来源：

原创 春晖大地 春晖大地 昨天

北京时间6月30日晚，滴滴在纽交所挂牌上市，股票代码为“DIDI”。没有敲钟，也没有任何的庆祝仪式。为什么滴滴上市如此低调而静默？静默的背后又隐藏着什么秘密？

2021年7月2日，网络安全审查办公室发布公告称：为防范国家数据安全风险，维护国家安全，保障公共利益，依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》，网络安全审查办公室按照《网络安全审查办法》，对“滴滴出行”实施网络安全审查。为配合网络安全审查工作，防范风险扩大，审查期间“滴滴出行”停止新用户注册。7月5日，网络安全审查办公室又发布同样内容的公告，宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。

这是自《网络安全法》实施以来，我国最重大的一起网络安全审查事件，而且审查的主体是“网络安全审查办公室”，这是由国家网信办、国家发改委、工信部、公安部、安全部、国家市场监督管理总局等十多个部委组成的高级别网络安全审查机构。

我国的网络安全审查与监管制度源于《国家安全法》第五十九条和《网络安全法》第三十五条。《国家安全法》第五十九条规定：“国家建立国家安全审查和监管的制度和机制，对影响或者可能影响国家安全的网络信息技术产品和服务得以进行国家安全审查”；《网络安全法》第三十五条规定：“关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查。“《网络安全法》第三十五条重点强调对关键信息基础设施的运营者（Critical Information Infrastructure Operator，“CIIO”）采购网络产品和服务，可能影响国家安全的，实施的网络安全审查。

为什么要对关键信息基础设施的运营者采购的网络产品和服务，进行网络安全审查？这主要是基于我国《网络安全法》第三十一条要求，对关键信息基础设施，要在网络安全等级保护制度的基础上，实行重点保护，即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

网络安全审查办公室启动对“滴滴出行”的网络安全审查，主要依据了《网络安全审查办法》（简称：《审查办法》），按照《审查办法》第二条的规定：“关键信息基础设施运营者采购网络产品和服务，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。”目前，滴滴平台拥有4.9亿年活用户，在国内网约车APP中占有绝对优势地位，是我国重要的交通关键信息基础设施，一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益。《审查办法》对网络安全的审查，将重点评估被审查者采购网络产品和服务可能带来的国家安全风险，重点考虑五种因素，其中一项关键的因素就是“产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险”。

7月4日，国家网信办发布通报：根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定，通知应用商店下架“滴滴出行”App，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。国家网信办的通报有四个关键词：“根据举报”、“经检测核实”、“严重违法违规”、“收集使用个人信息”。

从以上两起重大的网络安全执法事件可以看出，“滴滴出行”作为关键信息基础设施的运营者，已经严重违反《国家安全法》和《网络安全法》等相关法律、法规的规定，将受到国家法律制裁或监管处罚，企业也将遭受重大财务损失或声誉损失。

我注意到，“滴滴出行”在美上市采用的是VIE架构 （Variable Interest Entity)，即“可变利益实体”，在国内被称为“协议控制”，是境内主体为实现在境外上市采取的一种特别方式，其本质是境外上市实体与境内运营实体相分离，境外上市实体在境内设立全资子公司，该全资子公司并不实际开展主营业务，而是通过协议的方式控制境内运营实体的业务和财务，使该运营实体成为上市实体的可变利益实体，VIE架构最关键的问题是“控制”境内运营实体的业务。

在“滴滴出行”于6月11日向美国证券交易委员会递交的IPO招股书可以看到：“滴滴出行”的业务涵盖15个国家、4000个城市，年活跃用户在4.93亿，司机则有一千五百万，4.9亿年活跃用户。我国如此重要的交通关键信息基础设施的运营平台企业，竟然采取“可变利益实体”的结构在美上市，通过协议的方式由美国上市实体控制境内运营实体的业务和财务，值得深刻反思。

2018年3月，美国颁布《合法使用境外数据明确法》（THE IMPACT OF AMERICAN CLOUD ACT ON CHINA AND ITS COUNTER MEASURES，简称：“CLOUD法”），“CLOUD法”突破了传统的数据存储地模式，将美国的执法效力扩展至全球并建立了以美国为中心的数据跨境获取体系。根据美国“CLOUD法”的规定，在美国政府提出要求时，任何在云上存储数据的美国公司都要将数据转交给美国政府；而位于美国境外的公司，只要被美国法院认为“与美国有足够联系且受美国管辖”，也适用于上述规定。

2020年5月，美国出台《外国公司问责法》，要求在美国上市的中国公司必须允许美国公众公司会计监督委员会审计这些公司的文件和资料。我国2020年3月1日起施行的新《证券法》第177条则明确规定：“境外证券监督管理机构不得在中国境内直接进行调查取证等活动；未经中国证券监督管理委员会等部门同意，任何人不得向境外提供与证券业务活动有关的文件和资料”。

现在，摆在“滴滴出行”面前只有两条路选择：第一，中国证监会获得许可向美国公众公司会计监督委员会提供材料；第二，从美国退市。

 网络安全审查办公室对“滴滴出行“网安全审查的目的非常明确：“为防范国家数据安全风险，维护国家安全，保障公共利益”。“滴滴出行”作为我国重要的交通关键信息基础设施的运营者，且控制了海量的交通、地理和个人数据，采取“协议控制”的方式在美上市，并允许美国公众公司会计监督委员会审计其文件和资料，这将严重影响到国家数据安全。

6月7日，中共中央办公厅、国务院办公厅紧急发布《关于依法从严打击证券违法活动的意见》（以下称：《意见》），《意见》明确提出：加强中概股监管。切实采取措施做好中概股公司风险及突发情况应对，推进相关监管制度体系建设。修改国务院关于股份有限公司境外募集股份及上市的特别规定，明确境内行业主管和监管部门职责，加强跨部门监管协同。