美国东部时间6月30日，“滴滴”正式在纽交所挂牌上市。

据消息，“滴滴”上市开盘价为18美元，市值甚至超过800亿美元（约合人民币5165.76亿元）。

比起敲钟鸣锣大张旗鼓，“滴滴”的上市格外低调。“滴滴”递交完招股书之后，内部发了一封CEO程维和总裁柳青的联名信，员工才知道公司上市的消息。

然而上市仅过了两日（7月2日晚），国家互联网信息办公室官方微信号“网信中国”就发布通报称，根据举报，经检测核实，“滴滴出行”App存在严重违法违规收集使用个人信息问题。审查期间“滴滴出行”停止新用户注册。

7月4日晚，国家互联网信息办公室发布《关于下架“滴滴出行”App的通报》，要求滴滴出行科技有限公司严格按照法律要求，参照国家有关标准，认真整改存在的问题，切实保障广大用户个人信息安全。

消息一经发布，“滴滴”股价一度下跌10%。

据了解，网络安全审查重点评估关键信息基础设施运营者采购网络产品和服务可能带来的国家安全风险，包括：产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏，以及重要数据被窃取、泄露、毁损的风险；产品和服务供应中断对关键信息基础设施业务连续性的危害；产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；产品和服务提供者遵守中国法律、行政法规、部门规章情况；其他可能危害关键信息基础设施安全和国家安全的因素。

通常情况下，网络安全审查在45个工作日内完成，情况复杂的会延长15个工作日。进入特别审查程序的审查项目，可能还需要45个工作日或者更长。

自7月2日发出第一个公告后，7月4日发出第二个通报，且在非工作日紧急发布通告，可见监管机构对于此事的重视。

锦天城律师事务所高级合伙人吴卫明律师分析道，“网络安全审查”引发停止注册新用户，“违法违规收集个人信息”则引发APP下架，特别是第一个通知中提到了“防范国家数据安全风险，维护国家安全，保障公共利益”，充分说明了一个问题——“网络安全无小事、数据安全无小事”。

“滴滴”作为中国最大的出行和交通平台，与能源、金融、电信等平台一样，是国家关键信息基础设施运营者。为保障网络安全和国家安全，网信办依法可以对其供应链安全进行事前审查和事中持续监管。

邹佳铭

北京和昶律师事务所主任

北京和昶律师事务所主任邹佳铭律师解释道，因为关键信息基础设施运营者采购的产品和服务不当，可能招致三种风险：第一，基础设施被非法控制；第二，重要信息被泄露；第三，业务被中断。这都直接指向至关重要的国家安全。

“滴滴”作为关键信息基础设施的运营者，占有中国网络叫车至少80%的市场份额，因业务性质而掌握了海量道路交通数据，除了以亿计算的普通人每天进行使用之外，还有大量的公务员、军人或者其他从事敏感行业的人员进行使用。

2015年，滴滴研究院曾公布过一份基于实时生成的移动出行大数据分析报告，主要监测对象为国家各部委，并得出公安部最忙中纪委最低调的结论。

这些人的出行路线、注册信息、行程中的录音录像，那绝对是非常关键敏感的信息。而且从这些人的出行情况进行分析的话，甚至可以推断出党和政府正在进行的一些绝密事项。这也是为什么美国政府对于中国企业收购涉及到美国公民个人信息和数据的交易如此敏感的原因之一。

中国信息安全研究院副院长左晓栋在接受《南方周末》时曾指出，对“滴滴”审查的重点是重要数据的出境安全风险。数据资源除了经济属性外，还具有显著的安全属性。因而在企业数据出境问题上，不仅需要考虑到个人信息保护，还需要关注公共利益保护和国家安全。

2015年，我国修改后的《国家安全法》阐述了全面的国家安全观，其中，网络空间安全是国家安全的重要构成部分。吴卫明律师就此指出，不应把网络安全看成是一个简单的技术问题或者合规问题，而是应该从国家安全、国家战略、民族利益的高度看待这个问题。

关键信息基础设施运营者和重要互联网企业的网络安全、数据安全、个人信息保护问题，绝非企业的私事，同时更是国家安全范畴的大事。

事实上，早在2017年7月——即《网络安全法》出台后的一个月，中央网信办在内的四部门就曾对包括“滴滴”在内的十款网络产品和服务的隐私条款进行评审。

彼时，评审结果一切尚好，而在四年后，我们却见证了《国家安全法》和《网络安全法》的重锤对“滴滴”落下。

姚冰

上海汉盛律师事务高级合伙人

上海汉盛律师事务高级合伙人姚冰律师在接受律新社采访时谈到，应当认识到，企业合规绝非静态的过程，应跟随公司内部业务开拓、外部市场环境变化和法律法规及政策标准的更新而迅速作出反应。

随着《深圳经济特区数据条例》《数据安全法》等法律法规和各行业数据标准的出台，我国数据合规领域正经历巨大变革，姚冰律师表示，作为从业者更应保持高度关注，识别风险，治理风险。

