搜索
热搜: 活动 交友 discuz
查看: 79|回复: 0

99%的人都不知道的滴滴上市被审查的核心原因

[复制链接]

2

主题

6

帖子

10

积分

新手上路

Rank: 1

积分
10
发表于 2023-2-11 18:00:09 | 显示全部楼层 |阅读模式
【导语】数据安全等同于国家安全,当一个企业获得的数据达到一定量级,就会量变引起质变,从仅影响个人扩展到影响国家。
本文目录
滴滴上市被审查事件脉络
滴滴现有功能模块布局分析
滴滴到底掌握了哪些底层数据
滴滴用户数据需共享近50家公司
滴滴数据采集及使用风险分析
滴滴底层数据与国家安全分析
行业未来
网络上现有大量分析滴滴出行被审查的文章,猎人也均有阅读,但猎人认为,大部分文章分
析的角度缺了一块,没从数据底层上寻找原因。猎人在本文,希望从滴滴的产品功能-数据
采集的入口及使用的场景、对应的隐私政策-数据采集及使用的相关协议分析,滴滴是如何
采集及采集到哪些数据,而这些过程中存在哪些潜在的合规风险,这些数据又如何会影响国
家安全,以及滴滴这个行业事件对出行行业及其他行业的启示。

  • 滴滴上市被审查事件脉络
北京时间 6 月 30 日晚,滴滴在纽交所挂牌上市,股票代码为"DIDI"。 没有敲钟,没有
庆祝仪式,滴滴的上市十分低调。



2021 年 7 月 4 日,网信办发布关于下架"滴滴出行"APP 的通报



去年 6 月份,美国参议院提出了《外国公司问责法案》,该法案规定,如果外国公司连续
三年未能通过美国公众公司会计监督委员会的审计,将被禁止在美国任何交易所上市。而有
关信息的披露,可能导致重要数据、个人信息的泄露。今年 3 月份,美国证券交易委员会
表示,通过了《外国公司问责法案》最终修正案。SEC 需要在美的中国企业提交审计底稿,
而审计底稿涵盖了一个公司所有商业机密,一旦美方通过 SEC,拿到了中概股的所有审计底
稿。 就相当于把中国整个剥光了,赤裸地袒露在美国眼前。滴滴的数据量级我国是绝不允
许被美方拿到。
2021 年 7 月 6 日,中共中央办公厅、国务院办公厅印发《关于依法从严打击证券违法活动
的意见》。提高证券领域立法效率,加大刑事惩戒力度,大幅提高违法违规成本,依法严厉
查处大案要案,善数据安全、跨境数据流动等相关法律法规,加强中概股监管等。



2021 年 7 月 9 日,国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,
通知应用商店下架上述 25 款 App,要求相关运营者严格按照法律要求,参照国家有关标准,
认真整改存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为"滴滴出行"
和"滴滴企业版"等上述 25 已在应用商店下架的 App 提供访问和下载服务。



2021 年 7 月 10 日,国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求
意见稿)》公开征求意见的通知,重点如下:1)掌握超过 100 万用户个人信息的运营者赴
国外上市,必须向网络安全审查办公室申报网络安全审查。2)网络安全审查重点数据处理
活动以及国外上市可能带来的国家安全风险。核心数据、重要数据或大量个人信息被窃取、
泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数
据或大量个人信息被国外政府影响、控制、恶意利用的风险。



2.滴滴现有功能模块布局分析
一个平台的服务功能是其数据采集及使用的参考基础,只要了解这些模块的运作才可以得知
数据采集及使用的基本逻辑。



从滴滴的全部服务页面可以看到主要分 4 大块,共 24 项功能(除去法律条款、联系客户及
出行政策),其中滴滴的现阶段核心业务排序猎人认为依次是打车>运货搬家>单车>顺风
车>代驾>未来出行,长期未来出行应该是主要发力方向。而金融板块属于增值业务的主要收
入来源,其他的都是生态闭环或者说希望延长用户留存时间和提升使用频次的功能模块。



