连续几日,滴滴出行因严重违法违规收集使用个人信息问题遭到国家互联网信息办公室的依法围追堵截,在7月2日被网络安全审查办公室实施网络安全审查后下架了“滴滴出行”app,又于7月9日被下架了“滴滴企业版”等25款app。
来源:中国网信网
然而,就在事情发生的几天前,滴滴出行极其低调的赴美上市,于6月30日登陆纽交所,发行3.168亿股ads(美国存托股份),募资资金达44.352亿美元,为年内赴美上市最大ipo。
不可否认,滴滴出行是一家很成功的互联网公司,经过多年的“野蛮发展”,现已成为中国最大的移动出行平台,拥有年活跃用户超4.93亿,其中,中国出行市场3.77亿用户、海外市场0.6亿用户、其他业务0.56亿用户。在2021年一季度,滴滴出行在中国市场日均交易量达到2500万单,其庞大的用户使用量显而易见。
但是,随着滴滴出行的上市,问题随之而来。去年8月,美国财政部就已明确提出,要对在美上市中国公司的审计底稿实施审查和监管,要求已在美上市公司最迟于2022年1月1日前满足美国上市公司审计监管机构pcaob开展检查的相关要求。对于滴滴出行来说,审计底稿或多或少涵盖了大量的用户个人信息及出行数据。
图片来源:滴滴出行
谁在违规收集使用个人信息近年来,随着移动互联网的快速发展,人们的生活离不开各式各样的app应用程序。用户通过手机号或者邮箱注册就能享受app带来的便利生活。
然而,在app带来的便利生活的同时,app们也在变相收集着海量的用户个人信息和使用信息。很多时候,app们在不停地提醒用户完善个人信息,如果完善信息达到100%就可以享受vip级服务、拥有某些特权,用户也是在这个时候将详细的个人信息交给了app。
“言者无心,听者有意”,有人却对这些个人隐私数据动了心。2018年8月,网曝疑似华住集团5亿条用户数据被泄露,在境外网站公开售卖;2018年9月,顺丰3亿条用户数据疑似泄露,公然在暗网售卖。尽管两家企业均在第一时间都报警,并在内部开展核查工作,其中顺丰方面表示暗网所售数据并非顺丰数据,但是此次亿量级用户信息泄露事件带来的影响是显而易见的。
对于拥有任何量级用户数据的企业来说,他们不仅有保护用户信息、防止用户信息发生泄露的责任和义务,还需要限制收集个人信息的范围,不得采集在app使用过程中的非必要个人信息。
2021年5月1日正式实施的《常见类型移动互联网应用程序必要个人信息范围规定》(以下简称“《范围规定》”)明确列举了39种常见类型app必要个人信息收集范围,其中要求女性健康类、网络直播类、在线影音类、短视频类、新闻资讯类、运动健身类、浏览器类、输入法类、安全管理类、电子图书类、拍摄美化类、应用商店类、实用工具类等13类app无须个人信息便可使用基本功能服务。
对于另外26类app来说,用户主要被抓取的个人信息主要包括注册用户移动电话号码、账号信息、位置信息、电子邮箱、浏览记录、支付信息、出行信息等。这些个人信息的背后都藏着巨大的商业价值,因此也是最有可能被app抓取利用的。
据《2021年app个人信息使用态势分析报告》报告显示,在对近万款活跃app中,共计有56.3%的app疑似存在违规收集使用个人信息的问题,平均每个app存在0.8个违规风险。其中,手机游戏类app、出行旅游app、生活购物app存在违规风险占比前三,均超过60%,成为app违规风险“重灾区”。
据报告显示,在有违规风险的app中,高达64.6%的app疑似存在“未经用户同意收集使用个人信息”的情况;另有26%的app疑似存在“违反必要原则、收集与其提供服务无关的个人信息”的情况;还有10%的app疑似存在“未明示收集使用个人信息的目的、方式和范围”的情况;甚至有5.2%的app疑似存在“未经同意向他人提供个人信息”的行为。
面对迫在眉睫的网络数据安全问题,网络安全审查办公室在5月1日至6月11日期间,先后公开了17类共351款违法违规收集使用个人信息的app并要求整改,其中涵盖了女性健康类、输入法类、安全管理类、短视频类、浏览器类、实用工具类、运动健身类、新闻资讯类、网络直播类、应用商店类等10类无须个人信息便可使用的app。
