国家网信办发布通报称,根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”App。结合7月2日国家网信办发布公告对“滴滴出行”实施网络安全审查,各界对“滴滴事件”展开持续热议。
从被网络安全审查,到相关APP被全部下架,滴滴出行的一系列“整改”引发全网对“滴滴事件”背后诱因的火热猜测。同时,“滴滴事件”也引发大量互联网中概股股价暴跌,不少准备赴美上市的中国企业宣布暂停上市计划。毫无疑问,此次“滴滴事件”影响之大,那么引发“滴滴事件”的直接诱因到底是什么?准备赴美上市的中国互联网企业还有很多,他们又该如何避免此类事件再次发生?
基于滴滴案例,最火的网赌网站(中国)有限公司教授韩洪灵联合博士研究生陈帅弟、贵州财经大学会计学院教授刘杰、最火的网赌网站(中国)有限公司EMBA课程教授陈汉文(通讯作者)对其商业模式下所内隐的潜在数据伦理问题以及数据伦理、数据安全与国家安全之间的基本关系进行初步研究。在分析引发滴滴事件直接诱因的基础上,他们对中国企业海外上市在数据安全监管领域所面临的挑战加以探讨,并提出相应解决方案。
最火的网赌网站(中国)有限公司财务与会计学系教授韩洪灵
数据伦理、国家安全与海外上市:基于滴滴的案例研究
本文作者
韩洪灵(博士生导师),陈帅弟
刘杰(教授),陈汉文(博士生导师)
2021年6月30日,拥有海量数据、依托“大数据”赋能的滴滴出行1(简称“滴滴”)在美国纽约证券交易所上市,股票代码为“NYSE:DIDI”,IPO发行定价为14美元,上市首日市值最高达800亿美元。
2021年7月2日,国家互联网信息办公室(简称“网信办”)发布公告:“为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》2,对‘滴滴出行’实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间‘滴滴出行’停止新用户注册。”这是我国自《网络安全审查办法》发布以来的首次公开审查行动。
2021年7月4日晚,网信办再次发布了关于下架“滴滴出行”App的通报3。2021年7月5日,对滴滴的审查掀起联动效应,网信办接连宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查,同样要求审查期间停止新用户注册4。2021年7月9日,网信办再次通报,要求“各网站、平台不得为‘滴滴出行’和‘滴滴企业版’等上述25款已在应用商店下架的App提供访问和下载服务”5。
可以预见,对滴滴等系列海外上市互联网平台企业开展网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响,具有标志性的变革指向意义。
数据这一新兴生产要素在改变全球经济发展模式与重塑企业商业模式的同时,其使用过程中也逐步产生了新的系列伦理问题,即数据伦理问题(Data Ethics)。
近年来,我国高度重视数据伦理问题与数据安全风险。2021年6月10日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式颁布,并将于2021年9月1日起正式实施。《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。此外,2021年3月,网信办秘书局、工信部办公厅、公安部办公厅以及国家市场监督总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息而拒绝用户使用App基本功能服务。
对滴滴等系列海外上市互联网平台企业开展网络安全审查的系列行动表明,一直以来所存在互联网企业的数据伦理问题将逐步引起关注、重视,并引发监管与治理变革。滴滴案例为我们研究互联网企业的数据伦理、数据安全以及海外上市数据跨境流动所可能引发的国家安全风险提供了契机。
为此,本文从滴滴的商业模式出发,首先分析其商业模式下所存在的潜在数据伦理问题;进而,基于滴滴案例对互联网企业数据伦理、数据安全与国家安全之间基本关系与因果逻辑进行初步的考察与分析;在此基础上,对中国企业海外上市在数据安全监管领域所面临的挑战加以探讨,并力图提出相应的解决方案。
01
滴滴的商业模式:基于数据智能驱动
(1)滴滴的发展历程及其业绩表现
2012年9月,滴滴APP正式上线,通过“手机对手机”模式在网约车与乘客之间实现了“司乘”的快速匹配,凭借信息技术赋能大幅提高了乘客出行和司机运营效率。2014年1月,滴滴与微信达成战略合作,开启微信支付打车费“补贴”营销活动,通过大量补贴快速培养了用户习惯,聚拢了大量活跃用户,由此移动出行开始在中国普及。
截至2021年3月31日,滴滴总资产为1581亿元,已在包括中国在内的15个国家及地区约4000多个城镇开展业务,拥有全球年活跃用户近5亿,全球年活跃司机约1500万,平均日交易量达到4100万单,已促成超过500亿笔累计交易6。滴滴旗下业务涵盖网约车、出租车、顺风车、共享单车、共享电单车、货运、金融和自动驾驶等,是一家“世界上最大的移动出行技术平台”。
