来源：中国经营网

　　本报记者 赵毅 陈靖斌 广州报道

　　近日，小马智行与文远知行相继传出即将在美国进行首次公开募股（IPO）的消息，引发了广泛关注。有知情人士透露，小马智行可能最早于今年9月在美国进行IPO，并已吸引了有投资意向的机构投资者。无独有偶，7月26日，中国自动驾驶技术初创公司文远知行（Weride， WRD.US）向美国证券交易委员会（SEC）提交了IPO申请。

　　自动驾驶企业纷纷赴美IPO的背后，网络安全与数据合规问题可能会成为一大挑战。就自动驾驶企业在业务运营过程中如何规避给国家关键信息基础设施安全和数据安全带来的隐患，文远知行相关负责人在接受《中国经营报》记者采访时表示，经过滴滴事件后，2023年2月证监会新发布了《境内企业境外发行证券和上市管理试行办法》及相关配套监管指引，支持企业“走出去”。

　　该负责人补充道：“文远知行在境外上市备案新规生效后，成为首批向证监会申请备案的企业之一，并于2023年8月取得了证监会的批准。文远知行赴美IPO已经过中国相关监管部门的充分审查和批准。”

　　涉及多项敏感数据搜集

　　在自动驾驶行业中，数据收集和隐私保护成为企业运营的重要环节。根据记者的调查，用户在使用小马智行APP的自动驾驶预约服务时，需要提供多种个人信息以实现基本和扩展业务功能。

　　根据小马智行的《隐私协议》，用户在使用其服务时需提供用户名、手机号码、预约及乘车记录、位置信息、车内录音录像、支付记录、读取SD卡数据权限、剪切板信息等。这些信息是实现基本业务功能所必需的。用户还可选择性地提供其他个人信息以实现扩展业务功能。

　　其中在推广活动方面，小马智行通过用户 主动填写的信息获取用户名、姓名、手机号码、通讯地址等，以邮寄积分商城的兑换礼物和发放积分等。此外，通过用户填写调查问卷，小马智行获取年龄段、最高学历、驾龄、所处行业、居住地、对自动驾驶的认知和反馈等信息，以优化服务。

　　相比之下，文远知行的“WeRide Go”平台收集的个人信息相对较少。根据“WeRide Go”隐私政策，用户在注册并使用其服务时，需要提供手机号码、位置信息、订单编号、订单金额、车内人脸和声音录音录像等信息。

　　在数据合规方面，小马智行相关负责人回应记者称，公司严格遵守《网络安全法》《个人信息保护法》《汽车数据安全管理若干规定》等相关法律法规，采集、存储和使用数据时，严格按照要求操作。公司对出行运营场景采集的个人信息进行非明文化处理，对测试运行场景采集的车外视频中的人脸、车牌严格打码脱敏，并对全部数据进行加密传输及访问处理权限控制，采取多重措施保障信息数据安全。

　　文远知行也强调其运营行为均严格遵循适用的法律法规。在官网和“WeRide Go”APP中，文远知行详细阐述了其隐私政策，说明了收集个人信息的场景、类别以及用途。文远知行相关负责人对记者表示：“文远知行在数据收集、传输、存储和处理过程中均严格落实相关法规的要求。文远知行仅处理对开展自动驾驶车辆测试和运营业务必要的数据，并以法律法规要求的方式取得个人信息主体的知情同意。对于包含人脸、车牌等个人信息的车外视频，文远知行通过在车端进行匿名化处理以实现隐私保护。”

　　此外，文远知行相关负责人还指出，文远知行已根据《数据安全法》第30条、《汽车数据试行规定》第10条的规定对其数据处理活动定期开展风险评估，并每年按时向广东省网信部门报送风险评估报告。

　　是否存在审查风险？

　　近年来，国家不断加强对网络安全、数据安全、个人信息的保护力度，先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。

　　网信部门依法加大网络安全、数据安全、个人信息保护等领域执法力度，通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施，依法打击危害国家网络安全、数据安全，侵害公民个人信息等违法行为，切实维护国家网络安全、数据安全和社会公共利益，有力保障广大人民群众合法权益。

　　2023年，全国网信系统加大执法力度，在网络安全、数据安全、个人信息保护等领域持续发力，严格执法查处各类网上违法违规行为，全年共约谈网站10646家，责令453家网站暂停功能或更新，下架移动应用程序259款，关停小程序119款。

