招股书里的小马智行：收集用户信息少于100万，未达国内网络安全审查门槛

21世纪经济报道记者肖潇 北京报道

炙手可热的RoboTaxi行业，正在迎来一波上市潮。作为国内自动驾驶领域的独角兽，小马智行近日正式向美国证券交易委员会提交IPO招股书，计划登陆纳斯达克。

在这份招股书中，小马智行一一陈列了财务、业务、合规问题，特别是涉及数据保护和网络安全的合规风险。招股书特别提到，迄今未因违反国内个人数据保护法而遭遇任何重大索赔或调查。目前小马智行并未持有超过一百万用户的个人信息，不需要申报也尚未收到任何网络安全审查的通知，这一安排已获相关部门确认。 不过，招股书也提醒，无法排除我们或者我们的客户被视为关键信息基础设施运营者（CIIO）的可能性。其合作伙伴名单中已包括丰田汽车、三一重工、中国外运等大企业。如果被认定为CIIO，小马智行必须接受网络安全审查，如果购买的网络产品或服务被认为可能影响国家安全也必须接受网络安全审查。

就在小马智行披露IPO招股书之前，另一家国内RoboTaxi头部公司文远知行，也披露了赴美上市招股书，并提到了车辆摄像头数据授权等问题。随着自动驾驶企业联袂进入全球资本市场，网络安全与数据合规势必会成为越来越复杂的课题。

从业务结构来看，小马智行分了三大板块：自动驾驶出行服务（Robotaxi）、自动驾驶卡车（Robotruck）、技术授权与应用服务。尽管Robotaxi造血能力还比较弱，但无疑是行业关注焦点，也是与用户数据距离最近的一个环节。 

根据小马智行的招股书，公司在国内已运营超过250辆自动驾驶出租车，每辆车今年上半年的日均订单量超过15单。同时，其约车软件“小马智行Ponpilot”的用户数量也已达到22万。

出行服务会涉及哪些数据？招股书提到，“我们收集、存储、传输并以其他方式处理来自车辆、用户、员工、司机和其他第三方的数据，其中一些数据可能涉及个人数据或机密或专有信息，如用户的姓名、电话号码、出发地点和目的地。用户可以在我们官方网站上访问我们的隐私政策，该政策描述了我们收集的个人信息类型。”

记者因此翻阅小马智行的《隐私协议》发现，用户在使用自动驾驶出租车时，需提供八类信息，包括用户名、手机号码、出发地和目的地、车内录音录像、车载摄像头拍照、支付记录、服务日志和剪切板信息——这些数据都是完成基本业务所必需的。此外，用户的精确位置信息和传感器数据设置了单独的同意程序。

招股书对此强调了数据保护和安全风险。公司提醒，可能有多种来源威胁网络和数据安全，它们可能会试图获得车辆控制权，改变功能和性能特征，或者获取车辆、产品和系统生成的数据。这些攻击可能升级为针对云服务和托管软件的“大规模泄露”。

不过，小马智行似乎对数据授权环节避而不谈。另一家公司文远知行招股书的风险部分，首先就谈到了“在特定拍摄角度、拍摄精度以及车辆与行人或其他车辆的相对速度和位置等条件下，对于源自车外的个人信息，我们无法取得相关个人的同意。” 

小马智行显然面临一样的难题。两家公司都曾对此表示，会对测试运行场景采集的车外视频中的人脸、车牌打码脱敏，并对全部数据进行加密传输及访问处理权限控制，采取多重措施保障信息数据安全。但文远知行也在招股书中坦言，无法保证这种去识别化的措施完全符合监管要求，若未能达标，可能会面临处罚。 

此前观韬中茂律师事务所合伙人吴丹君告诉21记者，按照我国《个人信息保护法》的要求，匿名数据必须同时满足“无法识别”和“不可复原”两项标准。换句话说，即便是“打码”数据，如果能被复原，监管部门仍可能认定数据未达匿名化要求。然而，目前技术上很难做到绝对匿名化，随着数据组合技术的进步，重新定位到个人的风险日益增加，这成为了企业面临的持续不确定性。

