文/韩洪灵,陈帅弟,刘杰,陈汉文
摘要
数据这一新兴生产要素在改变全球经济发展模式与重塑企业商业模式的同时,也逐步产生了新的系列伦理问题,即数据伦理问题。国家网信办对滴滴等系列海外上市企业启动网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响,具有标志性的变革指向意义。为此,本文基于滴滴案例,对其商业模式下所内隐的潜在数据伦理问题以及数据伦理、数据安全与国家安全之间的基本关系进行初步的研究。研究表明:互联网平台企业的数据伦理问题是引发国家安全审查的底层诱因,而数据主权则是引发该类审查的直接诱因;在美国颁布《外国公司问责法案》的背景下,为降低海外上市企业数据跨境流动所可能导致的国家安全风险,我国监管部门有必要设置合理的前置审批程序、长臂管辖规则以及数据跨境监管合作。本文的研究旨在促进学术界与监管部门关注、重视并探索特定商业模式可能会内隐特定伦理问题这一新兴的经济现象与学术命题;意在启发在数据伦理治理与监管变革背景下,企业应建立并秉承伦理是可持续竞争优势的本质来源这一基本价值创造理念。
1 引言
2021 年 6 月 30 日,拥有海量数据、依托“大数据”赋能的滴滴出行(简称“滴滴”)在美国纽约证券交易所上市,股票代码为“NYSE:DIDI”,IPO发行定价为14 美元,上市首日市值最高达800 亿美元。2021 年7 月2 日,国家互联网信息办公室(简称“网信办”)发布公告:“为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共 和国国家安全法》《中华人民共和国网络安全法》, 网络安全审查办公室按照《网络安全审查办法》,对‘滴滴出行’实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间‘滴滴出行’停止新用户注册。”这是我国自《网络安全审查办法》发布以来的首次公开审查行动。2021 年 7 月 4 日晚,网信办再次发布了关于下架“滴滴出行”App 的通报。2021 年7 月5 日,对滴滴的审查掀起联动效应,网信办接连宣布对“运满满”“货车帮”“BOSS 直聘”实施网络安全审查,同样要求审查期间停止新用户注册。2021 年7 月9 日,网信办再次通报,要求“各网站、平台不得为‘滴滴出行’和‘滴滴企业版’等上述25 款已在应用商店下架的App 提供访问和下载服务”。可以预见,对滴滴等系列海外上市互联网平台企业开展网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响,具有标志性的变革指向意义。
数据这一新兴生产要素在改变全球经济发展模式与重塑企业商业模式的同时,其使用过程中也逐步产生了新的系列伦理问题,即数据伦理问题(Data Ethics)。近年来,我国高度重视数据伦理问题与数据安全风险。2021 年6 月10 日,《中华人民共和国数据安全法》(以下简称《数据安全法》)正式【基金项目】国家自然科学基金重点项目“审计机构治理机制与审计质量研究”(项目编号:71932003)【作者单位】1. 浙江大学管理学院,杭州 310030;2. 贵州财经大学会计学院,贵阳 550025;3. 南京审计大学,南京 211815。陈汉文为通讯作者颁布,并将于2021 年9 月1 日起正式实施。《数据安全法》(2021)将与《国家安全法》(2015)、《网络安全法》(2017)、《网络安全审查办法》(2020)共同构成我国数据安全范畴下的法律框架。此外,2021 年 3 月,网信办秘书局、工信部办公厅、公安部办公厅以及国家市场监督总局办公厅联合发布《常见类型移动互联网应用程序必要个人信息范围规定》,明确了地图导航、网络约车、即时通信、网络购物等39 类常见类型移动应用程序必要个人信息范围,要求其运营者不得因用户不同意提供非必要个人信息而拒绝用户使用App 基本功能服务。
