出行365母公司IPO背后：出行行業(yè)收集大量司機(jī)敏感信息

　　出行365母公司IPO背后：出行行業(yè)收集大量司機(jī)敏感信息；算法合規(guī)路徑尚存模糊地帶

　　出行行業(yè)扎堆赴港IPO。11月14日，出行365、365約車的母公司盛威時(shí)代向港交所主板提交上市申請(qǐng)書。今年，如祺出行、嘀嗒出行已成功登陸港股，曹操出行也于10月30日晚更新了招股書。

　　與C端用戶貼近的出行行業(yè)，數(shù)據(jù)安全與個(gè)人信息保護(hù)議題是繞不開的話題，上述幾家公司的招股書中也有較大篇幅闡述自身業(yè)務(wù)中潛在的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)以及自身舉措。

　　個(gè)人信息保護(hù)、網(wǎng)絡(luò)安全審查、數(shù)據(jù)跨境、算法合規(guī)、網(wǎng)絡(luò)安全保障是出行行業(yè)招股書中必要說明的要素。

　　在個(gè)人信息保護(hù)方面，司機(jī)的個(gè)人信息保護(hù)一直未受到足夠關(guān)注，如祺、曹操等招股書中未見過多筆墨。盛威時(shí)代招股書中披露，累計(jì)注冊(cè)司機(jī)數(shù)量達(dá)150萬名，并會(huì)收集面部數(shù)據(jù)，以確保出行合規(guī)，將其視為機(jī)密資料。

　　出行平臺(tái)依賴信息技術(shù)系統(tǒng)以及第三方合作伙伴與服務(wù)供應(yīng)商的技術(shù)系統(tǒng)，其中存儲(chǔ)著與業(yè)務(wù)相關(guān)的專有或機(jī)密數(shù)據(jù)，以及司機(jī)、乘客等的敏感個(gè)人信息。與第三方的廣泛交互性存在風(fēng)險(xiǎn)敞口。

　　出行行業(yè)依賴大數(shù)據(jù)分析，運(yùn)營(yíng)、派單等均需算法實(shí)現(xiàn)。目前我國(guó)已建立起較為完備的算法監(jiān)管體系，算法合規(guī)也成為業(yè)界關(guān)注重點(diǎn)，發(fā)行人通常會(huì)對(duì)算法進(jìn)行表態(tài)及風(fēng)險(xiǎn)提示，但普遍來看，招股書中對(duì)于如何具體執(zhí)行和落地算法合規(guī)性的策略相對(duì)匱乏。盛威時(shí)代亦存在這個(gè)問題，對(duì)于算法備案、安全評(píng)估等情況，未在招股書中披露。

　　累計(jì)注冊(cè)司機(jī)150萬名，搜集司機(jī)面部信息等確保出行合規(guī)

　　盛威時(shí)代是中國(guó)領(lǐng)先的城際及城內(nèi)道路客運(yùn)信息服務(wù)提供商。在業(yè)務(wù)方面，盛威時(shí)代構(gòu)建了綜合出行服務(wù)體系，提供多元化服務(wù)。

　　面向企業(yè)端主要為聯(lián)網(wǎng)售票服務(wù)和定制客運(yùn)服務(wù)，主要以客運(yùn)站及客運(yùn)企業(yè)為客戶，通過“云站務(wù)”系統(tǒng)賦能客運(yùn)站，通過主要的在線出行預(yù)訂系統(tǒng)平臺(tái)(包括12306、航旅縱橫、同程、攜程、飛豬等)及自營(yíng)平臺(tái)“出行365”連接廣大的乘客和客運(yùn)站；并為客運(yùn)企業(yè)定制服務(wù)方案，包括在機(jī)場(chǎng)、高鐵站、校園等地提供定制線路的巴士服務(wù)等。

