Simpson Thacher & Bartlett | ||
中國工商銀行 大廈,35第四地板 中環花園 路 3 號 香港
| ||
電話: +852-2514-7600 傳真: +852-2869-7694
| ||
直接撥號號碼 +852-2514-7660 |
電子郵件地址 dfertig@stblaw.com |
2023年3月24日
通過埃德加
公司財務部
美國 證券交易委員會
東北 F 街 100 號
華盛頓, 哥倫比亞特區 20549
注意: | 尼古拉斯·納爾班蒂安 |
唐納德·球場
回覆: | 阿里巴巴集團控股有限公司 |
截至 2022 年 3 月 31 日的財政年度 20-F 表格,於 2022 年 7 月 26 日提交
回覆日期為 2022 年 10 月 3 日和 2023 年 1 月 11 日
文件編號 001-36614
女士們、先生們:
我們代表我們的客户阿里巴巴集團控股有限公司(一家根據開曼羣島法律組建的公司,連同其 子公司,“公司” 或 “阿里巴巴”),對美國證券交易委員會(“委員會”)員工(“員工”)2023年2月24日來信(“2月24日評論信”)中包含的評論作出迴應,與公司2023年1月11日對委員會2022年12月12日評論信的回覆信(“1月11日迴應”)以及公司的 有關2022年10月3日對委員會2022年9月7日關於公司於2022年7月26日向委員會提交的截至2022年3月31日財年20-F表年度報告(“2022年20-F”)的評論信的回覆信。
下文 是公司對員工在2月24日評論信中的評論的迴應。為了便於參考,工作人員的評論 在下面重新輸入。在修改擬議披露時,公司還做出了某些額外澄清 和修正案。公司恭敬地告知員工,如果公司為迴應員工的評論而提議在未來的 20-F 表格 申報中增加或修改披露內容,則所做的更改將受相關事實更新以及 相關法律或法規或其解釋的變更的約束。
michael j.c.m. ceulen | marjory j.ding | daniel fertig | adam C. furber | YI GAO | MAKIKO 春成 | Ian C. Ho | 喬納森 HWANG | anthony d. kin | jin huk park | 克里斯托弗 k.s.wong |
常駐合作伙伴
香港 simpson thacher & bartlett 是 simpson thacher & bartlett LLP 的子公司,辦公室位於:
| |||||||||
全新 約克 | 北京 | 布魯塞爾 | 休斯頓 | 倫敦 | 洛杉磯 安吉利斯 | Palo Alto | SO PAULO | 東京 | 華盛頓, DC |
Simpson Thacher & Bartlett | ||
2023年3月24日 | -2- |
在附件中,公司 僅包括更新的信息和披露,以迴應員工在2月 24評論信中剩餘的兩條評論。
* * * *
風險因素
風險因素摘要,第 1 頁
1. | 我們注意到你對評論6的迴應,部分內容是重新發布的。我們注意到您在附錄B中進行了修訂,在年度報告中對第一和第二點中更詳細的風險討論進行了具體交叉引用 。但是,請修改以納入風險因素摘要這一部分中討論的所有風險因素的具體交叉引用 (標題和頁碼)。 |
公司承認員工的評論,並恭敬地告知員工,公司將按照 修訂後的附錄B中規定的變更來修改披露信息,其中針對該評論做出的進一步修訂在2023年20-F中以粗體顯示,下劃線為 。
我們的業務受有關隱私和數據保護的複雜和不斷變化的國內和 國際法律法規的約束,第 23 頁