对滴滴等系列海外上市互联网平台企业开展网络安全审查的系列行动表明,一直以来所存在互联网企业的数据伦理问题将逐步引起关注、重视,并引发监管与治理变革。本文从滴滴的商业模式出发,首先分析其商业模式下所存在的潜在数据伦理问题;进而,基于滴滴案例对互联网企业数据伦理、数据安全与国家安全之间的基本关系与因果逻辑进行初步的考察与分析;在此基础上,对中国企业海外上市在数据安全监管领域所面临的挑战加以探讨,并力图提出相应的解决方案。
2 滴滴的商业模式:基于数据智能驱动
(一)滴滴的发展历程及其业绩表现
2012 年9 月,滴滴App 正式上线,通过“手机对手机”模式在网约车与乘客之间实现了“司乘”的快速匹配,凭借信息技术赋能大幅提高了乘客出行和司机运营效率。2014 年1 月,滴滴与微信达成战略合作,开启微信支付打车费“补贴”营销活动,通过大量补贴快速培养了用户习惯,聚拢了大量活跃用户,由此移动出行开始在中国普及。截至2021 年3月31 日,滴滴总资产为1581 亿元,已在包括中国在内的 15 个国家及地区约 4000 多个城镇开展业务,拥有全球年活跃用户近5 亿,全球年活跃司机约1500 万,平均日交易量达到4100 万单,已促成超过 500 亿笔累计交易。滴滴旗下业务涵盖网约车、出租车、顺风车、共享单车、共享电单车、货运、金融和自动驾驶等,是一家“世界上最大的移动出行技术平台”。
自成立以来,滴滴已先后完成23 轮融资,融资总额超过200 亿美元,曾被称为“史上融资最多的未上市科技公司”,表1 列示了滴滴IPO 前的融资过程与估值演变。多轮融资导致滴滴IPO 之前外部投资人持股占比已达到约90%。滴滴IPO 前的股权结构和表决权如表 2 所示。其中,软银愿景基金(Softbank Vision Fund Entity)持股21.5%,为最大单一股东;Uber、腾讯分别持股12.8%、6.8%,滴滴创始人兼CEO 程维(持股7%)、联合创始人兼总裁柳青(持股1.7%)和高级副总裁朱景士等所有的董事和高管合计仅持有10.5%的股权和20.1%的投票权。滴滴招股说明书显示,为了能继续保持对滴滴的控制,按照1∶10 的超级投票权设定,程维、柳青和朱景士三人合计投票权为52%。
从业绩层面来看,滴滴自成立以来一直处于亏损状态,累计亏损约 600 亿元。2018 ~ 2020 年期间,滴滴在公认会计原则(GAAP)口径下的净亏损仍分别高达149.8 亿元、97.3 亿元和106.1 亿元;然而,滴滴在招股说明书里强调指出,近三年其在非公认会计原则口径下的息税前净亏损(non-GAAP EBITA)则分别为 86.47 亿元、27.64 亿元和 83.81 亿元,如表3 所示。
从业务层面来看,滴滴的平台收入及会计准则下的营业收入的增加并非来自基本面的改善,而是伴随平台垄断所带来的对司机分成的进一步缩减所致,如表4 所示。2018 年以来,滴滴的国内外交易量(transactions)增幅有限,2020 年交易量为90.98 亿(增幅为-5.53%),部分源于新冠疫情带来的出行减少;2020 年,滴滴的交易总额(GTV)为2145.86 亿元(增幅为-4.77%),而其平台分成收入(Platform Sales)却大幅增长到34.66 亿元(增幅为43.27%)。滴滴平台收入定义为交易总额减去支付给司机和合作伙伴的所有收益和奖励、通行费、税收及其他费用等。鉴于通行费、费用、税收的波动相对有限,在滴滴交易量及交易总额增长几乎可忽略不计的前提下,滴滴主要通过降低司机和合作伙伴的收益、奖励以增加自己的分成收入,这主要是由于滴滴在中国移动出行业务领域具有极高的市场占有率所形成的定价能力导致的。
(二)滴滴的业务体系:“三大现有业务”与“四大未来战略”
