一、潜藏于信息化与智能化过程的“妖猫”

　　在PC互联网兴起前，苦于广告无处不在的笔者，曾经在社区指着一只猫与友人开玩笑：这只猫完全可以跟百货店老板商量一下，在自己背上搭一块百货广告，然后猫就成了移动广告在社区到处撒欢，并以此从百货店换得食物。然而，令所有人意外的是，在移动互联网时代，这只猫不仅是移动的，它还偷偷地依附于任何可能的智能设备并从中攫取信息。在移动互联永远在线的繁华之时，它在黑暗中日渐壮大并变成了妖猫。目前用户在智能手机上随便安装一个App，都被要求各种授权，从通信录读取、存储、拍照、录音等各种权限——不管这些权限与目标App的核心功能有没有联系，而且不给权限就不让安装。所以，在用户享受移动互联便利的时候，这些App是否通过智能手机App窃取、窃听用户的个人信息？甚至私自拍摄？也就是说，在泛智能化时代，这只无处无时不在的妖猫正是窃取私人信息的各种流氓App！

　　图为：移动互联繁华之下的妖猫

　　大约三年前，笔者在《媒体趋势与台网协作发展研究报告》中表示：信息“连接”不断创新演进的终局是，“现实”的物质世界与“虚拟”的数字世界逐渐合一！而到了现在，笔者愈来愈深刻地认识到，在“现实”物质世界与“虚拟”数字世界合一过程中，最重要的是：虚拟数字世界的规则要符合/遵守现实物质世界的运行规则。但糟糕的是，在过去数十年的快速信息化发展的过程中，特别是用移动互联网、物联网、大数据等信息手段连接数字世界与真实世界的进展中，在贪婪的资本与野心驱动下，真实世界所需要的安全、责任、隐私保护、未成年人保护，以及非常必要的平衡机制（道德红线、反垄断等）等社会发展根基经常被遗弃。所以，这只妖猫换取的已经不是简单的食物了，他已经成为智能社会上空的最大阴影，它甚至可能偷偷地操纵国计民生乃至沐“猫”而冠在朝堂上下呼风唤雨。

　　图为：数字世界与物质世界融合背景下窥觑的流媒App

二、近年相关政策回顾

　　显然，最近跳上朝堂视线的正是滴滴这只前科累累的妖猫。但在正式提及这只妖猫之前，先简要回顾一点相关政策。

1、App专项治理持续推进

　　近年来，随着移动互联网的疯狂发展，对于违规Ap的治理也开始进入议程。2019年1月，中央网信办、工业和信息化部、公安部、市场监管总局四部门联合发布《关于开展APP违法违规收集使用个人信息专项治理的公告》，在全国范围组织开展专项治理活动，并成立APP违法违规收集使用个人信息专项治理工作组。此后，《APP违法违规收集使用个人信息行为认定方法》、《个人信息安全规范》等标准规范相继出台——不过这些更多属于行业性规范。2020年，工信部继续开展纵深推进APP侵害用户权益专项整治行动。截至2021年6月21日，专项整治行动共检查117万款APP，对4002款违规APP提出了整改要求，公开通报1248款整改不到位的APP，组织下架329款拒不整改的APP。这些违规App数量如此广泛，可见信息化妖猫流毒之烈！

　　值得注意的是，全国信息安全标准化技术委员会在2019年6月发布了《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》。这一信息规范在智能时代背景下开启了对边界厘清方式的探索：（1）“个人信息最少够用”原则，笔者称之为“最小化原则”；（2）“针对App基本业务功能”界定其正常运行所需收集的个人信息，笔者称之为“服务本位原则”（参考《庚子2020|智能时代的边界之惑——以智能电视为例》）。

2、数据要素首次纳入生产要素

　　2020年4月份，国务院在部署新基建战略之前发布了《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》。这是这是中央关于要素市场化配置的第一份文件，并且该文件首次把数据要素纳入进来，强调了数据作为生产要素的重要性。《意见》在明确提出要加快培育数据要素市场的同时，该文件部署了多项具体举措，其中也涉及建立统一规范的数据管理制度参考（《劲语快评|新基建下的数据要素意义凸显》）。可以说，在社会逐渐向“智慧社会”发展，在“新基建”浪潮即将铺开的背景下，上述《意见》的提出不仅有助于大数据相关基础设施的建设推进，加强国家大数据战略的推进，更有助于智慧城市、产业互联网、车联网等关键领域的顺畅发展。