2. | 我們注意到你對評論7的回覆以及重新發布的評論。鑑於最近發生的事件表明,中國網絡空間管理局(CAC)加強了對數據安全的監督,請修改您的風險因素披露內容,以更詳細地解釋您認為這種疏忽 如何影響公司及其業務,以及您認為自己在多大程度上遵守了 CAC 迄今發佈的 法規或政策。在這方面,我們注意到,修訂後的風險因素仍然籠統地描述了新的或擬議的 法律法規,但沒有評估公司將如何實際受到新的或擬議的法律法規的影響。請 進行修改以澄清並具體説明您是否認為根據這些新的或擬議的法律 和法規將受到網絡安全審查。如果您認為自己不會受到網絡安全審查,請具體討論您是如何得出的 該結論,包括支持該決定的具體基本事實和情況。例如,第三段 討論了關鍵信息基礎設施的運營商、網絡平臺運營商和數據處理者,但沒有根據公司的用户數量 或公司收集的數據類型,對這些新的或擬議的法律法規是否會影響公司進行任何分析 。請視情況進行修改,以便投資者能夠清楚地瞭解這些新的或擬議的 法律法規將如何影響公司及其業務以及未來的任何產品。 |
公司承認員工的評論,並恭敬地告知員工,公司將按照 修訂後的2023年20-F附件C中規定的變更來修改其披露信息。針對員工的評論,公司修訂了 並重組了參考風險因素,以更清楚地解釋相關法律法規的影響。
Simpson Thacher & Bartlett | ||
2023年3月24日 | -3- |
為了便利 員工的審查,下文分別列出了員工評論的每個部分,並具體討論了 公司將如何修改和更新其披露內容以迴應評論的該部分:
鑑於最近發生的事件表明 中國網絡空間管理局(CAC)加強了對數據安全的監督,請修改您的風險因素披露內容,以更詳細地解釋 您認為這種監督如何影響公司及其業務,以及您認為自己在多大程度上遵守了 迄今為止發佈的法規或政策。
公司謹請員工參閲經修訂和更新的擬議風險因素的第二段,該段披露 公司受與個人數據和隱私保護相關的法律法規的約束,並認為其在所有重要方面都符合這些 法律。該段還詳細討論了這些法律對公司的具體影響,包括公司實施的其他 協議和機制,這導致了更高的合規成本和運營成本,以及 公司數據使用和業務慣例的變化。
公司還謹提請員工參閲經修訂和更新的擬議風險因素的第三段,該段披露 公司受算法推薦服務法律的約束,並認為公司在所有重大方面都符合此類法律。 該段還指出了遵守這些法律對公司的影響,包括額外的合規成本以及對 數據使用和推薦服務的更改,這可能會對公司平臺上的用户活動產生負面影響,以及違規可能產生的 後果。
請 修改以澄清和如果您認為自己將根據這些 新的或擬議的法律法規接受網絡安全審查,請特別説明。如果您認為自己不會受到網絡安全審查,請具體討論 您是如何得出該結論的,包括支持該決定的具體基本事實和情況。
Simpson Thacher & Bartlett | ||
2023年3月24日 | -4- |
公司恭敬地請員工參閲1月 11的答覆,其中公司修改並更新了披露內容,稱公司尚未收到中國網絡安全 管理局的任何網絡安全審查通知,但考慮到公司的業務規模,公司認為 將來可能會接受網絡安全審查。在迴應工作人員的評論時,該公司進一步補充説,根據中國法律顧問的建議,公司 認為無需對先前的證券發行進行網絡安全審查。 該公司還具體披露了如果公司接受網絡安全審查可能產生的影響。公司 謹請員工參閲經修訂和更新的擬議風險因素的第五段。
* * * *
如果你對這封信中包含的 回覆有任何疑問,請隨時致電 +852-2514-7660 或 dfertig@stblaw.com 與我聯繫。
真的是你的, | |
/s/ 丹尼爾·費蒂格 | |
丹尼爾·費蒂格 | |
外殼
抄送: | 張勇先生,首席執行官 |
Toby Hong Xu,首席財務官
餘思穎,總法律顧問
阿里巴巴集團控股有限公司
Ricky Shin,合夥人
陳丹尼爾,合夥人
辛西婭·寧,合夥人
普華永道
附件 B
將在 2023 年 20-F 表格 “第 3 項” 下修訂 。關鍵信息 — D. 風險因素 — 風險 因素摘要”:
與在 中國開展業務相關的風險和不確定性包括與以下內容相關的風險和不確定性:
· | 中華人民共和國政府政治和經濟政策的變化和發展,包括但不限於 中華人民共和國政府可能通過制定和執行規章和監管要求來幹預或影響我們的業務, 這些規則和監管要求可能會在很少提前通知的情況下迅速演變(見 “— 與在中華人民共和國經商相關的風險 — 中國法律、規章和規章的解釋和執行存在不確定性,政策的變化, 法律、規章和規章可能會對中國產生不利影響第 1 頁上的 “我們” [•]本年度報告); |
