小馬智行與文遠知行駛向美股 如何應對網絡安全審查?

本報記者 趙毅 陳靖斌 廣州報道

近日,小馬智行與文遠知行相繼傳出即將在美國進行首次公開募股(IPO)的消息,引發了廣泛關注。有知情人士透露,小馬智行可能最早於今年9月在美國進行IPO,並已吸引了有投資意向的機構投資者。無獨有偶,7月26日,中國自動駕駛技術初創公司文遠知行(Weride, WRD.US)向美國證券交易委員會(SEC)提交了IPO申請。

自動駕駛企業紛紛赴美IPO的背後,網絡安全與數據合規問題可能會成爲一大挑戰。就自動駕駛企業在業務運營過程中如何規避給國家關鍵信息基礎設施安全和數據安全帶來的隱患,文遠知行相關負責人在接受《中國經營報》記者採訪時表示,經過滴滴事件後,2023年2月證監會新發布了《境內企業境外發行證券和上市管理試行辦法》及相關配套監管指引,支持企業“走出去”。

該負責人補充道:“文遠知行在境外上市備案新規生效後,成爲首批向證監會申請備案的企業之一,並於2023年8月取得了證監會的批准。文遠知行赴美IPO已經過中國相關監管部門的充分審查和批准。”

涉及多項敏感數據蒐集

在自動駕駛行業中,數據收集和隱私保護成爲企業運營的重要環節。根據記者的調查,用戶在使用小馬智行APP的自動駕駛預約服務時,需要提供多種個人信息以實現基本和擴展業務功能。

根據小馬智行的《隱私協議》,用戶在使用其服務時需提供用戶名、手機號碼、預約及乘車記錄、位置信息、車內錄音錄像、支付記錄、讀取SD卡數據權限、剪切板信息等。這些信息是實現基本業務功能所必需的。用戶還可選擇性地提供其他個人信息以實現擴展業務功能。

其中在推廣活動方面,小馬智行通過用戶主動填寫的信息獲取用戶名、姓名、手機號碼、通訊地址等,以郵寄積分商城的兌換禮物和發放積分等。此外,通過用戶填寫調查問卷,小馬智行獲取年齡段、最高學歷、駕齡、所處行業、居住地、對自動駕駛的認知和反饋等信息,以優化服務。

相比之下,文遠知行的“WeRide Go”平臺收集的個人信息相對較少。根據“WeRide Go”隱私政策,用戶在註冊並使用其服務時,需要提供手機號碼、位置信息、訂單編號、訂單金額、車內人臉和聲音錄音錄像等信息。

在數據合規方面,小馬智行相關負責人迴應記者稱,公司嚴格遵守《網絡安全法》《個人信息保護法》《汽車數據安全管理若干規定》等相關法律法規,採集、存儲和使用數據時,嚴格按照要求操作。公司對出行運營場景採集的個人信息進行非明文化處理,對測試運行場景採集的車外視頻中的人臉、車牌嚴格打碼脫敏,並對全部數據進行加密傳輸及訪問處理權限控制,採取多重措施保障信息數據安全。

文遠知行也強調其運營行爲均嚴格遵循適用的法律法規。在官網和“WeRide Go”APP中,文遠知行詳細闡述了其隱私政策,說明了收集個人信息的場景、類別以及用途。文遠知行相關負責人對記者表示:“文遠知行在數據收集、傳輸、存儲和處理過程中均嚴格落實相關法規的要求。文遠知行僅處理對開展自動駕駛車輛測試和運營業務必要的數據,並以法律法規要求的方式取得個人信息主體的知情同意。對於包含人臉、車牌等個人信息的車外視頻,文遠知行通過在車端進行匿名化處理以實現隱私保護。”

此外,文遠知行相關負責人還指出,文遠知行已根據《數據安全法》第30條、《汽車數據試行規定》第10條的規定對其數據處理活動定期開展風險評估,並每年按時向廣東省網信部門報送風險評估報告。

是否存在審查風險?