滴滴招股说明书将其业务体系拆解为“三大业务”(国内业务、国际业务、其他创新业务)和“四个核 心战略板块”(共享出行平台、汽车解决方案、电动出 行、自动驾驶)。前者代表滴滴现有业务的收入构 成,后者则是滴滴未来的战略规划,两者都需要充分挖掘数据的“潜在价值”。根据滴滴招股说明书 梳理其业务体系如图1 所示。图中的核心业务源于“三大业务”中的国内业务下的出租车、快车、专车、顺风车等出行服务,该业务的运行架构在于利用收 集的用户数据和司机数据,形成滴滴的核心数据,从而以数据“智能”更好地运行平台。国际业务和其他创新业务因占比较小,均归于其他业务,其中: “前向其他业务”泛指利用核心业务所收集的数据, 面向用户收费的业务模式;“后向其他业务”则泛指 利用数据面向B 端收费的业务模式。
图 1 滴滴的业务体系
如表5 所示,2018 ~ 2020 年期间,滴滴“三大业务”总营业收入分别为 1352.88 亿元、1547.86 亿元(较上年增加 14.41%)、1417.36 亿元(较上年减少8.43%),营业收入中95%来自国内业务。滴滴的年活跃用户和年活跃司机中,3.77 亿(约76.47%)为中国用户和1300 万(约86.67%)为中国司机。其他业务包括国际业务和其他创新业务,2020 年滴滴其他业务实现收入57.58 亿元,占营业收入的4%左右,同比增长18.21%。其中:国际业务目前在营业收入中占比很小,低于2%,滴滴在招股说明书所披露的计划中表明会将约30%的募资金额用于扩大中国以外国际市场的业务;其他创新业务包含了除共享出行平台外的汽车解决方案、电动出行、自动驾驶等滴滴新业务板块,滴滴的“四个核心战略板块”在拆分四大板块的基础上进行独立融资。
如表5 所示,从成本端来看,得益于营业成本的有利管控,2018 ~ 2020 年期间,滴滴的营业毛利及营业毛利率一直呈现快速上涨的趋势,2020 年的营业毛利率已达到11.24%,而导致净收益一直为亏 损状态的主要原因在于营销费用、研发支出、管理费用三个项目持续性上升。滴滴在销售费用上的居高不下源于网约车行业严重同质化,且用户转换成本低;在研发和营运上持续性的投入增加是基于自身未来在四大核心战略板块上的发展所需,以期转化为滴滴未来的增长引擎。
(三)滴滴的商业模式:基于数据智能驱动
Nunan 和 Domenico指出,大数据带来的影响可以由三个方面构成:一是与不断增加的数据收集量相关的技术;二是侧重于通过从已有数据中产生更有效的数据信息,从而可以为组织增加的商业价值;三是考虑数据使用所带来更广泛的社会影响,特别是对个人隐私的影响,以及对这些数据商业使用道德的监管和指导方针的影响。
总体而言,滴滴是典型的以数据智能为驱动的移动互联网公司,其商业模式以数据思维为引领,以数据资产为基础,以数据技术为核心。滴滴将乘客与司机通过平台短期匹配到一起,从而获取了大量的交易数据和运营数据,通过对数据的处理、分析和挖掘,使数据具有“智能”,进而更好更快地发展现有业务、开拓新的业务板块。滴滴透过数据智能驱动,不断将数据潜在价值变现。滴滴应用大数据技术分析客户行为和出行数据,进而将数据驱动的思维模式变为现实,并凸显其数据智能商业模式的优越性:(1)通过海量的出行服务和乘客使用信息不断扩充现有的数据库,形成实时更新的数据资源, 为滴滴提供源源不断的数据供给;(2)通过提高司机效益、便捷乘客出行、保障司乘安全,使用户逐渐形成路径依赖,即拥有大量的活跃用户;(3)采用大数据技术和人工智能技术、大数据架构、数据平台、数据科学、数据治理等保障滴滴数据实现价值变现。滴滴的数据智能驱动模型如图2 所示。
图2 滴滴的数据智能驱动模型
