數據倫理、國家安全與海外上市: 基于滴滴的案例研究
2021-08-23 02:17:41韓洪靈陳帥弟劉杰陳漢文
財會月刊·上半月 2021年8期
韓洪靈 陳帥弟 劉杰 陳漢文
【摘要】數據這一新興生產要素在改變全球經濟發展模式與重塑企業商業模式的同時, 也逐步產生了新的系列倫理問題, 即數據倫理問題。 國家網信辦對滴滴等系列海外上市企業啟動網絡安全審查將對我國企業數據倫理治理與數據安全監管產生深遠的影響, 具有標志性的變革指向意義。 為此, 本文基于滴滴案例, 對其商業模式下所內隱的潛在數據倫理問題以及數據倫理、數據安全與國家安全之間的基本關系進行初步的研究。 研究表明: 互聯網平臺企業的數據倫理問題是引發國家安全審查的底層誘因, 而數據主權則是引發該類審查的直接誘因; 在美國頒布《外國公司問責法案》的背景下, 為降低海外上市企業數據跨境流動所可能導致的國家安全風險, 我國監管部門有必要設置合理的前置審批程序、長臂管轄規則以及數據跨境監管合作。 本文的研究旨在促進學術界與監管部門關注、重視并探索特定商業模式可能會內隱特定倫理問題這一新興的經濟現象與學術命題; 意在啟發在數據倫理治理與監管變革背景下, 企業應建立并秉承倫理是可持續競爭優勢的本質來源這一基本價值創造理念。
【關鍵詞】滴滴出行;數據倫理;數據安全;國家安全;海外上市
【中圖分類號】 F274.6;F49? ? ?【文獻標識碼】A? ? ? 【文章編號】1004-0994(2021)15-0013-11
一、引言
2021年6月30日, 擁有海量數據、依托“大數據”賦能的滴滴出行①(簡稱“滴滴”)在美國紐約證券交易所上市, 股票代碼為“NYSE: DIDI”, IPO發行定價為14美元, 上市首日市值最高達800億美元。 2021年7月2日, 國家互聯網信息辦公室(簡稱“網信辦”)發布公告: “為防范國家數據安全風險, 維護國家安全, 保障公共利益, 依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》, 網絡安全審查辦公室按照《網絡安全審查辦法》②, 對‘滴滴出行實施網絡安全審查。 為配合網絡安全審查工作, 防范風險擴大, 審查期間‘滴滴出行停止新用戶注冊。 ”這是我國自《網絡安全審查辦法》發布以來的首次公開審查行動。 2021年7月4日晚, 網信辦再次發布了關于下架“滴滴出行”App的通報③。 2021年7月5日, 對滴滴的審查掀起聯動效應, 網信辦接連宣布對“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查, 同樣要求審查期間停止新用戶注冊④。 2021年7月9日, 網信辦再次通報, 要求“各網站、平臺不得為‘滴滴出行和‘滴滴企業版等上述25款已在應用商店下架的App提供訪問和下載服務”⑤。 可以預見, 對滴滴等系列海外上市互聯網平臺企業開展網絡安全審查將對我國企業數據倫理治理與數據安全監管產生深遠的影響, 具有標志性的變革指向意義。
數據這一新興生產要素在改變全球經濟發展模式與重塑企業商業模式的同時, 其使用過程中也逐步產生了新的系列倫理問題[1] , 即數據倫理問題(Data Ethics)。 近年來, 我國高度重視數據倫理問題與數據安全風險。 2021年6月10日, 《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式頒布, 并將于2021年9月1日起正式實施。 《數據安全法》(2021)將與《國家安全法》(2015)、《網絡安全法》(2017)、《網絡安全審查辦法》(2020)共同構成我國數據安全范疇下的法律框架。 此外, 2021年3月, 網信辦秘書局、工信部辦公廳、公安部辦公廳以及國家市場監督總局辦公廳聯合發布《常見類型移動互聯網應用程序必要個人信息范圍規定》, 明確了地圖導航、網絡約車、即時通信、網絡購物等39類常見類型移動應用程序必要個人信息范圍, 要求其運營者不得因用戶不同意提供非必要個人信息而拒絕用戶使用App基本功能服務。
對滴滴等系列海外上市互聯網平臺企業開展網絡安全審查的系列行動表明, 一直以來所存在互聯網企業的數據倫理問題將逐步引起關注、重視, 并引發監管與治理變革。 本文從滴滴的商業模式出發, 首先分析其商業模式下所存在的潛在數據倫理問題; 進而, 基于滴滴案例對互聯網企業數據倫理、數據安全與國家安全之間的基本關系與因果邏輯進行初步的考察與分析; 在此基礎上, 對中國企業海外上市在數據安全監管領域所面臨的挑戰加以探討, 并力圖提出相應的解決方案。
二、滴滴的商業模式: 基于數據智能驅動
(一)滴滴的發展歷程及其業績表現
2012年9月, 滴滴App正式上線, 通過“手機對手機”模式在網約車與乘客之間實現了“司乘”的快速匹配, 憑借信息技術賦能大幅提高了乘客出行和司機運營效率。 2014年1月, 滴滴與微信達成戰略合作, 開啟微信支付打車費“補貼”營銷活動, 通過大量補貼快速培養了用戶習慣, 聚攏了大量活躍用戶, 由此移動出行開始在中國普及。 截至2021年3月31日, 滴滴總資產為1581億元, 已在包括中國在內的15個國家及地區約4000多個城鎮開展業務, 擁有全球年活躍用戶近5億, 全球年活躍司機約1500萬, 平均日交易量達到4100萬單, 已促成超過 500 億筆累計交易⑥。 滴滴旗下業務涵蓋網約車、出租車、順風車、共享單車、共享電單車、貨運、金融和自動駕駛等, 是一家“世界上最大的移動出行技術平臺”。
