滴滴下架，我卻看到數據安全的曙光

“下架之后，滴滴還能用么？”

“高德開心了?！?/p>

“之前的滴滴訂單無法開發(fā)票，怎么辦？”

隨著7月4日晚間，網信辦發(fā)布《關于下架“滴滴出行”App的通報》，頃刻間一片嘩然。如果說，三天前網絡安全審查辦公室宣布對滴滴啟動網絡安全審查，已經引爆了全網對滴滴以及背后掌門人家世的熱議，那么下架通知更是火上澆油。

每一次勁爆話題都必然蔓延到真相以外，猜測、演繹、夸大，唾沫星和Ctrl V齊飛，陰謀論與大棋黨共舞。有人說，滴滴為了海外上市把敏感數據交給了美國，著實有“叛國”之嫌；有人說，競爭對手在設法攻擊滴滴，故而滴滴蒙冤。

網信辦下架滴滴出行應用

富蘭克林說，“真話說一半常常是彌天大謊?！蹦敲串斠话胝嫦嗪鸵话胫e言攪拌在一起，自然更具備迷惑性。

吃瓜群眾可以看光了，罵爽了，滿意了，但合格的產業(yè)觀察者卻無法提出同等要求。只不過，抽絲剝繭從來都并非易事。

當本文成稿前的那一刻，網絡安全審查辦公室再次發(fā)布公告，宣布將對“運滿滿”、“貨車幫”、“BOSS直聘”啟動網絡安全審查，毫無疑問，滴滴只是一個代表，舉國上下關注數據安全的時代終于要拉開帷幕。

滴滴不冤，真相不全

“二石激起千層浪”，兩份來自網信中國的公告，在全網拉開了數以億計人圍繞滴滴出行的“吃大瓜”浪潮。

第一份是7月2日《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》，第二份是7月4日晚間《關于下架“滴滴出行”App的通報》。其實很多人并沒有仔細推敲這兩份通報，而“滴滴到底錯在哪里”、“滴滴命運會怎樣”等焦點問題，恰恰在字里行間有著關鍵提示。

網絡安全審查辦公室審查滴滴

?

首先，滴滴是否真有過錯？

相信絕大多數吃瓜群眾都不會懷疑，但仍然有一些聲音在為滴滴叫屈，直指“滴滴掌控的互聯網大數據讓某些方面擔憂”。那么不妨結合兩份公告來細品。

第一份通告，核心關鍵詞是“風險”，即未發(fā)生但可能發(fā)生的概率。

對“滴滴出行”實施網絡安全審查的依據和標準是《中華人民共和國國家安全法》、《中華人民共和國網絡安全法》和《網絡安全審查辦法》，緣由是“為防范國家數據安全風險，維護國家安全，保障公共利益”，目的是“防范風險擴大”。很明顯，風險是指未發(fā)生但可能發(fā)生不良后果的概率，那么無論滴滴是否已經“犯事”，只要存在風險，那么就符合公告里的描述。

第二份通告，核心關鍵詞是“違規(guī)”，即已經發(fā)生的事件。

緣由是“‘滴滴出行’App存在嚴重違法違規(guī)收集使用個人信息問題”，并且“根據舉報，經檢測核實”表明，確實有第三方舉報了滴滴，相關部門加以了檢測與核實，確認事件曾經發(fā)生。

如果采信公告，則必然滴滴存在風險，導致其被審查，也存在對個人信息的違規(guī)操作，導致其應用下架。如果撇開公告，拍下腦袋也知道，滴滴早先管控不力導致的命案就證明了風險的存在，信息泄露的說法也一直甚囂塵上，而掌握的龐大數據量目前也沒有證據確保受到嚴密管控。無論是直接相信指控，還是用常識推斷，滴滴此次都并不冤枉。

其次，滴滴“犯事”真如坊間傳聞那樣可怕嗎？下架就意味著徹底終結么？顯然易見，這些描述在口口傳播中被夸大了。

有一種流傳甚廣的“滴滴叛國說”，直指滴滴為了6月30日在美國IPO上市，把可能危害國家安全的大量數據交給了美國。對于這種言論，滴滴副總裁李敏反駁稱之為惡意造謠，并表示“滴滴國內用戶的數據都存放在國內服務器，絕無可能把數據交給美國”，還發(fā)出“起訴維權”的警告。

滴滴副總裁否認數據交給美國

?