自成立以来,滴滴已先后完成23轮融资,融资总额超过200亿美元,曾被称为“史上融资最多的未上市科技公司”7,表1列示了滴滴IPO前的融资过程与估值演变。多轮融资导致滴滴IPO之前外部投资人持股占比已达到约90%。滴滴IPO前的股权结构和表决权如表2所示。其中,软银愿景基金(Softbank Vision Fund Entity)持股21.5%,为最大单一股东;Uber、腾讯分别持股12.8%、6.8%,滴滴创始人兼CEO程维(持股7%)、联合创始人兼总裁柳青(持股1.7%)和高级副总裁朱景士等所有的董事和高管合计仅持有10.5%的股权,20.1%的投票权。滴滴招股说明书显示,为了能继续保持对滴滴的控制,按照1:10的超级投票权设定,程维、柳青和朱景士三人合计投票权为52%8。
从业绩层面来看,滴滴自成立以来一直处于亏损状态,累计亏损约600亿元。2018—2020年期间,滴滴在公认会计原则(GAAP)口径下的净亏损仍分别高达149.8亿元、97.3亿元和106.1亿元;然而,滴滴在招股说明书里强调指出,近三年其在非公认会计原则口径下的息税前净亏损(non-GAAP EBITA)则分别为86.5亿元、27.6亿元和83.8亿元,如表3所示。
从业务层面来看,滴滴的平台收入及会计准则下的营业收入的增加并非来自基本面的改善,而是伴随平台垄断所带来的对司机分成的进一步缩减所致,如表4所示。
2018年以来,滴滴的国内外交易量(transactions)增幅有限,2020年交易量为90.98亿(增幅为-5.53%),部分源于新冠疫情带来的出行减少;2020年,滴滴的交易总额(GTV)为2145.86亿元(增幅为-4.77%),而其平台分成收入(Platform Sales)却大幅增长到34.66亿元(增幅为43.27%)。滴滴平台收入定义为交易总额减去支付给司机和合作伙伴的所有收益和奖励、通行费、税收及其他费用等。鉴于通行费、费用、税收的波动相对有限,在滴滴交易量及交易总额增长几乎可忽略不计的前提下,滴滴主要通过降低司机和合作伙伴的收益、奖励以增加自己的分成收入,这主要是由于滴滴在中国移动业务领域具有极高的市占率所形成的定价能力导致的。
(2)表现滴滴的业务体系:“三大现有业务”与“四大未来战略”
滴滴招股说明书将其业务体系拆解为“三大业务”(国内业务、国际业务、其他创新业务)和“四个核心战略板块”(共享出行平台、汽车解决方案、电动出行、自动驾驶)。前者代表滴滴现有业务的收入构成,后者则是滴滴未来的战略规划,两者都需要充分挖掘数据的“潜在价值”13。
滴滴的业务体系如图1所示。图中的核心业务源于“三大业务”中的国内业务下的出租车、快车、专车、顺风车等出行服务,该业务的运行架构在于利用收集的用户数据和司机数据,形成滴滴的核心数据,从而以数据“智能”更好地运行平台。国际业务和其他创新业务因占比较小,均归于其他业务,其中:“前向其他业务”泛指利用核心业务所收集的数据,面向用户收费的业务模式;“后向其他业务”则泛指利用数据面向B端收费的业务模式。
如表5所示,2018—2020年期间,滴滴“三大业务”总营业收入分别为1352.88亿元、1547.86亿元(较上年增加14.41%)、1417.36亿元(较上年减少8.43%),营业收入中95%来自国内业务。滴滴的年活跃用户和年活跃司机中,3.77亿(约76.47%)为中国用户和1300万(约86.67%)为中国司机。其他业务包括国际业务和其他创新业务,2020年滴滴其他业务实现收入57.58亿元,占收入的4%左右,同比增长18.21%。
其中:国际业务目前在总营收中占比很小,约为2%,滴滴在招股说明书所披露的计划中表明会将约30%的募资金额用于扩大中国以外国际市场的业务;其他创新业务包含了除共享出行平台外的汽车解决方案、电动出行、自动驾驶等滴滴新业务板块,滴滴的“四个核心战略板块”在拆分四大板块的基础上进行独立融资。
如表5所示,从成本端来看,得益于营业成本的有利管控,2018—2020年期间,滴滴的营业毛利及营业毛利率一直呈现快速上涨的趋势,2020年的营业毛利率已达到11.24%,而导致净收益一直为亏损状态的主要原因在于营销费用、研发支出15、管理费用三个项目持续性上升16。滴滴在销售费用上的居高不下源于网约车行业严重同质化,且用户转换成本低;在研发和营运上持续性的投入增加是基于自身未来在四大核心战略板块上的发展所需,以期转化为滴滴未来的增长引擎。
(3)滴滴的商业模式:基于数据智能驱动
总体而言,滴滴是典型的以数据智能为驱动的移动互联网公司,其商业模式以数据思维为引领,以数据资产为基础,以数据技术为核心。不同于其他互联网公司所强调的网络效应,滴滴平台上的乘客之间、司机之间是互动的,只是将乘客与司机通过平台短期匹配到一起,滴滴作为中间平台从而获取了大量的交易数据和运营数据,并对获取的海量数据进行处理、分析和挖掘,提取数据中所包含的有价值的信息和知识,使数据具有“智能”,通过“智能”数据更好更快地发展现有业务、开拓新的业务板块。
创新型平台企业通过提取数据背后隐藏的价值获取巨大的经济利益,进而改变商业运作模式。Nunan D.& Domenico M.(2013)指出,大数据带来的影响可以由三个方面构成:一是与不断增加的数据收集量相关的技术;二是侧重于通过从已有数据中产生更有效的数据信息,从而可以为组织增加的商业价值;三是考虑数据使用所带来更广泛的社会影响,特别是对个人隐私的影响,以及对这些数据商业使用道德的监管和指导方针的影响。