· | 有關中國法律、規章和規章解釋和執行的不確定性,包括但不限於中國政府可能採取的 行動,以加強對海外和/或外國對中國發行人的投資 的發行的監督和控制,這可能會嚴重限制或完全阻礙我們向投資者發行或繼續發行證券的能力 ,並導致我們的證券(包括美國存託憑證)的價值大幅下降或變得毫無價值(見 “— 在解釋和執法方面存在 不確定性中華人民共和國的法律、法規和規章以及政策的變化,中華人民共和國的法律、法規 和法規可能會對我們產生不利影響” 頁面 [•]本年度報告); |
· | 根據HFCA法案,我們的ADS可能會從美國除名 (參見第頁上的 “— 如果PCAOB 無法全面檢查或調查位於中國的審計師,則根據《追究外國公司責任法》,我們的ADS將被退市, 我們的ADS和股票將被禁止在美國交易” [•]本年度報告); |
· | 中國有關投資離岸公司和員工股權激勵計劃的法規 (參見 “— 與中國居民投資離岸公司有關的中國 法規可能會使我們的中國居民受益所有人或我們的中國子公司 承擔責任或處罰,限制我們向中國子公司注資的能力或限制我們的中國子公司增加註冊資本或分配利潤的能力”,以及 “— 任何不遵守中國關於 員工股權激勵計劃的法規都可能使中國參與者參與計劃、我們或我們的海外和中國子公司將被處以罰款和 其他法律或行政制裁。” 第頁 [•]和 [•]分別為本年度報告); |
1
· | 我們依賴於我們在中國的運營子公司支付的股息、貸款和其他股權分配,
對我們或我們的子公司或 VIE 的能力進行幹預或施加限制的風險
轉移在中國業務或中國實體中的現金或資產的能力可能會限制我們在中國境外為運營提供資金或用於其他
用途的能力 |
· | 與互聯網廣告相關的中華人民共和國法律法規的潛在影響 (參見第 頁上的 “— P4P 服務被視為部分涉及互聯網廣告,這使我們受其他法律、規章和法規以及其他義務的約束” [•]本年度報告); |
· | 我們的全球收入可能需要繳納中國所得税,以及我們目前享受的優惠税收待遇可能會終止 (參見《中華人民共和國企業 所得税法》規定,出於中國納税目的,我們可能被視為居民企業,因此我們可能需要為全球收入繳納中國所得税” [•]本年度報告); 和 |
· | 支付給外國投資者的股息和我們的外國投資者出售我們的證券的收益可能受中國納税,以及間接轉讓中國居民企業的股權或歸因於在中國設立非中國公司的其他 資產的不確定性 (參見第頁上的 “— 支付給外國投資者的股息以及我們的外國投資者出售我們的ADS和/或普通股所得的 收益可能需要繳納中華人民共和國税” [•]本年度報告的 ). |
2
附件 C
將在 2023 年 20-F 表格 “第 3 項” 下修訂 。關鍵信息 — D. 風險因素 — 與 我們的業務和行業相關的風險”:
經修訂和更新的擬議風險因素
我們的業務受有關隱私和數據保護的複雜和不斷變化的國內 和國際法律法規的約束,這些法律和法規可能會發生變化和不確定的解釋。 遵守這些法律法規會增加我們的運營成本,並可能需要更改我們的數據和其他商業慣例 或對我們的用户增長和參與度產生負面影響。不遵守這些法律法規可能會導致索賠、監管機構 調查、訴訟或處罰,或以其他方式對我們的業務產生負面影響。
中國和世界各地的監管機構最近實施了有關隱私和 數據保護的進一步立法和監管提案,特別是有關個人信息保護、網絡安全和跨境數據傳輸的立法和監管提案,並將來可能會繼續實施。這些 法律和法規可能很複雜,這些法律法規的解釋和適用往往是不確定的、不斷變化的 而且很複雜。
