理信息。根据滴滴在美上市的《招股说明书》[1],滴滴的国内活跃用户为3.77亿。根据互联网的数据,滴滴的网约车服务在国内已覆盖了几百个城市。根据《网络安全审查办法》(修订草案征求意见稿),第十条 网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:(六)国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。虽然目前法律法规对于“核心数据、重要数据或大量个人信息”尚未明确,从常理判断,我们认为其掌握的数据从性质和数量上属于重要数据、大量个人信息的范畴,已经达到了可能影响国家安全的程度。
另外,由于《网络安全审查办法》(修订草案征求意见稿)中“影响或可能影响国家安全”所规制对象和行为仍然存在一定留白,比如对于重大事项启动网络安全审查目前主要是境外上市,建议可以参考《国家安全法》第五十九条规定,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、以及其他重大事项和活动,进行规制,建立更为周密的规定。
2、美国是否对在美上市企业的数据有管辖权?
众所周知,美国不断通过长臂管辖原则下的出口管制、海外反腐败、反洗钱、经济制裁等众多国内法案扩展其对境外企业的管辖范围。那么美国是否可能通过长臂管辖原则管辖在美上市企业?
首先,以促进上市企业财务合规为名,基于《萨班斯法案》404条款,美国可管辖所有在美上市企业,即使其在美国没有经营活动。由于条款多且复杂,企业需要耗费大量人力物力用于内部控制建设,完全满足内控要求难度大,因此容易被监管机构找出漏洞。
其次,《澄清海外合法使用数据法》(“CLOUD法案”)规定,无论用户的数据是否存储在美国境内,只要服务提供商对用户数据具有实际控制或管辖权,服务提供商就有义务按照法案规定保存、备份甚至是披露用户数据。这一规定将美国的数据司法管辖权范围延申至境外。这里需要明确的核心问题,即法案适用的主体范围是否包括境外服务提供商。
CLOUD法案第103节中,CLOUD法案将其法律主体定义为电子通信和远程计算服务提供商,而关于电子通信和远程计算服务提供商的间通过电线、无线电、电磁、光电子或光学系统中,全部或部分传输任何性质的符号、信号定义则引述自《美国法典》第18条。在第18条2510款中,规定“任何在州际或国际之、文字、图像、声音、数据或情报的服务商都属于电子通信服务商的范围”。而在第18条2711款中,则规定“远程计算服务提供商为通过电子通信系统向公众提供计算机存储或处理服务的服务商”。从上述两项定义中至少可以明确两点信息:首先,尽管CLOUD法案并未明确规定其法律主体是否包括境外服务提供商,但是引述自《美国法典》的定义却将境外服务商划入主体范围之内,这在实际操作中为法案的执行预留了一定程度的灵活解释空间。[2]
CLOUD法案第105节中,“美国人”一词是指美国公民或国民、合法承认为永久居民的外国人、其中相当数量的成员是美国公民或拥有合法承认的永久居留权的外国人的法人团体,或在美国注册成立的公司。
根据滴滴公布的《招股说明书》,其上市主体Xiaoju Kuaizhi Inc. (Caymand Islands)(“滴滴开曼公司”)的其前两位股东为Softbank Vision Fund (软银)和UBER,分别持股21.5%和12.8%。其中,UBER为美国公司,开曼公司的境内子公司Beijing Didi Infinity Technology and Development Co.,Ltd.(北京嘀嘀无限科技发展有限公司)与境内持牌公司Beijing Xiaoju Science and Technology Co.,Ltd.(北京小桔科技有限公司)之间存在VIE架构安排。根据实际控制理论,滴滴开曼公司对于在北京小桔科技有限公司在中国境内存储的用户数据拥有实际控制权。随着滴滴在美上市,滴滴开曼公司将新增大量美国公民或法人团体股东,存在落入CLOUD法案的规制范围的可能。
目前,我国建立了重要数据境内存储+境外数据传输安全评估+向外国司法或者执法机构提供境内数据进行前置审批为原则的数据保护防御体系。根据《网络安全法》第三十七条,关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。2021年9月1日生效的《数据安全法》第三十六条,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
由于数据是重要的资产,国家之间关于数据本地化和数据跨境获取的博弈日益加剧。对于滴滴等赴美上市企业而言,则可能面临遵守国内法律或者上市地法律的法律冲突的两难选择。
本次对滴滴、“运满满”、“货车帮”以及“BOSS直聘”系事后审查,另外,根据《网络安全审查办法》第十五条,目前确实存在主管部门主动发起调查的可能。对于已上市企业发起主动调查,根据一般审查的结果和措施进行分析,可能是通过、附条件通过或否决,对应企业可能采取摘牌、对于上市企业增发不予批准、引入第三方投资者(很有可能是国有投资者)或者剥离部分敏感资产等措施。
我们也注意到,近期知乎赴美上市(ZH, 2021年3月),但并没有被启动网络安全审查程序。对于赴美上市的企业而言,建议一方面应当高度重视个人信息保护和网络安全合规,建立健全相关规章制度;另一方面,在上市前应先自行或通过专业人士评估是否属于《网络安全审查办法》所规制的对象,并与国家网信办、证监会等主管部门进行充分沟通。如评估下来确实有较大风险,可以考虑通过在境内上市或者香港上市途径。
注释及参考文献:
1.滴滴出行《招股说明书》来自https://www.sec.gov/
2.郑琳,美国《澄清海外合法使用数据法》及其影响与启示,
https://www.fx361.com/page/2021/0115/7476597.shtml