滴滴透过数据智能驱动,不断将数据潜在价值变现。滴滴应用大数据技术分析客户行为和出行数据,进而将数据驱动的思维模式变为现实,并凸显其数据智能商业模式的优越性:第一,通过海量的出行服务和乘客使用信息不断扩充现有的数据库,形成实时更新的数据资源,为滴滴提供源源不断的数据供给;第二,通过提高司机效益、便捷乘客出行、保障司乘安全,使用户逐渐形成路径依赖,即拥有大量的活跃用户;第三,采用大数据技术和人工智能技术、大数据架构、数据平台、数据科学、数据治理等保障滴滴数据实现价值变现。滴滴的数据智能驱动模型可概括为图2所示。
从未来具体的应用场景来看,滴滴在共享出行平台、汽车解决方案、电动出行和自动驾驶的“四个核心战略板块”下可以不断打造丰富的应用场景,如表6所示。此外,鉴于滴滴实时、多元的海量数据,可以勾勒出不同城市的交通、教育、医疗、行政资源的分布,长期的数据观察和分析结果甚至可以逐渐反映出所处城市的经济、社会的发展情况,这一系列数据可以演化成为与国家安全相关的核心数据。
02
滴滴的数据伦理与国家安全风险:初步的考察与分析
在数字时代,数据已经成为许多公司核心竞争力的来源。数据地位的提升,导致数据本身的伦理问题被提上了日程(陈汉文、韩洪灵,2020)。数据伦理问题通过数据滥用、数据安全、数据霸权、算法霸权和算法歧视等形式呈现出来,而其本质是对隐私权、数据权、人类自由和社会公平等的侵害(李伦,2019)。
笔者认为,解构“滴滴事件”的底层逻辑在于特定商业模式下的数据伦理问题,正是这些数据伦理问题可能进一步引发数据安全与国家安全风险。
(1)滴滴商业模式内隐的潜在数据伦理问题
在滴滴基于数据智能驱动的商业模式中,融合算法、规则、数据的智能化系统引发了滴滴平台在价格歧视、滥用市场地位、数据的非法收集和滥用、数据安全等数据伦理问题。
毫无疑问,滴滴如何在巨大的数据商业利益与社会责任、国家安全之间创建一种复杂、微妙、动态的平衡,成为滴滴所有战略决策中最为重要的一环。在滴滴的商业模式中,内隐的潜在数据伦理问题包括以下几个方面。
数据过度采集和违规使用
当数据在价值链中处于核心地位,数据智能驱动的公司很可能会在没有征得用户、消费者或其他利益相关者同意的情况下过度采集和滥用其信息,从而侵犯用户、消费者和社会公众等利益相关者的数据权利。
在滴滴数据的采集环节,滴滴在《个人信息保护及隐私政策》中强调了对个人信息的收集、保存、使用、共享的权利。根据滴滴早期的《个人信息保护及隐私政策》18,其中定义的个人信息范围包括身份证号码、面目识别特征、录音录像、银行卡号、IP地址,这些信息的收集已远远超出正常使用滴滴平台核心功能所需。
2021年7月6日,深圳公布了《深圳经济特区数据条例》(简称《数据条例》),内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法19,提出打击过度采集个人信息以及APP“不全面授权就不让用”。
在滴滴数据的运用环节,滴滴《个人信息保护及隐私政策》在“个人信息的共享、转让、公开披露”中明确表示滴滴在部分情况下,会对外共享个人信息,其中包括共享给滴滴的关联公司以及共享给业务合作伙伴,而滴滴的合作伙伴包括广告、分析服务商、供应商、服务商和其他合作方。
而根据《中华人民共和国个人信息保护法(草案)》(简称“草案”)20,第二十四条“个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。”
显然,滴滴对个人信息的数据共享是不符合“草案”规定。2021年7月4日,网信办发布消息证实“滴滴出行”App涉嫌严重违法违规收集使用个人信息。
数据算法带来价格歧视
价格歧视(Price Discrimination)实质上是一种价格差异,通常指商品或服务的提供者在向不同的接受者提供相同等级、相同质量的商品或服务时,在接受者之间实行不同的销售价格或收费标准。
滴滴的价格歧视分为以大数据杀熟为代表的一级价格歧视和分类定价的二级价格歧视。滴滴的大数据杀熟是基于数据算法优势而形成的用户画像(包括性别、年龄、地点、搜索词、生活方式、收入等),精准把握消费者支付意愿,估计消费者个人愿意为平均出行支付的最高价格,从而逐渐从统一的定价标准演变成个性化的定价(Steinberg E.,2020)。在个性化定价中,每个消费者都被剥夺走了他们的消费者剩余21,这是对消费者剩余财富的攫取。
大数据杀熟的本质是利用信息不对称,通过收集的数据扭曲价格形成机制。滴滴的多层收费是基于不同偏好的消费者,由他们选择消费定价,对于认为滴滴定价过高的消费者,滴滴推出“花小猪”,采用“一口价模式”“百元现金天天领”“分享好友得津贴”等低价方式来提供另一个出行选择,即同一位乘客,同样的终点起点,两个不同的平台下单订单金额可能相差巨大,这使得即使在“花小猪”合规率极低的背景下,花小猪的业务依旧能实现快速成长。