　　由此可见，企业在个人信息收集和使用上面临过度搜集、隐私泄露等问题已引起监管部门重视。

　　北京市安理律师事务所合伙人郭庆律师表示：“过度收集用户数据可能会带来个人隐私安全的潜在威胁。许多征求用户同意使用的格式化的隐私协议，都存在规范化程度低、侵权风险高的现象。”

　　2021年，针对智能网联汽车的网络安全和数据保护问题，国家互联网信息办公室、公安部等五部委联合颁布了《汽车数据安全管理若干规定（试行）》（以下简称《若干规定》），对汽车数据的本地化和出境管理提出明确要求，包括重要数据本地存储和数据出境安全评估、国际条约、协议的适用问题、不得超范围向境外提供、政府部门的抽查核验和向有关部门提供关于相关情况的其他报告。

　　郭庆表示，自动驾驶汽车产业因其与互联网深度融合，与国家安全紧密关联。自动驾驶汽车收集大量数据，包括用户身份信息、驾驶数据、道路、地理环境、公共建筑等大量数据被存储在设计者和使用者服务平台或云平台。这些信息如果处置不善，存在被非法利用的可能。车辆自身的通信及车联网数据若传送到境外，极有可能泄露敏感信息，危害国家安全。因此自动驾驶企业在进行跨国业务或上市时需格外注意，避免在数据处理和跨境传输过程中造成的数据泄漏或网络安全问题影响国家安全。

　　北京市盈科（广州）律师事务所高级合伙人龙劲韬指出，滴滴事件后，‌国家互联网信息办公室施行了《数据出境安全评估办法》，并印发了《‌促进和规范数据跨境流动规定》‌，规范数据出境活动以保护个人信息权益，维护国家安全和社会公共利益，促进数据跨境安全、自由流动。监管部门会重点关注数据安全保护措施的完善程度、企业对关键信息基础设施的安全保障能力、数据跨境传输的规范等方面。

　　“形式合规”转向 “实质合规”

　　针对网络安全与数据合规问题，文远知行方面表示，2023年证监会发布了相关配套文件，旨在支持企业依法合规利用境外资本市场健康发展。文远知行方面强调：“中国政府一直鼓励企业依法合规利用两个市场、两种资源融资发展。”

　　文远知行方面进一步解释称，无论是在中国IPO还是在美国IPO，都需要按照相关证券法和证券交易所规则在网络上公开披露必要的运营数据、经营数据。从IPO的信息披露方面来看，在中国或美国IPO并没有实质区别。

　　在应对网络安全审查方面，企业应该采取哪些积极的措施？郭庆建议：“建立完善的网络安全管理体系：联合国发布的 R155 法规要求汽车制造商应构建网络安全管理体系（CSMS），生产的车辆应具备相应的网络安全防护能力，并在 CSMS 认证基础上完成车辆型式认证（VTA）。”

　　“同时，强化数据安全保护：对照欧盟已经实施的《通用数据保护条例》（GDPR），汽车制造商应建立企业隐私合规治理架构，推动隐私合规的制度流程执行，通过数据盘点、数据流梳理、数据处理活动记录、合规差距评估、隐私合规设计、实施验证等环节，确保数据处理的合规性。”郭庆表示。

　　北京市盈科（广州）律师事务所律师卢宣任则建议：“自动驾驶企业在应对网络安全审查方面可建立完善的数据安全管理体系，严格控制数据收集和使用范围，定期进行安全评估和审计，加强员工数据安全意识培训等。”

　　值得一提的是，2024年，伴随着《数据安全法》《个人信息保护法》深入实施，以及人工智能监管全面启动的态势，网络安全与数据合规将从“形式合规”逐渐转向 “实质合规”。

　　对此，卢宣任表示，“实质合规”不仅仅是促进在数据合规方面有法可依、有标可循，更加强了在企业运营的各个环节切实保障数据安全和隐私保护的监管，明确地看出在当前数据时代，对于公共设施的数据化信息、用户隐私安全的保护切实关乎个人安全及国家利益，“实质合规”目前已经包括数据处理的合理性、必要性，安全措施的有效性，对用户权益的充分尊重和保障等方面。具体表现在更严格的内部审计、对数据处理流程的持续监测和改进、对突发安全事件的快速响应和妥善处理能力等。

　　郭庆指出，形式合规往往关注法律法规的最低要求，更多是纸面的合规、危机应对型的合规。然而从形式走向实质，企业不但需要满足立法不断精细化的要求，同时应将网络安全和数据合规建设纳入日常的经营管理，从实质上可以应对安全风险，提升运营效率，在保护企业长期稳定发展的同时，也对企业客户的信息安全提供了保障。

责任编辑：李桐