　　但在另一方面，这对政府的数据治理工作也将提出越来越多的挑战。要应对上述挑战，除了继续推行工信部App专项整治活动这样的工作外，更需要在法律层面对网络信息与数据安全工作进行确认，让数据安全有法可依、有章可循，为数字化经济和未来智能社会的安全健康发展提供了有力支撑。

3、网络与信息安全在立法层面得到强化

　　早在2016年11月7日，《中华人民共和国网络安全法》获得通过，自2017年6月1日起施行。但在面向互联网数据信息安全方面，2021年国家正在推进或已经通过了更具针对性的法律。

　　2021年4月29日，中国人大网公布了《中华人民共和国个人信息保护法（草案二次审议稿）》，（以下简称“二审稿”）。二审稿众多关键条款都非常值得细读，以下仅列出部分条款及解读（参考《乘桴看山|泛智能化下的信息漩涡》）。

　　最小化原则与本位原则。其中，二审稿第六条要求：“处理个人信息应当具有明确、合理的目的，并应当限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理”，这显然符合前述的最小化原则和本位原则。第二十九条则要求：“个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息。”

　　跨境信息提供备受关注。在国际网络信息安全日益复杂的情况下，互联网公司可能牵涉个人信息跨境提供。第三十九条对此要求“应当至少具备下列一项条件：（1）依照本法通过国家网信部门组织的安全评估；（2）按照国家网信部门的规定经专业机构进行个人信息保护认证；（3）按照“国家网信部门制定的标准合同”与境外接收方订立合同；（4）法律、行政法规或国家网信部门规定的其他条件。”

　　“基础性互联网平台”须履行信息保护义务。二审稿第五十七条明确要求，“提供基础性互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当履行下列义务：（一）成立主要由外部成员组成的独立机构，对个人信息处理活动进行监督（在我国现行公司法相关实践中，可供参照的类似实践为公司的独立董事、外部董事等）；（二）对严重违反法律、行政法规处理个人信息的平台内的产品或者服务提供者，停止提供服务；（三）定期发布个人信息保护社会责任报告，接受社会监督。”

　　另外，二审稿第二十五条直指互联网公司基于“智能推荐”可能造成的过度骚扰、“大数据杀熟”问题，以保证交易的公平性；第二十八条后半句针对互联网中的“人肉搜索”行为。可见，个人信息保护法二审稿不少条款都是针对移动互联网领域的违规行为道德。

　　2021年6月10日，按照中华人民共和国主席令第84号，《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议于2021年6月10日正式表决通过和正式公布，并将于2021年9月1日正式施行。按照总体国家安全观的要求，《数据安全法》明确数据安全主管机构的监管职责，建立健全数据安全协同治理体系，提高数据安全保障能力，促进数据出境安全和自由流动，促进数据开发利用，保护个人、组织的合法权益，维护国家主权、安全和发展利益，可以说是数据领域的基础性法律。

　　《数据安全法》特别指出“关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据，实行更加严格的管理制度。”《数据安全法》还对数据安全违法行加大了处罚力度，对违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处二百万元以上一千万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

　　图为：复杂的信息安全问题

　　虽然《个人信息保护法》还处于二审稿阶段，但考虑到《数据安全法》已经正式颁发和即将实施，再考虑到当下日益复杂的个人信息安全形势，笔者预计《个人信息保护法》也将很快颁发和实施。

三、事非寻常必属妖——滴滴的妖孽行径

　　7月1日，当中国的大众百姓还沉浸在建党百年的喜庆气氛只是，回头一看市值4000亿规模的滴滴竟然在前一天晚上（北京时间6月30日晚）已经暗渡陈仓瞒天过海诡异地在大洋彼岸悄悄上市了。并且，该公司4月在美国秘密交表准备上市，6月11日才对内部员工确认上市消息。

　　一般互联网公司赴美上市都非常高调，又是敲钟又是开新闻发布会又是邀请全球媒体宣传，都恨不得抢占所有媒体头条和热搜榜。但滴滴上市没有任何庆祝，没有任何软文宣传，甚至连最基本的敲钟仪式都省了，公司管理层和投资人连朋友圈都没发。考虑到中美博弈向深层次推进，滴滴借助盛大节日的掩护完成在美上市，低调到如此地步只能说“事非寻常必属妖”（妖猫的“妖”）。微信号“IT高管会”将之称为“偷偷地进村，打枪的不要”！

