南宫·NG28(China)官方网站-登录入口监管部门仍可能认定数据未达匿名化要求-南宫·NG28(China)官方网站-登录入口
发布日期:2024-10-24 06:21 点击次数:156
(原标题:招股书里的小马智行:采集用户信息少于100万南宫·NG28(China)官方网站-登录入口,未达国内辘集安全审查门槛)
21世纪经济报说念记者肖潇 北京报说念
炙手可热的RoboTaxi行业,正在迎来一波上市潮。手脚国内自动驾驶畛域的独角兽,小马智行近日着重向好意思国证券交游委员会提交IPO招股书,计较登陆纳斯达克。
在这份招股书中,小马智行逐一摆列了财务、业务、合规问题,相等是波及数据保护和辘集安全的合规风险。招股书相等提到,迄今未因违抗国内个东说念主数据保护法而遭逢任何紧要索赔或探员。现在小马智行并未持有高出一百万用户的个东说念主信息,不需要申诉也尚未收到任何辘集安全审查的见知,这一安排已获联系部门阐述。 不外,招股书也指示,无法排斥咱们或者咱们的客户被视为重要信息基础设施运营者(CIIO)的可能性。其配结伙伴名单中已包括丰田汽车、三一重工、中海外运等大企业。要是被认定为CIIO,小马智行必须接纳辘集安全审查,要是购买的辘集产物或就业被合计可能影响国度安全也必须接纳辘集安全审查。
就在小马智行走漏IPO招股书之前,另一家国内RoboTaxi头部公司文远知行,也走漏了赴好意思上市招股书,并提到了车辆摄像头数据授权等问题。跟着自动驾驶企业携手插足巨匠本钱市集,辘集安全与数据合规例必会成为越来越复杂的课题。
从业务结构来看,小马智行分了三大板块:自动驾驶出行就业(Robotaxi)、自动驾驶卡车(Robotruck)、技巧授权与期骗就业。尽管Robotaxi造血才气还比拟弱,但无疑是行业关心焦点,亦然与用户数据距离最近的一个法子。
凭据小马智行的招股书,公司在国内已运营高出250辆自动驾驶出租车,每辆车本年上半年的日均订单量高出15单。同期,其约车软件“小马智行Ponpilot”的用户数目也已达到22万。
出行就业会波及哪些数据?招股书提到,“咱们采集、存储、传输并以其他神气处理来自车辆、用户、职工、司机和其他第三方的数据,其中一些数据可能波及个东说念主数据或神秘或私有信息,如用户的姓名、电话号码、开赴方位和打算地。用户不错在咱们官方网站上访谒咱们的诡秘计策,该计策形色了咱们采集的个东说念主信息类型。”
记者因此翻阅小马智行的《诡秘契约》发现,用户在使用自动驾驶出租车时,需提供八类信息,包括用户名、手机号码、开赴地和打算地、车内灌音摄像、车载摄像头拍照、支付纪录、就业日记和剪切板信息——这些数据都是完成基本业务所必需的。此外,用户的精准位置信息和传感器数据拓荒了单独的高兴模范。
招股书对此强调了数据保护和安全风险。公司指示,可能有多种着手挟制辘集和数据安全,它们可能会试图赢得车辆截止权,改革功能和性能特征,或者获取车辆、产物和系统生成的数据。这些瑕玷可能升级为针对云就业和托管软件的“大畛域泄露”。
不外,小马智行似乎对数据授权法子避而不谈。另一家公司文远知行招股书的风险部分,领先就谈到了“在特定拍摄角度、拍摄精度以及车辆与行东说念主或其他车辆的相对速率和位置等条目下,关于源自车外的个东说念主信息,咱们无法取得联系个东说念主的高兴。”
小马智行昭着濒临雷同的疼痛。两家公司都曾对此默示,会对测试运转场景采集的车外视频中的东说念主脸、车牌打码脱敏,并对一皆数据进行加密传输及访谒处理权限截止,选拔多重表率保险信息数据安全。但文远知行也在招股书中坦言,无法保证这种去识别化的表率完全得当监管要求,若未能达标,可能会濒临处罚。
此前不雅韬中茂讼师事务所结伙东说念主吴丹君告诉21记者,按照我国《个东说念主信息保护法》的要求,匿名数据必须同期知足“无法识别”和“不可规复”两项模范。换句话说,即就是“打码”数据,要是能被规复,监管部门仍可能认定数据未达匿名化要求。可是,现在技巧上很难作念到十足匿名化,跟着数据组合技巧的高出,再行定位到个东说念主的风险日益加多,这成为了企业濒临的络续不细目性。
