滴滴出行被下架：跨境企业两地合规的重要性

本次网络安全审查具有重要意义，这是国家自2020年6月1日《网络安全审查办法》通过后，依照该办法展开的第一次网络安全审查。该审查的高效率和力度之大也引起了社会的高度关注，从实施网络安全调查到该App下架仅时隔两天，这一事态的迅速发展无疑体现了国家对于监管关键信息基础设施的运营者的行动力及数据安全的高度重视。

关于滴滴出行被调查的说法存在争议，目前网信办除了数据安全外尚未公布启动调查的具体事由，有很多信息称该事件可能与滴滴未经监管部分的首肯悄然上市相关。2021年6月10日，滴滴出行的实质控股公司Xiaoju Kuaizhi Inc.向美国证监会(SEC)提交招股书，以正式名称“小桔快智”提出申请，拟在美国上市，股票代码为“DIDI”。[3] 从公开递交招股书到正式上市，滴滴出行仅用了二十天便实现了美国上市的融资梦，创造了中国企业赴美上市的新纪录。根据滴滴招股说明书中的披露，滴滴出行作为国内的网约车行业的龙头企业，占据了中国近90%的网约车市场，仅在中国就拥有 3.77 亿活跃用户。这意味着，该App记录着至少3.77 亿用户的同时，也无疑在记录着广大用户的数据信息，包括联系方式、行程路线、录音录像、行为习惯等，可以更准确地说滴滴出行亦属于网络高科技公司。同时，滴滴出行拥有国家测绘地理局颁发的电子地图甲级测绘资质，这些信息可以说不仅涉及数据安全，对于特殊群体及道路信息的泄露或滥用，甚至会威胁国家安全。

通过这一事件让我们看到了跨境上市企业对于国内数据合规和境外上市地合规这一双重合规的重要意义，否则即使是多年累积的帝国大厦，也有可能一夜之间轰然倾倒。

滴滴出行事件大事记

为了更好地了解滴滴出行是否泄露数据或存在数据安全的潜在风险，我们特别梳理了美国对境外企业赴美上市的主管机构和披露义务。

二、中企赴美上市企业的披露义务

在美国资本市场，IPO新股的发行上市实行的是“注册制”，由美国证券交易委员会（SEC）和交易所（NYSE Nasdaq）共同完成发行上市审核过程。与核准制不同的是，信息披露是联邦注册制的核心，审核人员不对发行人进行价值判断，任何财务状态下的符合法律规定的公司均有机会上市。这一制度设计意味着投资者必须依赖其自身判断来进行投资，考虑到任何的信息披露的不充分或者虚假披露将给投资者带来不确定风险，因此，美国SEC对于信息披露有着诸多要求。

根据美国SEC公司财务部人员的观点，外国私人发行人根据《证券法》和《交易法》的主要披露文件是“表格 20-F”。该披露要求在很大程度上与国内发行人的要求非常相似。然而，存在一些重大差异，主要是在财务报表和高管薪酬披露方面。这些差异包括：1）外国私人发行人可提供根据美国公认会计原则GAAP、IASB 发布的国际财务报告准则IFRS或母国会计准则编制的财务报表。注意母国会计准则或非IFRS编制的财务报表，还必须提供呈报的财务报表与美国 GAAP要求下的勾稽，包括对所呈报的财务报表与美国的要求之间的重大差异的讨论和量化；2）允许外国私人发行人汇总披露高管薪酬，无需像国内公司要求的那样提供薪酬讨论和分析。如果外国私人发行人根据本国市场要求或自愿披露更广泛的高管薪酬信息，则此类信息也必须在表格 20-F下披露。另外，该声明对 “小型报告公司”（Smaller Reporting Companies）以及 “新型增长公司”（Emerging Growth Companies）的披露义务也单独作出了规定。[4]

随着中企赴美上市企业的增多，SEC对于该类发行人在官网上面专门披露了“中国发行人的信息披露注意事项”（Disclosure Considerations for China-Based Issuers），表示尽管进入美国公开资本市场的中国发行人通常与其他非美国发行人具有相同的披露义务和法律责任，但委员会促进和执行中国发行人高质量披露标准的能力可能受到实质性限制，披露可能不完整或具有误导性的风险要大得多。此外，在投资者受到损害的情况下，与美国国内公司和其他司法管辖区的外国发行人相比，投资者获得追索权的机会通常要少得多。[5] 该公告提示中国发行人应在履行在联邦证券法下的披露义务时考虑以下这些风险和差异：

与中国发行人相关的风险

与中国发行人相关的股东权利和追索权、

• 股东权利和追索权的限制

• 公司法和公司治理的差异

• 报告差异

中国发行人的披露注意事项

从SEC的态度可以得知，美国上市对于信息披露的要求极高。

二、中企赴美上市受到的主要法律管辖

作为一个掌握着数亿用户信息和道路信息的国民级别的APP，滴滴出行赴美上市存在着很大的风险，直接关系到我国的数据安全和国家安全，这主要归结于美国对外国证券公司的长臂管辖。