　　在此诡异局面下，7月2日也就是建党百年的第二日，国家网信办作为网络与信息安全监管统筹协调部门悍然出手，依据《中华人民共和国国家安全法》和《中华人民共和国网络安全法》对“滴滴出行”实施网络安全审查，并且，为配合安全审查和防范风险扩大（而非“防范潜在风险”），审查期间将滴滴App下架，并停止了滴滴出行的新用户注册功能。这下好了，猫想低调，但这么妖异的事一点都不低调，网信办依据的可是《中华人民共和国国家安全法》和《中华人民共和国网络安全法》，所以这事就是存在国家安全威胁。笔者甚至觉得，如果不是滴滴平台上已经有无数的司机和用户在使用中，那“防范风险扩大”的举措就不仅仅是停止新用户注册——这也说明滴滴已经不属于视频网站之流的消费互联网范畴了，而是涉及百姓民生的产业互联网范畴，其潜在数据安全风险远高于前者。除了App渠道之外，滴滴在运营车辆内安装了桔视记录仪，通过内外摄像头可以分别监控车辆前方路况和车内情况。

　　而随着后续的机密信息慢慢浮出水面，业内人士也都意识到这个惊天大瓜/大妖的潜在危害。滴滴App收集用户个人信息这个是众所周知的，不收集用户信息怎么大数据杀熟。但据一位信息安全从业人员所指，滴滴居然获取了23项用户敏感权限！微信号“IT高管会”在其《惊心动魄——敏感时间滴滴赴美上市，性质有多恶劣？》一文中指出，按照滴滴的《个人信息保护及隐私政策》，其中定义的个人信息范围大到令人不寒而栗：包括用户密码、身份证号码、银行卡号、面目识别特征……。更为赤裸裸的是，在高德地图上具备打车功能的App列表中，只有滴滴没有“隐私保护”，只是写了“测温消毒”。而这些只是浮在水面上的信息。

　　再如，新华社新媒体中心就曾经联合滴滴媒体研究院，基于实时生成的移动出行大数据，还洋洋得意给出了各部委的进出流量规律：“公安部最忙，中纪委最低调”。并且，滴滴除了收集个人信息和数据，还基于在运营车辆内安装的桔视记录仪收集中国道路的实景信息。而且2017年滴滴旗下子公司“滴图科技”申请了高精地图测绘牌照；2020年10月，滴滴注册了滴滴地图。而了解地理测绘的人士都明白，实景地图与需要保密的敏感部门地理信息是相冲突的。按照国内法律，像滴滴这样的交通运输服务机构被列为“关键基础设施提供商”，相关的地理信息和交通流量数据可能被视为敏感信息，这对于国家安全有相当的敏感性。上述数据在关键时刻会如果泄露给潜在的敌人，在可能的网络对抗与数据战背景下，会发生什么样的情况？

　　近日披露的另一个明显信号是，滴滴某个西点军校毕业的独立董事，曾是美国陆军的一名情报军官。这个美国人于2016年6月担任滴滴董事，刚好与Uber并入滴滴的时间相同。而上述滴图科技申请事件正是在滴滴与uber合并后一年。这时间可谓颇为微妙。考虑到棱镜计划，考虑到美国情报系统“搜集一切”的目标，考虑到欧盟领导默克尔都美国确保系统被监控，而今手握/窃取大量核心数据的滴滴却低调赴美上市——这这个瓜真的是越来越大了，这只妖猫也愈加诡异了。

       另一条红线则来自中美博弈中美国证监会SEC与中国当局的PK，各家媒体对此也多有报道，本文也略作梳理。2012年6月20日，，美国证监会SEC正式要求四大会计事务所，必须向其提交在美国上市的中国公司的审计底稿。但中国证监会CRSC顶住了压力，而且态度非常强硬——宁愿付出中概股连续2年不赴美上市的代价，也绝不允许SEC拿走一份审计底稿。 SEC和CRSC为此一直在暗中角力长达9年。因为审计底稿，就是一家公司的纸质存在形态。其中，包括所有用户数据、所有会议记录、所有沟通文件、所有问题汇总、所有程序表格。甚至连历年来的电子邮件也不能幸免，这当中就有政府部门往来的所有机密信息。不过，在两种情况下，审计底稿依然可以被调走查阅，并且不属于泄密： （1）法院、检察院及国家其他部门依法查阅，并按规定办理了必要手续；（2）注册会计师协会或其委派单位，对会计师事务所执业情况进行检查。随着中美经济战全面升级，SEC作为战争的领头兵再次找到机会，通过以上第一条规定，要求四大提交对中概股的审计底稿。 而在这一轮国家博弈里，SEC瞄准的最大猎物正是滴滴。也就是说，滴滴要同时面对SEC与中国当局的双面。

