自動駕駛企業赴美上市 能否應對網絡安全審查?

來源:媒體滾動

來源:中國經營網

本報記者 趙毅 陳靖斌 廣州報道

近日,小馬智行與文遠知行相繼傳出即將在美國進行首次公開募股(IPO)的消息,引發了廣泛關注。有知情人士透露,小馬智行可能最早於今年9月在美國進行IPO,並已吸引了有投資意向的機構投資者。無獨有偶,7月26日,中國自動駕駛技術初創公司文遠知行(Weride, WRD.US)向美國證券交易委員會(SEC)提交了IPO申請。

自動駕駛企業紛紛赴美IPO的背後,網絡安全與數據合規問題可能會成爲一大挑戰。就自動駕駛企業在業務運營過程中如何規避給國家關鍵信息基礎設施安全和數據安全帶來的隱患,文遠知行相關負責人在接受《中國經營報》記者採訪時表示,經過滴滴事件後,2023年2月證監會新發布了《境內企業境外發行證券和上市管理試行辦法》及相關配套監管指引,支持企業“走出去”。

該負責人補充道:“文遠知行在境外上市備案新規生效後,成爲首批向證監會申請備案的企業之一,並於2023年8月取得了證監會的批准。文遠知行赴美IPO已經過中國相關監管部門的充分審查和批准。”

涉及多項敏感數據蒐集

在自動駕駛行業中,數據收集和隱私保護成爲企業運營的重要環節。根據記者的調查,用戶在使用小馬智行APP的自動駕駛預約服務時,需要提供多種個人信息以實現基本和擴展業務功能。

根據小馬智行的《隱私協議》,用戶在使用其服務時需提供用戶名、手機號碼、預約及乘車記錄、位置信息、車內錄音錄像、支付記錄、讀取SD卡數據權限、剪切板信息等。這些信息是實現基本業務功能所必需的。用戶還可選擇性地提供其他個人信息以實現擴展業務功能。

其中在推廣活動方面,小馬智行通過用戶主動填寫的信息獲取用戶名、姓名、手機號碼、通訊地址等,以郵寄積分商城的兌換禮物和發放積分等。此外,通過用戶填寫調查問卷,小馬智行獲取年齡段、最高學歷、駕齡、所處行業、居住地、對自動駕駛的認知和反饋等信息,以優化服務。

相比之下,文遠知行的“WeRide Go”平臺收集的個人信息相對較少。根據“WeRide Go”隱私政策,用戶在註冊並使用其服務時,需要提供手機號碼、位置信息、訂單編號、訂單金額、車內人臉和聲音錄音錄像等信息。

在數據合規方面,小馬智行相關負責人迴應記者稱,公司嚴格遵守《網絡安全法》《個人信息保護法》《汽車數據安全管理若干規定》等相關法律法規,採集、存儲和使用數據時,嚴格按照要求操作。公司對出行運營場景採集的個人信息進行非明文化處理,對測試運行場景採集的車外視頻中的人臉、車牌嚴格打碼脫敏,並對全部數據進行加密傳輸及訪問處理權限控制,採取多重措施保障信息數據安全。

文遠知行也強調其運營行爲均嚴格遵循適用的法律法規。在官網和“WeRide Go”APP中,文遠知行詳細闡述了其隱私政策,說明了收集個人信息的場景、類別以及用途。文遠知行相關負責人對記者表示:“文遠知行在數據收集、傳輸、存儲和處理過程中均嚴格落實相關法規的要求。文遠知行僅處理對開展自動駕駛車輛測試和運營業務必要的數據,並以法律法規要求的方式取得個人信息主體的知情同意。對於包含人臉、車牌等個人信息的車外視頻,文遠知行通過在車端進行匿名化處理以實現隱私保護。”

此外,文遠知行相關負責人還指出,文遠知行已根據《數據安全法》第30條、《汽車數據試行規定》第10條的規定對其數據處理活動定期開展風險評估,並每年按時向廣東省網信部門報送風險評估報告。

是否存在審查風險?

近年來,國家不斷加強對網絡安全、數據安全、個人信息的保護力度,先後頒佈了《網絡安全法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》《數據出境安全評估辦法》等法律法規。

網信部門依法加大網絡安全、數據安全、個人信息保護等領域執法力度,通過執法約談、責令改正、警告、通報批評、罰款、責令暫停相關業務、停業整頓、關閉網站、下架、處理責任人等處置處罰措施,依法打擊危害國家網絡安全、數據安全,侵害公民個人信息等違法行爲,切實維護國家網絡安全、數據安全和社會公共利益,有力保障廣大人民羣衆合法權益。

2023年,全國網信系統加大執法力度,在網絡安全、數據安全、個人信息保護等領域持續發力,嚴格執法查處各類網上違法違規行爲,全年共約談網站10646家,責令453家網站暫停功能或更新,下架移動應用程序259款,關停小程序119款。

