“下架之后,滴滴还能用么?”
“高德开心了。”
“之前的滴滴订单无法开发票,怎么办?”
随着7月4日晚间,网信办发布《关于下架“滴滴出行”App的通报》,顷刻间一片哗然。如果说,三天前网络安全审查办公室宣布对滴滴启动网络安全审查,已经引爆了全网对滴滴以及背后掌门人家世的热议,那么下架通知更是火上浇油。
每一次劲爆话题都必然蔓延到真相以外,猜测、演绎、夸大,唾沫星和Ctrl V齐飞,阴谋论与大棋党共舞。有人说,滴滴为了海外上市把敏感数据交给了美国,着实有“叛国”之嫌;有人说,竞争对手在设法攻击滴滴,故而滴滴蒙冤。
网信办下架滴滴出行应用
富兰克林说,“真话说一半常常是弥天大谎。”那么当一半真相和一半谎言搅拌在一起,自然更具备迷惑性。
吃瓜群众可以看光了,骂爽了,满意了,但合格的产业观察者却无法提出同等要求。只不过,抽丝剥茧从来都并非易事。
当本文成稿前的那一刻,网络安全审查办公室再次发布公告,宣布将对“运满满”、“货车帮”、“BOSS直聘”启动网络安全审查,毫无疑问,滴滴只是一个代表,举国上下关注数据安全的时代终于要拉开帷幕。
滴滴不冤,真相不全
“二石激起千层浪”,两份来自网信中国的公告,在全网拉开了数以亿计人围绕滴滴出行的“吃大瓜”浪潮。
第一份是7月2日《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》,第二份是7月4日晚间《关于下架“滴滴出行”App的通报》。其实很多人并没有仔细推敲这两份通报,而“滴滴到底错在哪里”、“滴滴命运会怎样”等焦点问题,恰恰在字里行间有着关键提示。
网络安全审查办公室审查滴滴
首先,滴滴是否真有过错?
相信绝大多数吃瓜群众都不会怀疑,但仍然有一些声音在为滴滴叫屈,直指“滴滴掌控的互联网大数据让某些方面担忧”。那么不妨结合两份公告来细品。
第一份通告,核心关键词是“风险”,即未发生但可能发生的概率。
对“滴滴出行”实施网络安全审查的依据和标准是《中华人民共和国国家安全法》、《中华人民共和国网络安全法》和《网络安全审查办法》,缘由是“为防范国家数据安全风险,维护国家安全,保障公共利益”,目的是“防范风险扩大”。很明显,风险是指未发生但可能发生不良后果的概率,那么无论滴滴是否已经“犯事”,只要存在风险,那么就符合公告里的描述。
第二份通告,核心关键词是“违规”,即已经发生的事件。
缘由是“‘滴滴出行’App存在严重违法违规收集使用个人信息问题”,并且“根据举报,经检测核实”表明,确实有第三方举报了滴滴,相关部门加以了检测与核实,确认事件曾经发生。
如果采信公告,则必然滴滴存在风险,导致其被审查,也存在对个人信息的违规操作,导致其应用下架。如果撇开公告,拍下脑袋也知道,滴滴早先管控不力导致的命案就证明了风险的存在,信息泄露的说法也一直甚嚣尘上,而掌握的庞大数据量目前也没有证据确保受到严密管控。无论是直接相信指控,还是用常识推断,滴滴此次都并不冤枉。
其次,滴滴“犯事”真如坊间传闻那样可怕吗?下架就意味着彻底终结么?显然易见,这些描述在口口传播中被夸大了。