　　考虑到中美对抗的宏观环境，中概股在美国市场可能面临更大压力，而如果滴滴选择在A股或港股上市，显然可以较大程度避免数据外泄的风险。但更令人诧异的是，按照微信号“道琼斯风险合规”报道，就在滴滴赴美上市数周前，中国网络安全监督部门曾表示希望这家中国网约车巨头推迟首次公开募股(IPO)，并敦促该公司对自身网络安全进行一次彻底的自我检查。但滴滴最终因为“估值”原因及其它考虑决定在美国而非香港上市。这里的估值原因是因为据说两地估值差了200亿，而且香港上市有盈利性要求（最近一年盈利至少2000万港币并且前两年年累计盈利≥3,000万港元）。考虑到滴滴疯狂烧掉1500亿之后，其运营亏损还在持续扩大，对滴滴背后的资本来说美国上市成了唯一路径。另外，笔者认为,滴滴所谓的“其它考虑”或者说其畏惧的大概率正是目前中国在网络与信息安全方面即将实施的法律制度和更严格监管举措，正是目前备受关注的跨境信息提供管制要求，正是基础性互联网平台将要履行的信息保护义务。而从滴滴如此低调诡异的上市和网信办极其严厉的措辞看，滴滴有很大很大可能是向SEC递交了投名状也就是审计底稿——是否还有更多就不清楚了。因为，资本才不会考虑什么数据安全和国家安全，资本的每个毛孔只有盈利的企图——而不论其血腥和肮脏。所以，一位从事大数据的朋友表示：滴滴事件“核心是国内敏感数据跨境，踩了数据安全三条红线最高压的国密线”。

　　这只猫如此自行其是，只能说它的出身就非同一般。笔者所说的“出身”不仅是指那个站在前台柳家，也指滴滴的各路股东（包括众多互联网资本和国内金融资本）——尤其是两大外资股东（日本软银和美国Uber）；进一步，中国民众更不能忘记的是2018-2019年连续发生的令全国人民震惊多起滴滴司机人命案。按照2018年8月29日广州市交委通报的广州市网约车市场整治情况，当年对网约车平台立案的240宗违章中，滴滴占了208宗，且滴滴多次拒绝配合调查，对已经生效的处罚决定也未按期缴纳罚款。这些事实都说明滴滴出身何处？向何而往？并且，在此次事件之前滴滴就面临反垄断等调查，涉及该公司是否不当利用其庞大数据来排挤小竞争对手。此外，滴滴金融也在今年4月被监管机构约谈。以笔者这样的吃瓜群众来看，按照滴滴宣称的数亿用户规模，及其对网约车司机的抽成，滴滴早就应该步阿里巴巴后尘了。但滴滴在上市前仍然安稳如是，笔者只能说这只妖猫已经在朝堂的隐秘之处呼风唤雨了。     

　　所以，笔者最后想说的是：此猫已成妖孽，不服法律，枉顾社稷安危，肆意妄为，请速速操刀办之！当然，这只是法律监管压力下露出第一只大妖。与纯线上的娱乐互联网不同，那些拥有海量数据、雄厚资金以及业务渗入到中国人生活方方面面的互联网巨头，应该已经引起政府高层对国家安全隐患的高度关注。笔者很认真地以为，之前教育监管司成立启动会强调的“斗争精神”还得继续保持，从信息化向智能化的演进中必须以秋风扫落叶之势清楚各路妖猫。

　　画外音：虚拟世界与真实世界的交叉、重叠与融合的规则，一定是未来十年最值得探索、最有实际意义的工作！而相关的治理举措不仅是决定数字经济前途的关键，也牵涉真实物理世界的安全、和谐与稳定！

责任编辑：侯亚丽