滴滴出行接连两次被查,既事关国家安全,也涉及重大民生。我的直觉有四点:其一,这是大问题,涉及国家安全。其二,这是明确的违法问题,公告说得很清楚;其三,是个国家治理的里程碑事件,建成范例。其四,将触及根本,也就是数据所有权问题。
7月4日,国家互联网信息办公室通报称,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。
事实上,2021年7月2日晚间,网络安全审查办公室发布公告,宣布启动对“滴滴出行”的网络安全审查。通知很简单,但震撼性很大!时间节点也很敏感。6月30日晚,成立9年的滴滴在纽交所挂牌上市,股票代码为 "DIDI"。高盛、摩根士丹利、摩根大通、华兴资本担任承销商。滴滴整体仍处于亏损状态。2018年、2019年、2020年净亏损分别为150亿元、97亿元、106亿元。2021年第一季度,滴滴运营亏损约67亿元。滴滴这次在美国至少募资44亿美元。2020年和2021年第一季度的平台收入中,93.4%来自于中国,6.6%来自于国际。也就是说,滴滴出行是一个绝对依靠中国生存发展的企业,不管其股权结构如何?谁是最大的受益者,但收入93.4%来自于中国。
在这个关键时间节点,国家接连发出两个公告,启动对“滴滴出行”的网络安全审查以及“滴滴出行”App下架,说明了问题的严重性。对此,至少有三个判断。
第一,显然是违法:滴滴出行肯定是违法了,而且有两个方面违法,一个是《国家网络安全审查办法》,一个是《常见类型移动互联网应用程序必要个人信息范围规定》。
先看看《网络安全审查办法》,这是为了确保关键信息基础设施供应链安全,维护国家安全,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》制定,由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局于2020年4月13日印发,自2020年6月1日起实施。
这其中关键在于《网络安全审查办法》的目的,就是“确保关键信息基础设施供应链安全,维护国家安全”。毫无疑问,鉴于“滴滴出行”掌握数据的重要性,其信息系统及数据存储平台无疑属于“国家关键信息基础设施供应链”。既然要上市,而且是去国外上市,就不去找法律条文了,按正常逻辑,也应该主动申请国家网络安全审查。从目前看,可以确定没有申请审查,直接去美国上市了。这才有国家有关部门对其启动“网络安全审查”的公告。另外,公告明确要求停止新用户注册,也是一种保护数据的措施。
另一个是2021年5月1日起施行,国家互联网信息办公室、工业和信息化部、公安部、国家市场监督管理总局四部门联合印发的《常见类型移动互联网应用程序必要个人信息范围规定》,明确移动互联网应用程序(APP)运营者不得因用户不同意收集非必要个人信息,而拒绝用户使用APP基本功能服务。《规定》明确了39种常见类型APP的必要个人信息范围,包括“滴滴出行”这样的网约车。根据7月4日,国家互联网信息办公室通报内容:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。也就是说,“滴滴出行”这方面也肯定是违法了。
还有一个可能相关的,就是“”数据跨境流动”,查了查,目前没有这方面的法律,在2017年6月,《个人信息和重要数据出境安全评估办法(征求意见稿)》公布了,但一直没有正式出台。目前,有网络传言称,“滴滴出行”把数据打包给了美国,滴滴副总裁李敏予以否认,称绝无可能,将坚决起诉维权。我个人认为,“滴滴出行”胆子没有这么大,国家监管技术也没有这样差,大数据打包出境绝非非一日之功,更不是简简单单发一个文件。但到底情况如何,最终要看国家审查的结果。
第二,关键是数据:滴滴出行拥有大量的大数据,既有个人出行数据、导航数据,包括有这些数据可以衍生出的事关中国经济社会运行的数据,是国家数据跨境管理的重点内容。
“滴滴出行”掌握的数据有哪几类?显然,第一类是导航数据需要的数据,这一点和我们之前讲的特斯拉收集数据有相同之处,就是会掌握基础交通地理信息数据,以及交通态势数据,但和特斯拉又不一样,尤其体现在自动驾驶能力方面。也就是说,对于地理信息和交通数据的收集能力,没有需要自动驾驶的特斯拉那样强大,但基本要素也是应有尽有了。
第二类就是涉及我们使用“滴滴出行”的每个人的行程数据,包括其APP违反规定收集的大量个人隐私数据,如果全面掌握一个人的数据,这个人的住处、工作单位、娱乐场所、亲戚朋友住处等信息完全可以了如指掌。
第三类是大数据聚合得到的更加有价值的数据。比如说北京等大城市的交通态势数据,大城市的人口聚集区,娱乐聚集区。另外,大家经常提到的“大数据杀熟”,也需要对基础数据进行统计分析,有能力对人的行为习惯进行大数据分析,从而得到更深层次的可用数据。当然,进一步,也可可以从这些数据得到对一个城市乃至整个社会国民经济运行态势的关联分析等等,这里面有非常多的可能。
第三,根本是数据所有权,从枪杆子出政权到大数据稳政权,土地所有权到数据所有权,哪些属于国家和人民,始终把握核心资源才是关键
从目前看,商业公司对个人隐私数据的使用,主要应该是为了商业利益,比如大家反映强烈的“大数据杀熟”。此次下架“滴滴出行”APP,就是保护个人隐私,所以肯定大快人心。但上升到国家网络安全审查层面,我们需要更加重视的是危及国家安全的问题,这些数据一旦被别有用心的人,甚至敌对国家和地区掌握,对国家安全的威胁极为巨大。
尤其是美国撤军阿富汗后,明确针对中国准备下一场战争,即网络战争,美军特战部队已经使用APP收集大数据用于作战,美国和台湾当局在2019年11月就开展了首次“网络攻防演习”,明确针对大陆,将对关键信息基础设施和经济社会持久性、混乱性的毁瘫攻击作为超越“抢滩登岸”的置顶选项。
网络战争靠什么呢?就是依靠数据、大数据,一定意义上可以讲,网络战争就是一场数据战争,对数据的获取和保护能力,直接体现出网络攻防的水平。
再深入一个层面思考“滴滴出行”被查,我想起了一篇网文“土改之后,中印从此不同”,讲的就是中印这两个独立时间差不多、人口差不多的邻国,由于中国进行了一场“土改”,土地属于全体人民,所以才有了制度的优越性。自然,也就有了新冠疫情下的中印差异。从社会制度层面讲,中国把土地、医疗等核心资源掌握在自己手里,所以才体现出社会制度的优越性。
现在,网络空间作为主权空间,其实也面临着同样的问题,网络空间的“土壤”、核心资源,也就是大数据,到底掌握在谁手中,其实关系的不仅仅是个人隐私、国家安全,还包括执政地位和人民福祉,也许我们需要一场并非“打土豪、分田地”的“网改”,把基本的大数据资源由国家所有,这样,既不影响企业的健康发展,也有利于制度优势的继续发挥,到底如何,欢迎大家讨论(秦安)。