滴滴几宗罪?谁可能波及?-电动汽车观察家

滴滴几宗罪?谁可能波及?

DiDi App(1)

滴滴6月30日在美股上市之后,各衙门大棒接二连三打来。滴滴的三魂七魄,一时间丢了大半。

滴滴涉嫌几个罪名呢?

已经被主管部门明确提及的,有:

  • 涉嫌违反网络安全审查办法;
  • 严重违法违规收集使用个人信息;
  • 违法实施经营者集中。

可能会被追加的有:

  • 其他不公平竞争行为;
  • 网约车合规问题;
  • 跨境证券违法等等。

这些罪责,不仅仅是滴滴一家可能涉及,其他智能电动汽车、运营商,以及充电相关行业企业也可能会涉及。

比如,网信办就同样以违法违规收集个人信息、违法实施经营者集中、违反网络安全审查办法三个事由,处罚了其他APP、企业或平台,包括我们熟悉的车企、充电运营商、网约车运营商。

《电动汽车观察家》梳理了滴滴可能违反的各项法律法规的条文及情节,并征询了专家和从业者。

当前智能电动车企、运营商以及充电等相关企业的经营活动,哪些可能遇到监管麻烦?

【本文涉及大量法律法规,关注《电动汽车观察家》公众号(evobserver),并在公众号对话框输入法律包,就可以获得全文提及10个法律法规。】

1

涉嫌违反网络安全审查办法

滴滴上市之后,打出第一棒的,是国家网信办(全称:国家互联网信息办公室,与中央网络安全和信息化委员会办公室,一个机构两块牌子)的网络安全审查办公室。

7月2日,网络安全审查办公室在官方网站发布公告,对“滴滴出行”实施网络安全审查。公告称,为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。

公告援引的直接根据是《网络安全审查办法》(下称《审查办法》)。查国家网信办网站可知,这是第一次援引该法规审查企业。

《审查办法》是国家网信办牵头,国家发改委等12个部委联合制定的部门规章。读条文,《审查办法》规范的是“关键信息基础设施运营者”的采购采购网络产品和服务,影响或可能影响国家安全的行为。目的是“为了确保关键信息基础设施供应链安全,维护国家安全”。

什么样的企业会被定义为“关键信息基础设施运营者”?

根据《网络安全法》和公安部文件,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。这些部门认定各自领域的关键信息基础设施后,要把认定结果通知相关设施运营者并报公安部。

关键信息基础设施类别包括:基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等。

滴滴业务庞杂,已经渗透到各个角落。既采购了大量信息基础设施的服务,也掌握了海量数据。

目前,我们还没有看到通信、交通等部门******的智能电动汽车行业、运营行业被划定为关键基础设施的结果,以及相关运营者名单。

但从网信办先审查滴滴,后来审查“运满满”“货车帮”“BOSS直聘”来看,它们都被认定为关键基础设施运营者。

什么样的行为可能危害关键信息基础设施供应链安全和国家安全?

《审查办法》的******背景,有助于帮我们理解这一点。

根据中伦律师事务所的解读文章,《审查办法》2019年征求意见稿时,正值美国商务部发布《确保信息通信技术与服务供应链安全》行政令征求公众意见不久。征求意见仅一年,《审查办法》就正式通过,和当前的国际政治经济形势密不可分。

美国版的信息通信供应链安全政令,说的非常直白:

鉴于外国对手越来越多地制造和利用信息通信技术与服务中的漏洞以实施恶意的网络行为,包括针对美国及美国人的经济和工业间谍活动。这些信息通信技术与服务存储和传输大量敏感信息、促进数字经济发展、支持关键基础设施和重要紧急服务。鉴于在美国不受限制的获取或使用由外国对手拥有、控制或受其管辖或指导的人士设计、开发、制造或提供的信息通信技术或服务,将增强外国对手创造和利用信息和通信技术或服务中的脆弱性可能带来的灾难性后果,从而对美国的国家安全、外交政策和经济构成特殊威胁。

中国《审查办法》的表达是不针对任何国家。但网信办发布的专家解读中,也提及“政治、外交、贸易等非技术因素导致供应中断的可能性增强,供应商的来源和供应商的可靠性等非技术性因素,已经成为多个国家评估供应链安全风险的重要方面。”