中國監管機構越來越注重 個人數據和隱私保護,並頒佈了多項法律法規,包括《個人信息保護法》和《常見類型移動互聯網應用程序所需個人信息範圍的規定》, 規定了收集、處理和處理個人信息的要求和限制。請參閲 “第 4 項。公司信息 — B. 業務概覽 — 監管 — 數據和隱私保護法規” 和 “第 項 4.公司信息— B. 業務概述—監管—移動應用程序監管。”在我們的業務運營過程中,我們收集客户和用户的信息,包括個人信息。因此,我們必須 遵守與個人數據和隱私保護相關的適用法律法規。為了確保我們遵守這些法律 和法規,我們制定了相關的協議和機制。例如,在收集用户的個人信息時, 我們會明確告知他們收集的信息和收集信息的目的,向他們解釋 信息可以與第三方共享的內容、方式和原因,並提供與我們共享信息的第三方的隱私政策。 這些個人數據隱私保護程序增加了我們的合規性和運營成本,並改變了我們的數據使用和業務 慣例。數據隱私法律法規還對不合規信息 收集和處理活動的信息處理者規定了處罰和責任,包括更正、暫停或終止其服務、沒收非法收入、 以及高達收入5%的鉅額罰款和其他處罰。我們認為,我們的業務運營在所有重大方面都符合與個人數據和隱私保護有關的 現行中華人民共和國法律。中國網絡空間管理局 此前已將我們的某些移動應用程序列為不遵守隱私和數據安全法規的行為。我們已經糾正了 這些移動應用程序的數據收集和使用慣例,使其合規。
3
中國監管機構還加強了對算法推薦服務的監管 。根據2022年3月1日起施行的《互聯網信息服務算法推薦管理規定》( 或《算法推薦規定》),算法推薦服務提供者應 明確告知用户其提供算法推薦服務的情況,公開算法推薦服務的基本原理、意圖和主要 運行機制,還應確保用户可以方便地終止算法 推薦服務。此外,算法推薦服務提供商向消費者銷售商品或提供服務,應保護 消費者的公平交易權利,禁止基於消費者的偏好、購買行為或其他特徵進行不合理的差別待遇 等違法行為。我們在各種各樣的 業務中使用算法推薦。因此,我們需要遵守算法建議條款和其他管理算法推薦服務的適用法律法規 ,我們可能會因違規行為而受到處罰和責任,其中可能包括行政 責任,包括警告、公開譴責、罰款、要求我們更正的執法令,或暫停我們發佈 新信息、暫停業務甚至刑事責任。遵守中國對算法推薦服務的法規 增加了我們的合規成本,改變了我們的數據使用和商業慣例,並可能對我們平臺上的用户活動產生負面影響。 我們認為,我們的業務運營在所有重大方面都符合與算法推薦服務 相關的中國現行法律。
中國監管機構也加大了保障網絡安全的力度 。《中華人民共和國網絡安全法》總體上規範中國建設、運營、維護和使用 網絡,要求包括我們在內的網絡運營商承擔各種與安全保護相關的義務。此外,中華人民共和國 網絡安全法規定,關鍵信息基礎設施 運營商在中國運營過程中收集和生成的個人信息和重要數據應存儲在中國,並對關鍵信息基礎設施的運營商規定了更嚴格的監管和額外的安全義務 。請參閲 “第 4 項。公司信息 — B. 業務概覽 — 法規 — 互聯網安全監管。”我們認為,我們在所有 重大方面都遵守了《中華人民共和國網絡安全法》,包括與安全保護、用户身份驗證、網絡安全應急響應計劃和技術援助相關的要求。不遵守規定可能會對我們處以罰款、暫停業務、關閉網站和吊銷企業 許可證。
中國監管機構最近頒佈了與網絡安全審查相關的法律 和法規,包括影響中國公司海外上市的要求。 根據2022年2月生效的經修訂的網絡安全審查辦法,購買網絡產品和服務的關鍵信息基礎設施 的運營商以及開展影響或可能影響國家安全的數據處理活動的網絡平臺運營商應接受網絡安全審查。此外,任何擁有超過一百萬 用户個人信息的網絡平臺運營商在國外上市之前都必須申請網絡安全審查。如果中國相關政府機構確定某些網絡產品、服務或數據處理活動影響或可能影響 國家安全, 也可啟動網絡安全審查。請參閲 “第 4 項。公司信息 — B. 業務概覽 — 監管 — 互聯網安全監管。”此外,2021年11月,中國網絡安全管理局頒佈了《網絡 數據安全管理條例草案,即《網絡數據安全條例草案》,徵求公眾意見,其中規定了 數據處理者需要申請網絡安全審查的不同場景,包括在處理超過一百萬 用户個人信息時在海外上市、影響或可能影響國家安全的香港上市以及其他影響國家安全的數據處理活動 或者可能會影響國家安全。《網絡數據安全條例草案》還要求對日活躍用户超過1億的大型互聯網平臺的數據政策和規則及其任何實質性修訂,都必須由中國網絡空間管理局指定的 第三方機構進行評估,並由中國網絡空間局相應的地方分支機構批准。 尚無關於何時頒佈《網絡數據安全條例草案》的明確時間表。請參閲 “第 4 項。公司信息 — B. 業務概覽 — 監管 — 數據和隱私保護法規。”