近年來,國家不斷加強對網絡安全、數據安全、個人信息的保護力度,先後頒佈了《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》等法律法規。

網信部門依法加大網絡安全、數據安全、個人信息保護等領域執法力度,通過執法約談、責令改正、警告、通報批評、罰款、責令暫停相關業務、停業整頓、關閉網站、下架、處理責任人等處置處罰措施,依法打擊危害國家網絡安全、數據安全,侵害公民個人信息等違法行爲,切實維護國家網絡安全、數據安全和社會公共利益,有力保障廣大人民羣衆合法權益。

2023年,全國網信系統加大執法力度,在網絡安全、數據安全、個人信息保護等領域持續發力,嚴格執法查處各類網上違法違規行爲,全年共約談網站10646家,責令453家網站暫停功能或更新,下架移動應用程序259款,關停小程序119款。

值得注意的是,自動駕駛企業在個人信息收集和使用方面是否會面臨過度搜集、隱私泄露甚至網絡安全審查等問題?自動駕駛企業赴美上市,將會面臨哪些法律風險?

北京市盈科(廣州)律師事務所高級合夥人龍勁韜律師表示:“在自動駕駛企業赴美上市過程中需特別留意關於數據跨境傳輸、個人信息保護等方面的法條,比如《數據安全法》中第三十條關於數據出境安全評估的規定;《‌網絡安全法》‌第四十二條規定,‌未經被收集者同意,‌不得向他人提供個人信息;‌《個人信息保護法》第三十八條中對個人信息跨境提供的條件和要求等。”

龍勁韜指出,滴滴事件後,‌國家互聯網信息辦公室施行了《數據出境安全評估辦法》,並印發了《‌促進和規範數據跨境流動規定》‌規範數據出境活動以保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。監管部門會重點關注數據安全保護措施的完善程度、企業對關鍵信息基礎設施的安全保障能力、數據跨境傳輸的規範等方面。

針對網絡安全與數據合規問題,文遠知行方面表示,2023年證監會發布了相關配套文件,旨在支持企業依法合規利用境外資本市場健康發展。文遠知行方面強調:“中國政府一直鼓勵企業依法合規利用兩個市場、兩種資源融資發展。2023年2月,證監會發布了《境內企業境外發行證券和上市管理試行辦法》及相關配套監管指引,支持企業依法合規利用境外資本市場實現規範健康發展。文遠知行在境外上市備案新規生效後第一批向證監會就赴美IPO申請了備案,並於2023年8月取得了證監會的批文。”

文遠知行方面進一步解釋稱,無論是在中國IPO還是在美國IPO,都需要按照相關證券法和證券交易所規則在網絡上公開披露必要的運營數據、經營數據。從IPO的信息披露方面來看,在中國或美國IPO並沒有實質區別。

在應對網絡安全審查方面,企業應該採取哪些積極的措施?北京市盈科(廣州)律師事務所律師盧宣任建議:“自動駕駛企業在應對網絡安全審查方面可建立完善的數據安全管理體系,嚴格控制數據收集和使用範圍,定期進行安全評估和審計,加強員工數據安全意識培訓等。”

值得一提的是,2024年,伴隨着《數據安全法》《個人信息保護法》深入實施,以及人工智能監管全面啓動的態勢,網絡安全與數據合規將從“形式合規”逐漸轉向 “實質合規”。

對此,盧宣任表示,“實質合規”不僅僅是促進在數據合規方面有法可依、有標可循,更加強了在企業運營的各個環節切實保障數據安全和隱私保護的監管,明確地看出在當前數據時代,對於公共設施的數據化信息、用戶隱私安全的保護切實關乎個人安全及國家利益,“實質合規”目前已經包括數據處理的合理性、必要性,安全措施的有效性,對用戶權益的充分尊重和保障等方面。具體表現在更嚴格的內部審計、對數據處理流程的持續監測和改進、對突發安全事件的快速響應和妥善處理能力等。

(編輯:張家振 審覈:童海華 校對:顏京寧)