在C次元看來，兩種言論都要各打五十大板。

先說李敏的言論，缺乏基本邏輯，“數據存放在國內服務器”，不等于無法提取后遞交美國。而且這種沒有說服力的說法對平息事態(tài)并無顯著用處，甚至可能被視為敷衍塞責。

而“滴滴叛國說”是混淆了“國家數據安全風險”和“叛國后賣掉國家敏感數據”，同時也缺乏石錘，證明滴滴曾經將道路數據讀取之后交給美國證券交易委員會SEC。舉凡赴海外上市的企業(yè)，都要在國內經過中國證券監(jiān)督管理委員會CSRC的審查。滴滴畢竟還是無法斬斷與中國的關聯，沒有任何可能置CSRC和國家法律于罔顧——國家機器又不是擺設，平時有灰色地帶，不等于“叛國”的極端行為會被熟視無睹?！暗蔚闻褔f”的始作俑者基本可以判斷不知道赴美IPO上市的流程。

今日頭條曾經下架

?

至于下架處理，要看時限長度和后續(xù)處理來確認嚴重程度，并不是“一下架就死定了”。2018年，今日頭條、鳳凰新聞、網易新聞和每日快報都曾遭遇下架處理，被指和“不實信息”以及網絡自媒體監(jiān)管有關。此外，今年5月訊飛、QQ輸入法等因為違規(guī)收集個人信息，也被命令下架。

以上應用都曾經遭遇下架處理，卻不等于這些應用就此被徹底終結。當然，在滴滴這里存在一個不同點：沒有給出下架期限，還屬于無定期下架處理。這就意味著，需要視滴滴整改狀況以及相關部門的處理而定，目前就此斷言其結局還為時尚早。

再者，滴滴獨立董事Adrian Perica有美軍背景，就意味著一定將數據交給美國？

滴滴獨立董事有美軍背景

?

這種言論，最多只能提到風險，而不能言之鑿鑿。與其說滴滴聘用曾經Adrian Perica作為獨立董事是因為其美軍背景、有利于滴滴“賣國求榮”，這種陰謀論還不如說是滴滴看中此人曾經擔任蘋果公司企業(yè)發(fā)展副總裁的背景。其實，從華為到中芯國際等本土企業(yè)，都有大量外籍人士擔任管理或者董事，其中或多或少有人與美國軍方存在關聯，那么是否要質疑一遍這些企業(yè)都有“叛國”嫌疑？

然而，倘若你覺得我不太相信“滴滴把各種道路數據全部打包交給美國”，就等于認為“滴滴不存在危害國家安全風險”，那么就大錯特錯了，這恰恰是最需要技術含量的分析。

系于國家安全的數據

即便滴滴沒有將用戶個人數據、道路數據打包發(fā)給美國方面，也不能排除其當下的運作模式可能對國家數據安全產生威脅。

滴滴回應下架

?

滴滴掌握的數據異常重要，這是危害國家數據安全風險的前提條件之一。

2017年，國家測繪地理信息局公告顯示，滴滴旗下滴圖（北京）科技有限公司獲得導航電子地圖制作的甲級測繪資質，和百度（通過收購北京長地萬方科技有限公司間接獲得了甲級測繪資質）、四維圖新和高德等一起成為當時國內僅有的14家甲級測繪資質企業(yè)。那么這意味著什么？

甲級測繪資質企業(yè)可以測繪建筑和道路的真實坐標數據，而使用前都會經過加密處理：先是測繪完成后，在國家測繪局通過GCJ-02坐標系加密成“火星坐標”，然后才能交給GPS公司；再在導航電子地圖里將COM口讀出來的真實的坐標信號，用算法加密轉換成ZF要求的保密的坐標，使之與GPS公司導航儀數據匹配。

在地理數據之外，車主和乘客的行程軌跡數據、相關的人員隱私等，都可能被挖掘出大量信息。有人打了一個比方，倘若一位乘客屢屢用滴滴打車出現在某軍工企業(yè)門口，便容易被鎖定為軍工相關人員。

換而言之，陰謀論里面前半段的闡釋，是正確的——這些道路、建筑坐標數據的確極為敏感，尤其是和軍事單位、戰(zhàn)略要地相關的信息。

但是，前文中我們排除了滴滴直接將數據打包交給美國的可能性，是否就意味著風險不存在呢？答案是否定的。

因為滴滴即便自己不交出這些敏感數據，上市過程中順應美國規(guī)則之后，卻存在漏洞可能被竊取數據，或者根據一部分常規(guī)數據推算出敏感數據。

先來回顧一下文章開頭的審查公告，依據是《網絡安全審查辦法》關于審查標準的第二條：關鍵信息基礎設施運營者采購網絡產品和服務，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。

SEC審查索要的信息更多

?