除此之外，小马智行还提醒了两个数据安全风险源：一是开源技术，这一点也被文远知行提及。两家公司的招股书都指出，自动驾驶系统的成功运作，很大程度上依赖所使用的开源软件。而开源软件既有开放性的机遇，但也增加了信息安全漏洞和易受攻击的风险。 

二是云服务。小马智行表示，公司目前采用了第三方供应商运营的基础设施，计划在各个市场与第三方的供应商合作，把用户或非用户数据存储在当地设施内。这意味着公司对云基础设施的运营至多有有限的控制权，如果碰到网络攻击、电信故障等，都会影响平台的云部分。

这并非杞人忧天。近年来，全球云端数据泄露事件频发。《2023年泰雷兹云安全研究》的调查指出，去年全球超过39%的企业在云环境中发生过数据泄露，警示企业需要加大对云端数据安全的重视。

值得注意的是，本次小马智行美股IPO的招股说明书中指出，公司未收到任何监管的通知将其识别为关键信息基础设施运营者，没有因违反国内个人数据保护法而受到过任何重大索赔和调查，也未收到监管的任何网络安全相关的警告或制裁，或任何要求提交网络安全审查的相关部门通知。

根据《网络安全审查办法》，掌握一百万用户个人信息的网络平台经营者境外上市，需要申报网络安全审查。“一百万其实是推定‘可能对国家数据安全有影响’的一个阈值，达到这个标准就应该申报，公司是否达到了这个条件很关键。”清律律师事务所首席合伙人熊定中说。

近年来，国内对网络信息和数据的监管力度不断加大，几乎是行业共识。2021年，滴滴因上市触发了首例公开发布的网络安全审查，随后，Boss直聘、运满满和货车帮也在上市过程中经历了网络安全审查。 

“不过要明确的是，申报和审查是两件不同的事情。”熊定中表示，如果申报后，审查办公室认为虽然数据量达到了申报标准，但其实没有影响到国家数据安全，比如数据敏感性极低、是公开数据等等，也可能直接通知企业不需要审查。网络安全审查的目的并不是为了阻挠数据流通和企业经营，主要还是保障国家数据安全和主权。

对于小马智行的情况，公司在招股书中解释，其拟在美国上市之前没有持有超过一百万用户的个人信息，所以无需申报网络安全审查，公司已经跟CCRC确认。CCRC指的是中国网络安全审查技术与认证中心，负责网络安全审查的具体工作。 但这并未完全缓解公司的紧张情绪。小马智行招股书花了不小篇幅分析了网络安全审查措施的潜在影响，以及未来数据合规监管的不确定性。

“我们不能保证国内监管不会采取与我们相反的观点。”“这些与隐私、数据保护和信息安全相关的法律和法规的任何变化，以及政府对这些法律和法规的任何加强执行行动，都可能大大增加我们提供解决方案和服务的成本……这可能会对我们的业务、财务状况和运营结果产生重大不利影响。”招股书写道。

比如，招股书提到一个近在眼前的监管要求——跨境数据传输的安全评估。目前小马智行无人驾驶服务商业收费布局在国内的北京、广州和深圳，没有开展跨境数据运输，因此无需评估。但公司已着手扩展全球业务，与新加坡出租车运营商达成合作，并在韩国、卢森堡、沙特阿拉伯等地开展自动驾驶技术落地合作，未来势必会面对跨境数据传输问题。

再比如，尽管小马智行没有被认定为关键信息基础设施运营者（CIIO），但招股书提醒“无法排除我们或者我们的客户被视为CIIO的可能性。” 其合作伙伴名单中已包括丰田汽车、三一重工、中国外运等大企业。如果被认定为CIIO，小马智行必须接受网络安全审查，如果购买的网络产品或服务被认为可能影响国家安全也必须接受网络安全审查。在审查完成之前，客户不能使用小马智行的产品或服务。

21记者了解到，一般网络安全审查程序的完成需要60个工作日的时间，招股书认为审查过程和结果，“可能会给公司的上市和融资计划带来极大不确定性。” 

有业内人士向21记者表示，网络安全审查已经不算“新鲜事物”，其实企业不必过分紧张。但从小马智行的招股书来看，业内的焦虑始终没有打消。随着更多自动驾驶企业竞逐上市，真正的合规问题或许能在实践中见分晓。