而随着价格歧视的进一步演变还会影响收入分配,从而加剧社会分化。《数据条例》也首次确立数据公平竞争有关制度,如针对数据要素市场“大数据杀熟”等竞争乱象,明确将处罚上限设为5000万元。
数据霸权催生垄断主义
数字时代的数据霸权正在挑战社会正义与社会公平,即成为影响社会发展的一道隐形障碍,可能造成数字时代“强者越强,弱者越弱”的“马太效应”22(张煌,2019)。数据霸权对社会公平的危害,一方面表现为少数企业凭借数据垄断优势,可以轻松地获取高额利润,如互联网公司不断通过并购实现“数据孤岛”的互联,垄断大量数据资源;另一方面,中小企业和普通创业人员因没有掌握数据资源而面临经营发展的困境。
滴滴作为网约车业务的“数据大亨”,2015年2月,滴滴与快的合并后的市场份额曾一度超过90%,引发市场反垄断质疑。2016年8月,滴滴与优步中国区合并,再一次巩固了滴滴的在中国网约车市场的龙头地位。滥用市场地位是具有领先优势的平台常见的竞争手段,如果滴滴的垄断地位得到了巩固和确定,滴滴会通过恶意排他,限制其他中小网约车企业竞争,进而极大地削弱行业的持续创新动力。
(2)滴滴数据伦理可能引发数据安全与国家安全风险
滴滴的数据处理与《数据安全法》
伴随着数据使用频率的增加、数据化场景的丰富,以及数据处理技术和水平的提升,会产生基于数据处理的一系列新型数据安全风险。数据安全风险主要指大数据分析结果导致的国家、社会、个人利益的损失,即“数据外部性风险23”。
在本质上,数据安全风险(外部性风险)来源于数据伦理。实际上,随着数据跨境流动等趋势的愈发常见,数据已然转换为关乎国家安全价值的利益形态。数据安全将侵犯个人、群体乃至国家的利益,进而限制人的自由和影响社会公平,而涉及国家隐私的核心数据的则会引发国家安全问题。
将于2021年9月1日起正式施行的《数据安全法》第三条第3款规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”《数据安全法》以基本法的形式明确了我国数据安全治理体系的顶层设计,从而有效应对数据这一新兴领域的国家安全风险。《数据安全法》直接以“数据处理活动”作为管辖范围,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等24。《数据安全法》规范“数据处理活动”的主要条款如表7所示。
滴滴引发国家安全审查的主要法律依据
近年来我国数据监管水平逐渐提升,除了有针对数据处理进行管辖的《数据安全法》,还有《国家安全法》《网络安全法》《网络安全审查办法》,它们共同构成数据安全范畴下的法律框架。《国家安全法》强调了应对影响或可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目等进行国家安全审查。《网络安全审查办法》《网络安全法》则将网络安全审查的对象进一步限定为关键信息基础设施的运营者,即要启动网络安全审查,其主体必须符合该要求。
《网络安全法》第三十一条将关键信息基础设施定义为“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。公安部于2020年7月22日发布并于当日生效的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(简称《意见》)中进一步明确了对关键信息基础设施确定标准:“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。”
根据滴滴在云平台、大数据平台、新型互联网等数据智能的商业模式本质,即其行业属性,可判断滴滴属于公路水路运输行业领域的关键信息基础设施的运营者25。滴滴所处的“关键信息基础设施的运营者”26地位是对滴滴实行法律审查的基础依据,这也体现了滴滴数据的特殊性。因此,对滴滴实行网络安全审查的法律依据可概括为如表8所示。
滴滴引发国家安全审查的直接诱因:数据主权
滴滴商业模式内隐的数据伦理问题是解构对滴滴实行国家安全审查的底层诱因,而数据主权(Data Sovereignty)问题则是引发对滴滴进行国家安全审查的直接诱因。
滴滴在招股书里明确披露了数据相关的风险27,指出中国政府监管有可能导致罚款、停止商业运营、撤销执照,甚至是刑事责任。数据主权指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力(沈国麟,2014)。未来,拥有对海量数据开发、传播和控制主动权和主导权的国家,就拥有数据主权(齐爱民、盘佳,2015)。
处于信息技术领先地位的国家可攫取更大的权力,相应地,信息技术相对落后的国家则会失去很多权力(小约瑟夫·奈曾,2009)。滴滴所拥有的数据包括乘客主动产生的数据和被动留下的数据,在收集、存储、使用数据的过程中,滴滴积累了大量的国家级别数据,2020年10月,一直使用第三方地图的滴滴,注册了新商标“滴滴地图”,滴滴的司机和乘客每天会上报数十万量级的路况事件,基于生态事件运营发布平台和大数据、AI技术,滴滴能实时更新地图生态数据,进一步为共享出行网络提供更好、更安全出行体验,提升出行效率。