4
與網絡安全審查 相關的中華人民共和國法律法規相對較新,這些法律法規的適用範圍仍存在不確定性以及中國監管機構的進一步澄清 。截至本年度報告發布之日,我們尚未收到中國網絡安全管理局 關於根據修訂後的網絡安全審查辦法對我們進行網絡安全審查的任何通知。根據我們的中國法律顧問方達合夥人的建議, 我們認為我們之前發行的證券 不需要接受中國網絡安全管理局的網絡安全審查。但是,考慮到我們的業務規模和平臺上的用户數量,我們認為將來我們可能會接受網絡安全 審查。如果我們接受網絡安全審查,無論是在審查 過程中,還是在必要時加強我們的網絡安全措施方面,我們都可能承擔鉅額成本並面臨挑戰。如果我們無法管理這些風險,我們可能會受到處罰,包括罰款、暫停業務、禁止新用户註冊(即使是很短的 時間)和撤銷所需的許可證,我們的聲譽和經營業績可能會受到重大不利影響。 2021 年,中國政府對幾家在美國上市的中國公司運營的多款移動應用程序啟動了網絡安全審查, 禁止相關應用程序在審查期間註冊新用户。此外,如果我們需要接受與任何未來證券發行相關的網絡安全審查 ,我們獲得額外資本的能力可能會受到負面影響。另見 “— 我們可能需要額外的資金,但可能無法以優惠條件獲得或根本無法獲得資金。”
中國監管機構還加強了對跨境數據傳輸的監管 和監管。2021 年 9 月生效的《數據安全法》禁止中國境內的實體和個人 未經中國主管部門批准,向任何外國司法或執法機構提供存儲在中國的任何數據,並規定了被認定違反數據保護義務的實體和個人的法律責任, 包括糾正令、警告、罰款、暫停相關業務以及吊銷營業執照或執照。此外, 中國網絡安全局頒佈的《跨境數據傳輸安全評估辦法》已於 2022 年 9 月 1 日生效。根據這些措施,在跨境傳輸重要數據和個人信息之前,個人數據處理者必須接受中國網絡空間管理局 進行的安全評估。請參閲 “第 4 項。公司信息 — B. 業務概覽 — 監管 — 數據和隱私保護監管。” 任何在措施生效之前違反《跨境數據傳輸安全評估辦法》的跨境數據傳輸活動 都必須在 2023 年 3 月之前予以糾正。我們已經實施了控制程序以遵守 的新要求。遵守與跨境數據傳輸相關的中國法律法規會增加我們的合規 成本,並可能影響我們跨境傳輸數據的能力。我們認為,我們的業務運營在所有重大方面都符合中國法律 和與跨境數據傳輸相關的法規。
5
此外,中國和我們開展業務的其他司法管轄區 的監管機構可能會採取措施,確保用户數據的加密不會妨礙執法機構 訪問這些數據。例如,根據中華人民共和國《網絡安全法》和相關法規,包括我們在內的網絡運營商有義務 依法為公安和國家安全機關提供援助和支持,以保護國家 安全或協助刑事調查。以被視為損害 隱私的方式遵守這些法律和要求可能會嚴重損害我們的聲譽以及監管機構和私人團體對我們的訴訟和訴訟。
隨着我們進一步將業務擴展到國際 市場,在我們經營業務以及消費者、用户、商家、客户 和其他參與者所在的其他司法管轄區,我們將受到其他法律的約束。例如,歐盟委員會自2020年起提出了《數字市場法》、《數字服務法》 和《歐洲數據法》,對數據使用、數據共享和數據保護提出了各種要求。其他司法管轄區的此類法律、法規和 條例的範圍可能更全面、更詳細,並可能施加的要求和處罰 與中國相沖突或比中國更嚴格。此外,這些法律、規章和法規可能會限制跨司法管轄區傳輸 數據,這可能會給我們帶來額外和沉重的運營、管理和合規負擔, 還可能限制我們的業務活動和擴張計劃,並阻礙我們以數據為導向的業務戰略。遵守越來越多的司法管轄區的 法律法規可能需要大量的資源和成本。