1、《1933年证券法》《1934 年证券交易法》及《2002年萨班斯-奥克斯利法案》。特别是《萨班斯-奥克斯利法案》，形成于安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题下，该法大幅修订了美国《证券法》和《证券交易法》，涵盖了以下几项重大的改革亮点：（1）设立美国PCAOB来监督公共会计师事务所为上市提供的审计工作；（2）要求上市公司的主要执行官及财务人员来确认财务报告的真实性；（3）对上市公司的财务造假行为处以重刑，即最高可处2500万美元的罚金和/或20年的有期徒刑；（4）基于该法案，美国可管辖所有在美上市企业（即使其在美国没有经营活动）。[7]

2、《外国企业问责法》。这一法案的出台主要针对美国政府在实践中长期无法从中国会计师事务所获取在美上市的会计底稿的现状，进一步强化了美国对于外国发行人的长臂管辖。2020年4月，瑞幸咖啡财务造假事件发生后，美国政府有了进一步对中国发行人强化监管的理由。该法案对《萨班斯-奥克斯利法》的第104节进行了增补，（1）要求“涵盖发行人”（covered issuer）向SEC披露有关境外司法辖区阻止PCAOB对提供审计服务的会计师事务所进行检查的情况；（2）表明SEC认定“涵盖发行人”聘用的会计师事务所连续三年未经PCAOB检查，则该发行人将被禁止在美开展证券交易；（3）针对外国“涵盖发行人”设置了额外的信息披露要求，包括证明发行人没有被境外司法辖区的政府实体拥有或控制，披露董事会里共产党官员姓名、共产党党章是否写入公司章程等。[8]

滴滴出行很可能面临美国反欺诈调查或集体诉讼的风险。 《1933 年证券法》第 12 条（a）（2）、第 17 条（a）、《1934 年证券交易法》第 10 条（b）规定了反欺诈条款来保障上市过程中披露信息的真实性，对重要事实作不真实陈述，或者省略对于避免误解而言必要的重要事实，构成违法。滴滴出行于6月10日提交至美国证券交易委员会（SEC）的招股说明书中“风险因素”部分（第27页）指出：“Our business is subject to a variety of laws, regulations, rules, policies and other obligations regarding data privacy and protection. Any losses, unauthorized access or releases of confidential information or personal data could subject us to significant reputational, financial, legal and operational consequences.”[9] 很显然，滴滴出行对收集使用个人数据的风险的高度强调，且该事实的披露会对滴滴出行的股票价格及公司整体造成影响，不难看出其属于美国证反欺诈条款中所述的“重要事实”。即使滴滴出行披露了风险会导致相关应用下架，也不足以使得信息披露人免责。关于滴滴出行事件在美国的态势走向，我们也将进一步高度关注。

三、网络安全审查的依据和制度设计

鉴于本次网络安全审查是我国在《网络安全审查办法》通过后，依照该办法展开的首次网络安全审查，该案件的审查程序和结果对后续调查的开展具有重要的借鉴意义和参考价值。我们将对本次滴滴出行的审查法律依据、审查机构和程序及审查后面临的后果进行了简要介绍。

一、审查的法律依据

本次国家网信办对滴滴出行的网络安全的调查依据为《中华人民共和国国家安全法》（以下简称“《国安法》”）《中华人民共和国网络安全法》（以下简称“《网安法》”），直接适用的法律依据为《网络安全审查办法》。关于“网络安全审查”的法律定义，《网络安全审查办法》第二条明确规定“关键信息基础设施运营者（以下简称运营者）采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查”。

据此，可以推测出滴滴出行被调查的原因主要归结于：

（1）滴滴出行属于《网络安全审查办法》第二条规定的“关键信息基础设施运营者”。作为记录着用户数据和道路数据的App, 滴滴出行应属于运输领域的关键信息基础设施运营者，因此其符合本次调查的适格对象。

（2）滴滴出行经举报可能存在违反《网络安全审查办法》第九条规定的国家安全风险，该条规定了四种风险和兜底条款，笔者认为滴滴出行最可能触发的是第一款“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险”。

（3）目前案件尚在调查中，但是随着网信办对App的下架可知事态的严重性，对于掌握大量用户信息和道路信息的国民级别的App, 无论举报是否属实，国家出于国家安全的考虑必须要调查确保滴滴出行获取的数据是在必要限度内符合法律法规的要求的必要信息，且在获取这些信息后要必须确保信息的存储和使用安全，不被泄露或境外敌对势力所利用。

值得注意的是，鉴于数据安全的重要性，很可能存在危及国家安全的情况。因此，我国在法律设计方面规定了更高级别的国家安全调查。《网络安全法》第三十五条规定，“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。该国家安全调查也规定于《国家安全法》第五十九条中，国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务，以及其他重大事项和活动，进行国家安全审查。上述法律制度的完善和配套足见国家对于数据安全的保护力度和对互联网公司的数据合规监管力度的日益加大，数据安全与国家安全息息相关。