自成立以來, 滴滴已先后完成23輪融資, 融資總額超過200億美元, 曾被稱為“史上融資最多的未上市科技公司”⑦, 表1列示了滴滴IPO前的融資過程與估值演變。 多輪融資導致滴滴IPO之前外部投資人持股占比已達到約90%。 滴滴IPO前的股權結構和表決權如表2所示。 其中, 軟銀愿景基金(Softbank Vision Fund Entity)持股21.5%, 為最大單一股東; Uber、騰訊分別持股12.8%、6.8%, 滴滴創始人兼CEO程維(持股7%)、聯合創始人兼總裁柳青(持股1.7%)和高級副總裁朱景士等所有的董事和高管合計僅持有10.5%的股權和20.1%的投票權。 滴滴招股說明書顯示, 為了能繼續保持對滴滴的控制, 按照1∶10的超級投票權設定, 程維、柳青和朱景士三人合計投票權為52%⑧。
從業績層面來看, 滴滴自成立以來一直處于虧損狀態, 累計虧損約600億元。 2018 ~ 2020年期間, 滴滴在公認會計原則(GAAP)口徑下的凈虧損仍分別高達149.8億元、97.3億元和106.1億元; 然而, 滴滴在招股說明書里強調指出, 近三年其在非公認會計原則口徑下的息稅前凈虧損(non-GAAP EBITA)則分別為86.47億元、27.64億元和83.81億元, 如表3所示。
從業務層面來看, 滴滴的平臺收入及會計準則下的營業收入的增加并非來自基本面的改善, 而是伴隨平臺壟斷所帶來的對司機分成的進一步縮減所致, 如表4所示。 2018年以來, 滴滴的國內外交易量(transactions)增幅有限, 2020年交易量為90.98億(增幅為-5.53%), 部分源于新冠疫情帶來的出行減少; 2020年, 滴滴的交易總額(GTV)為2145.86億元(增幅為-4.77%), 而其平臺分成收入(Platform Sales)卻大幅增長到34.66億元(增幅為43.27%)。 滴滴平臺收入定義為交易總額減去支付給司機和合作伙伴的所有收益和獎勵、通行費、稅收及其他費用等。 鑒于通行費、費用、稅收的波動相對有限, 在滴滴交易量及交易總額增長幾乎可忽略不計的前提下, 滴滴主要通過降低司機和合作伙伴的收益、獎勵以增加自己的分成收入, 這主要是由于滴滴在中國移動出行業務領域具有極高的市場占有率所形成的定價能力導致的。
(二)滴滴的業務體系: “三大現有業務”與“四大未來戰略”
滴滴招股說明書將其業務體系拆解為“三大業務”(國內業務、國際業務、其他創新業務)和“四個核心戰略板塊”(共享出行平臺、汽車解決方案、電動出行、自動駕駛)。 前者代表滴滴現有業務的收入構成, 后者則是滴滴未來的戰略規劃, 兩者都需要充分挖掘數據的“潛在價值”? 。 根據滴滴招股說明書梳理其業務體系如圖1所示。 圖中的核心業務源于“三大業務”中的國內業務下的出租車、快車、專車、順風車等出行服務, 該業務的運行架構在于利用收集的用戶數據和司機數據, 形成滴滴的核心數據, 從而以數據“智能”更好地運行平臺。 國際業務和其他創新業務因占比較小, 均歸于其他業務, 其中: “前向其他業務”泛指利用核心業務所收集的數據, 面向用戶收費的業務模式; “后向其他業務”則泛指利用數據面向B端收費的業務模式。
如表5所示, 2018 ~ 2020年期間, 滴滴“三大業務”總營業收入分別為1352.88億元、1547.86億元(較上年增加14.41%)、1417.36億元(較上年減少8.43%), 營業收入中95%來自國內業務。 滴滴的年活躍用戶和年活躍司機中, 3.77億(約76.47%)為中國用戶和1300萬(約86.67%)為中國司機。 其他業務包括國際業務和其他創新業務, 2020年滴滴其他業務實現收入57.58億元, 占營業收入的4%左右, 同比增長18.21%。 其中: 國際業務目前在營業收入中占比很小, 低于2%, 滴滴在招股說明書所披露的計劃中表明會將約30%的募資金額用于擴大中國以外國際市場的業務? ; 其他創新業務包含了除共享出行平臺外的汽車解決方案、電動出行、自動駕駛等滴滴新業務板塊, 滴滴的“四個核心戰略板塊”在拆分四大板塊的基礎上進行獨立融資。
如表5所示, 從成本端來看, 得益于營業成本的有利管控, 2018 ~ 2020年期間, 滴滴的營業毛利及營業毛利率一直呈現快速上漲的趨勢, 2020年的營業毛利率已達到11.24%, 而導致凈收益一直為虧損狀態的主要原因在于營銷費用、研發支出、管理費用三個項目持續性上升? 。 滴滴在銷售費用上的居高不下源于網約車行業嚴重同質化, 且用戶轉換成本低; 在研發和營運上持續性的投入增加是基于自身未來在四大核心戰略板塊上的發展所需, 以期轉化為滴滴未來的增長引擎。
(三)滴滴的商業模式: 基于數據智能驅動
Nunan和Domenico[3] 指出, 大數據帶來的影響可以由三個方面構成: 一是與不斷增加的數據收集量相關的技術; 二是側重于通過從已有數據中產生更有效的數據信息, 從而可以為組織增加的商業價值; 三是考慮數據使用所帶來更廣泛的社會影響, 特別是對個人隱私的影響, 以及對這些數據商業使用道德的監管和指導方針的影響。