有一种流传甚广的“滴滴叛国说”,直指滴滴为了6月30日在美国IPO上市,把可能危害国家安全的大量数据交给了美国。对于这种言论,滴滴副总裁李敏反驳称之为恶意造谣,并表示“滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国”,还发出“起诉维权”的警告。
滴滴副总裁否认数据交给美国
在C次元看来,两种言论都要各打五十大板。
先说李敏的言论,缺乏基本逻辑,“数据存放在国内服务器”,不等于无法提取后递交美国。而且这种没有说服力的说法对平息事态并无显著用处,甚至可能被视为敷衍塞责。
而“滴滴叛国说”是混淆了“国家数据安全风险”和“叛国后卖掉国家敏感数据”,同时也缺乏石锤,证明滴滴曾经将道路数据读取之后交给美国证券交易委员会SEC。举凡赴海外上市的企业,都要在国内经过中国证券监督管理委员会CSRC的审查。滴滴毕竟还是无法斩断与中国的关联,没有任何可能置CSRC和国家法律于罔顾——国家机器又不是摆设,平时有灰色地带,不等于“叛国”的极端行为会被熟视无睹。“滴滴叛国说”的始作俑者基本可以判断不知道赴美IPO上市的流程。
今日头条曾经下架
至于下架处理,要看时限长度和后续处理来确认严重程度,并不是“一下架就死定了”。2018年,今日头条、凤凰新闻、网易新闻和每日快报都曾遭遇下架处理,被指和“不实信息”以及网络自媒体监管有关。此外,今年5月讯飞、QQ输入法等因为违规收集个人信息,也被命令下架。
以上应用都曾经遭遇下架处理,却不等于这些应用就此被彻底终结。当然,在滴滴这里存在一个不同点:没有给出下架期限,还属于无定期下架处理。这就意味着,需要视滴滴整改状况以及相关部门的处理而定,目前就此断言其结局还为时尚早。
再者,滴滴独立董事Adrian Perica有美军背景,就意味着一定将数据交给美国?
滴滴独立董事有美军背景
这种言论,最多只能提到风险,而不能言之凿凿。与其说滴滴聘用曾经Adrian Perica作为独立董事是因为其美军背景、有利于滴滴“卖国求荣”,这种阴谋论还不如说是滴滴看中此人曾经担任苹果公司企业发展副总裁的背景。其实,从华为到中芯国际等本土企业,都有大量外籍人士担任管理或者董事,其中或多或少有人与美国军方存在关联,那么是否要质疑一遍这些企业都有“叛国”嫌疑?
然而,倘若你觉得我不太相信“滴滴把各种道路数据全部打包交给美国”,就等于认为“滴滴不存在危害国家安全风险”,那么就大错特错了,这恰恰是最需要技术含量的分析。
系于国家安全的数据
即便滴滴没有将用户个人数据、道路数据打包发给美国方面,也不能排除其当下的运作模式可能对国家数据安全产生威胁。
滴滴回应下架
滴滴掌握的数据异常重要,这是危害国家数据安全风险的前提条件之一。
2017年,国家测绘地理信息局公告显示,滴滴旗下滴图(北京)科技有限公司获得导航电子地图制作的甲级测绘资质,和百度(通过收购北京长地万方科技有限公司间接获得了甲级测绘资质)、四维图新和高德等一起成为当时国内仅有的14家甲级测绘资质企业。那么这意味着什么?