从未来的应用场景来看,滴滴在共享出行平台、汽车解决方案、电动出行和自动驾驶的“四个核心战略板块”下可以不断打造丰富的应用场景,如表 6 所示。此外,鉴于滴滴实时、多元的海量数据,可以勾勒出不同城市的交通、教育、医疗、行政资源的分布,长期的数据观察和分析结果甚至可以逐渐反映出所处城市的经济、社会的发展情况,这一系列数据可以演化成为与国家安全相关的核心数据。
3 滴滴的数据伦理与国家安全风险:
初步的考察与分析
在数字时代,数据已经成为许多公司核心竞争力的来源。数据地位的提升,导致数据本身的伦理问题被提上了日程。数据伦理问题通过数据滥用、数据安全、数据霸权、算法霸权和算法歧视等形式呈现出来,而其本质是对隐私权、数据权、人类自由和社会公平等的侵害。解构“滴滴事件”的底层逻辑在于特定商业模式下的数据伦理问题,正是这些数据伦理问题又可能进一步引发数据安全与国家安全风险。
(一)滴滴商业模式内隐的潜在数据伦理问题
在滴滴基于数据智能驱动的商业模式中,融合算法、规则、数据的智能化系统引发了滴滴平台在价格歧视、滥用市场地位、数据的非法收集和滥用、数据安全等数据伦理问题。在滴滴的商业模式中,内隐的潜在数据伦理问题包括以下几个方面:
1.数据过度采集和违规使用。
当数据在价值链中处于核心地位时,数据智能驱动的公司很可能会在没有征得用户、消费者或其他利益相关者同意的情况下过度采集和滥用其信息,从而侵犯用户、消费者和社会公众等利益相关者的数据权利。
在滴滴数据的采集环节,滴滴在《个人信息保护及隐私政策》中强调了对个人信息的收集、保存、使用、共享的权利。根据滴滴早期的《个人信息保护及隐私政策》,其中定义的个人信息范围包括身份证号码、面目识别特征、录音录像、银行卡号、IP 地址,这些信息的收集已远远超出正常使用滴滴平台核心功能所需。2021 年7 月6 日,深圳公布了《深圳经济特区数据条例》(简称《数据条例》),内容涵盖了个人数据、公共数据、数据要素市场、数据安全等方面,是国内数据领域首部基础性、综合性立法,提出打击过度采集个人信息以及App“不全面授权就不让用”。
在滴滴数据的运用环节,滴滴《个人信息保护及隐私政策》在“个人信息的共享、转让、公开披露” 中明确表示滴滴在部分情况下,会对外共享个人信息,其中包括共享给滴滴的关联公司以及共享给业务合作伙伴,而滴滴的合作伙伴包括广告、分析服务商、供应商、服务商和其他合作方。根据《中华人民共和国个人信息保护法(草案)》(简称“草案”),第二十四条“个人信息处理者向第三方提供其处理的个人信息的,应当向个人告知第三方的身份、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收个人信息的第三方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。第三方变更原先的处理目的、处理方式的,应当依照本法规定重新向个人告知并取得其同意。”显然,滴滴对个人信息的数据共享是不符合规定的。2021 年7 月4 日,网信办发布消息证实“滴滴出行”App 涉嫌严重违法违规收集使用个人信息。
2.数据算法带来价格歧视。
价格歧视(Price Discrimination)实质上是一种价格差异,通常指商品或服务的提供者在向不同的接受者提供相同等级、相同质量的商品或服务时,在接受者之间实行不同的销售价格或收费标准。滴滴的价格歧视分为以大数据杀熟为代表的一级价格歧视和分类定价的二级价格歧视。滴滴的大数据杀熟是基于数据算法优势而形成的用户画像(包括性别、年龄、地点、搜索词、生活方式、收入等),精准把握消费者支付意愿,估计消费者个人愿意为平均出行支付的最高价格,从而逐渐从统一的定价标准演变成个性化的定价。在个性化定价中,每个消费者都被剥夺了他们的消费者剩余,这是对消费者剩余财富的攫取。大数据杀熟的本质是利用信息不对称,通过收集的数据扭曲价格形成机制。滴滴的多层收费是基于不同偏好的消费者,由他们选择消费定价,对于认为滴滴定价过高的消费者,滴滴推出“花小猪”,采用“一口价模式”“百元现金天天领”“分享好友得津贴”等低价方式来提供另一个出行选择,即同一位乘客,同样的终点起点,两个不同的平台下单订单金额可能相差巨大,这使得即使在“花小猪”合规率极低的背景下,花小猪的业务依旧能实现快速成长。而随着价格歧视的进一步演变还会影响收入分配,从而加剧社会分化。《数据条例》也首次确立了数据公平竞争有关制度,如针对数据要素市场“大数据杀熟”等竞争乱象,明确将处罚上限设为5000 万元。