我們在中國和其他地方持續擴展 雲服務,也將增加我們系統上託管的數據量,並增加我們擁有IT系統的司法管轄區的數量。這以及各個司法管轄區越來越多的新法律要求, ,例如 GDPR 和俄羅斯《聯邦個人數據法》的數據本地化規則,在與數據收集、存儲、傳輸、披露、保護和隱私相關的政策和程序方面帶來了越來越多的挑戰和風險 ,並將對違規行為處以 重罰。例如,根據 GDPR,可能會按全球收入的百分比計算罰款。GDPR 的合規要求影響了我們的許多業務,例如速賣通和阿里雲。如果我們未能遵守上述和其他適用的監管要求或與隱私保護相關的法律、法規和 法規,或 法規,則可能導致聲譽損害或政府實體、消費者或其他人對我們提起訴訟或訴訟。這些 訴訟或訴訟可能會使我們受到重大處罰和負面宣傳,要求我們更改數據和其他業務 慣例,增加成本並嚴重擾亂我們的業務,阻礙我們的全球擴張或對 我們的ADS、股票和/或其他證券的交易價格產生負面影響。
6
儘管我們認為我們在所有重要方面都遵守了此類法律法規 ,但在實踐中如何解釋、實施和 執行這些法律法規尚不確定,尤其是因為其中許多法律法規最近才生效或尚未生效 ,而且我們可能會受到監管調查、罰款、暫停業務和吊銷許可證。此外,將來 對這些法律法規或可能生效的其他法律法規的解釋和實施可能會導致 我們的合規成本大幅增加,迫使我們改變業務慣例,對我們的業務業績 造成不利影響,並使我們受到負面宣傳,這可能會損害我們在用户中的聲譽,並對我們 ADS、股票和/或其他證券的交易價格產生負面影響。
修訂和更新了擬議風險因子,軌跡變化顯示 對2022年20-F的修訂
我們的業務受有關隱私和數據保護的複雜和不斷變化的國內
和國際法律法規的約束。 這些法律法規可能既複雜又嚴格,
還有很多 這些可能會發生變化和不確定的解釋,這可能會導致索賠。遵守
這些法律法規會增加我們的運營成本,並可能需要更改我們的數據和其他商業慣例
或對我們的用户增長和參與度產生負面影響。不遵守這些法律法規可能會導致索賠、
監管調查、訴訟或處罰, 運營成本增加或用户增長或參與度下降,
或以其他方式對我們的業務產生負面影響。
中國和世界各地的監管機構最近實施了有關隱私和
數據保護的進一步立法和監管提案,並將來可能會繼續實施這些提案, 包括 特別是在保護個人信息方面,網絡安全
和跨境數據傳輸。,這可能會對我們施加更嚴格的要求。此外, 這些
法律法規可能很複雜,的解釋和應用 數據保護 這些
法律 和法規往往是不確定的、不斷變化的、複雜的。 現有或新出台的法律法規或其解釋、適用或執行可能會嚴重影響我們數據的價值,
迫使我們改變數據收集、數據使用和其他商業慣例,導致我們承擔鉅額合規成本,並使
我們遭受監管調查、罰款、暫停業務和吊銷許可證。
7
中國監管機構越來越注重
個人數據和隱私保護,並頒佈了多項法律法規 監督個人信息的收集和處理
,包括《個人信息保護法》和《關於常見類型的移動互聯網應用程序所需的必要個人
信息範圍的規定。這些法律和法規 ,那個
規定 的要求和限制 那個 (i)收藏、處理和處理
的個人信息。 應限制在實現處理目的所需的最低範圍內,特別是,
移動應用程序運營商在選擇不收集不必要的個人
信息時不得拒絕用户的基本功能和服務,(ii) 個人信息的處理必須以與處理目的直接相關
的明確合理意圖進行,且對個人權益的影響最小,以及 (iii) 處理個人信息的實體
信息應採取必要措施保護他們處理的個人信息的安全。此外,《個人
信息保護法》要求信息處理者在收集 14 歲以下未成年人
的個人信息之前必須徵得父母的同意,並對處理未成年人的個人信息採用特殊規則。信息處理者應對其信息收集和處理活動承擔責任
,包括更正、暫停或終止其服務,以及
沒收非法收入、高達收入5%的鉅額罰款或其他處罰。請參閲 “第 4 項。公司信息
— B. 業務概覽 — 監管 — 數據和隱私保護法規。” 和
“第 4 項。公司信息— B. 業務概述—監管—移動應用程序監管。”
在我們的業務運營過程中,我們收集客户和用户的信息,包括個人信息.
