从“滴滴出行”被审核说起

2021年7月2日，中华人民共和国国家互联网信息办公室发文，如图：

此公告一出，于是乎网络中各种传言风起云涌，瞬间各种文章也层出不穷，由于《公告》并未对此事的前因后果给出一个明确的说法，因此，本文从可能的几个因素做一个简单的分析，有不当之处，也请滴滴及其他专家见谅。

首先《公告》阐明审查的原因“配合网络安全审查”，因此，我们可以尝试从上位法《中华人民共和国国家安全法》寻找一个可能的入口点：在本法的第二十五条规定“国家建设网络与信息安全保障体系，提升网络与信息安全保护能力，加强网络和信息技术的创新研究和开发应用，实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控；加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为，维护国家网络空间主权、安全和发展利益。”中提取可能适用于“滴滴出行”的依据得出：

1. “关键基础设施和重要领域信息系统及数据的安全可控”

2. “加强网络管理，防范、制止和依法惩治网络攻击、网络入侵、网络窃密、散布违法有害信息等网络违法犯罪行为”本条中可剔除“网络攻击、网络入侵……散布违法有害信息”

3. “维护国家网络空间主权、安全和发展利益”

从“滴滴出行”业务属性分析，“数据安全”成为可能造成被审查的重要原因，几乎所有的媒体都以“滴滴出行”违反国家相关规定向境外传递数据作为讨论焦点，虽然滴滴坚决予以否认。但如果滴滴真属于本条，那么就应该从业务中分析滴滴的数据成因。

滴滴数据应该有两部分，一部分滴滴合法获取的用户基础信息、行程轨迹信息，滴滴与地图软件接口获取的GPS数据信息。从“维护国家网络空间主权、安全和发展利益”角度出发，滴滴常规业务数据中理论不包含上述范围，但是数据量巨大，从《刑法2021》规定而言，超过5000条即为特别重大影响。其实，在这里特别应该注意的是滴滴大数据分析下行程轨迹信息与特定人员身份关联后的问题。不知道同行们还记不记得当年，美国情报机构通过优步数据分析上海某机构人员身份信息的案例，由此可以判定，滴滴数据即使是在合法途径获取，且从单一数据属性而言不构成对国家安全危害，但是一旦形成大数据的持续化实时分析模型，一样会对用户造成不可估量的损害，一旦涉及到敏感人物时，其数据最终构成的损害即上升为国家安全。

滴滴数据会不会涉及第二类数据呢？在滴滴运行过程中产生的业务交易流水数据。GPS数据其实可以是一个公开接口通信，准确来说应该是GIS数据，商业GIS数据都是被做过扰动之后才会投放在商业接口中，并且严格规定的GPS精度问题。所以传言中所说，道路交通数据个人认为不可信，天上的卫星多如牛毛，道路交通数据根本就不可能成为秘密，但是，什么会影响国家安全呢？我们尝试一下：在“滴滴出行”驾驶车辆中可能安装的影像雷达、以及使用的各种形式的行车记录仪数据会不会也被滴滴采集呢？如果路面影像数据+GPS（被扰动过后的）+特定人物出行行为+天气+路况数据，然后基于算法，在一个特定环境下去除偏差量，是不是能够获得不应该体现在商用设备设施下的标准地理坐标呢？这个仅仅是一个猜想，一旦形成，这就是一个很严重的问题。从个人隐私转换为商业秘密，然后进阶到国家秘密，并不是不可实现。

进一步分析适用法《中华人民共和国网络安全法》。本法是一部基本法，也是我国第一部真正的网络安全立法，我们依据从“数据”入手，在本法的第4章“网络信息安全”中选择适用性条款：

第四十条　网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

本条对“滴滴出行”貌似影响不大，相信滴滴具备这样的能力和技术，即使是表面的，但是从合规而言应该没有问题

第四十一条　网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

首先从数据本身而言，“轨迹”是业务运行过程中产生的生产型数据，本数据首先是作为结算依据；其次作为平台的统计分析数据；但是本数据是在完成交易后应该被删除，而不是保留，“轨迹”的保留首先会形成用户隐私保护问题，而且保留“轨迹”数据应该获得用户同意；从这个角度而言，“轨迹”数据可能会成为本次事件的一个“雷”，第二个就是前面所说的“影像数据”，本数据既不属于基础数据，又不属于生产数据，纯粹就是一个司机自主行为数据，但这个数据到底谁在用，为什么要采集，还有谁会获取，可能会成为滴滴的第二颗“雷”。第三个数据就是语音数据，滴滴平台会开启录音，但录音数据对滴滴业务本身的作用有多少，这些数据中是否包含敏感信息？这是一个谜，但也注定成为第三颗“雷”语音数据，只要你定义好关键字，可能会获得很多意想不到的收获。

接下来我们继续看“雷”是怎么被引爆的。本次审查涉及到的另外一个立法是《网络安全审查办法》，本办法是由国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局联合制定《网络安全审查办法》

第九条 网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险，主要考虑以下因素：

（一）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；

（二）产品和服务供应中断对关键信息基础设施业务连续性的危害；

（三）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；

（四）产品和服务提供者遵守中国法律、行政法规、部门规章情况；

（五）其他可能危害关键信息基础设施安全和国家安全的因素。

我们选择适用于审查条件的条款继续进行分析，第一款规定的有关数据窃取、泄露、毁损风险。滴滴上市以及与投资方的约定中是否存在数据交易的问题？这个对于我们而言不得而知，但是一旦存在数据交易，一定会触及上述相关立法，以及《中华人民共和国数据安全法》相关条款，对于境外传递问题，个人认为不适用。《中华人民共和国网络安全法》第五十条规定“国家网信部门和有关部门依法履行网络信息安全监督管理职责，发现法律、行政法规禁止发布或者传输的信息的，应当要求网络运营者停止传输，采取消除等处置措施，保存有关记录；对来源于中华人民共和国境外的上述信息，应当通知有关机构采取技术措施和其他必要措施阻断传播。”也就是说，一旦存在事实的数据境外传递，等待“滴滴出行”的不是审查，而是依据《中华人民共和国数据安全法》第四十六条　违反本法第三十一条规定，向境外提供重要数据的，由有关主管部门责令改正，给予警告，可以并处十万元以上一百万元以下罚款，对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款；情节严重的，处一百万元以上一千万元以下罚款，并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照，对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。

第二、三款规定不适用本次事件

第四、五款规定内容与第一款相关规定具有一致性

第十条 网络安全审查办公室认为需要开展网络安全审查的，应当自向运营者发出书面通知之日起30个工作日内完成初步审查，包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关关键信息基础设施保护工作部门征求意见；情况复杂的，可以延长15个工作日。

根据本条规定，本次审查通知自7月2日下发，也就是说，按照规定30个工作日8月13日前应该会有一个结果，最晚不超过9月3日，本次审查会结束。届时大家再看结果吧。

再次声明，本文纯属蹭热度，请勿过度解读，转发请注明出处。

作者：樊山  编辑：大兵

欢迎扫描二维码关注：大兵说安全

本文始发于微信公众号（大兵说安全）：从“滴滴出行”被审核说起