据《消费者报道》梳理,求职招聘类app是此次披露违规收集个人信息app的“重灾区”之一,此次共披露了51款违规app。据《范围规定》指出,求职招聘类app仅可以收集注册用户移动电话号码和求职者提供的简历。而此类违规app存在问题最多的是“违反必要原则,收集与其提供的服务无关的个人信息”,其中头部app领英、智联招聘、前程无忧51job均存在此类问题。
其后,网络借贷类app也是此次披露违规收集个人信息app的“重灾区”之一,此次共披露了48款违规app。据《范围规定》指出,网络借贷类app只可以收集注册用户移动电话号码以及借款人姓名、证件类型和号码、证件有效期限、银行卡号码等信息。此类违规app存在问题最多的也是“违反必要原则,收集与其提供的服务无关的个人信息”,其中,在美上市公司旗下的360借条、滴滴金融、小赢卡贷等app均榜上有名。
此外,安全管理类、网络直播类、浏览器类、运动健身类、新闻资讯类等类型app违规数量也不低,均超过25款。其中不乏国内市场占有率及使用量前三的app,例如腾讯手机管家-qq微信保护、360手机卫士、虎牙直播、360浏览器、搜狗搜索、百度浏览器、keep、今日头条、腾讯新闻、趣头条等。
依据国家互联网信息办公室的要求,这351款app应已在7月6日之前完成整改。但是,榜中的滴滴金融app因存在严重违法违规收集使用个人信息问题已于7月9日下架。这一情况说明,还是有个别app存在整改不到位的情况。
谁会是下一个滴滴?值得注意的是,滴滴出行并不是此次唯一被网络安全审查办公室实施网络安全审查的公司,运满满、货车帮、boss直聘等3家公司也于7月5日被实施网络安全审查,停止新用户注册。其中,运满满和货车帮的母公司满帮集团(ymm.n)以及boss直聘(bz.o)也是刚刚在6月份赴美上市。
它们都有一个共同点,就是均为拥有海量数据的互联网企业。依照美国财政部的要求,如果这些企业都要在明年之前向美方提交审计底稿的话,那么也意味着这些企业拥有的海量数据存在泄露风险。
当数据积累到一定程度,量变产生质变,那么数据的安全会直接影响国家的安全。为了防止境外上市公司泄露数据,中国证监会早在2009年就颁布了保密规定,禁止境外上市公司向境外审计监管机构提供在中国境内形成的审计工作底稿以供审查和监管。
同时,为了进一步防止数据的外泄,国家互联网信息办公室7月10日发布《网络安全审查办法(修订草案征求意见稿)》,其中第六条显示,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。
来源:中国网信网
据《消费者报道》统计,除已退市公司及已赴港二次上市公司外,还有45家在美上市并拥有海量数据的公司,其数据内容涵盖了国人衣食住行的方方面面。比如,唯品会、拼多多、叮咚买菜、每日优鲜等公司承包了国人的衣食,贝壳、携程网、途牛、滴滴出行、蔚来、理想汽车等公司承包了国人的住行。
在其他方面,无论是中国最大的娱乐社交媒体微博、中国最大的问答类网络社区知乎,还是中国领先的iot云平台涂鸦智能、中国最大的在线医疗美容平台新氧,在运作及使用中都会收集和产生大量数据。简而言之,这类公司也和滴滴出行、满帮集团、boss直聘一样,涉及到网络数据安全问题。
赴美上市或按下暂停键
另一方面,在国家互联网信息办公室严厉监管下,已出现部分拟赴美上市公司撤回赴美上市计划。有传闻显示,中国领先的健身应用keep已撤回赴美ipo计划,中国最大的音频分享平台喜马拉雅和中国最大数据驱动的精确医疗数字平台零氪科技也将在美ipo的计划搁置。
在此之前,中国领先的陌生人社交平台soul和中高档连锁酒店集团亚朵酒店也因为自身原因选择暂停美股ipo。
目前,国内领先的本地出行及生活服务平台哈啰出行、国内知名科技驱动型货运平台福佑卡车及生鲜电商乐活天下已递交美股ipo,暂未传出暂停或撤回ipo的计划。
此外,传闻正考虑或计划赴美ipo并拥有海量数据的互联网企业还有7家左右,包括中国最大的年轻女性社交媒体平台小红书、中国最大的实名职场社交平台脉脉、中国知名财经股票投资论坛雪球等。
有业内人士分析认为,在国家互联网信息办公室的严厉监管下,预计中概股或会再度出现回归潮,例如回港第二次上市或者私有化退市并回a。