總體而言, 滴滴是典型的以數據智能為驅動的移動互聯網公司, 其商業模式以數據思維為引領, 以數據資產為基礎, 以數據技術為核心。 滴滴將乘客與司機通過平臺短期匹配到一起, 從而獲取了大量的交易數據和運營數據, 通過對數據的處理、分析和挖掘, 使數據具有“智能”, 進而更好更快地發展現有業務、開拓新的業務板塊。滴滴透過數據智能驅動, 不斷將數據潛在價值變現。 滴滴應用大數據技術分析客戶行為和出行數據, 進而將數據驅動的思維模式變為現實, 并凸顯其數據智能商業模式的優越性: (1)通過海量的出行服務和乘客使用信息不斷擴充現有的數據庫, 形成實時更新的數據資源, 為滴滴提供源源不斷的數據供給; (2)通過提高司機效益、便捷乘客出行、保障司乘安全, 使用戶逐漸形成路徑依賴, 即擁有大量的活躍用戶; (3)采用大數據技術和人工智能技術、大數據架構、數據平臺、數據科學、數據治理等保障滴滴數據實現價值變現。 滴滴的數據智能驅動模型如圖2所示。
從未來的應用場景來看, 滴滴在共享出行平臺、汽車解決方案、電動出行和自動駕駛的“四個核心戰略板塊”下可以不斷打造豐富的應用場景, 如表6所示。 此外, 鑒于滴滴實時、多元的海量數據, 可以勾勒出不同城市的交通、教育、醫療、行政資源的分布, 長期的數據觀察和分析結果甚至可以逐漸反映出所處城市的經濟、社會的發展情況, 這一系列數據可以演化成為與國家安全相關的核心數據。
三、滴滴的數據倫理與國家安全風險: 初步的考察與分析
在數字時代, 數據已經成為許多公司核心競爭力的來源。 數據地位的提升, 導致數據本身的倫理問題被提上了日程[4] 。 數據倫理問題通過數據濫用、數據安全、數據霸權、算法霸權和算法歧視等形式呈現出來[5] , 而其本質是對隱私權、數據權、人類自由和社會公平等的侵害[6] 。 解構“滴滴事件”的底層邏輯在于特定商業模式下的數據倫理問題, 正是這些數據倫理問題又可能進一步引發數據安全與國家安全風險。
(一)滴滴商業模式內隱的潛在數據倫理問題
在滴滴基于數據智能驅動的商業模式中, 融合算法、規則、數據的智能化系統引發了滴滴平臺在價格歧視、濫用市場地位、數據的非法收集和濫用、數據安全等數據倫理問題。 在滴滴的商業模式中, 內隱的潛在數據倫理問題包括以下幾個方面:
1. 數據過度采集和違規使用。 當數據在價值鏈中處于核心地位時, 數據智能驅動的公司很可能會在沒有征得用戶、消費者或其他利益相關者同意的情況下過度采集和濫用其信息, 從而侵犯用戶、消費者和社會公眾等利益相關者的數據權利。
在滴滴數據的采集環節, 滴滴在《個人信息保護及隱私政策》中強調了對個人信息的收集、保存、使用、共享的權利。 根據滴滴早期的《個人信息保護及隱私政策》? , 其中定義的個人信息范圍包括身份證號碼、面目識別特征、錄音錄像、銀行卡號、IP地址, 這些信息的收集已遠遠超出正常使用滴滴平臺核心功能所需。 2021年7月6日, 深圳公布了《深圳經濟特區數據條例》(簡稱《數據條例》), 內容涵蓋了個人數據、公共數據、數據要素市場、數據安全等方面, 是國內數據領域首部基礎性、綜合性立法? , 提出打擊過度采集個人信息以及App“不全面授權就不讓用”。
在滴滴數據的運用環節, 滴滴《個人信息保護及隱私政策》在“個人信息的共享、轉讓、公開披露”中明確表示滴滴在部分情況下, 會對外共享個人信息, 其中包括共享給滴滴的關聯公司以及共享給業務合作伙伴, 而滴滴的合作伙伴包括廣告、分析服務商、供應商、服務商和其他合作方。 根據《中華人民共和國個人信息保護法(草案)》(簡稱“草案”)? , 第二十四條“個人信息處理者向第三方提供其處理的個人信息的, 應當向個人告知第三方的身份、聯系方式、處理目的、處理方式和個人信息的種類, 并取得個人的單獨同意。 接收個人信息的第三方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。 第三方變更原先的處理目的、處理方式的, 應當依照本法規定重新向個人告知并取得其同意。” 顯然, 滴滴對個人信息的數據共享是不符合規定的。 2021年7月4日, 網信辦發布消息證實“滴滴出行”App涉嫌嚴重違法違規收集使用個人信息。
2. 數據算法帶來價格歧視。 價格歧視(Price Discrimination)實質上是一種價格差異, 通常指商品或服務的提供者在向不同的接受者提供相同等級、相同質量的商品或服務時, 在接受者之間實行不同的銷售價格或收費標準。 滴滴的價格歧視分為以大數據殺熟為代表的一級價格歧視和分類定價的二級價格歧視。 滴滴的大數據殺熟是基于數據算法優勢而形成的用戶畫像(包括性別、年齡、地點、搜索詞、生活方式、收入等), 精準把握消費者支付意愿, 估計消費者個人愿意為平均出行支付的最高價格, 從而逐漸從統一的定價標準演變成個性化的定價[7] 。 在個性化定價中, 每個消費者都被剝奪了他們的消費者剩余? , 這是對消費者剩余財富的攫取。 大數據殺熟的本質是利用信息不對稱, 通過收集的數據扭曲價格形成機制。 滴滴的多層收費是基于不同偏好的消費者, 由他們選擇消費定價, 對于認為滴滴定價過高的消費者, 滴滴推出“花小豬”, 采用“一口價模式”“百元現金天天領”“分享好友得津貼”等低價方式來提供另一個出行選擇, 即同一位乘客, 同樣的終點起點, 兩個不同的平臺下單訂單金額可能相差巨大, 這使得即使在“花小豬”合規率極低的背景下, 花小豬的業務依舊能實現快速成長。 而隨著價格歧視的進一步演變還會影響收入分配, 從而加劇社會分化。 《數據條例》也首次確立了數據公平競爭有關制度, 如針對數據要素市場“大數據殺熟”等競爭亂象, 明確將處罰上限設為5000萬元。