　　根據(jù)弗若斯特沙利文的資料，盛威時(shí)代聯(lián)網(wǎng)售票業(yè)務(wù)銷售車票達(dá)6120萬張，定制客運(yùn)業(yè)務(wù)銷售車票達(dá)1030萬張，這些業(yè)務(wù)使得盛威時(shí)代成為2023年中國(guó)最大的城際道路客運(yùn)信息服務(wù)提供商，而這些業(yè)務(wù)均涉及收集、存儲(chǔ)、處理和傳輸大量與用戶相關(guān)的數(shù)據(jù)，包括但不限于身份信息、交易信息和其他敏感個(gè)人信息，這帶來了數(shù)據(jù)泄露的風(fēng)險(xiǎn)敞口。

　　“我們受到有關(guān)網(wǎng)絡(luò)安全、信息安全、隱私和數(shù)據(jù)安全的各種法律法規(guī)所約束，包括對(duì)個(gè)人信息收集、存儲(chǔ)和使用的限制以及采取措施防止個(gè)人信息被泄露、竊取或篡改的要求，以保護(hù)用戶隱私。 ”招股書中如此說道。

　　面向用戶端的網(wǎng)約車服務(wù)，盛威時(shí)代選擇與高德等主流聚合平臺(tái)合作，同時(shí)自營(yíng)網(wǎng)約車平臺(tái)“365約車”，獲取大量客流并提供網(wǎng)約車服務(wù)。根據(jù)弗若斯特沙利文的數(shù)據(jù)，截至2024年6月30日，按《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)許可證》數(shù)量計(jì)算，成為中國(guó)第二大的網(wǎng)約車平臺(tái)。近三年來，盛威時(shí)代業(yè)務(wù)收入高度依賴網(wǎng)約車服務(wù)，網(wǎng)約車服務(wù)收入均占80%以上，至2024年6月30日為止前六個(gè)月，網(wǎng)約車服務(wù)收入占比已近九成。

　　在網(wǎng)約車發(fā)展早期階段，發(fā)生過乘客遇害等惡性事件，因此為了保證乘客安全、出行合規(guī)，對(duì)司機(jī)的審核是必要手段，但這也使得平臺(tái)握有大量司機(jī)的敏感個(gè)人數(shù)據(jù)。

　　招股書中提及，盛威時(shí)代除了采取多項(xiàng)措施對(duì)車輛資格進(jìn)行核查，也要求司機(jī)在認(rèn)證過程中提供其姓名及身份證號(hào)碼，采取各種資格和背景審查措施。此外，為了保證司機(jī)提交的身份資料的真實(shí)性與一致性，會(huì)應(yīng)用實(shí)時(shí)的面部識(shí)別技術(shù)，要求司機(jī)完成某些指定動(dòng)作，通過收集攝像頭采集司機(jī)面部信息，并且司機(jī)手機(jī)上的定位功能及行程記錄也被用來監(jiān)控司機(jī)的行為。這些均為確保司機(jī)和乘客安全的舉措。

　　截至目前，盛威時(shí)代注冊(cè)司機(jī)數(shù)量累計(jì)約150萬名。形成龐大的個(gè)人信息庫(kù)，針對(duì)如此大量的數(shù)據(jù)，招股書中給出了合規(guī)答案：“將掌握的所有司機(jī)提交的數(shù)據(jù)視為機(jī)密資料，并在必要的情況下限制本集團(tuán)內(nèi)部訪問該等數(shù)據(jù)�！�

　　對(duì)于個(gè)人信息保護(hù)，乘客的個(gè)人信息是公眾關(guān)注的重點(diǎn)，但司機(jī)的個(gè)人信息保護(hù)似乎未受到足夠的關(guān)注。這并非盛威一家企業(yè)要面臨的合規(guī)問題，不過，在曹操、如祺等幾家的招股書中未見相關(guān)筆墨。

　　值得注意的是，根據(jù)《網(wǎng)絡(luò)安全審查辦法》掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。出行企業(yè)手中握有的用戶數(shù)量通常會(huì)超過100萬這個(gè)數(shù)字。不過，“港股上市并不等同于國(guó)外上市"，這也是《網(wǎng)絡(luò)安全審查辦法》留出的口子，招股書中通常會(huì)提及公司通過中國(guó)網(wǎng)絡(luò)安全審查認(rèn)證等咨詢途徑獲得“赴港上市不等同國(guó)外上市”的口徑作為留痕證據(jù)。