3.数据霸权催生垄断主义。
数字时代的数据霸权正在挑战社会正义与社会公平,即成为影响社会发展的一道隐形障碍,可能造成数字时代“强者越强,弱者越弱”的“马太效应”。数据霸权对社会公平的危害,一方面表现为少数企业凭借数据垄断优势,可以轻松地获取高额利润,如互联网公司不断通过并购实现“数据孤岛”的互联,垄断大量数据资源;另一方面,中小企业和普通创业人员因没有掌握数据资源而面临经营发展的困境。滴滴作为网约车业务的“数据大亨”,2015 年2 月,滴滴与快的合并后的市场份额曾一度超过90%,引发市场对滴滴的垄断质疑。2016 年8 月,滴滴与优步中国区合并,再一次巩固了滴滴在中国网约车市场的龙头地位。滥用市场地位是具有领先优势的平台常见的竞争手段,如果滴滴的垄断地位得到了巩固和确定,滴滴会通过恶意排他,限制其他中小网约车企业竞争,进而极大地削弱行业的持续创新动力。
(二)滴滴数据伦理可能引发数据安全与国家安全风险
1.滴滴的数据处理与《数据安全法》。
伴随着数据使用频率的增加、数据化场景的丰富,以及数据处理技术和水平的提升,会产生基于数据处理的一系列新型数据安全风险。数据安全风险主要指大数据分析结果导致的国家、社会、个人利益的损失,即“数据外部性风险 ”。在本质上,数据安全风险
(外部性风险)来源于数据伦理。实际上,随着数据跨境流动等趋势的愈发常见,数据已然转换为关乎国家安全价值的利益形态。数据安全将侵犯个人、群体乃至国家的利益,进而限制人的自由和影响社会公平,而涉及国家隐私的核心数据的则会引发国家安全问题。
将于2021 年9 月1 日起正式施行的《数据安全法》第三条第3 款规定:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。”《数据安全法》以基本法的形式明确了我国数据安全治理体系的顶层设计,从而有效应对数据这一新兴领域的国家安全风险。《数据安全法》直接以“数据处理活动”作为管辖范围,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。《数据安全法》规范“数据处理活动”的主要条款如表7 所示。
2.滴滴引发国家安全审查的主要法律依据。
近年来我国数据监管水平逐渐提升,除了有针对数据处理进行管辖的《数据安全法》,还有《国家安全法》《网络安全法》《网络安全审查办法》,它们共同构成数据安全范畴下的法律框架。《国家安全法》强调了应对影响或可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目等进行国家安全审查。《网络安全审查办法》《网络安全法》则将网络安全审查的对象进一步限定为关键信息基础设施的运营者,即要启动网络安全审查,其主体必须符合该要求。
《网络安全法》第三十一条将关键信息基础设施定义为“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施”。公安部于2020 年7 月22 日发布并于当日生效的《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(简称《意见》)中进一步明确了对关键信息基础设施确定标准:“应将符合认定条件的基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等重点保护对象纳入关键信息基础设施。”