3. 數據霸權催生壟斷主義。 數字時代的數據霸權正在挑戰社會正義與社會公平, 即成為影響社會發展的一道隱形障礙, 可能造成數字時代“強者越強, 弱者越弱”的“馬太效應”? ?。 數據霸權對社會公平的危害, 一方面表現為少數企業憑借數據壟斷優勢, 可以輕松地獲取高額利潤, 如互聯網公司不斷通過并購實現 “數據孤島”的互聯, 壟斷大量數據資源; 另一方面, 中小企業和普通創業人員因沒有掌握數據資源而面臨經營發展的困境。 滴滴作為網約車業務的“數據大亨”, 2015年2月, 滴滴與快的合并后的市場份額曾一度超過90%, 引發市場對滴滴的壟斷質疑。 2016年8月, 滴滴與優步中國區合并, 再一次鞏固了滴滴在中國網約車市場的龍頭地位。 濫用市場地位是具有領先優勢的平臺常見的競爭手段, 如果滴滴的壟斷地位得到了鞏固和確定, 滴滴會通過惡意排他, 限制其他中小網約車企業競爭, 進而極大地削弱行業的持續創新動力。
(二)滴滴數據倫理可能引發數據安全與國家安全風險
1. 滴滴的數據處理與《數據安全法》。 伴隨著數據使用頻率的增加、數據化場景的豐富, 以及數據處理技術和水平的提升, 會產生基于數據處理的一系列新型數據安全風險。 數據安全風險主要指大數據分析結果導致的國家、社會、個人利益的損失, 即“數據外部性風險? ?”。 在本質上, 數據安全風險(外部性風險)來源于數據倫理。 實際上, 隨著數據跨境流動等趨勢的愈發常見, 數據已然轉換為關乎國家安全價值的利益形態。 數據安全將侵犯個人、群體乃至國家的利益, 進而限制人的自由和影響社會公平, 而涉及國家隱私的核心數據的則會引發國家安全問題。
將于2021年9月1日起正式施行的《數據安全法》第三條第3款規定: “數據安全, 是指通過采取必要措施, 確保數據處于有效保護和合法利用的狀態, 以及具備保障持續安全狀態的能力。 ” 《數據安全法》以基本法的形式明確了我國數據安全治理體系的頂層設計, 從而有效應對數據這一新興領域的國家安全風險。 《數據安全法》直接以“數據處理活動”作為管轄范圍, 數據處理包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。 《數據安全法》規范“數據處理活動”的主要條款如表7所示。
2. 滴滴引發國家安全審查的主要法律依據。 近年來我國數據監管水平逐漸提升, 除了有針對數據處理進行管轄的《數據安全法》, 還有《國家安全法》《網絡安全法》《網絡安全審查辦法》, 它們共同構成數據安全范疇下的法律框架。 《國家安全法》強調了應對影響或可能影響國家安全的外商投資、特定物項和關鍵技術、網絡信息技術產品和服務、涉及國家安全事項的建設項目等進行國家安全審查。 《網絡安全審查辦法》《網絡安全法》則將網絡安全審查的對象進一步限定為關鍵信息基礎設施的運營者, 即要啟動網絡安全審查, 其主體必須符合該要求。 《網絡安全法》第三十一條將關鍵信息基礎設施定義為“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域, 以及其他一旦遭到破壞、喪失功能或者數據泄露, 可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施”。 公安部于2020年7月22日發布并于當日生效的《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》(簡稱《意見》)中進一步明確了對關鍵信息基礎設施確定標準: “應將符合認定條件的基礎網絡、大型專網、核心業務系統、云平臺、大數據平臺、物聯網、工業控制系統、智能制造系統、新型互聯網、新興通訊設施等重點保護對象納入關鍵信息基礎設施。 ”
根據滴滴在云平臺、大數據平臺、新型互聯網等數據智能的商業模式本質及其行業屬性, 可以判斷滴滴屬于公路水路運輸行業領域的關鍵信息基礎設施的運營者? 。 滴滴所處的“關鍵信息基礎設施的運營者”? ? ?地位是對滴滴實行法律審查的基礎依據, 這也體現了滴滴數據的特殊性。 因此, 對滴滴實行網絡安全審查的法律依據可以概括為如表8所示。
3. 滴滴引發國家安全審查的直接誘因: 數據主權。 滴滴商業模式內隱的數據倫理問題是解構對滴滴實行國家安全審查的底層誘因, 而數據主權(Data Sovereignty)問題則是引發對滴滴進行國家安全審查的直接誘因。 滴滴在招股說明書里明確披露了數據相關的風險? , 指出中國政府監管有可能導致罰款、停止商業運營、撤銷執照, 甚至是刑事責任。 數據主權指一個國家對其政權管轄地域范圍內個人、企業和相關組織所產生的數據擁有的最高權力[8] 。 未來, 擁有對海量數據開發、傳播和控制主動權和主導權的國家, 就擁有數據主權[9] 。