　　此外，根據(jù)《網(wǎng)絡(luò)安全審查辦法》，關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者購(gòu)買網(wǎng)絡(luò)產(chǎn)品和服務(wù)或網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者從事數(shù)據(jù)處理活動(dòng)影響或可能影響國(guó)家安全的，應(yīng)當(dāng)接受網(wǎng)絡(luò)安全審查。

　　發(fā)行人會(huì)對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”“可能影響國(guó)家安全”做出闡述，比如，目前為止尚未被認(rèn)定“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”；“可能影響國(guó)家安全”有待進(jìn)一步詮釋，但目前未收到任何查詢、通知、警告。

　　第三方存儲(chǔ)與業(yè)務(wù)相關(guān)的專有或機(jī)密數(shù)據(jù) 存在不可控風(fēng)險(xiǎn)

　　出行行業(yè)對(duì)聚合平臺(tái)的依賴度逐漸加深。以盛威時(shí)代為例，九成收入借助高德地圖。招股書顯示，2021年至2024年上半年，通過高德地圖產(chǎn)生的GTV(總交易額)分別占公司網(wǎng)約車服務(wù)業(yè)務(wù)總GTV的95.3%、92.9%、89.5%及93.4%。

　　曹操出行的招股書中也提及，“與多個(gè)可促進(jìn)我們平臺(tái)用戶流量的第三方聚合平臺(tái)合作。由于與聚合平臺(tái)合作使我們能夠獲得大量用戶流量及擴(kuò)大業(yè)務(wù)規(guī)模，故我們亦受惠于規(guī)模效益，盈利能力得到改善�！�

　　與聚合平臺(tái)合作是出行企業(yè)第三方合作的一方面，支付、第三方服務(wù)也是出行企業(yè)乃至數(shù)字行業(yè)都無法繞開的第三方服務(wù)。與第三方合作，涉及數(shù)據(jù)流動(dòng)、處理、存儲(chǔ)等行為，亦存在合規(guī)風(fēng)險(xiǎn)。

　　盛威時(shí)代提及，在處理付款方面，公司依賴第三方支付處理商；公司部分依賴手機(jī)操作系統(tǒng)(如安卓及iOS)及其各自的移動(dòng)APP市場(chǎng)以及若干第三方平臺(tái)，以向平臺(tái)上的客戶、乘客及司機(jī)提供移動(dòng)APP及小程序。

　　招股書中提到，“平臺(tái)的信息技術(shù)系統(tǒng)(包括自主開發(fā)的系統(tǒng)、平臺(tái)功能、支付服務(wù)及管理模塊)以及第三方合作伙伴與服務(wù)供應(yīng)商的技術(shù)系統(tǒng)中存儲(chǔ)著與業(yè)務(wù)相關(guān)的專有或機(jī)密數(shù)據(jù)，以及司機(jī)、乘客、交通服務(wù)提供方和員工提供的敏感個(gè)人信息(如身份識(shí)別信息)。” 就網(wǎng)約車業(yè)務(wù)而言，公司的供應(yīng)商主要包括司機(jī)、運(yùn)力伙伴、聚合平臺(tái)及將聚合平臺(tái)上乘客需求與其平臺(tái)上司機(jī)匹配的SaaS技術(shù)服務(wù)提供商。同時(shí)，公司依賴第三方云服務(wù)供應(yīng)商存儲(chǔ)其乘客數(shù)據(jù)。

　　“未經(jīng)授權(quán)的第三方還可能試圖以欺詐手段誘導(dǎo)盛威時(shí)代員工、合作伙伴、司機(jī)、乘客或其他人披露用戶名稱、密碼、支付卡信息或其他敏感信息，或使用日益復(fù)雜的方法從事涉及個(gè)人信息的非法活動(dòng)，帶來信息安全問題�！笔⑼�招股書中指出。