由此可知，滴滴作為“關鍵信息基礎設施運營者”，選擇的網絡產品和服務關系到了國家安全?！毒W絡安全審查辦法》關于“網絡產品和服務”的條例是第二十條，包括核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫庫和應用軟件、網絡安全設備、云計算服務，以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。

而這些網絡產品/設備/服務，因為關系到前面所說的敏感數據，滴滴到底從哪些公司采購？比如數據服務器，是阿里巴巴等本土企業(yè)？還是亞馬遜等海外公司設立在中國的服務器？原本這個答案，美國方面可能并不知道，但是在滴滴赴美上市之后，被SEC審查過程中或將被美國掌握。一旦滴滴選擇的設備和服務存在對外漏洞，那么本章開頭所說的敏感數據將曝光于別國，進而對國家安全產生威脅。

根據上海證券交易所一篇論文，美國證券交易管理委員會SEC，與中國同類機構相比，存在差異，這也使得滴滴在赴美上市的過程中，有可能因為被SEC審查，而從“數據梗概”里被挖掘出更多比較敏感的數據。

據悉，招股說明書方面，美國公司風險披露非常全面和細致，而中國公司則簡單和片面得多。以Facebook為例，招股說明書中列舉了對其有實質性和不利影響的35個風險因素。包括業(yè)務、競爭、技術、供應商、客戶、收入及成本的增長、法規(guī)政策、黑客等各個方面，幾乎囊括了社交網站當前面臨的全部威脅；而中國招股說明書風險因素的涵蓋面遠不及美國企業(yè)。

滴滴交給SEC的文件，“風險”項目會不會涉及到軍事或者國家安全的話題？前文所說的采購關鍵設備的客戶會不會被泄漏名單？滴滴大概率是沒有膽子將地圖坐標等底層數據提供給美國，但是再上一層的概括描述呢？用于向SEC等美國機構說明自己的業(yè)務模式、業(yè)務規(guī)模和業(yè)務走向，這就可能給國家?guī)戆踩[患。

此外，通過司機注冊量、接單量，也能側面印證失業(yè)率、就業(yè)率、企業(yè)開工率等數據，比國家正式對外公開的更為詳盡。這有可能導致其他國家掌握我國的數據，超過了國家愿意的程度。

佛山下線滴滴通知司機

?

赴美上市存在風險，有一個例子可以參考。2012年，阿特斯陽光電力上市準備中，也曾被問過“上市底稿是否涉及國家機密”。雖然阿特斯給出來否定答案，但是也提到“中國作為主權國家不應該什么都提交給美國”。

因此，無論你相信不相信滴滴喊冤，無論滴滴有沒有將數據打包交給美國，滴滴都勢必被網信辦發(fā)現了可能危及國家安全的“罩門”。

曙光乍現

從公告來看，滴滴出行被審查，是由于關系到國家數據安全，那么滴滴出行應用的下架，就是因為嚴重違法違規(guī)收集使用個人信息?？梢哉f，與滴滴有關的兩條公告，敲響了一記警鐘，提醒我們數據對國家和個人安全正為肯綮。

我國的改革開放帶來了各方面信息量的急劇增加，并要求大容量、高效率地傳輸這些信息。為了適應這一形勢，通信技術發(fā)生了前所未有的爆炸性發(fā)展。目前，除有線通信外，短波、超短波、微波、衛(wèi)星等無線電通信也正在越來越廣泛地應用。與此同時，國外敵對勢力為了竊取我國的政治、軍事、經濟、科學技術等方面的秘密信息，運用偵察臺、偵察船、衛(wèi)星、間諜人員等手段，形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網，截取我通信傳輸中的信息。

商業(yè)環(huán)境里，大量數據的浮現與相關標準法規(guī)的缺失，導致灰色地帶出現。許多個人和企業(yè)的隱私數據在未經許可的前提下，被用于商業(yè)營利或者打擊對手。甚至各種不規(guī)范的“數據交易中心”也堂而皇之浮出水面。

數據的營利可能和重要性已經被許多人念在嘴里，但是安全的敏感性卻未必被深刻認知。

從訊飛和輸入法因違規(guī)收集個人信息的下架，到“將對運滿滿、貨車幫、BOSS直聘啟動網絡安全審查”的最新公告，意味著滴滴并非個例，而數據安全的理念也將從國家與個人角度同時更為深入植根。

或許，若干年后再回看如今有關滴滴的各種猜想、演繹、編造，便會將那些花邊和陰謀論付之一哂，轉而為這起事件畫上一個“數據安全里程碑”的光環(huán)吧。

來源：蓋世汽車