目前,滴滴地图基础数据准确性已超95%28。滴滴在海量数据的更新背景下,不断收集来自城市交通、教育、医疗、行政资源的分布的核心数据,滴滴除了拥有基础的出行数据和使用记录,还通过数据分析进一步研判中国的大政方针、重大措施29。这些关乎国家基础设施建设和国家发展的底层数据,实际上铺设了一个高度依赖于数据网络的国家安全信息体系。任何一个信息技术本身都可能存在安全漏洞,滴滴的潜在技术漏洞可能导致数据泄露、伪造、失真。
如果滴滴将用户数据、地图信息以及使用过程中的国家统计数据等泄露至海外,实际上就相当于将国家的核心机密外露,侵犯了国家的数据主权。
03
中国企业海外上市的数据安全监管问题:挑战与应对
以滴滴为例,在美国上市以后,它必须按照《外国公司问责法案》呈交以审计底稿或是用户数据和城市地图为代表的部分数据,这些都是关乎国家数据主权的核心数据。
海外上市后,不排除滴滴在美国监管压力下可能存在数据跨境流动的数据安全隐患,包括因高管人为的主动泄露和因海外监管压力、网络安全体系和技术能力不足而带来的被动泄露,这些都可能直接影响国家安全、公共利益和社会稳定。
(1)挑战:海外上市、《外国公司问责法案》与跨境数据流动困境
跨境数据流动(Transborder Flows of Personal Data)这一概念最早是在20世纪70年代由经济合作与发展组织(OECD)提出的。随后OECD于 1980年发布的《隐私保护与个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Transborder Flows of Personal Data)将其定义为“跨越国境的个人数据移动”(G. Russell Pipe,1984)。数据跨境流动也被定义为指企业或机构将在所在国产生和收集的各类数据,提供给其他国家和机构的行为(王斯梁、冯暄、陈翼,2021)。
进入2010年代以来,数据跨境流动规则发展将主要围绕组织(公共)数据安全保障和合理利用展开(李思羽,2016)。笔者认为,对跨境数据流动进行监管的核心意义在于维护国家数据主权,保障国家数据安全。
2020年12月,美国国会最终通过《外国公司问责法案》(Holding Foreign Companies Accountable Act)并经总统签署后正式生效。该法案对外国公司在美上市提出额外的信息披露要求,规定任何一家外国公司连续三年未能遵守PCAOB(美国公众公司会计监督委员会)的审计要求将禁止上市,PCAOB要求享有定期检查在美注册的会计师事务所的权力,包括可以自由查阅审计工作底稿。同时,该法案还要求在美上市公司证明其“不是由外国政府拥有和控制”、要求“发行人必须在PCAOB无法进行上述检查的每一年份,向SEC(美国证券交易委员会)披露国有股比例、属于中国共产党官员的董事的姓名等信息”,该法案具有明显的证券监管政治化趋势(韩洪灵等,2020)。
2020年3月正式实施的《中华人民共和国证券法》则强调:“国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”
可见,中美两方对于中概股提供和获取的数据口径要求的不统一,加大了中国企业海外上市的难度,甚至会倒逼已在海外上市的企业从美国证券市场退市。在某种程度上,美方对中概股的一系列监管的本质是裹挟于治理和管制外衣下对我国国家安全的潜在侵害。
美国《外国公司问责法案》的发布导致以滴滴(DIDI)、满帮(YMM)、BOSS直聘(BZ)为代表的这一类拥有海量数据的中概股企业面临着更加严峻的生存挑战,它们既受制于《外国公司问责法》的新规定,又要考虑基于跨境数据流动的数据安全监管和跨境监管合作问题。
以滴滴(DIDI)为例,因海外上市导致可能的数据跨境流动,进而引发的一系列新的问题,如个人隐私泄露和国家安全问题,以及为解决隐私泄露和国家安全问题而需要付出更多的管理成本、安全成本和经济成本。
(2)应对:前置审批程序、长臂管辖规则与跨境数据监管合作
滴滴作为类掌握国家核心数据的关键信息基础设施的运营者,我国目前没有单独关于数据跨境流动的法律,相关内容分散于各类法律法规之中,这也为数据跨境流动留下了“自由发挥”的空间。
因此,针对海外上市企业数据跨境流动引发的潜在风险,有必要针对海外上市之前设置合理的境内前置审批程序以及针对海外上市之后设置合理的境内长臂管辖30规则,并在此基础上完善针对海外上市企业的数据跨境监管合作。
针对海外上市之前:设置必要的前置审批程序
滴滴上市采用的是“小红筹”模式31,这是境内民营企业海外上市普遍采用的模式,由于上市主体注册地在海外,目前证监会没有职能对其进行审批,未设置相关的境内前置审批程序32。
从目前的实践看,中国证监会未设置对美国上市中国企业设置境内前置审批程序。滴滴正是充分利用了前置审批程序这一缺口,成功避开了掌握国家核心数据的关键信息基础设施的敏感身份,“快速且低调”地在海外上市。
对海外上市中国企业设置合理的境内前置审批程序可以更好地规范海外上市企业的后续发行,尽早发现部分海外上市企业的违法违规行为。
具体来说,境内前置审批程序可以在上市前审核企业的基本情况,尤其是对于滴滴这一类握有国家敏感数据的企业,可以在前置审核程序中审核企业的特殊数据,以确定企业在海外上市后是否会因数据泄露引发国家安全风险。
针对海外上市之后:设置合理的境内长臂管辖规则