根据滴滴在云平台、大数据平台、新型互联网等数据智能的商业模式本质及其行业属性,可以判断滴滴属于公路水路运输行业领域的关键信息基础设施的运营者。滴滴所处的“关键信息基础设施的运营者”地位是对滴滴实行法律审查的基础依据,这也体现了滴滴数据的特殊性。因此,对滴滴实行网络安全审查的法律依据可以概括为如表8 所示。
3.滴滴引发国家安全审查的直接诱因:数据主权。
滴滴商业模式内隐的数据伦理问题是解构对滴滴实行国家安全审查的底层诱因,而数据主权(Data Sovereignty)问题则是引发对滴滴进行国家安全审查的直接诱因。滴滴在招股说明书里明确披露了数据相关的风险,指出中国政府监管有可能导致罚款、停止商业运营、撤销执照,甚至是刑事责任。数据主权指一个国家对其政权管辖地域范围内个人、企业和相关组织所产生的数据拥有的最高权力。未来,拥有对海量数据开发、传播和控制主动权和主导权的国家,就拥有数据主权。
处于信息技术领先地位的国家可攫取更大的权力,相应地,信息技术相对落后的国家则会失去很多权力。滴滴所拥有的数据包括乘客主动产生的数据和被动留下的数据,在收集、存储、使用数据的过程中,滴滴积累了大量的国家级别数据。2020 年10 月,一直使用第三方地图的滴滴,注册了新商标“滴滴地图”,滴滴的司机和乘客每天会上报数十万量级的路况事件,基于生态事件运营发布平台和大数据、AI 技术,滴滴能实时更新地图生态数据, 进一步为共享出行网络提供更好、更安全的出行体验,提升出行效率。目前,滴滴地图基础数据的准确性已超 95% 。滴滴也在海量数据的更新背景下,不断收集来自城市交通、教育、医疗、行政资源的分布的核心数据,滴滴除了拥有基础的出行数据和使用记录,还通过数据分析进一步研判中国的大政方针、重大措施。这些关乎国家基础设施建设和国家发展的底层数据,实际上铺设了一个高度依赖于数据网络的国家安全信息体系。任何一个信息技术本身都可能存在安全漏洞,滴滴的潜在技术漏洞可能导致数据泄露、伪造、失真。如果滴滴将用户数据、地图信息以及使用过程中的国家统计数据等泄露至海外,实际上就相当于将国家的核心机密外泄,侵犯了国家的数据主权。
4 中国企业海外上市的数据
安全监管问题:挑战与应对
以滴滴为例,在美国上市以后,它必须按照《外国公司问责法案》(Holding Foreign Companies Accountable Act)呈交以审计底稿、亦或是用户数据和城市地图为代表的部分数据,这些都是关乎国家数据主权的核心数据。海外上市后,不排除滴滴在美国监管压力下可能存在数据跨境流动的数据安全隐患,包括因高管人为的主动泄露和因海外监管压力、网络安全体系和技术能力不足而带来的被动泄露,这些都可能直接影响国家安全、公共利益和社会稳定。
(一)挑战:海外上市、《外国公司问责法案》与跨境数据流动困境
跨境数据流动(Transborder Flows of Personal Data)这一概念最早是在 20 世纪 70 年代由经济合作与发展组织(OECD)提出的。随后 OECD 于1980 年发布《隐私保护与个人数据跨境流动指南》(Guidelines on the Protection of Privacy and Trans⁃ border Flows of Personal Data)将其定义为“跨越国境的个人数据移动”。数据跨境流动也被定义为 “指企业或机构将在所在国产生和收集的各类数据,提供给其他国家和机构的行为”。进入 2010年代以来,数据跨境流动规则发展将主要围绕组织(公共)数据安全保障和合理利用展开。笔者认为,对跨境数据流动进行监管的核心意义在于维护国家数据主权,保障国家数据安全。