“作为企业数据合规中更应注意每年进行年审，对于敏感数据的范围每年应根据数据采集的范围和图谱进行定义更新，以免触碰红线。”

即将于今年9月1日施行的《数据安全法》，以及预计年底前通过的《个人信息保护法》，加上已经实行的《网络安全法》，我国网络数据安全法律体系已经基本形成。

据行业资深人士透露，此次事件意味着政府监管侧将进一步加大在网络数据安全领域的监管力度。在可预计的未来，网络安全审查乃至国家安全审查可能频繁出现。

不仅仅是互联网企业，所有涉及数据处理的企业，都应该未雨绸缪，结合相关法律规定，提前梳理排查数据安全相关漏洞风险，明确数据处理活动的规则和红线。

从宏观态势看，近日被陆续实施网络安全审查的公司恰巧都是近期赴美上市的公司。在目前中美的紧张态势下，我国加强对赴美上市企业的数据安全审查，特别是对拥有大量个人数据、道路数据等基础性数据的企业进行安全审查，是维护国家安全的应有之义。

就后续希望赴境外上市的公司而言，例如字节跳动，需要做好全方位的准备，做好在我国和境外上市地两地的合规自查，并做好全面评估。

随着《数据安全法》的落地，今后类似“滴滴”的案例将会愈发频繁。“滴滴”事件也给众多企业敲响了警钟，网络安全与数据合规案例具有突发性，这对企业持续落实合规义务提出了更高的要求。

赵亚飞

上海汉盛律师事务所合伙人

作为企业方，特别是互联网、金融行业和消费类等客户数据收集和使用的企业，更要重视企业数据管理。上海汉盛律师事务所合伙人赵亚飞律师在接受律新社采访时建议企业应建立起专门数据保护官DPO管理岗位，加强数据保护官DPO专业和业务培训。

早在2000年开始，欧美国家已有至少数百家公司设有DPO的职位。根据欧盟《通用数据保护条例》（GDPR）要求，核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据（健康记录、犯罪记录）的组织必须指定数据保护官DPO。

DPO主要负责就GDPR规定提供咨询意见，向最高管理层报告。可以说，GDPR根本性地改变了全球范围内隐私保护的管理模式。

律新社了解到，珠海山竹科技有限公司是国内知名的首家专注于DPO课程、隐私保护和数据合规课程的培训机构，目前已成功培养了几百名DPO学员，授权讲师10名。

向丽

珠海山竹科技有限公司创始人及CEO

珠海山竹科技创始人及CEO向丽表示，个人信息保护专业人员已成为保护个人信息安全和保障企业依法合规的关键角色，国际信息考试学会 EXIN 已率先推出基于GDPR法律法规、以及对标ISO27701国际隐私管理体系标准的专有隐私与数据保护认证培训，为企业培养隐私合规人才。

未来，设立DPO职位将会在国际化企业和政府部门内成为趋势。

当前，我国数据安全专业人才储备尚不足。随着《国家安全法》明确要求将国家安全教育纳入国民教育体系和公务员教育培训体系，增强全民国家安全意识，国家加强安全学科学研究和人才培养会是大方向。

赵亚飞律师表示，未来会有更多法律人加入数据保护的学习中，而我国的DPO数据保护官也会走出符合我国国情的新道路。

“滴滴”事件是第一个，但绝不是最后一个。

面对当前复杂的境内外环境及当前严格的监管态势，从年初互联网平台反垄断调查逐步扩大化，到以“滴滴”为代表的一批赴美上市互联网企业被“点名”审查，互联网企业数据规范整改一触即发。

陈沛文

上海靖予霖律师事务所权益合伙人、靖霖刑事律师机构网络犯罪研究与辩护部主任

在上海靖予霖律师事务所权益合伙人、靖霖刑事律师机构网络犯罪研究与辩护部主任陈沛文律师看来，悬在互联网企业头上的，还有“拒不履行信息网络安全管理义务罪”，从法律规范的意义而言，数据相关的法律规范的接连出台，唤醒了这个本沉睡着的刑法规范。

这意味着，互联网企业无法再成为“鸵鸟”，以缩头沉默应对数据监管，而需要积极行动，规范数据行为。陈沛文律师表示，即便企业已经遭受行政处罚的惩治，但若是不能真正审视企业内部的数据安全漏洞，规范企业的数据使用，刑事风险的爆发将会接踵而至，拒不履行信息网络安全义务罪，将永远是悬在互联网企业头上的达摩克利斯之剑。

伴随我国网络数据安全法律体系已初步建成，不仅为公安、国安、网信部门等国家机关开展更深入的数据监管提供了明确保障，也对企业的数据合规提出了更为严格具体的要求。

从建立数据合规制度、配备合规团队和负责人，到培训合规团队、让他们不断更新监管合规的政策和对策……企业合规无疑已拥有市场的时间窗口，更将会是一个长期永续的蓝海行业！