甲级测绘资质企业可以测绘建筑和道路的真实坐标数据,而使用前都会经过加密处理:先是测绘完成后,在国家测绘局通过GCJ-02坐标系加密成“火星坐标”,然后才能交给GPS公司;再在导航电子地图里将COM口读出来的真实的坐标信号,用算法加密转换成ZF要求的保密的坐标,使之与GPS公司导航仪数据匹配。
在地理数据之外,车主和乘客的行程轨迹数据、相关的人员隐私等,都可能被挖掘出大量信息。有人打了一个比方,倘若一位乘客屡屡用滴滴打车出现在某军工企业门口,便容易被锁定为军工相关人员。
换而言之,阴谋论里面前半段的阐释,是正确的——这些道路、建筑坐标数据的确极为敏感,尤其是和军事单位、战略要地相关的信息。
但是,前文中我们排除了滴滴直接将数据打包交给美国的可能性,是否就意味着风险不存在呢?答案是否定的。
因为滴滴即便自己不交出这些敏感数据,上市过程中顺应美国规则之后,却存在漏洞可能被窃取数据,或者根据一部分常规数据推算出敏感数据。
先来回顾一下文章开头的审查公告,依据是《网络安全审查办法》关于审查标准的第二条:关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
SEC审查索要的信息更多
由此可知,滴滴作为“关键信息基础设施运营者”,选择的网络产品和服务关系到了国家安全。《网络安全审查办法》关于“网络产品和服务”的条例是第二十条,包括核心网络设备、高性能计算机和服务器、大容量存储设备、大型数据库库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全有重要影响的网络产品和服务。
而这些网络产品/设备/服务,因为关系到前面所说的敏感数据,滴滴到底从哪些公司采购?比如数据服务器,是阿里巴巴等本土企业?还是亚马逊等海外公司设立在中国的服务器?原本这个答案,美国方面可能并不知道,但是在滴滴赴美上市之后,被SEC审查过程中或将被美国掌握。一旦滴滴选择的设备和服务存在对外漏洞,那么本章开头所说的敏感数据将曝光于别国,进而对国家安全产生威胁。
根据上海证券交易所一篇论文,美国证券交易管理委员会SEC,与中国同类机构相比,存在差异,这也使得滴滴在赴美上市的过程中,有可能因为被SEC审查,而从“数据梗概”里被挖掘出更多比较敏感的数据。
据悉,招股说明书方面,美国公司风险披露非常全面和细致,而中国公司则简单和片面得多。以Facebook为例,招股说明书中列举了对其有实质性和不利影响的35个风险因素。包括业务、竞争、技术、供应商、客户、收入及成本的增长、法规政策、黑客等各个方面,几乎囊括了社交网站当前面临的全部威胁;而中国招股说明书风险因素的涵盖面远不及美国企业。
滴滴交给SEC的文件,“风险”项目会不会涉及到军事或者国家安全的话题?前文所说的采购关键设备的客户会不会被泄漏名单?滴滴大概率是没有胆子将地图坐标等底层数据提供给美国,但是再上一层的概括描述呢?用于向SEC等美国机构说明自己的业务模式、业务规模和业务走向,这就可能给国家带来安全隐患。
此外,通过司机注册量、接单量,也能侧面印证失业率、就业率、企业开工率等数据,比国家正式对外公开的更为详尽。这有可能导致其他国家掌握我国的数据,超过了国家愿意的程度。
佛山下线滴滴通知司机
赴美上市存在风险,有一个例子可以参考。2012年,阿特斯阳光电力上市准备中,也曾被问过“上市底稿是否涉及国家机密”。虽然阿特斯给出来否定答案,但是也提到“中国作为主权国家不应该什么都提交给美国”。
因此,无论你相信不相信滴滴喊冤,无论滴滴有没有将数据打包交给美国,滴滴都势必被网信办发现了可能危及国家安全的“罩门”。
曙光乍现
从公告来看,滴滴出行被审查,是由于关系到国家数据安全,那么滴滴出行应用的下架,就是因为严重违法违规收集使用个人信息。可以说,与滴滴有关的两条公告,敲响了一记警钟,提醒我们数据对国家和个人安全正为肯綮。
我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船、卫星、间谍人员等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我通信传输中的信息。
商业环境里,大量数据的浮现与相关标准法规的缺失,导致灰色地带出现。许多个人和企业的隐私数据在未经许可的前提下,被用于商业营利或者打击对手。甚至各种不规范的“数据交易中心”也堂而皇之浮出水面。
数据的营利可能和重要性已经被许多人念在嘴里,但是安全的敏感性却未必被深刻认知。
从讯飞和输入法因违规收集个人信息的下架,到“将对运满满、货车帮、BOSS直聘启动网络安全审查”的最新公告,意味着滴滴并非个例,而数据安全的理念也将从国家与个人角度同时更为深入植根。
或许,若干年后再回看如今有关滴滴的各种猜想、演绎、编造,便会将那些花边和阴谋论付之一哂,转而为这起事件画上一个“数据安全里程碑”的光环吧。