　　這并非盛威一家的問題，曹操出行的招股書中亦談到這個(gè)問題。“我們平臺(tái)最關(guān)鍵的特點(diǎn)之一是其與一系列設(shè)備、操作系統(tǒng)及第三方應(yīng)用程序的廣泛交互性�！辈懿僬泄蓵�中談及，在整個(gè)運(yùn)營(yíng)過程中，我們高度依賴信息技術(shù)系統(tǒng)。我們的信息技術(shù)系統(tǒng)，包括移動(dòng)及在線平臺(tái)、移動(dòng)支付系統(tǒng)及管理功能，以及第三方業(yè)務(wù)合作伙伴及服務(wù)供應(yīng)商的信息技術(shù)系統(tǒng)，均含有由司機(jī)、用戶、企業(yè)、雇員及求職者委托予我們且與業(yè)務(wù)及敏感個(gè)人數(shù)據(jù)相關(guān)的專有或機(jī)密信息(包括個(gè)人身份信息)。

　　并且，曹操出行的招股書還提到曾遭受過該類攻擊：“計(jì)算機(jī)惡意軟件、病毒、垃圾郵件及網(wǎng)絡(luò)釣魚攻擊在我們的行業(yè)中越趨普遍，我們的系統(tǒng)過往曾經(jīng)發(fā)生且于日后亦可能會(huì)發(fā)生有關(guān)事件。”

　　盛威時(shí)代在招股書中提到，在依托信息技術(shù)系統(tǒng)及第三方支持的同時(shí)，建立了比較全面的數(shù)據(jù)管理和安全保障體系，以應(yīng)對(duì)復(fù)雜的合規(guī)環(huán)境。

　　算法合規(guī)落地實(shí)操相對(duì)匱乏 未披露備案、安全評(píng)估等情況

　　出行行業(yè)是跑在數(shù)據(jù)輪子上的行業(yè)，基于較大的乘客基礎(chǔ)及龐大交易量，通過算法，將這些數(shù)據(jù)可以轉(zhuǎn)化為實(shí)力，提升服務(wù)及技術(shù)。

　　盛威時(shí)代表示，使用在運(yùn)營(yíng)過程中各種聚合算法對(duì)數(shù)據(jù)進(jìn)行分類和分析；接獲訂單時(shí)，會(huì)使用標(biāo)準(zhǔn)化配對(duì)算法識(shí)別最合適的司機(jī)以履行訂單等。

　　自2023年起，“算法合規(guī)"逐漸成為企業(yè)數(shù)據(jù)合規(guī)的核心關(guān)注點(diǎn)。

　　出行行業(yè)的調(diào)度算法、匹配算法的爭(zhēng)議一直存在。2024年6月玉林市交通運(yùn)輸局在約談某德平臺(tái)時(shí)，要求要合理制定和執(zhí)行平臺(tái)算法，按規(guī)定向相關(guān)部門進(jìn)行算法備案，落實(shí)陽(yáng)光抽成，避免過高抽成。同時(shí)要切實(shí)保障乘客合法權(quán)益，聚合平臺(tái)及其合作的網(wǎng)約車平臺(tái)要建立健全首問負(fù)責(zé)制度，及時(shí)妥善處理平臺(tái)咨詢投訴。

　　回到企業(yè)上市，可以看到一個(gè)趨勢(shì)，發(fā)行人頻繁引用《互聯(lián)網(wǎng)信息服務(wù)算法推薦管理規(guī)定》及新近頒布的《生成式人工智能服務(wù)管理暫行辦法》等關(guān)鍵法規(guī)。但是招股書中對(duì)于如何具體執(zhí)行和落地算法合規(guī)性的策略相對(duì)匱乏。

　　21世紀(jì)經(jīng)濟(jì)報(bào)道記者梳理發(fā)現(xiàn)，在嘀嗒、如祺、曹操、盛威時(shí)代的招股書中，除卻曹操提及“對(duì)算法進(jìn)行安全評(píng)估，完成相關(guān)備案，公開披露算法的基本原理、目的及主要運(yùn)行機(jī)制”，其余企業(yè)并未對(duì)算法的備案、評(píng)估、透明度等情況做出說明，更多是潛在風(fēng)險(xiǎn)提示以及聲明性質(zhì)表態(tài)。