总体而言,《审查办法》最主要的关切点,就是如美国版供应链安全政策所提出的,针对“外国对手”对中国的关键信息基础设施可能带来的威胁。

回到滴滴,在它没有海外上市时,主管部门还没有对它启动网络安全审查的举措,而在上市之后审查,相关性比较明显。滴滴的首要问题,恐怕就在于此。

两位创始人

滴滴出行创始人兼CEO程维(右)、滴滴出行总裁柳青。这次滴滴上市极其低调,应该是股东方、管理层刻意为之。

另外,7月12日,网信办又发出了《审查办法》(修订草案征求意见稿),修订新增部分,几乎全部指向国外上市。特别突出的是,新增“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”

而且,把“国外上市可能带来的国家安全风险”列入重点评估内容。考虑的因素新增了“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。

此外,还将证监会列入网络安全审查工作参与部门;提交审查文件新增“拟提交IPO材料”等等。

《审查办法》及其修订,也是应对美国等国的政策。2020年12月,美国通过了《外国公司问责法》,要求赴美上市的外国企业提供审计底稿,直到美国证监会“满意”为止。如果连续三年不提交,则面临摘牌处罚。而且,赴美上市外国公司还需要说明,是不是有政府控制的股份,还需要提交高管或者上市公司的相关经营实体高管中中共官员的名单等内容。

按常规理解,美国证监会索要的审计文件,应该只与公司经营相关,不应该涉及国家机密等信息。

但一位曾在中国互联网协会标准工作委员会任职的专家告诉《电动汽车观察家》,国家和国家之间的角力,不仅是明面上、法律程序上进行。还有国家的情报战线,也是无所不用其极的。“对方要这个信息是不是恶意的,其实也很难准确判断。它可以用来判断业务真实性,但是如果是用来做别的分析,就可能涉及到国家秘密。”

因此,对于网络安全,智能电动汽车行业及上下游企业,要明确自己是否被列为“关键信息基础设施运营者”,要自行预判采购产品和服务,是否影响或可能影响国家安全。

如果预判有可能影响的,要在与供应商正式签署合同前申报网络安全审查。在国外上市时,包括涉及100万用户用户的运营者,必须向网信办提出申报,否则就会像滴滴一样被事后审查。

2

违法违规收集使用个人信息

打向滴滴的第二棒,还是来自网信办,理由是“严重违法违规收集使用个人信息问题”。

7月4日,网信办发布“关于下架‘滴滴出行’App的通报”。通报要求应用商店下架“滴滴出行”App,并要求滴滴,认真整改存在的问题,切实保障广大用户个人信息安全。

7月9日,网信办再次发布通报,将下架范围扩展到25款滴滴相关App,理由同样是“严重违法违规收集使用个人信息”。

滴滴还在提供下载

滴滴官网还在提供的,只是滴滴国际版的下载

违法违规收集个人信息,可以说是中国互联网服务商、运营商的普遍恶习。仅2021年5月以来,网信办直接发布的违法违规收集个人信息集中通报,就有4起,涉及351个APP。

各类别最为热门的APP几乎全数中招。比如,新闻资讯类的今日头条、腾讯新闻、一点资讯、新浪新闻、搜狐新闻;短视频类的抖音、快手;浏览器类别的浏览器、360浏览器、vivo浏览器、搜狗搜索、百度浏览器;招聘类的领英、智联、前程无忧;导航类的高德、百度、腾讯地图;网络直播类的虎牙;运动类的KEEP……

滴滴在上市之后才被点名“严重违法违规收集使用个人信息问题”,而且直接判定下架,有秋后算账的意思。

不过,对于个人信息的收集,智能电动汽车行业及其上下游所有的推出了APP的企业,都很容易越界。

如何判定个人信息收集的范围?主管部门的原则是“必要”。

国家网信办秘书局在2021年3月联合工信部办公厅、公安部办公厅和市场监督管理总局办公厅,发布了《常见类型移动互联网应用程序必要个人信息范围规定》(下称《范围规定》)。更早的2019年,同样是这四部门,还发布了《App违法违规收集使用个人信息行为认定方法》(下称《认定方法》)。

《范围规定》明确了39类应用的必要信息内容。与智能电动车及上下游相关的,有“地图导航类”“网络约车类”“用车服务类”,车企APP、充换电APP都没有明确说明必要信息范围。