處于信息技術領先地位的國家可攫取更大的權力, 相應地, 信息技術相對落后的國家則會失去很多權力[10] 。 滴滴所擁有的數據包括乘客主動產生的數據和被動留下的數據, 在收集、存儲、使用數據的過程中, 滴滴積累了大量的國家級別數據。 2020年10月, 一直使用第三方地圖的滴滴, 注冊了新商標“滴滴地圖”, 滴滴的司機和乘客每天會上報數十萬量級的路況事件, 基于生態事件運營發布平臺和大數據、AI技術, 滴滴能實時更新地圖生態數據, 進一步為共享出行網絡提供更好、更安全的出行體驗, 提升出行效率。 目前, 滴滴地圖基礎數據的準確性已超95%? 。 滴滴也在海量數據的更新背景下, 不斷收集來自城市交通、教育、醫療、行政資源的分布的核心數據, 滴滴除了擁有基礎的出行數據和使用記錄, 還通過數據分析進一步研判中國的大政方針、重大措施? ?。 這些關乎國家基礎設施建設和國家發展的底層數據, 實際上鋪設了一個高度依賴于數據網絡的國家安全信息體系。 任何一個信息技術本身都可能存在安全漏洞, 滴滴的潛在技術漏洞可能導致數據泄露、偽造、失真。 如果滴滴將用戶數據、地圖信息以及使用過程中的國家統計數據等泄露至海外, 實際上就相當于將國家的核心機密外泄, 侵犯了國家的數據主權。
四、中國企業海外上市的數據安全監管問題: 挑戰與應對
以滴滴為例, 在美國上市以后, 它必須按照《外國公司問責法案》(Holding Foreign Companies Accountable Act)呈交以審計底稿、亦或是用戶數據和城市地圖為代表的部分數據, 這些都是關乎國家數據主權的核心數據。 海外上市后, 不排除滴滴在美國監管壓力下可能存在數據跨境流動的數據安全隱患, 包括因高管人為的主動泄露和因海外監管壓力、網絡安全體系和技術能力不足而帶來的被動泄露, 這些都可能直接影響國家安全、公共利益和社會穩定。
(一)挑戰: 海外上市、《外國公司問責法案》與跨境數據流動困境
跨境數據流動(Transborder Flows of Personal Data)這一概念最早是在 20 世紀 70 年代由經濟合作與發展組織(OECD)提出的。 隨后 OECD 于 1980 年發布《隱私保護與個人數據跨境流動指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)將其定義為“跨越國境的個人數據移動”[11] 。 數據跨境流動也被定義為“指企業或機構將在所在國產生和收集的各類數據, 提供給其他國家和機構的行為”[12] 。 進入 2010年代以來, 數據跨境流動規則發展將主要圍繞組織(公共)數據安全保障和合理利用展開[13] 。 筆者認為, 對跨境數據流動進行監管的核心意義在于維護國家數據主權, 保障國家數據安全。
2020年12月, 美國國會最終通過《外國公司問責法案》并經總統簽署后正式生效。 該法案對外國公司在美上市提出額外的信息披露要求, 規定任何一家外國公司連續三年未能遵守PCAOB的審計要求將禁止上市,? PCAOB要求享有定期檢查在美注冊的會計師事務所的權力, 包括可以自由查閱審計工作底稿。 同時, 該法案還要求在美上市公司證明其“不是由外國政府擁有和控制”、要求“發行人必須在PCAOB無法進行上述檢查的每一年份, 向SEC披露國有股比例、屬于中國共產黨官員的董事的姓名等信息”, 該法案具有明顯的證券監管政治化趨勢[14] 。 2020年3月正式實施的《證券法》則強調: “國務院證券監督管理機構可以和其他國家或者地區的證券監督管理機構建立監督管理合作機制, 實施跨境監督管理。 境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動。 未經國務院證券監督管理機構和國務院有關主管部門同意, 任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料。 ”可見, 中美兩方對于中概股提供和獲取的數據口徑要求的不統一, 加大了中國企業海外上市的難度, 甚至會倒逼已在海外上市的企業從美國證券市場退市。 在某種程度上, 美方對中概股的一系列監管的本質是裹挾于治理和管制外衣下對我國國家安全的潛在侵害。
美國《外國公司問責法案》的發布導致部分中概股企業面臨更加嚴峻的生存挑戰, 它們既受制于《外國公司問責法》, 又要考慮基于跨境數據流動的數據安全監管和跨境監管合作問題。 以滴滴為例, 因海外上市導致可能的數據跨境流動, 進而引發的一系列新的問題, 如個人隱私泄露和國家安全問題, 以及為解決隱私泄露和國家安全問題而需要付出更多的管理成本、安全成本和經濟成本。
(二)應對: 前置審批程序、長臂管轄規則與跨境數據監管合作
針對海外上市企業數據跨境流動引發的潛在風險, 有必要針對海外上市之前設置合理的境內前置審批程序以及針對海外上市之后設置合理的境內長臂管轄? ?規則, 并在此基礎上完善針對海外上市企業的數據跨境監管合作。
1. 針對海外上市之前: 設置必要的前置審批程序。 滴滴上市采用的是“小紅籌”模式? , 這是境內民營企業海外上市普遍采用的模式, 由于上市主體注冊地在海外, 目前證監會沒有職能對其進行審批, 未設置相關的境內前置審批程序? 。 滴滴正是利用了前置審批程序這一缺口, 成功避開了掌握國家核心數據的關鍵信息基礎設施的敏感身份, “快速且低調”地在海外上市。
對海外上市中國企業設置合理的境內前置審批程序可以更好地規范海外上市企業的后續發行, 盡早發現部分海外上市企業的違法違規行為。 具體來說, 境內前置審批程序可以在上市前審核企業的基本情況, 尤其是對于滴滴這一類握有國家敏感數據的企業, 可以在前置審核程序中審核企業的特殊數據, 以確定企業在海外上市后是否會因數據泄露引發國家安全風險。
