滴滴6月30日在美股上市之后,各衙门大棒接二连三打来。滴滴的三魂七魄,一时间丢了大半。

滴滴涉嫌几个罪名呢? 已经被主管部门明确提及的,有:

涉嫌违反网络安全审查办法;

严重违法违规收集使用个人信息;

违法实施经营者集中。

可能会被追加的有:

其他不公平竞争行为;

网约车合规问题;

跨境证券违法等等。

这些罪责,不仅仅是滴滴一家可能涉及,其他智能电动汽车、运营商,以及充电相关行业企业也可能会涉及。

比如,网信办就同样以违法违规收集个人信息、违法实施经营者集中、违反网络安全审查办法三个事由,处罚了其他APP、企业或平台,包括我们熟悉的车企、充电运营商、网约车运营商。

《电动汽车观察家》梳理了滴滴可能违反的各项法律法规的条文及情节,并征询了专家和从业者。

当前智能电动车企、运营商以及充电等相关企业的经营活动,哪些可能遇到监管麻烦?

【本文涉及大量法律法规,关注《电动汽车观察家》公众号),并在公众号对话框输入 法律包 ,就可以获得全文提及10个法律法规。】 

1涉嫌违反网络安全审查办法 

滴滴上市之后,打出第一棒的,是国家网信办(全称:国家互联网信息办公室,与中央网络安全和信息化委员会办公室,一个机构两块牌子)的网络安全审查办公室。 7月2日,网络安全审查办公室在官方网站发布公告,对“滴滴出行”实施网络安全审查。公告称,为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。

公告援引的直接根据是《网络安全审查办法》(下称《审查办法》)。查国家网信办网站可知,这是第一次援引该法规审查企业。

《审查办法》是国家网信办牵头,国家发改委等12个部委联合制定的部门规章。读条文,《审查办法》规范的是“关键信息基础设施运营者”的采购采购网络产品和服务,影响或可能影响国家安全的行为。目的是“为了确保关键信息基础设施供应链安全,维护国家安全”。

什么样的企业会被定义为“关键信息基础设施运营者”? 根据《网络安全法》和公安部文件,公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的主管、监管部门应制定本行业、本领域关键信息基础设施认定规则并报公安部备案。这些部门认定各自领域的关键信息基础设施后,要把认定结果通知相关设施运营者并报公安部。

关键信息基础设施类别包括:基础网络、大型专网、核心业务系统、云平台、大数据平台、物联网、工业控制系统、智能制造系统、新型互联网、新兴通讯设施等。

滴滴业务庞杂,已经渗透到各个角落。既采购了大量信息基础设施的服务,也掌握了海量数据。

目前,我们还没有看到通信、交通等部门出台的智能电动汽车行业、运营行业被划定为关键基础设施的结果,以及相关运营者名单。 但从网信办先审查滴滴,后来审查“运满满”“货车帮”“BOSS直聘”来看,它们都被认定为关键基础设施运营者。

什么样的行为可能危害关键信息基础设施供应链安全和国家安全? 《审查办法》的出台背景,有助于帮我们理解这一点。

根据中伦律师事务所的解读文章,《审查办法》2019年征求意见稿时,正值美国商务部发布《确保信息通信技术与服务供应链安全》行政令征求公众意见不久。征求意见仅一年,《审查办法》就正式通过,和当前的国际政治经济形势密不可分。 美国版的信息通信供应链安全政令,说的非常直白:

鉴于外国对手越来越多地制造和利用信息通信技术与服务中的漏洞以实施恶意的网络行为,包括针对美国及美国人的经济和工业间谍活动。这些信息通信技术与服务存储和传输大量敏感信息、促进数字经济发展、支持关键基础设施和重要紧急服务。鉴于在美国不受限制的获取或使用由外国对手拥有、控制或受其管辖或指导的人士设计、开发、制造或提供的信息通信技术或服务,将增强外国对手创造和利用信息和通信技术或服务中的脆弱性可能带来的灾难性后果,从而对美国的国家安全、外交政策和经济构成特殊威胁。

中国《审查办法》的表达是不针对任何国家。但网信办发布的专家解读中,也提及“政治、外交、贸易等非技术因素导致供应中断的可能性增强,供应商的来源和供应商的可靠性等非技术性因素,已经成为多个国家评估供应链安全风险的重要方面。”

总体而言,《审查办法》最主要的关切点,就是如美国版供应链安全政策所提出的,针对“外国对手”对中国的关键信息基础设施可能带来的威胁。 回到滴滴,在它没有海外上市时,主管部门还没有对它启动网络安全审查的举措,而在上市之后审查,相关性比较明显。滴滴的首要问题,恐怕就在于此。

另外,7月12日,网信办又发出了《审查办法》(修订草案征求意见稿),修订新增部分,几乎全部指向国外上市。特别突出的是,新增“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”

而且,把“国外上市可能带来的国家安全风险”列入重点评估内容。考虑的因素新增了“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。 此外,还将证监会列入网络安全审查工作参与部门;提交审查文件新增“拟提交IPO材料”等等。

《审查办法》及其修订,也是应对美国等国的政策。2020年12月,美国通过了《外国公司问责法》,要求赴美上市的外国企业提供审计底稿,直到美国证监会“满意”为止。如果连续三年不提交,则面临摘牌处罚。而且,赴美上市外国公司还需要说明,是不是有政府控制的股份,还需要提交高管或者上市公司的相关经营实体高管中中共官员的名单等内容。

按常规理解,美国证监会索要的审计文件,应该只与公司经营相关,不应该涉及国家机密等信息。

但一位曾在中国互联网协会标准工作委员会任职的专家告诉《电动汽车观察家》,国家和国家之间的角力,不仅是明面上、法律程序上进行。还有国家的情报战线,也是无所不用其极的。“对方要这个信息是不是恶意的,其实也很难准确判断。它可以用来判断业务真实性,但是如果是用来做别的分析,就可能涉及到国家秘密。” 

因此,对于网络安全,智能电动汽车行业及上下游企业,要明确自己是否被列为“关键信息基础设施运营者”,要自行预判采购产品和服务,是否影响或可能影响国家安全。

如果预判有可能影响的,要在与供应商正式签署合同前申报网络安全审查。在国外上市时,包括涉及100万用户用户的运营者,必须向网信办提出申报,否则就会像滴滴一样被事后审查。