不过,还是可以从《范围规定》列出的必要信息来推测其“必要”的范畴。

像导航类,必要个人信息仅为:位置信息、出发地、到达地。

网约车类,必要个人信息仅为:1.注册用户移动电话号码;2.乘车人出发地、到达地、位置信息、行踪轨迹;3.支付时间、支付金额、支付渠道等支付信息。

车企APP,很多都是社区属性,对照“网络社区类”,必要个人信息仅为:注册用户移动电话号码,其他一概没有。

从这三个类别来看,个人信息的范围非常窄,任何功能之外的信息收集,都属于非必要,收集就是违法违规。

充电类APP,按《范围规定》精神,能收集的必要信息也就是注册用户移动电话、充电车辆信息、充电时间、电量、支付时间、金额、渠道等。

目前国内最大的充电运营商之一特来电告诉《电动汽车观察家》。他们目前唯一必须需要客户提供的只有手机号,作为特来电的登录账号,其他信息均未强制收集填写。

而根据《认定方法》及其上位法《网络安全法》,各类运营商除了要合法收集个人信息,而且对于储存、应用、外传都要按照规定进行,既防止泄露,也防止被过度挖掘。

在这方面,特来电的做法是,收集的数据根据分级分类,自建数据存储集群存储和管理,核心数据进行了加密,并且通过加密API提供服务使用。在与高校进行产学研合作时,相关数据均做脱敏处理,无法从这些数据中反向推导出任何用户信息。其他场景下数据均没有提供给第三方使用。

对于车企而言,在车企APP收集个人信息的数据还不是关键。由于现在汽车充分智能化,整车搭载了多种信息采集器,主要包括摄像头、雷达,还有一批智能新车型准备搭载激光雷达。作为一个智能硬件,整车收集的数据更为丰富,也可能更为敏感。

滴滴自动驾驶双子星(1)

滴滴自动驾驶硬件平台上搭载的感应设备

在这一方面,国家的法律法规、标准正在完善。直接规范智能汽车数据采集和应用的,包括《汽车数据安全管理若干规定(征求意见稿)》(下称《汽车数据规定》)。

《汽车数据规定》对汽车数据管理的要求非常广泛而明确。

首先,基本所有汽车行业参与企业,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等,都被纳入其中,成为汽车数据运营者。

其次,《汽车数据规定》对数据收集和处理,做出了非常细致的规范。

《汽车数据规定》对保护的数据分成了个人信息和重要数据两种。

个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。

重要数据包括:

(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据;

(二)高于国家公开发布地图精度的测绘数据;

(三)汽车充电网的运行数据;

(四)道路上车辆类型、车辆流量等数据;

(五)包含人脸、声音、车牌等的车外音视频数据;

(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。

对于这些信息,《汽车数据规定》倡导运营者处理过程中坚持几个原则:

车内处理原则,除非确有必要不向车外提供;

匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理;

最小保存期限原则,根据所提供功能服务分类型确定数据保存期限;

精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率;

默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。

数据出境,仍然是非常敏感的话题。《汽车数据规定》明确,个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。

目前,《汽车数据规定》还没有正式******。不过,像特斯拉已经明确表示,把中国车主的数据储存在境内。

一位权威网络安全研究者解读说,当前汽车有两种安全问题。第一种,是车辆网联之后,存在被黑客入侵,对车辆或人身可能带来损害。“特斯拉2014年就被我们破解了。2015年之后,国产各种车辆,包括车辆模块,几乎每一个都被我们破解过。”

第二种,是类似滴滴涉及的互联网公司,收集的数据安全问题。首先是收集的个人信息的安全。其次,滴滴的车辆,包括一些公司研发高级别智能驾驶车辆,能对一些机要机关的位置、道路的详细信息做记录,形成高精度地图,或者做大数据分析,就有高度敏感的信息。

“比如说,2015年滴滴研究院所做的一个分析,说哪些部委、什么时间出行等等这些信息,就有一些敏感了。”

考察智能电动汽车整车厂、运营公司、充换电运营公司等等可能涉及的数据管理法律法规,可以看到,主管部门对此管理非常严,对数据必要性的定义很窄。

这一点,可能不利于企业创新,特别是让很多企业经常爱说的故事——基于大数据挖掘,提供衍生服务——可行性变得很小。

各企业所说的衍生服务,一方面并非APP、终端产品服务、功能本身所需,已经越界;另一方面,往往需要收集更多数据,才能发现机会。这两点,都和主管部门的意志相反。

3

垄断及不正当竞争

对滴滴打出第三棒的,是国家市场监督管理总局。

7月7日,市场监管总局发布了互联网领域22起违法实施经营者集中案件。其中,滴滴旗下8家公司牵涉其中,被罚400万元罚金。

这22起案件的事由,都是违反了《反垄断法》第二十一条,构成违法实施经营者集中,但评估认为不具有排除、限制竞争效果,因此仅做罚款处理。

再具体看处罚决定书,滴滴和合营方被罚,主要原因是没有申报,违反的是《国务院关于经营者集中申报标准的规定》第三条规定的申报标准。

该规定的第三条,说明标准是:

(一)参与集中的所有经营者上一会计年度在全球范围内的营业额合计超过100亿元人民币,并且其中至少两个经营者上一会计年度在中国境内的营业额均超过4亿元人民币;

(二)参与集中的所有经营者上一会计年度在中国境内的营业额合计超过20亿元人民币,并且其中至少两个经营者上一会计年度在中国境内的营业额均超过4亿元人民币。

从其逻辑来看,申报标准主要就是体量。简单来说,当你的公司上一年营收超过4亿,还想和超过16亿以上营收的企业合营,就必须申报。哪怕走出了你的主营业务范围,市场份额不高,也需要申报。比如,阿里投资恒大足球,都应该申报。

滴滴主要数据:滴滴在15个国家开展业务;截至2021年3月31日的12个月里,全球年活跃用户4.93亿,活跃司机1500万,日均订单4100万单,全平台总交易额为3410亿元人民币。2018年至2021年3月31日的3年内,平台司机总收入约6000亿元人民币。

滴滴8家子公司被罚,并不是很严重,因为调查判定它没有排除、限制竞争效果。在反垄断方面,滴滴早年和快的、优步的两次合并,也没有申报。主管部门此次集体清算滴滴,这两个重大的合并案,应当如何处理呢?

从事实来看,这两个合并的影响要大得多,三家合并,本意就是排除、限制竞争,因此如果被审查确认,后果要严重得多。

《反垄断法》对于违反规定实施集中的行为,处罚办法是:

由国务院反垄断执法机构责令停止实施集中、限期处分股份或者资产、限期转让营业以及采取其他必要措施恢复到集中前的状态,可以处五十万元以下的罚款。

罚款不值一提,如果被处回复到集中前状态,尽管从现状来看,由于三家合并已经数年,再恢复集中前状态已经不可能,但也不排除滴滴被重新拆分。那对滴滴而言就是近乎致命打击了。

对于其他企业来说,《反垄断法》管制下,滴滴的遭遇和未来风险应该有带来什么启示?

首先,营业额超过4亿的企业,如果要和更大企业合营,应该自查是否需要申报。

其次,市场份额比较大的企业,要自查是否有垄断行为。

其实,《反垄断法》反的不是垄断地位,也不是垄断企业,而是垄断行为。

《反垄断法》确定的垄断行为有三:

(一)经营者达成垄断协议;

(二)经营者滥用市场支配地位;

(三)具有或者可能具有排除、限制竞争效果的经营者集中。

像滴滴和快的、优步的合并,明显涉嫌第三条。而滴滴及其旗下小桔充电平台,要求车辆或者充电运营商签订排他协议等行为,就涉嫌违反第二条。

第一条描述的行为,一般指的是多个企业签订排除、限制竞争的协议、决定或者其他协同行为。也就是各企业搞价格联盟。

智能电动汽车及上下游企业不妨自行对照一下,是否可能会有被反垄断主管部门盯上的行为。

当前,智能汽车生产制造和销售非常分散,基本没有垄断行为的空间。

在充电领域,一些地方市场,运营者的一些协同行为,可能涉及垄断协议。

在网约车运营领域,非常多的滴滴竞争者认为,滴滴一直在滥用支配地位,排除、限制竞争。

在货运运营领域,一家货运平台公司高层表示,主管部门希望推动平台开放融合,而不是以绑定平台形式发展。各平台上也会朝这个方向发展。

滴滴除了涉嫌违反《反垄断法》,还在其他不正当竞争调查、纠纷中被牵涉其中。

今年3月,滴滴旗下的社区团购业务,被市场监督管理总局罚款,理由是低价倾销和价格欺诈。

今年5月,八部委约谈了滴滴等10家车辆运营平台公司,指出网约车平台公司抽成比例高、分配机制不公开透明、随意调整计价规则,以及互联网货运平台垄断货运信息、恶意压低运价、随意上涨会员费等问题,提出整改要求。

平台公司扩张初期以低价、补贴抢市场,后期再以市场地位过度汲取产业链上下游利益,已经是惯常手法。

但是,这一举措越来越受到政府主管部门的制约。

今年7月,市场监督管理总局发布了《价格违法行为行政处罚规定(修订征求意见稿)》,对低价倾销,价格歧视,价格串通,牟取暴利等行为做出规范。该规定还特别单列“新业态中的价格违法行为”,直指大数据杀熟和补贴低价倾销抢市场的行为。