2. 針對海外上市之后: 設置合理的境內長臂管轄規則。 中國未來的數據保護立法應結合自身數據產業的特點, 明確立法旨意, 形成內外聯動, 在國際互聯網和數據治理中采取積極有為的態度, 掌握該領域的話語權[14] 。 對于具有海量數據的中概股企業, 如何確保企業上市后的數據使用的合規, 出于對國家數據安全的保護, 這就需要落實對海外上市企業數據的“長臂管轄”。
我國《數據安全法》首次確認了對數據的長臂管轄權, 其第三十六條就有明確規定, 國家將根據國際條約、協定或平等互惠原則, 處理外國司法或者執法機構關于提供數據的請求, 非經中華人民共和國主管機關批準, 境內的組織、個人不得向外國司法或者執法機構提供存儲于中華人民共和國境內的數據。 新《證券法》也確立了“長臂管轄”原則, 其第二條第四款規定: “在中華人民共和國境外的證券發行和交易活動, 擾亂中華人民共和國境內市場秩序, 損害境內投資者合法權益的, 依照本法有關規定處理并追究法律責任。” 此外, 在滴滴事件發生后, 2021年7月6日, 中共中央辦公廳、國務院辦公廳聯合發布了《關于依法從嚴打擊證券違法活動的意見》, 該意見強調了“加強中概股監管, 切實采取措施做好中概股公司風險及突發情況應對, 推進相關監管制度體系建設”“建立健全資本市場法律域外適用制度。 抓緊制定證券法有關域外適用條款的司法解釋和配套規則, 細化法律域外適用具體條件, 明確執法程序、證據效力等事項。 加強資本市場涉外審判工作, 推動境外國家、地區與我國對司法判決的相互承認與執行”。
3. 完善針對海外上市企業的數據流動跨境監管合作。 在數據跨境流動的問題上, 我國既有對等反制數據流向外國的法律工具需求, 又有強烈的經濟發展現實法律保障需求。 跨境數據流動涉及部門多、鏈條長, 國家之間或國家與地區之間監管協調難度較大[15] 。 一直以來, 我國跨境證券監管合作雖在多種協作形式上都有所涉及, 但有效協作方式還比較單一[16] 。 自《外國公司問責法》實施以來, 對于解決中美雙方一直爭執的審計底稿問題, 中方一直呼吁以中美跨境監管合作的形式展開, 但效果甚微。
各國出于對數據行業發展、隱私保護傳統、國家立場和國家安全觀念等核心議題的考慮, 對數據出境實施了不同水平的限制[17] 。 在海外上市數據跨境流動的背景下, 對數據的跨境監管合作也成為緩解數據跨境流動問題的有力舉措。 《關于依法從嚴打擊證券違法活動的意見》也強調了進一步加強跨境監管執法司法協作, 包括“完善數據安全、跨境數據流動、涉密信息管理等相關法律法規”, 提出“進一步深化跨境審計監管合作, 探索加強國際證券執法協作的有效路徑和方式”。
五、總結與研究意旨
數據這一新興生產要素在改變全球經濟發展模式和重塑企業商業模式的同時, 在其使用過程中也逐步產生了新的系列倫理問題, 即數據倫理問題。 網信辦對滴滴等系列海外上市互聯網平臺企業開展網絡安全審查將對我國企業數據倫理治理與數據安全監管產生深遠的影響, 具有標志性的變革指向意義。 為此, 本文從滴滴的商業模式出發, 分析了其商業模式下所存在的潛在數據倫理問題; 基于滴滴案例對互聯網平臺企業數據倫理、數據安全與國家安全之間的基本關系與因果邏輯進行了初步的考察與分析; 對中國企業海外上市在數據安全監管領域所面臨的挑戰進行了探討, 并提出了應對方法。
滴滴是典型的以數據智能為驅動的移動互聯網公司, 其商業模式以數據思維為引領, 以數據資產為基礎, 以數據技術為核心。 滴滴作為互聯網平臺獲取了大量的交易數據和運營數據, 并對獲取的海量數據進行處理、分析和挖掘, 以使數據 “智能化”,? 通過“智能”數據更好更快地發展現有業務并開拓新的業務板塊。 在滴滴基于數據智能驅動的商業模式中, 融合算法、規則、數據的智能化系統引發了滴滴在數據的非法收集和濫用、價格歧視、濫用市場地位等領域的數據倫理問題, 并產生基于數據處理的一系列新型數據安全風險, 即“數據外部性風險”。 在本質上, 數據安全風險(外部性風險)來源于數據倫理問題。 隨著海外上市數據跨境流動等趨勢的愈發常見, 數據安全風險已然轉換為關乎國家安全的利益形態。
當前, 《國家安全法》《網絡安全法》《數據安全法》與《網絡安全審查辦法》等共同構成我國數據安全范疇下的法律框架。 滴滴商業模式下的數據倫理問題是解構對滴滴實行國家安全審查的底層誘因, 而數據主權問題則是引發對其進行國家安全審查的直接誘因。 在美國頒布《外國公司問責法案》的背景下, 以滴滴為代表的這一類擁有海量數據的中概股企業將面臨著更加嚴峻的生存挑戰, 它們既受制于《外國公司問責法》的新規定, 又要考慮基于跨境數據流動的數據安全與國家安全風險。 針對海外上市企業數據跨境流動引發的潛在國家安全風險, 有必要針對海外上市之前設置合理的境內前置審批程序以及針對海外上市之后設置合理的境內長臂管轄規則, 并在此基礎上完善針對海外上市企業的數據跨境監管合作。
本文的研究旨在促進學術界與監管部門關注、重視并探索特定商業模式可能會內隱特定倫理問題這一新興的經濟現象與學術命題; 并意在啟發在數據倫理治理與監管變革背景下, 企業應建立并秉承倫理是可持續競爭優勢的本質來源這一基本價值創造理念。
【 注 釋 】