除此除外,小马智行还指示了两个数据安全风险源:一是开源技巧,这小数也被文远知行说起。两家公司的招股书都指出,自动驾驶系统的告捷运作,很猛进度上依赖所使用的开源软件。而开源软件既有盛开性的机遇,但也加多了信息安全间隙和易受瑕玷的风险。
二是云就业。小马智行默示,公司现在给与了第三方供应商运营的基础设施,计较在各个市集与第三方的供应商配合,把用户或非用户数据存储在当地设施内。这意味着公司对云基础设施的运营至多有有限的截止权,要是碰到辘集瑕玷、电信故障等,都会影响平台的云部分。
这并非杞东说念主忧天。比年来,巨匠云霄数据泄露事件频发。《2023年泰雷兹云安全商榷》的探员指出,昨年巨匠高出39%的企业在云环境中发生过数据泄露,警示企业需要加大对云霄数据安全的嗜好。
值得羁系的是,本次小马智行好意思股IPO的招股说明书中指出,公司未收到任何监管的见知将其识别为重要信息基础设施运营者,莫得因违抗国内个东说念主数据保护法而受到过任何紧要索赔和探员,也未收到监管的任何辘集安全联系的警告或制裁,或任何要求提交辘集安全审查的联系部门见知。
凭据《辘集安全审查见解》,掌持一百万用户个东说念主信息的辘集平台计算者境外上市,需要申诉辘集安全审查。“一百万其实是推定‘可能对国度数据安全有影响’的一个阈值,达到这个模范就应该申诉,公司是否达到了这个条目很重要。”清律讼师事务所首席结伙东说念主熊定中说。
比年来,国内对辘集信息和数据的监管力度不竭加大,实在是行业共鸣。2021年,滴滴因上市触发了首例公开发布的辘集安全审查,随后,Boss直聘、运满满和货车帮也在上市流程中阅历了辘集安全审查。
“不外要明确的是,申诉和审查是两件不同的事情。”熊定中默示,要是申诉后,审查办公室合计诚然数据量达到了申诉模范,但其实莫得影响到国度数据安全,比如数据明锐性极低、是公开数据等等,也可能平直见知企业不需要审查。辘集安全审查的打算并不是为了艰辛数据流畅和企业计算,主要如故保险国度数据安全和主权。
关于小马智行的情况,公司在招股书中诠释,其拟在好意思国上市之前莫得持有高出一百万用户的个东说念主信息,是以无需申诉辘集安全审查,公司也曾跟CCRC阐述。CCRC指的是中国辘集安全审查技巧与认证中心,负责辘集安全审查的具体责任。 但这并未完全缓解公司的垂危心扉。小马智行招股书花了不小篇幅分析了辘集安全审查表率的潜在影响,以及改日数据合规监管的不细目性。
“咱们弗成保证国内监管不会选拔与咱们相悖的不雅点。”“这些与诡秘、数据保护和信息安全联系的法律和规则的任何变化,以及政府对这些法律和规则的任何加强实行行为,都可能大大加多咱们提供惩办有打算和就业的成本……这可能会对咱们的业务、财务景况和运营恶果产生紧要不利影响。”招股书写说念。
比如,招股书提到一个一衣带水的监管要求——跨境数据传输的安全评估。现在小马智行无东说念主驾驶就业交易收费布局在国内的北京、广州和深圳,莫得开展跨境数据运输,因此无需评估。但公司已入辖下手延迟巨匠业务,与新加坡出租车运营商已毕配合,并在韩国、卢森堡、沙特阿拉伯等地开展自动驾驶技巧落地配合,改日例必会面对跨境数据传输问题。
再比如,尽管小马智行莫得被认定为重要信息基础设施运营者(CIIO),但招股书指示“无法排斥咱们或者咱们的客户被视为CIIO的可能性。” 其配结伙伴名单中已包括丰田汽车、三一重工、中海外运等大企业。要是被认定为CIIO,小马智行必须接纳辘集安全审查,要是购买的辘集产物或就业被合计可能影响国度安全也必须接纳辘集安全审查。在审查完成之前,客户弗成使用小马智行的产物或就业。
21记者了解到,一般辘集安全审查模范的完成需要60个责任日的时代,招股书合计审查流程和恶果,“可能会给公司的上市和融资计较带来极大不细目性。”
有业内东说念主士向21记者默示,辘集安全审查也曾不算“崭新事物”,其实企业不消过分垂危。但从小马智行的招股书来看,业内的惊恐长久莫得撤废。跟着更多自动驾驶企业竞逐上市南宫·NG28(China)官方网站-登录入口,真确的合规问题或者能在践诺中见分晓。