如果从滴滴的《个人信息保护及隐私政策》内的描述分析,滴滴平台由基础信息平台业务、功能服务交易信息平台业务(主要包括但不限于"滴滴"网约车电商服务平台、"滴滴"出租车信息平台、"滴滴"顺风车信息平台、"滴滴"代驾信息平台、"滴滴"公交信息平台、"滴滴"共享单车信息平台、"滴滴"共享电单车信息平台、小桔租车信息平台、"滴滴"外卖信息平台、车生活信息平台、"滴滴"金融信息平台、城际拼车信息平台、"滴滴"跑腿信息平台、橙心优选信息平台等)、其他在线业务共同组成。其实核心功能主要包括网约车、出租车、顺风车、代驾、公交、汽车、租车、外卖、车生活、金融、货运、橙心优选等。滴滴这些布局,并不都是成功的,如滴滴外卖平台除了一开始在无锡上线运营稍微有点火花,现在基本裁员裁得差不多了,连入口都不见了。当然滴滴应该不会把外卖舍弃,而是等更好
的时机再杀回来,天眼查 App 显示,2020 年 11 月左右,北京嘀嘀无限科技发展有限公司
新增一条商标信息。商标名称为"滴滴外卖",申请日期为 2020 年 10 月 30 日,国际分
类为广告销售,商标状态显示为"商标申请中"。而这些服务虽然可能夭折,但其留存的数
据却可以一直存在,只不过时间越久,数据价值越低。
本节对滴滴功能模块布局的分析不是最主要的,而是为了引出后续这些个服务模块,可以为
滴滴搜集到哪些数据。



3.滴滴到底掌握了哪些底层数据
滴滴平台 140 多份相关协议材料中,已知协议类型包括软件使用协议、个人信息保护及隐私
政策、用户服务协议、录音录像信息收集协议及第三方 SDK 服务协议等。其中与用户隐私
相关的协议仅仅 40 份,且只有少部分是今年更新后的新协议内容,大部分合作伙伴的隐私
协议均为 2020 年初更新的。旧条款可能存在不符合新的隐私授权采集数据的规定。其中部
分网约车平台未提供隐私政策协议。



(可能存在部分遗漏)
这里摘取滴滴平台的部分隐私协议相关条款描述:
驾驶员用户,必须向我们提供姓名、身份证或其他身份证明、面部识别特征、车辆品牌、型
号、颜色、车牌号、驾驶证、行驶证、车辆监督卡信息、银行卡信息,我们还需要查询您的
信用信息、是否有犯罪记录、是否有相关不良行为记录或其他不适宜作为驾驶员的情形。
身份信息。为满足法律法规要求、更好保护用户人身财产安全以及满足平台风控要求,您使
用部分功能前必须提供身份信息,如使用顺风车前需提供姓名、身份证或其他身份证明、面
部识别特征,使用单车、电单车前需提供姓名、身份证或其他身份证明。如您拒绝提供上述
信息,滴滴平台将无法为您提供相应服务。如果您是 60 周岁以上的用户,您可以选择使用
"滴滴老年版"服务。在您首次使用服务前,需要输入您的身份证号码、姓名,以便我们判
断您是否符合使用相关服务的年龄条件。
位置信息。当您使用与位置信息相关的服务时,我们会收集您的位置信息,以便您不需要手
动输入地理坐标即可获得相关的服务。在您首次使用滴滴平台前,我们会提示您选择是否允
许滴滴平台获取以及何种情况下可以获取您的位置信息。在您使用滴滴平台的过程中,您可
以随时通过您的设备设置功能,选择是否允许滴滴平台获取以及何种情况下可以获取您的位
置信息。获得您的允许后,我们会通过 IP 地址、GPS 以及能够提供相关信息的其他传感器
(如附近设备、Wi-Fi 接入点和基站信息)来校准您的位置信息,以便于您更准确地选择上
车点、寻找共享单车等服务。
行程信息。我们将通过记录用户行为和调用位置权限等方式收集您的出发地、到达地、行踪
轨迹、时长及里程数信息。我们收集上述信息,是基于行车计费、法律法规要求以及保护您
的人身财产安全、依照平台规则处理用户纠纷之需要。如果您拒绝提供出发地、到达地,将
导致平台驾驶员用户无法为您提供服务。如果您拒绝我们获取您的行踪轨迹,可能导致我们
无法获得您的实际行使路线、无法更好地保护您的权益。
录音信息。为提升滴滴产品安全能力、更好地处理司乘纠纷、满足地方法律法规要求,当您
使用快车、礼橙专车、豪华车、出租车、代驾平台(滴滴代驾及新桔代驾)、货运平台或滴
在其他上线录音功能的服务时,滴滴将通过滴滴车主 App、滴滴代驾司机 App、滴滴货运
司机 App 或其他具备录音功能的软件或硬件录取您后续行程中的车内环境声音信息(包括
您及车上人员交谈或肢体动作产生的声音),不同城市上线录音功能的时间不同,具体以滴
滴平台显示的录音状态为准。录音起始时间、保存规则等,以滴滴平台与您另行达成的《录
音录像信息收集及隐私保护协议》约定为准。
将隐私协议内的相关数据字段进行归集整理后如下表:



《个人信息安全规范》对将身份证件号码等个人身份信息,指纹、基因等个人生物识别信息,交易信息、银行账号在内的个人财产信息,医疗记录等健康生理信息,通信记录、聊天内容、行踪轨迹、住宿信息等等内容,纳入个人敏感信息范围。而滴滴出行平台底层的数据字段基本可以完全获取到将近所有的个人敏感数据,其中虽然无法获取明确的医疗记录,但出没医院的频次时间等数据是包含的。不论是滴滴还是其他企业 APP,不同的服务模块需要有对应的隐私政策作为采集及使用数据的参考标准,也是告知用户及获取用户授权的必要手段。猎人通过对滴滴出行的整体的隐私政策提到主要数据字段类型归类后如图示:



滴滴出行底层数据字段及数据量级可以绘画出滴滴招股书中的这张《成都消费者和司机的一
天生活图》,一个消费者的日常轨迹一览无遗。



4.滴滴用户数据需共享近 50 家公司
滴滴关联公司至少 13 家,包括北京小桔科技有限公司、滴滴出行科技有限公司、天津舒行
科技有限公司、北京运达无限科技有限公司、杭州快智科技有限公司、杭州快驾易行科技有
限公司、滴滴智慧交通科技有限公司、杭州小木吉软件科技有限公司、广州骑安科技有限公
司、杭州青奇科技有限公司、北京嘉扬科技有限公司、北京快桔安运科技有限公司、橙心优
选(北京)科技发展有限公司及其他构成关联方的公司。



滴滴网约车聚合伙伴有 27 位伙伴:如祺出行、东风出行、旗妙出行、蓝道出行、阳光出行、同港出行、哎呦喂出行、享道岀行、欧了岀行、量子出行、e 族出行、一嗨岀行、博约出行、长宽岀行、多彩出行、飞豹出行、飞嘀打车、网路岀行、呼我出行、AA 出行、光彩出行、张飞快跑、悦行租车、逸乘出行、联途出行、六七八出行及逸路安出行。



滴滴平台提供的租车服务有 9 位伙伴:杭州惠迪、北京车胜、宁波惠迪、淄博山东百易出
行、福肄八闽共赢汽车、西安千木汽车、深圳市迪滴新能源汽车、长沙市展旺汽车客运及武
汉时代桥人力资源。



由于滴滴平台是统一的用户流量入口,根据相关隐私协议的相关条款,滴滴需要给这近 50
家机构提供相应的用户信息数据。这些机构可以从滴滴出行获得的数据主要包括:手机号、
位置信息、订单信息、评价信息、投诉信息及设备号。另外滴滴出行 13 家关联企业独立的
APP 均有其特定的数据采集范围,这些独立于滴滴出行平台。
5.滴滴数据采集及使用风险分析
猎人分析了滴滴出行平台上近 150 份协议中关于数据采集的场景及对应的数据范围,结合
《App 违法违规收集使用个人信息行为认定方法》(下文称"认定方法"),分析 7 月 4 日,
国家互联网信息办公室发布公告称,经检测核实,"滴滴出行"APP 存在严重违法违规收
集使用个人信息问题"的几种可能性。



