出行行业扎堆赴港IPO。11月14日,出行365、365约车的母公司盛威时代向港交所主板提交上市申请书。今年,如祺出行、嘀嗒出行已成功登陆港股,曹操出行也于10月30日晚更新了招股书。
与C端用户贴近的出行行业,数据安全与个人信息保护议题是绕不开的话题,上述几家公司的招股书中也有较大篇幅阐述自身业务中潜在的数据合规风险以及自身举措。
个人信息保护、网络安全审查、数据跨境、算法合规、网络安全保障是出行行业招股书中必要说明的要素。
在个人信息保护方面,司机的个人信息保护一直未受到足够关注,如祺、曹操等招股书中未见过多笔墨。盛威时代招股书中披露,累计注册司机数量达150万名,并会收集面部数据,以确保出行合规,将其视为机密资料。
出行平台依赖信息技术系统以及第三方合作伙伴与服务供应商的技术系统,其中存储着与业务相关的专有或机密数据,以及司机、乘客等的敏感个人信息。与第三方的广泛交互性存在风险敞口。
出行行业依赖大数据分析,运营、派单等均需算法实现。目前我国已建立起较为完备的算法监管体系,算法合规也成为业界关注重点,发行人通常会对算法进行表态及风险提示,但普遍来看,招股书中对于如何具体执行和落地算法合规性的策略相对匮乏。盛威时代亦存在这个问题,对于算法备案、安全评估等情况,未在招股书中披露。
累计注册司机150万名,搜集司机面部信息等确保出行合规
盛威时代是中国领先的城际及城内道路客运信息服务提供商。在业务方面,盛威时代构建了综合出行服务体系,提供多元化服务。
面向企业端主要为联网售票服务和定制客运服务,主要以客运站及客运企业为客户,通过“云站务”系统赋能客运站,通过主要的在线出行预订系统平台(包括12306、航旅纵横、同程、携程、飞猪等)及自营平台“出行365”连接广大的乘客和客运站;并为客运企业定制服务方案,包括在机场、高铁站、校园等地提供定制线路的巴士服务等。
根据弗若斯特沙利文的资料,盛威时代联网售票业务销售车票达6120万张,定制客运业务销售车票达1030万张,这些业务使得盛威时代成为2023年中国最大的城际道路客运信息服务提供商,而这些业务均涉及收集、存储、处理和传输大量与用户相关的数据,包括但不限于身份信息、交易信息和其他敏感个人信息,这带来了数据泄露的风险敞口。
“我们受到有关网络安全、信息安全、隐私和数据安全的各种法律法规所约束,包括对个人信息收集、存储和使用的限制以及采取措施防止个人信息被泄露、窃取或篡改的要求,以保护用户隐私。 ”招股书中如此说道。
面向用户端的网约车服务,盛威时代选择与高德等主流聚合平台合作,同时自营网约车平台“365约车”,获取大量客流并提供网约车服务。根据弗若斯特沙利文的数据,截至2024年6月30日,按《网络预约出租汽车经营许可证》数量计算,成为中国第二大的网约车平台。近三年来,盛威时代业务收入高度依赖网约车服务,网约车服务收入均占80%以上,至2024年6月30日为止前六个月,网约车服务收入占比已近九成。
在网约车发展早期阶段,发生过乘客遇害等恶性事件,因此为了保证乘客安全、出行合规,对司机的审核是必要手段,但这也使得平台握有大量司机的敏感个人数据。
招股书中提及,盛威时代除了采取多项措施对车辆资格进行核查,也要求司机在认证过程中提供其姓名及身份证号码,采取各种资格和背景审查措施。此外,为了保证司机提交的身份资料的真实性与一致性,会应用实时的面部识别技术,要求司机完成某些指定动作,通过收集摄像头采集司机面部信息,并且司机手机上的定位功能及行程记录也被用来监控司机的行为。这些均为确保司机和乘客安全的举措。
截至目前,盛威时代注册司机数量累计约150万名。形成庞大的个人信息库,针对如此大量的数据,招股书中给出了合规答案:“将掌握的所有司机提交的数据视为机密资料,并在必要的情况下限制本集团内部访问该等数据。”
对于个人信息保护,乘客的个人信息是公众关注的重点,但司机的个人信息保护似乎未受到足够的关注。这并非盛威一家企业要面临的合规问题,不过,在曹操、如祺等几家的招股书中未见相关笔墨。
值得注意的是,根据《网络安全审查办法》掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。出行企业手中握有的用户数量通常会超过100万这个数字。不过,“港股上市并不等同于国外上市",这也是《网络安全审查办法》留出的口子,招股书中通常会提及公司通过中国网络安全审查认证等咨询途径获得“赴港上市不等同国外上市”的口径作为留痕证据。