中国未来的数据保护立法应结合自身数据产业的特点,明确立法旨意,形成内外联动,在国际互联网和数据治理中采取积极有为的态度,掌握该领域的话语权(叶开儒,2020)。对于具有海量数据的中概股企业,如何确保企业上市后的数据使用的合规,出于对国家数据安全的保护,这就需要落实对海外上市企业数据的“长臂管辖”。
我国《数据安全法》首次确认了对数据的长臂管辖权,其第三十六条就有明确规定,国家将根据国际条约、协定或平等互惠原则,处理外国司法或者执法机构关于提供数据的请求,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
2020年3月1日起施行的新《证券法》也确立了“长臂管辖”原则,其第二条第四款规定:“在中华人民共和国境外的证券发行和交易活动,扰乱中华人民共和国境内市场秩序,损害境内投资者合法权益的,依照本法有关规定处理并追究法律责任。”
此外,在滴滴事件发生后,2021年7月6日,中共中央办公厅、国务院办公厅联合发布了《关于依法从严打击证券违法活动的意见》,该意见强调了“加强中概股监管,切实采取措施做好中概股公司风险及突发情况应对,推进相关监管制度体系建设”,“建立健全资本市场法律域外适用制度。抓紧制定证券法有关域外适用条款的司法解释和配套规则,细化法律域外适用具体条件,明确执法程序、证据效力等事项。加强资本市场涉外审判工作,推动境外国家、地区与我国对司法判决的相互承认与执行。”
完善针对海外上市企业的数据流动跨境监管合作
在数据跨境流动的问题上,我国既有对等反制数据流向外国的法律工具需求,又有强烈的经济发展现实法律保障需求。跨境数据流动涉及部门多、链条长,国家之间或国家与地区之间监管协调难度较大(马其家、李晓楠,2021)。
一直以来,我国跨境证券监管合作虽在多种协作形式上都有所涉及,但有效协作方式还比较单一(韩洪灵等,2020)。自《外国公司问责法》实施以来,对于解决中美双方一直争执的审计底稿问题,中方一直呼吁以中美跨境监管合作的形式展开,但效果甚微。
各国出于对数据行业发展、隐私保护传统、国家立场和国家安全观念等核心议题的考虑,对数据出境实施了不同水平的限制(冯洁菡、周濛,2021)。在海外上市数据跨境流动的背景下,对数据的跨境监管合作也成为了缓解数据跨境流动问题的有力举措。
前述《关于依法从严打击证券违法活动的意见》也强调了进一步加强跨境监管执法司法协作,包括“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”,提出“进一步深化跨境审计监管合作,探索加强国际证券执法协作的有效路径和方式”。
04
总结与研究意旨
数据这一新兴生产要素在改变全球经济发展模式和重塑企业商业模式的同时,在其使用过程中也逐步产生了新的系列伦理问题,即数据伦理问题。网信办对滴滴等系列海外上市互联网平台企业开展网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响,具有标志性的变革指向意义。
为此,本文从滴滴的商业模式出发,首先分析了其商业模式下所存在的潜在数据伦理问题;进而,基于滴滴案例对互联网平台企业数据伦理、数据安全与国家安全之间的基本关系与因果逻辑进行了初步的考察与分析;在此基础上,对中国企业海外上市在数据安全监管领域所面临的挑战进行了探讨,并提出了应对方法。
滴滴是典型的以数据智能为驱动的移动互联网公司,其商业模式以数据思维为引领,以数据资产为基础,以数据技术为核心。滴滴作为互联网平台获取了大量的交易数据和运营数据,并对获取的海量数据进行处理、分析和挖掘,以使数据“智能化”,通过“智能”数据更好更快地发展现有业务并开拓新的业务板块。
在滴滴基于数据智能驱动的商业模式中,融合算法、规则、数据的智能化系统引发了滴滴在数据的非法收集和滥用、价格歧视、滥用市场地位等领域的数据伦理问题,并产生基于数据处理的一系列新型数据安全风险,即“数据外部性风险”。在本质上,数据安全风险(外部性风险)来源于数据伦理问题。随着海外上市数据跨境流动等趋势的愈发常见,数据安全风险已然转换为关乎国家安全的利益形态。
当前,《国家安全法》《网络安全法》《数据安全法》与《网络安全审查办法》等共同构成我国数据安全范畴下的法律框架。滴滴商业模式下的数据伦理问题是解构对滴滴实行国家安全审查的底层诱因,而数据主权问题则是引发对其进行国家安全审查的直接诱因。
在美国颁布《外国公司问责法案》的背景下,以滴滴为代表的这一类拥有海量数据的中概股企业将面临着更加严峻的生存挑战,它们既受制于《外国公司问责法》的新规定,又要考虑基于跨境数据流动的数据安全与国家安全风险。针对海外上市企业数据跨境流动引发的潜在国家安全风险,有必要针对海外上市之前设置合理的境内前置审批程序以及针对海外上市之后设置合理的境内长臂管辖规则,并在此基础上完善针对海外上市企业的数据跨境监管合作。
本文的研究旨在促进学术界与监管部门关注、重视并探索特定商业模式可能会内隐特定伦理问题这一新兴的经济现象与学术命题;并意在启发在数据伦理治理与监管变革背景下,企业应建立并秉承伦理是可持续竞争优势的本质来源这一基本价值创造理念。
注释