① 2012年,小桔科技在北京成立并推出“嘀嘀打車”App,2014年更名為“滴滴打車”,2015年又正式更名為“滴滴出行”;同年11月,快智科技在杭州成立并推出“快的打車”App。2015年,滴滴打車和快的打車成功進行戰略合并;2016年,滴滴與“Uber中國”合并。
② 2021年7月10日,網信辦發布《網絡安全審查辦法(修訂草案征求意見稿)》,其指出:“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”
③ 通告全文為:根據舉報,經檢測核實,“滴滴出行”App存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架“滴滴出行”App,要求滴滴出行科技有限公司嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。截至2021年7月8日,滴滴開盤價(11.18美元)較IPO當日開盤價(16.75美元)下跌幅度已高達約33%。
④ 2021年6月11日,“BOSS直聘”于美國上市;6月22日,擁有“運滿滿”和“貨車幫”的滿幫集團于美國上市。前者為全球領先的整車運力調度平臺和智慧物流信息平臺,后者則是中國最大的公路物流互聯網信息平臺。
⑤ 通告全文為:根據舉報,經檢測核實,“滴滴企業版”等25款App(列表附后)存在嚴重違法違規收集使用個人信息問題。國家互聯網信息辦公室依據《中華人民共和國網絡安全法》相關規定,通知應用商店下架上述25款App,要求相關運營者嚴格按照法律要求,參照國家有關標準,認真整改存在的問題,切實保障廣大用戶個人信息安全。各網站、平臺不得為“滴滴出行”和“滴滴企業版”等上述25款已在應用商店下架的App提供訪問和下載服務。
⑥ 2021年第一季度,滴滴中國出行擁有1.56億月活用戶,中國移動出行業務日均交易量為2500萬次。數據來源:滴滴招股說明書。
⑦ 《中國獨角獸企業研究報告2021》公布的2020年中國獨角獸企業名單顯示,滴滴以580億美元估值位列排行榜第三(字節跳動1800億美元,螞蟻集團1500億美元)。
⑧ 根據VIE架構下同股不同權的安排,滴滴的控制權仍然被管理層掌控。根據滴滴合伙人制度,合伙人委員會可以直接任命公司執行董事,擁有提名和推薦高管職務候選人的權利。
⑨ 空白部分為未獲取相關估值信息。
⑩ 滴滴招股說明書顯示:調整后的息稅前利潤(non-GAAP EBITA)定義為凈收益或損失減去利息收入,加上利息費用,減去投資收益(損失),加上按成本法核算的投資損失,加上按權益法核算的投資損失,減去其他收入(虧損),減去收入稅收優惠,加上股權激勵,以及加上無形資產攤銷。
11 交易量(transactions):由完成的訂單數量來計算,有兩個付費消費者的拼車代表兩個交易,即使兩個消費者都在同一地點開始和結束他們的拼車。中國移動出行業務指的是國內完成的網約車服務(ride hailing)、出租車打車(taxi hailing)、代駕(chauffeur)和順風車(hitch services),國際業務是指中國以外的國際市場網約車服務(ride hailing)和外賣服務(food delivery services)。社區團購交易被排除在外,因為滴滴在2021年3月30日之后停止整合社區團購業務。
12 交易總額(Gross Transaction Value):在滴滴平臺上完成的交易的總價值,包括任何適用的稅費、通行費和費用,沒有對消費者獎勵或支付給移動服務司機、商家或送餐服務合作伙伴或服務合作伙伴的收入和獎勵進行任何調整。
13 數據的價值體現為其“潛在價值”,是其所有可能用途的總和,主要通過數據再利用、數據重新組合、增強數據可擴展性、及時更新數據庫、合理利用數據廢氣以及實現數據共享等手段挖掘數據背后隱藏的價值[2] 。
14 滴滴在招股說明書所披露的計劃表明:約30%的募資金額用于提升包括共享出行、電動汽車和自動駕駛在內的技術能力;約20%用于推出新產品和拓展現有產品品類以持續提升用戶體驗;剩余部分可能用于營運資金需求和潛在的戰略投資等以共同改善消費者體驗。
15 僅2020年,滴滴的營銷費用、研發支出、管理費用就分別高達111.36億元、63.17億元、75.51億元。
16 滴滴核心業務包括三大類:中國移動出行業務,包括網約車、網約出租車、代駕和順風車等業務;國際業務,包括網約車和外賣等業務;其他創新業務,包含車服網絡、共享單車和電單車、同城貨運、社區團購、金融服務、自動駕駛等。
17 在“滴滴出行”App2021年7月7日生效的《個人信息保護及隱私政策》中已修改為“請知悉,用戶拒絕提供非必要信息或附加功能所需信息時,仍然能夠使用滴滴平臺核心功能”。
18 深圳市第七屆人民代表大會常務委員會公告(第十號)。
19 2021年4月26日至29日,十三屆全國人大常委會第二十八次會議在北京舉行,會議審議通過《中華人民共和國個人信息保護法(草案)》。
20 消費者剩余(consumer surplus)又稱為消費者的凈收益,是指消費者在購買一定數量的某種商品時愿意支付的最高總價格和實際支付的總價格之間的差額。消費者剩余衡量了買者自己感覺到其所獲得的額外利益。
21 轉引自:李倫.數據倫理與算法倫理[M].北京:北京科學出版社,2019:71-80.