对照此规定,恒大星络充电通、快电等一些新进入充电平台公司的低价抢市场行为,可能涉嫌价格违法。目前,这些企业的低价抢市场举措,已经引发了一些纠纷。在广州、青岛、西安等地,都有运营商投诉,甚至国家电网子公司都在声讨低价抢市场行为。有的地方市场监督管理总局也在约谈相关企业。

除此之外,具体到滴滴,合规问题一直是没有解决的痛点。

滴滴招股书显示,在中国拥有1300万年活跃司机。但是,据全国网约车监管信息交互平台统计,截至2021年5月31日,全国各地共发放网约车驾驶员证344.1万本。即便按344.1万本全数属于滴滴来计算,滴滴也有四分之三的司机不合规。不过,合规司机承接的订单要多一些。订单合规率超过四分之一。

在合规方面,网约车平台商中,来自国企背景的企业,目前合规情况较好,并将其当做核心竞争力来经营。但是在主管部门并未强力管控合规的背景下,这些企业的打法还没有获得实际运营优势。

4

跨境证券违法

除了上面直接打向滴滴的三棒子,中共中央办公厅和国务院办公厅7月6日发出的《关于依法从严打击证券违法活动的意见》(下称《打击证券违法意见》),也可能影响到滴滴。

《打击证券违法意见》的第五条,专论跨境监管执法司法协作。第(十九)说,要加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。

两办联合发布《打击证券违法意见》规格是很高的。证监会主席易会满特意接受新华社专访。他阐释的《打击证券违法意见》意图,主要还是应对上市公司财务造假和内幕交易、操纵市场等违法行为呈高发态势,维护的是国内证券市场的秩序。

不过,滴滴此次刚一挂牌,就被主管部门连番问责,很多投资者质疑滴滴是否充分披露了风险。

滴滴股价走势2

目前,已经有投资者在美国发起了对滴滴的诉讼。在国内,从事跨国举报和跨国证券集体诉讼业务的北京郝俊波律师事务所主任郝俊波,也在微博上征集滴滴、满帮和BOSS直聘的投资者。

郝俊波告诉《电动汽车观察家》:“滴滴受损失的投资者联系我们的比较多,Boss直聘和满帮,目前还没有投资者明确有参加诉讼的请求。”

对于滴滴、满帮、BOSS直聘被《网络安全审查办法》这一规范“关键信息基础设施运营者”的规章所涉及,他认为,定义确实有点儿宽,但是基本上符合这些互联网平台公司行业的性质和特点。“因为他们的确是掌握用户的相关的信息,如果没有这种信息,他们也无法提供相关的服务。”

对于国家收紧境外上市的信息、数据管理,他认为,涉及网络信息安全方面的企业跨境上市的监管,国家肯定是收紧趋势。以后如果涉及较多用户信息的企业,要境外上市,会面临监管部门更严格的审查。

但他也强调,既然是要上市成为公众公司,那么充分披露信息就是必要,否则就不要上市。

很多业内人士都认为,滴滴此次遭遇主管部门一齐重锤,导火索就是违反了主管部门意志,强行在美国上市。

根据《打击证券违法意见》,此前通过VIE架构境外上市的公司,会增加国内审查程序,堵住漏洞。有志于海外上市的智能电动汽车产业链企业,不仅需要主管部门确认,也需要证券主管部门的认可。特别是关于跨境的信息、数据流通,要慎之又慎。

滴滴vie结构

还有业内人士直白指出,滴滴此劫,违法违规收集个人信息,垄断行为,不正当竞争行为都不是关键,还是在境外上市过程中,可能涉及了信息、数据外泄的情节,引发主管部门对国家安全的担忧。主管部门近期收紧的各项监管政策,也主要指向互联网平台公司,制造业等实体经济部门影响不大。

但是,侵害网络安全、违法违规收集信息、垄断行为、不正当竞争行为、跨境上市的数据安全等问题,都是有法律法规依据,是近年来主管部门自身的关切所在。智能电动汽车及相关行业,尽管是中国战略新兴产业,但也需要了解熟悉相关法律法规和标准,依法依规发展。

凡事预则立,不预则废。

本文由 电动汽车观察家 作者:电观 发表,其版权均为 电动汽车观察家 所有,文章内容系作者个人观点,不代表 电动汽车观察家 对观点赞同或支持。如需转载,请注明文章来源。
25

发表回复