《认定方法》将违法违规收集使用个人信息行为进行了分类认定,共分为未公开收集使用规
则、未明示收集使用个人信息的目的方式和范围、未经用户同意收集使用个人信息、违反必
要原则收集与其提供的服务无关的个人信息、未经同意向他人提供个人信息、未按法律规定
提供删除或更正个人信息功能或未公布投诉举报方式等信息六大类。
针对"未公开收集使用规则"中的"在 App 中没有隐私政策,或者隐私政策中没有收集使
用个人信息规则",猎人看到滴滴出行合作的网约车平台中有几家机构未提供隐私政策。因
此此项可能存在问题。



根据《常见类型移动互联网应用程序必要个人信息范围规定》中 APP 类型规定的基础功能
允许获取的数据范围如下,滴滴出行主要的功能包括网络约车、用车服务、导航服务、网络
支付及网络借贷,这些功能可以采集的数据范围非常有限,如果根据上文滴滴出行采集的底
层数据字段表可以看出,大部分字段是不在范围规定内的,如设备号、浏览记录、操作系
统等。
以上还只是滴滴出行平台潜在的风险,2021 年 7 月 9 日,国家互联网信息办公室根据举报,
经检测核实,"滴滴企业版"等 25 款 App(列表附后)存在严重违法违规收集使用个人信
息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商
店下架上述 25 款 App,要求相关运营者严格按照法律要求,参照国家有关标准,认真整改
存在的问题,切实保障广大用户个人信息安全。各网站、平台不得为"滴滴出行"和"滴滴
企业版"等 25 款已在应用商店下架的 App 提供访问和下载服务。
则除了滴滴出行及滴滴出行关联平台,其旗下的 20 多款 APP 也均或多或少存在采集使用
的风险。整改刻不容缓。



6.滴滴底层数据与国家安全分析
习主席主持召开的中央国家安全委员会第一次会议中,提出了 11 种国家安全:政治安全、
国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、
资源安全、核安全。
在 2014 年 1 月《为国家安全立学——国家安全学科的探索历程及若干问题研究》中,将
当代国家安全体系构成要素扩展为十二个后,构建了一个当代国家安全体系图:



2021 年 7 月 10 日国家互联网信息办公室发布关于《网络安全审查办法(修订草案征求意
见稿)》公开征求意见的通知,重点如下:1.掌握超过 100 万用户个人信息的运营者赴国
外上市,必须向网络安全审查办公室申报网络安全审查。2.网络安全审查重点数据处理活
动以及国外上市可能带来的国家安全风险。核心数据、重要数据或大量个人信息被窃取、
泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要
数据或大量个人信息被国外政府影响、控制、恶意利用的风险。



7.滴滴拥有的数据中可能存在哪些涉及国家安全的数据
1)拥有大量甚至是超量的个人信息
从个人信息角度看,滴滴的数据量级可以达到造成影响国家安全的质变。滴滴拥有有 4.93
亿用户,占全国总人口的 34.9%。但使用滴滴出行 APP 的用户覆盖超过 400 个城市,覆
该比例超 60%。滴滴拥有 3.77 亿活跃用户,但第《47 次中国互联网络发展状况统计报告》
提到全国网约车用户规模达 3.65 亿。可见滴滴的大部分数据应该未同步于监管部门。滴
滴旗下有 1500 万司机,而全国机动车驾驶人数量达 4.4 亿人,占比 3.4%。而全国持证驾
驶员共 336.4 万人,网约车共 125.5 万里辆。可见滴滴旗下无论是驾驶员还是从业车辆大
部分均是非持证运营。滴滴拥有的个人数据量级远超 100 万用户。
个人用户数据结合地理信息数据,可以精准分析出几个涉及国家安全的用户群体,如相关
政府部门相关工作人员,包括金融办、国土局、税务局等各层级人员,这类人员的上下班
时间、出行习惯等可以得出非常多有价值的信息。间谍策反或监听这些人员就更加精确。
同时由于乘车过程均有录音,部分录像,包括经常过来这些地方办事的企业人员,均可能
不经意在乘车过程暴露一些核心的涉密信息。