22 外部性又稱為溢出效應,數據外部性是指一個數據主體引發的數據安全風險會對他人和社會帶來在非數據層面上更為深遠的影響。
23 根據《意見》的規定,保護工作部門根據認定規則負責組織認定本行業、本領域關鍵信息基礎設施,及時將認定結果通知相關設施運營者并報公安部。鑒于關鍵信息基礎設施運營者涉及國家安全的高度敏感數據,關鍵信息基礎設施運營者的名單公示可能性小。
24 具體定義參見《中華人民共和國網絡安全法》第三十一條:國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域,以及其他一旦遭到破壞、喪失功能或者數據泄露,可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護。關鍵信息基礎設施的具體范圍和安全保護辦法由國務院制定。
25 滴滴招股說明書指出:“我們的業務受各種有關數據隱私和保護的法律、法規、規則、政策和其他義務的約束。任何機密信息或個人數據的損失、未經授權的訪問或發布都可能使我們面臨重大的聲譽、財務、法律和運營后果。”滴滴招股說明書對其數據安全等風險的描述足足有60多頁。
26 參考來源:2020年10月30日,柴華在中國測繪學會2020學術年會現場分享滴滴導航的技術實踐。
27 新華社新媒體中心就曾經聯合滴滴媒體研究院,基于實時生成的移動出行大數據,得出了各部委的流量。
28 我國國務院于2018年9月發布的《關于中美經貿摩擦的事實與中方立場》白皮書曾明確指出:“‘長臂管轄是指依托國內法規的觸角延伸到境外,管轄境外實體的做法。”
29 “小紅籌”模式由境內自然人在開曼成立控股公司(由境內自然人控制),把境內的經營性主體變成境外控股公司的子公司或變成可變利益實體(VIE),然后再通過境外控股公司進行融資或完成上市。這也就意味著上市的主體是注冊在開曼的境外公司,接受注冊地的法律監管。
30 與“小紅籌”對應的另外一種模式為“大紅籌”,是指我國境內大型國有企業赴美上市的模式。根據國務院于1997年6月20日下發的《關于進一步加強在境外發行股票和上市管理的通知》,履行行政審批或備案程序,采取收購、換股或行政劃撥等方式,將境內企業權益注入境外資本運作實體之中,以實現境外資本運作實體在境外進行私募股權融資或公開發行上市的目的。比如中國五礦、中國糧油、上海實業等都是采用此種模式。但自2002年以來,由于《行政許可法》出臺,明確規定未經法律和行政法規授權,不設行政許可項目,無異議函事項被取消,之后,就沒有大型的國企、央企這類“大紅籌”赴美上市。
【 主 要 參 考 文 獻 】
[1] 劉杰,韓洪靈,陳漢文.互聯網企業的數據倫理及其治理:基于瑞幸咖啡的案例研究[Z].Working Paper,2020.
[2] 維克托·邁爾-舍恩伯格,肯尼思·庫克耶著.盛楊燕,周濤譯.大數據時代:生活、工作與思維的大變革[M].杭州:浙江人民出版社,2014:71 ~ 72.
[3] Nunan D.,Domenico M.. Market Research and the Ethics of Big Data[ J].International Journal of Market Research,2013(4):505 ~ 520.
[4] 韓洪靈,陳漢文.會計職業道德[M].北京:中國人民大學出版社,2021:1 ~ 236.
[5] 陳漢文,韓洪靈.商業倫理與會計職業道德[M].北京:中國人民大學出版社,2020:1 ~ 426.
[6] 李倫.數據倫理與算法倫理[M].北京:科學出版社,2019:71 ~ 80.
[7] Steinberg E.. Big Data and Personalized Pricing[ J].Business Ethics Quarterly,2020(1):97 ~ 117.
[8] 沈國麟.大數據時代的數據主權和國家數據戰略[ J].南京社會科學,2014(6):113 ~ 119+127.
[9] 齊愛民,盤佳.數據權、數據主權的確立與大數據保護的基本原則[ J].蘇州大學學報(哲學社會科學版),2015(1):64 ~ 70+191.
[10] 小約瑟夫·奈著.張小明譯.理解國際沖突:理論與歷史(第5版)[M].上海:上海人民出版社,2005:1 ~ 324.
[11] G. Russell Pipe. International Information Policy:Evolution of Transborder Data Flow Issues[ J].Telematics and Informatics,1984(4):409 ~ 418.
[12] 王斯梁,馮暄,陳翼.跨境數據流動場景中的網絡安全保障研究[ J].信息安全研究,2021(7):682 ~ 686.
[13] 李思羽.數據跨境流動規制的演進與對策[ J].信息安全與通信保密,2016(1):97 ~ 102.
[14] 韓洪靈,陳帥弟,陳漢文.瑞幸事件與中概股危機——基本誘因、監管反應及期望差距[ J].財會月刊,2020(18):3 ~ 8.
[15] 葉開儒.數據跨境流動規制中的“長臂管轄”——對歐盟GDPR的原旨主義考察[ J].法學評論,2020(1):106 ~ 117.
[16] 馬其家,李曉楠.論我國數據跨境流動監管規則的構建[ J].法治研究,2021(1):91 ~ 101.
[17] 韓洪靈,陳帥弟,陸旭米,陳漢文.瑞幸事件與中美跨境證券監管合作:回顧與展望[ J].會計之友,2020(9):6 ~ 13.
[18] 馮潔菡,周濛.跨境數據流動規制:核心議題、國際方案及中國因應[ J].深圳大學學報(人文社會科學版),2021(4):88 ~ 97.