2020 年12 月,美国国会最终通过《外国公司问责法案》并经总统签署后正式生效。该法案对外国公司在美上市提出额外的信息披露要求,规定任何一家外国公司连续三年未能遵守PCAOB 的审计要求将禁止上市,PCAOB 要求享有定期检查在美注册的会计师事务所的权力,包括可以自由查阅审计工作底稿。同时,该法案还要求在美上市公司证明其“不是由外国政府拥有和控制”、要求“发行人必须在PCAOB 无法进行上述检查的每一年份,向SEC披露国有股比例、属于中国共产党官员的董事的姓名等信息”,该法案具有明显的证券监管政治化趋势。2020 年 3 月正式实施的《证券法》则强调: “国务院证券监督管理机构可以和其他国家或者地区的证券监督管理机构建立监督管理合作机制,实施跨境监督管理。境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”可见,中美两方对于中概股提供和获取的数据口径要求的不统一,加大了中国企业海外上市的难度,甚至会倒逼已在海外上市的企业从美国证券市场退市。在某种程度上,美方对中概股的一系列监管的本质是裹挟于治理和管制外衣下对我国国家安全的潜在侵害。
美国《外国公司问责法案》的发布导致部分中概股企业面临更加严峻的生存挑战,它们既受制于《外国公司问责法》,又要考虑基于跨境数据流动的数据安全监管和跨境监管合作问题。以滴滴为例,因海外上市导致可能的数据跨境流动,进而引发的一系列新的问题,如个人隐私泄露和国家安全问题,以及为解决隐私泄露和国家安全问题而需要付出更多的管理成本、安全成本和经济成本。
(二)应对:前置审批程序、长臂管辖规则与跨境数据监管合作
针对海外上市企业数据跨境流动引发的潜在风险,有必要针对海外上市之前设置合理的境内前置审批程序以及针对海外上市之后设置合理的境内长臂管辖规则,并在此基础上完善针对海外上市企业的数据跨境监管合作。
1.针对海外上市之前:设置必要的前置审批程序。
滴滴上市采用的是“小红筹”模式,这是境内民营企业海外上市普遍采用的模式,由于上市主体注册地在海外,目前证监会没有职能对其进行审批,未设置相关的境内前置审批程序。滴滴正是利用了前置审批程序这一缺口,成功避开了掌握国家核心数据的关键信息基础设施的敏感身份,“快速且低调”地在海外上市。
对海外上市中国企业设置合理的境内前置审批程序可以更好地规范海外上市企业的后续发行,尽早发现部分海外上市企业的违法违规行为。具体来说,境内前置审批程序可以在上市前审核企业的基本情况,尤其是对于滴滴这一类握有国家敏感数据的企业,可以在前置审核程序中审核企业的特殊数据,以确定企业在海外上市后是否会因数据泄露引发国家安全风险。
2.针对海外上市之后:设置合理的境内长臂管辖规则。
中国未来的数据保护立法应结合自身数据产业的特点,明确立法旨意,形成内外联动,在国际互联网和数据治理中采取积极有为的态度,掌握该领域的话语权。对于具有海量数据的中概股企业,如何确保企业上市后的数据使用的合规,出于对国家数据安全的保护,这就需要落实对海外上市企业数据的“长臂管辖”。
我国《数据安全法》首次确认了对数据的长臂管辖权,其第三十六条就有明确规定,国家将根据国际条约、我国《数据安全法》首次确认了对数据的长臂管辖权,其第三十六条就有明确规定,国家将根据国际条约、协定或平等互惠原则,处理外国司法或者执法机构关于提供数据的请求,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。新《证券法》也确立了“长臂管辖”原则,其第二条第四款规定:“在中华人民共和国境外的证券发行和交易活动,扰乱中华人民共和国境内市场秩序,损害境内投资者合法权益的,依照本法有关规定处理并追究法律责任。”此外,在滴滴事件发生后,2021 年7 月6 日,中共中央办公厅、国务院办公厅联合发布了《关于依法从严打击证券违法活动的意见》,该意见强调了“加强中概股监管,切实采取措施做好中概股公司风险及突发情况应对,推进相关监管制度体系建设”“建立健全资本市场法律域外适用制度。抓紧制定证券法有关域外适用条款的司法解释和配套规则,细化法律域外适用具体条件, 明确执法程序、证据效力等事项。加强资本市场涉外审判工作,推动境外国家、地区与我国对司法判决的相互承认与执行”。