谈到国家安全审查，美国根据《国防生产法案》第721节、《外国投资与国家安全法》 (FINSA) 等法规，早已设立美国外国投资委员会 (CFIUS, 美国财政部下属的机构) 对外国投资者的交易 (包括自愿通知及非自愿通知) 进行国家安全审查。美国CFIUS曾频繁插手中国投资，主要监管跨境并购，典型的案件包括昆仑万维被迫出售Grindr，北京中长石基信息技术股份有限公司被迫出售StayNTouch，Tiktok收购Musical.ly交易审查等。对于中美国家安全审查机构和制度的对比，我们将在后续的文章中进一步展开。

根据《网络安全审查办法》第四条，网络安全审查工作的最高领导机构为中央网络安全和信息化委员会，工作机制组成部门包括国家网信办、发改委、工信部、公安部、国安部、财政部、商务部、中国人民银行、国家市场监管总局、国家广播电视总局、国家保密局、国家密码局12个部门。网络安全审查办公室设在国家网信办，其主要负责制定网络安全审查相关制度规范，组织网络安全审查。

根据审查启动方式的不同，网络安全审查的启动分为报请审查和依职权启动审查两种方式，具体如下：

（1）报请审查。是指运营者在采购网络产品和服务时，预判该产品和服务投入使用后可能带来的国家安全风险，主动向网络安全审查办公室申报的。其为配合调查的要求和提供的资料规定于《网络安全审查办法》第六条和第七条。

（2）依职权启动审查。是指网络安全审查工作机制成员单位认为影响或可能影响国家安全的网络产品和服务，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后启动的，规定于《网络安全审查办法》第十五条。

根据规定，关于不同的审查方式具有不同的审查流程。本次滴滴出行网络安全审查是依职权启动的审查，根据该办法第十条，初步审查需要在自向运营者发出书面通知之日起30个工作日内完成，情况复杂的可延迟15日，因此滴滴出行最快的审理时间为45个工作日。同时，该办法还规定了网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门应当自收到审查结论建议之日起15个工作日内书面回复意见，如果进入特别审查程序，还需要再加45个工作日（情况复杂可延长，具体延长时间未规定）。

三、审查面临的后果

关于滴滴出行此次网络安全审查会面临怎样的后果是社会比较关注的热点。《网络安全审查办法》并未直接规定后果，而是援引至《网安法》第六十五条，“关键信息基础设施的运营者违反本法第三十五条规定，使用未经安全审查或者安全审查未通过的网络产品或者服务的，由有关主管部门责令停止使用，处采购金额一倍以上十倍以下罚款；对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。”考虑到数据安全很可能触发更高级别的国家安全调查，不排除滴滴出行会进一步接受国家安全审查并适用《国家安全法》中更严厉的制裁措施。

滴滴出行事件也为跨境上市的互联网企业敲响了警钟。鉴于上文讨论的美国SEC对于境外发行人信息披露的高标准，中企赴美上市很难保证美国未曾染指上市中企的数据信息。这些信息对于国家安全异常敏感，上市互联网企业更应该在上市前做好主管地和上市地的双重合规，切记片面合规、“一刀切”，牢牢把握国内的政策方向，满足监管要求。滴滴出行的案件警醒后人：效率诚可贵，合规价更高；片面合规不可取，两地监管要齐抓；国家底线不可碰，政策方向要握牢。

【注】

[1]  关于下架“滴滴出行”App的通报，

http://www.cac.gov.cn/2021-07/04/c_1627016782176163.htm  

[2]网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告，http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm 

[3] XIAOJU KUAIZHI INC. INDEX TO CONSOLIDATED FINANCIAL STATEMENTS,

https://www.sec.gov/Archives/edgar/data/1764757/000104746921001194/a2243272zf-1.htm#bg10201_table_of_contents

[4] Accessing the U.S. Capital Markets — A Brief Overview for Foreign Private Issuers, https://www.sec.gov/divisions/corpfin/internatl/foreign-private-issuers-overview.shtml#IIIB1a 

[5] SEC Office of Investor Education and Advocacy, Investor Bulletin: International Investing, https://www.sec.gov/reportspubs/investor-publications/investorpubsininvesthtm.html 

[6] Disclosure Considerations for China-Based Issuers, https://www.sec.gov/corpfin/disclosure-considerations-china-based-issuers 

[7] Sarbanes-Oxley Act of 2002, https://pcaobus.org/About/History/Documents/PDFs/Sarbanes_Oxley_Act_of_2002.pdf 

[8] Holding Foreign Companies Accountable Act, https://www.congress.gov/bill/116th-congress/senate-bill/945/text 

[9] XIAOJU KUAIZHI INC. INDEX TO CONSOLIDATED FINANCIAL STATEMENTS,

https://www.sec.gov/Archives/edgar/data/1764757/000104746921001194/a2243272zf-1.htm#bg10201_table_of_contents