1、2012年,小桔科技在北京成立并推出“嘀嘀打车APP”,2014年更名为“滴滴打车”,2015年又正式更名为“滴滴出行”;同年11月,快智科技在杭州成立并推出“快的打车APP”。2015年,滴滴打车和快的打车成功进行战略合并;2016年,滴滴与“Uber中国”合并。
2、2021年7月10日,网信办发布《网络安全审查办法(修订草案征求意见稿)》。该征求意见稿指出:“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
3、通告全文为:根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。截至2021年7月8日,滴滴开盘价(11.18美元)较IPO当日开盘价(16.75美元)下跌幅度已高达约33%。
4、2021年6月11日,“BOSS直聘”于美国上市;6月22日,拥有“运满满”和“货车帮”的满帮集团于美国上市。前者为全球领先的整车运力调度平台和智慧物流信息平台,后者则是中国最大的公路物流互联网信息平台。
5、通告全文为:根据举报,经检测核实,“滴滴企业版”等25款App(列表附后)存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架上述25款App,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为“滴滴出行”和“滴滴企业版”等上述25款已在应用商店下架的App提供访问和下载服务。
6、2021年第一季度,滴滴中国出行拥有1.56亿月活用户,中国移动出行业务日均交易量为2500万次。数据来源:滴滴招股说明书。
7、《中国独角兽企业研究报告2021》公布的2020年中国独角兽企业名单显示,滴滴以580亿美元估值位列排行榜第三(字节跳动1800亿美元,蚂蚁集团1500亿美元)。
8、根据VIE架构下同股不同权的安排,滴滴的控制权仍然被管理层掌控。根据滴滴合伙人制度,合伙人委员会可以直接任命公司执行董事,拥有提名和推荐高管职务候选人的权利。
9、空白部分为未获取相关估值信息。
10、滴滴招股说明书显示:调整后的息税前利润(non-GAAP EBITA)定义为净收益或损失(1)减去利息收入,(2)加上利息费用,(3)减去投资收益(损失),(4)加上按成本法核算的投资损失,(5)加上按权益法核算的投资损失,(6)减去其他收入(亏损),(7)减去收入税收优惠,(8)加上股权激励,以及(9)加上无形资产摊销。
11、交易量(transactions):由完成的订单数量来计算,有两个付费消费者的拼车代表两个交易,即使两个消费者都在同一地点开始和结束他们的拼车。中国移动出行业务指的是国内完成的网约车服务(ride hailing)、出租车打车(taxi hailing)、代驾(chauffeur)和顺风车(hitch services),国际业务是指在中国以外的国际市场网约车服务(ride hailing)和外卖(food delivery services)服务。社区团购交易被排除在外,因为滴滴在2021年3月30日之后停止整合社区团购业务。
12、交易总额(Gross Transaction Value):在滴滴平台上完成的交易的总价值,包括任何适用的税费、通行费和费用,没有对消费者奖励或支付给移动服务司机、商家或送餐服务合作伙伴或服务合作伙伴的收入和奖励进行任何调整。
13、数据的价值体现为其“潜在价值”,是其所有可能用途的总和,主要通过数据再利用、数据重新组合、增强数据可扩展性、及时更新数据库、合理利用数据废气以及实现数据共享等手段挖掘数据背后隐藏的价值(维克托•迈尔-舍恩伯格,肯尼思•库克耶,2013)。
14、由滴滴的招股说明书整理而来。
15、滴滴在招股说明书所披露的计划中表明:约30%的募资金额用于提升包括共享出行、电动汽车和自动驾驶在内的技术能力;约20%用于推出新产品和拓展现有产品品类以持续提升用户体验;剩余部分可能用于营运资金需求和潜在的战略投资等共同改善消费者体验。
16、仅2020年,滴滴的营销费用、研发支出、管理费用就分别高达111.36亿元、63.17亿元、75.51亿元。
17、滴滴核心业务包括三大类:中国移动出行业务,包括网约车、网约出租车、代驾和顺风车等业务;国际业务,包括网约车和外卖等业务;其他创新业务,包含车服网络、共享单车和电单车、同城货运、社区团购、金融服务、自动驾驶等。
18、在“滴滴出行”2021年7月7日生效的《个人信息保护及隐私政策》中已修改为“请知悉,用户拒绝提供非必要信息或附加功能所需信息时,仍然能够使用滴滴平台核心功能”。
19、深圳市第七届人民代表大会常务委员会公告(第十号)。
20、2021年4月26日至29日,十三届全国人大常委会第二十八次会议在北京举行,会议审议通过《中华人民共和国个人信息保护法(草案)》。
21、消费者剩余(consumer surplus)又称为消费者的净收益,是指消费者在购买一定数量的某种商品时愿意支付的最高总价格和实际支付的总价格之间的差额。消费者剩余衡量了买者自己感觉到所获得的额外利益。
22、转引自:李伦. 数据伦理与算法伦理[M]. 北京科学出版社,2019:71-80.