3.完善针对海外上市企业的数据流动跨境监管合作。
在数据跨境流动的问题上,我国既有对等反制数据流向外国的法律工具需求,又有强烈的经
济发展现实法律保障需求。跨境数据流动涉及部门多、链条长,国家之间或国家与地区之间监管协调难度较大。一直以来,我国跨境证券监管合作虽在多种协作形式上都有所涉及,但有效协作方式还比较单一。自《外国公司问责法》实施以来,对于解决中美双方一直争执的审计底稿问题,中方一直呼吁以中美跨境监管合作的形式展开,但效果甚微。
各国出于对数据行业发展、隐私保护传统、国家立场和国家安全观念等核心议题的考虑,对数据出境实施了不同水平的限制。在海外上市数据跨境流动的背景下,对数据的跨境监管合作也成为缓解数据跨境流动问题的有力举措。《关于依法从严打击证券违法活动的意见》也强调了进一步加强跨境监管执法司法协作,包括“完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”,提出“进一步深化跨境审计监管合作,探索加强国际证券执法协作的有效路径和方式”。
5 总结与研究意旨
数据这一新兴生产要素在改变全球经济发展模式和重塑企业商业模式的同时,在其使用过程中也逐步产生了新的系列伦理问题,即数据伦理问题。网信办对滴滴等系列海外上市互联网平台企业开展网络安全审查将对我国企业数据伦理治理与数据安全监管产生深远的影响,具有标志性的变革指向意义。为此,本文从滴滴的商业模式出发,分析了其商业模式下所存在的潜在数据伦理问题;基于滴滴案例对互联网平台企业数据伦理、数据安全与国家安全之间的基本关系与因果逻辑进行了初步的考察与分析;对中国企业海外上市在数据安全监管领域所面临的挑战进行了探讨,并提出了应对方法。
滴滴是典型的以数据智能为驱动的移动互联网公司,其商业模式以数据思维为引领,以数据资产为基础,以数据技术为核心。滴滴作为互联网平台获取了大量的交易数据和运营数据,并对获取的海量数据进行处理、分析和挖掘,以使数据“ 智能化”,通过“智能”数据更好更快地发展现有业务并开拓新的业务板块。在滴滴基于数据智能驱动的商业模式中,融合算法、规则、数据的智能化系统引发了滴滴在数据的非法收集和滥用、价格歧视、滥用市场地位等领域的数据伦理问题,并产生基于数据处理的一系列新型数据安全风险,即“数据外部性风险”。在本质上,数据安全风险(外部性风险)来源于数据伦理问题。随着海外上市数据跨境流动等趋势的愈发常见,数据安全风险已然转换为关乎国家安全的利益形态。
当前,《国家安全法》《网络安全法》《数据安全法》与《网络安全审查办法》等共同构成我国数据安全范畴下的法律框架。滴滴商业模式下的数据伦理问题是解构对滴滴实行国家安全审查的底层诱因, 而数据主权问题则是引发对其进行国家安全审查的直接诱因。在美国颁布《外国公司问责法案》的背景下,以滴滴为代表的这一类拥有海量数据的中概股企业将面临着更加严峻的生存挑战,它们既受制于《外国公司问责法》的新规定,又要考虑基于跨境数据流动的数据安全与国家安全风险。针对海外上市企业数据跨境流动引发的潜在国家安全风险,有必要针对海外上市之前设置合理的境内前置审批程序以及针对海外上市之后设置合理的境内长臂管辖规则,并在此基础上完善针对海外上市企业的数据跨境监管合作。
本文的研究旨在促进学术界与监管部门关注、重视并探索特定商业模式可能会内隐特定伦理问题这一新兴的经济现象与学术命题;并意在启发在数据伦理治理与监管变革背景下,企业应建立并秉承伦理是可持续竞争优势的本质来源这一基本价值创造理念。
END