由此可見,企業在個人信息收集和使用上面臨過度搜集、隱私泄露等問題已引起監管部門重視。

北京市安理律師事務所合夥人郭慶律師表示:“過度收集用戶數據可能會帶來個人隱私安全的潛在威脅。許多徵求用戶同意使用的格式化的隱私協議,都存在規範化程度低、侵權風險高的現象。”

2021年,針對智能網聯汽車的網絡安全和數據保護問題,國家互聯網信息辦公室、公安部等五部委聯合頒佈了《汽車數據安全管理若干規定(試行)》(以下簡稱《若干規定》),對汽車數據的本地化和出境管理提出明確要求,包括重要數據本地存儲和數據出境安全評估、國際條約、協議的適用問題、不得超範圍向境外提供、政府部門的抽查覈驗和向有關部門提供關於相關情況的其他報告。

郭慶表示,自動駕駛汽車產業因其與互聯網深度融合,與國家安全緊密關聯。自動駕駛汽車收集大量數據,包括用戶身份信息、駕駛數據、道路、地理環境、公共建築等大量數據被存儲在設計者和使用者服務平臺或雲平臺。這些信息如果處置不善,存在被非法利用的可能。車輛自身的通信及車聯網數據若傳送到境外,極有可能泄露敏感信息,危害國家安全。因此自動駕駛企業在進行跨國業務或上市時需格外注意,避免在數據處理和跨境傳輸過程中造成的數據泄漏或網絡安全問題影響國家安全。

北京市盈科(廣州)律師事務所高級合夥人龍勁韜指出,滴滴事件後,‌國家互聯網信息辦公室施行了《數據出境安全評估辦法》,並印發了《‌促進和規範數據跨境流動規定》‌,規範數據出境活動以保護個人信息權益,維護國家安全和社會公共利益,促進數據跨境安全、自由流動。監管部門會重點關注數據安全保護措施的完善程度、企業對關鍵信息基礎設施的安全保障能力、數據跨境傳輸的規範等方面。

“形式合規”轉向 “實質合規”

針對網絡安全與數據合規問題,文遠知行方面表示,2023年證監會發布了相關配套文件,旨在支持企業依法合規利用境外資本市場健康發展。文遠知行方面強調:“中國政府一直鼓勵企業依法合規利用兩個市場、兩種資源融資發展。”

文遠知行方面進一步解釋稱,無論是在中國IPO還是在美國IPO,都需要按照相關證券法和證券交易所規則在網絡上公開披露必要的運營數據、經營數據。從IPO的信息披露方面來看,在中國或美國IPO並沒有實質區別。

在應對網絡安全審查方面,企業應該採取哪些積極的措施?郭慶建議:“建立完善的網絡安全管理體系:聯合國發佈的 R155 法規要求汽車製造商應構建網絡安全管理體系(CSMS),生產的車輛應具備相應的網絡安全防護能力,並在 CSMS 認證基礎上完成車輛型式認證(VTA)。”

“同時,強化數據安全保護:對照歐盟已經實施的《通用數據保護條例》(GDPR),汽車製造商應建立企業隱私合規治理架構,推動隱私合規的制度流程執行,通過數據盤點、數據流梳理、數據處理活動記錄、合規差距評估、隱私合規設計、實施驗證等環節,確保數據處理的合規性。”郭慶表示。

北京市盈科(廣州)律師事務所律師盧宣任則建議:“自動駕駛企業在應對網絡安全審查方面可建立完善的數據安全管理體系,嚴格控制數據收集和使用範圍,定期進行安全評估和審計,加強員工數據安全意識培訓等。”

值得一提的是,2024年,伴隨着《數據安全法》《個人信息保護法》深入實施,以及人工智能監管全面啓動的態勢,網絡安全與數據合規將從“形式合規”逐漸轉向 “實質合規”。

對此,盧宣任表示,“實質合規”不僅僅是促進在數據合規方面有法可依、有標可循,更加強了在企業運營的各個環節切實保障數據安全和隱私保護的監管,明確地看出在當前數據時代,對於公共設施的數據化信息、用戶隱私安全的保護切實關乎個人安全及國家利益,“實質合規”目前已經包括數據處理的合理性、必要性,安全措施的有效性,對用戶權益的充分尊重和保障等方面。具體表現在更嚴格的內部審計、對數據處理流程的持續監測和改進、對突發安全事件的快速響應和妥善處理能力等。

郭慶指出,形式合規往往關注法律法規的最低要求,更多是紙面的合規、危機應對型的合規。然而從形式走向實質,企業不但需要滿足立法不斷精細化的要求,同時應將網絡安全和數據合規建設納入日常的經營管理,從實質上可以應對安全風險,提升運營效率,在保護企業長期穩定發展的同時,也對企業客戶的信息安全提供了保障。