2.拥有足以影响国家安全的地理信息
地理信息是国家重要的基础性、战略性信息资源,关系到国家主权、安全和利益,广泛应
用于国土规划、城乡建设、资源环境、交通物流和军事作战等领域。2017 年,滴滴上线
桔视行车记录仪,更是将中国城乡高精测绘数据,行车过程全程录音录像,2020 年 10
月,在桔视上线 3 周年之后,滴滴地图事业部总经理柴华,在中国测绘学会年会上公布了
一组数据:滴滴地图基础数据准确率已经超过 95%,而且每天新增轨迹数据超 108TB。这
些轨迹数据和场景,具备海量、连续、高质量的特点。 此外,每天还会上报数十万量级的
路况事件。 1000 多万滴滴车辆,每天通过桔视,成为滴滴的街景实时测绘车。



在国家战争层面:足够详细的地理信息如果让外国敌对势力掌握,战争布局导弹精准打击
人口密集城市、重点基础设施、战争要点区域都可以实现。



在经济战争层面:通过测绘的地理数据,完全可以分析出哪里在基建、哪里是核心资源区
域、哪些区域是重点发展区域。国外投融资机构均可以通过这些数据提前布局,影响国家
金融市场。
滴滴拥有的地理测绘信息,可以补充卫星地图上的缺失数据。现常用的地图软件,除了城
市中心及周边小范围可以看得到清晰的地图数据外,大部分区域均是不可见的。
这里做个假设,如果 1500 万司机中潜伏了美方安排了特工或少数司机被单独收买了,这
些司机专门在部委周边接客、录音、录像,在地图上缺失区域行驶采集数据。这些数据都
分布在滴滴的数据库里,等待滴滴上市后被美方获取。是否有这种可能?



8.行业未来
出行行业有滴滴出行作为前车之鉴,包括出行行业在内的想要脱颖而出的企业,应该会做
以下应对:
1)股东方面。数据量级远达不到 100 万级的,应该不会太重视股东是否有外资。但 100
万级以上的或者有强烈目的想做成行业老大的并朝上市努力的,应该会尽量往纯国资靠
拢,有外资的把外资清掉,没外资的尽量保证根红苗正。
2)数据量级方面。100 万用户量的城市全国有近 20 个。作为境外上市审查的数据红线,
如果有境外上市意向的企业,应该会控制用户量级,但这些企业盈利情况可能都不行。而
100 万量级以上的企业,除非能保证企业全生命周期都是合法合规的,要不然尽量选择在
国内或者香港上市,同时如果保证盈利而不是仅看收入规模是其重点。
3)数据安全方面。无论是自身还是合作的第三方机构或者嵌入工具,企业端需要提供完
整的服务及隐私政策协议,内容满足相关政策要求。嵌入的工具代码层或者功能层需要合
法合规。数据采集及使用,尽量尝试多方安全或者联邦学习等新技术,减少明文用户敏感
数据的采集及使用。数据存储过程数据需要按照要求实现非对称加密、去标识、脱敏等。
商业运营过程会产生大量敏感数据的行业机构,需要时刻提醒自己数据安全等同于国家安
全。
4)网络安全占信息化投入占比提高。7 月 12 日,工信部公开征求对《网络安全产业告知
量发展三年行动计划(2021-2023 年)(征求意见稿)》的意见。 到 2023 年,网络安
全产业规模超过 2500 亿元,年复合增长率超过 15%。这个要求,既是利好网络安全产业,
但其实也在提醒一个事情,各行业机构内部需要重视网络安全并加大网络安全的投入。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|咸蛋黄

GMT+8, 2025-3-16 02:39 , Processed in 0.089822 second(s), 22 queries .

Powered by Discuz! X3.4. 技术支持 by 巅峰设计

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表