23、外部性又称为溢出效应,数据外部性指一个数据主体引发的数据安全风险会对他人和社会带来在非数据层面上更为深远的影响。
24、《数据安全法》第三条。
25、根据《意见》的规定,保护工作部门根据认定规则负责组织认定本行业、本领域关键信息基础设施,及时将认定结果通知相关设施运营者并报公安部。鉴于关键信息基础设施运营者涉及国家安全的高度敏感数据,关键信息基础设施运营者的名单公示可能性小。
26、具体定义参见《中华人民共和国网络安全法》第三十一条:国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
27、滴滴招股说明书指出:“我们的业务受各种有关数据隐私和保护的法律、法规、规则、政策和其他义务的约束。任何机密信息或个人数据的损失、未经授权的访问或发布都可能使我们面临重大的声誉、财务、法律和运营后果。”滴滴招股说明书对其数据安全等风险的描述足足有60多页。
28、参考来源:2020年10月30日,柴华在中国测绘学会2020学术年会现场分享滴滴导航的技术实践。
29、新华社新媒体中心就曾经联合滴滴媒体研究院,基于实时生成的移动出行大数据,得出了各部委的流量。
30、我国国务院于2018年9月发布的《关于中美经贸摩擦的事实与中方立场》白皮书曾明确指出:“‘长臂管辖’是指依托国内法规的触角延伸到境外,管辖境外实体的做法。”
31、“小红筹”模式由境内自然人在开曼成立控股公司(由境内自然人控制),把境内的经营性主体变成境外控股公司的子公司或变成可变利益实体(VIE),然后再通过境外控股公司进行融资或完成上市。这也就意味着上市的主体是注册在开曼的境外公司,接受注册地的法律监管。
32、与“小红筹”对应的另外一种模式为“大红筹”,是指我国境内大型国有企业赴美上市的模式。根据国务院于1997年6月20日下发的《关于进一步加强在境外发行股票和上市管理的通知》,履行行政审批或备案程序,采取收购、换股或行政划拨等方式,将境内企业权益注入到境外资本运作实体之中,以实现境外资本运作实体在境外进行私募股权融资或公开发行上市的目的。比如中国五矿、中国粮油、上海实业等都是采用此种模式,但自2002年,由于《行政许可法》出台,明确规定未经法律和行政法规授权,不设行政许可项目,无异议函事项被取消,无异议函事项取消之后,没有大型的国企、央企这类“大红筹”赴美上市。
参考文献
[1]韩洪灵,陈帅弟,陆旭米,陈汉文.瑞幸事件与中美跨境证券监管合作:回顾与展望[J].会计之友,2020(9):6~13.
[2]韩洪灵,陈帅弟,陈汉文.瑞幸事件与中概股危机——基本诱因、监管反应及期望差距[J].财会月刊,2020(18):3~8.
[3]韩洪灵,陈汉文.会计职业道德[M].北京:中国人民大学出社,2021.
[4]陈汉文,韩洪灵.商业伦理与会计职业道德[M].北京:中国人民大学出社,2020:1~426.
[5]刘杰,韩洪灵,陈汉文.互联网企业的数据伦理及其治理:基于瑞幸咖啡的案例研究[Z].Workingpaper,2020.
[6]维克托·迈尔-舍恩伯格,肯尼思·库克耶著.盛杨燕,周涛译.大数据时代:生活、工作与思维的大变革[M].杭州:浙江人民出版社,2014:71~72.
[7]李伦. 数据伦理与算法伦理[M]. 北京:科学出版社,2019:71~80.
[8]马其家,李晓楠.论我国数据跨境流动监管规则的构建[J].法治研究,2021(1):91~101.
[9]王斯梁,冯暄,陈翼.跨境数据流动场景中的网络安全保障研究[J].信息安全研究,2021(7):682~686.
[10]叶开儒.数据跨境流动规制中的“长臂管辖”——对欧盟GDPR的原旨主义考察[J]. 法学评论, 2020(1):106~117.
[11]小约瑟夫·奈著.张小明译.理解国际冲突:理论与历史(第5版)[M].上海:上海人民出版社,2005:1~324.
[12]冯洁菡,周濛.跨境数据流动规制:核心议题、国际方案及中国因应[J].深圳大学学报(人文社会科学版),2021(4):88~97.
[13]李思羽. 数据跨境流动规制的演进与对策[J]. 信息安全与通信保密, 2016(1):97~102.
[14]沈国麟.大数据时代的数据主权和国家数据战略[J].南京社会科学,2014(6):113~119+127.
[15]齐爱民,盘佳.数据权、数据主权的确立与大数据保护的基本原则[J].苏州大学学报(哲学社会科学版),2015(1):64~70+191.
[16] Steinberg E..Big Data and Personalized Pricing[J]. Business Ethics Quarterly, 2020(1):97~117.
[17] Hopkins M. S.. Big data, Analytics and the Path from Insights to Value[J]. MIT Sloan Management Review, 2011(2):21~22.
[18] G. Russell Pipe. International Information Policy:Evolution of Transborder Data Flow Issues[J].Telematics and Informatics,1984(4):409~418.
[19] Nunan Daniel,Domenico M.. Market Research and the Ethics of Big Data[J]. International Journal of Market Research,2013(4):505~520.
(本文首刊于《财会月刊》2021年第15期,原标题《数据伦理、国家安全与海外上市:基于滴滴的案例研究》。)