此外,根据《网络安全审查办法》,关键信息基础设施运营者购买网络产品和服务或网络平台运营者从事数据处理活动影响或可能影响国家安全的,应当接受网络安全审查。
发行人会对“关键信息基础设施运营者”“可能影响国家安全”做出阐述,比如,目前为止尚未被认定“关键信息基础设施运营者”;“可能影响国家安全”有待进一步诠释,但目前未收到任何查询、通知、警告。
第三方存储与业务相关的专有或机密数据 存在不可控风险
出行行业对聚合平台的依赖度逐渐加深。以盛威时代为例,九成收入借助高德地图。招股书显示,2021年至2024年上半年,通过高德地图产生的GTV(总交易额)分别占公司网约车服务业务总GTV的95.3%、92.9%、89.5%及93.4%。
曹操出行的招股书中也提及,“与多个可促进我们平台用户流量的第三方聚合平台合作。由于与聚合平台合作使我们能够获得大量用户流量及扩大业务规模,故我们亦受惠于规模效益,盈利能力得到改善。”
与聚合平台合作是出行企业第三方合作的一方面,支付、第三方服务也是出行企业乃至数字行业都无法绕开的第三方服务。与第三方合作,涉及数据流动、处理、存储等行为,亦存在合规风险。
盛威时代提及,在处理付款方面,公司依赖第三方支付处理商;公司部分依赖手机操作系统(如安卓及iOS)及其各自的移动APP市场以及若干第三方平台,以向平台上的客户、乘客及司机提供移动APP及小程序。
招股书中提到,“平台的信息技术系统(包括自主开发的系统、平台功能、支付服务及管理模块)以及第三方合作伙伴与服务供应商的技术系统中存储着与业务相关的专有或机密数据,以及司机、乘客、交通服务提供方和员工提供的敏感个人信息(如身份识别信息)。” 就网约车业务而言,公司的供应商主要包括司机、运力伙伴、聚合平台及将聚合平台上乘客需求与其平台上司机匹配的SaaS技术服务提供商。同时,公司依赖第三方云服务供应商存储其乘客数据。
“未经授权的第三方还可能试图以欺诈手段诱导盛威时代员工、合作伙伴、司机、乘客或其他人披露用户名称、密码、支付卡信息或其他敏感信息,或使用日益复杂的方法从事涉及个人信息的非法活动,带来信息安全问题。”盛威招股书中指出。
这并非盛威一家的问题,曹操出行的招股书中亦谈到这个问题。“我们平台最关键的特点之一是其与一系列设备、操作系统及第三方应用程序的广泛交互性。”曹操招股书中谈及,在整个运营过程中,我们高度依赖信息技术系统。我们的信息技术系统,包括移动及在线平台、移动支付系统及管理功能,以及第三方业务合作伙伴及服务供应商的信息技术系统,均含有由司机、用户、企业、雇员及求职者委托予我们且与业务及敏感个人数据相关的专有或机密信息(包括个人身份信息)。
并且,曹操出行的招股书还提到曾遭受过该类攻击:“计算机恶意软件、病毒、垃圾邮件及网络钓鱼攻击在我们的行业中越趋普遍,我们的系统过往曾经发生且于日后亦可能会发生有关事件。”
盛威时代在招股书中提到,在依托信息技术系统及第三方支持的同时,建立了比较全面的数据管理和安全保障体系,以应对复杂的合规环境。
算法合规落地实操相对匮乏 未披露备案、安全评估等情况
出行行业是跑在数据轮子上的行业,基于较大的乘客基础及庞大交易量,通过算法,将这些数据可以转化为实力,提升服务及技术。
盛威时代表示,使用在运营过程中各种聚合算法对数据进行分类和分析;接获订单时,会使用标准化配对算法识别最合适的司机以履行订单等。
自2023年起,“算法合规"逐渐成为企业数据合规的核心关注点。
出行行业的调度算法、匹配算法的争议一直存在。2024年6月玉林市交通运输局在约谈某德平台时,要求要合理制定和执行平台算法,按规定向相关部门进行算法备案,落实阳光抽成,避免过高抽成。同时要切实保障乘客合法权益,聚合平台及其合作的网约车平台要建立健全首问负责制度,及时妥善处理平台咨询投诉。
回到企业上市,可以看到一个趋势,发行人频繁引用《互联网信息服务算法推荐管理规定》及新近颁布的《生成式人工智能服务管理暂行办法》等关键法规。但是招股书中对于如何具体执行和落地算法合规性的策略相对匮乏。
21世纪经济报道记者梳理发现,在嘀嗒、如祺、曹操、盛威时代的招股书中,除却曹操提及“对算法进行安全评估,完成相关备案,公开披露算法的基本原理、目的及主要运行机制”,其余企业并未对算法的备案、评估、透明度等情况做出说明,更多是潜在风险提示以及声明性质表态。
4000520066 欢迎批评指正
All Rights Reserved 新浪公司 版权所有