因此,我們需要遵守與個人數據和隱私保護相關的適用法律法規。為了確保
我們遵守這些法律法規,我們制定了相關的協議和機制。例如,在收集用户的
個人信息時,我們會明確告知他們收集的信息和收集信息的目的,向他們解釋
可以與第三方共享信息的內容、方式和原因,並提供與我們共享信息的
第三方的隱私政策。這些個人數據隱私保護程序增加了我們的合規性和運營成本,並改變了
我們的數據使用和業務慣例。數據隱私法律法規還對不合規的信息處理者
規定了處罰和責任中國網絡空間管理局有 以前被命名 肯定的
一個數字的 我們的 移動應用程序,包括我們的一些人,出現在監管公告中
因為未能遵守隱私和數據安全法規。我們已經更正了這些移動應用程序' ,並且
命令這些應用程序更正其 數據收集和使用實踐 使他們合規. 此外,
中國監管機構還加強了對算法推薦服務的監管
。根據2022年3月1日起施行的《互聯網信息服務算法推薦管理規定》(
或《算法推薦規定》),算法推薦服務提供者應
明確告知用户其提供算法推薦服務的情況,並公開其基本原則、意圖,
和算法推薦服務的主要操作機制。算法,還應確保
用户可以方便地終止算法推薦服務。此外,算法向消費者銷售商品或提供服務的推薦服務提供商
應 也 保護消費者的公平貿易權利,並禁止
進行非法行為,例如基於消費者的偏好、購買行為、
或其他特徵的不合理差別待遇。 在我們的業務運營過程中,我們收集客户和用户的信息,包括
個人信息,以及 我們使用算法推薦 服務廣泛用於
範圍很廣我們的業務是. 任何故障 因此,我們需要
遵守 算法推薦條款和其他適用條款法律法規 r與個人數據和隱私有關的
可能會導致 管理算法推薦服務,我們可能會受到處罰
和違規責任,其中可能包括行政責任,包括警告、公開譴責、罰款、要求我們更正的
執行令,或暫停我們發佈新信息、暫停業務甚至刑事責任。
遵守中國對算法推薦服務的法規增加了我們的合規成本,改變了我們的數據使用和
商業慣例,並可能對我們平臺上的用户活動產生負面影響。我們認為,我們的業務運營在所有重大方面都符合與算法推薦服務相關的中國現行法律。
8
中國監管機構也加大了保障網絡安全的力度
通過進行網絡安全審查。中華人民共和國。《中華人民共和國網絡安全法》(
一般管理中國網絡的建設、運營、維護和使用,它要求包括我們在內的網絡運營商
承擔各種與安全保護相關的義務。此外,中華人民共和國《網絡安全法》規定,關鍵信息基礎設施運營商在
中華人民共和國運營過程中收集和生成的個人信息
和重要數據應存儲在中華人民共和國,以及 法律對關鍵信息基礎設施的運營商
施加了更嚴格的監管和額外的安全義務。 請參閲 “第 4 項。公司信息 — B. 業務概覽 —
法規 — 互聯網安全監管。”我們認為,我們在所有物質
方面都遵守了《中華人民共和國網絡安全法》,包括與安全保護、用户身份驗證、網絡安全應急響應計劃和技術援助有關的
要求。不遵守規定可能會對我們處以罰款、暫停業務、關閉網站和吊銷營業執照。
中國監管機構最近頒佈了與網絡安全審查有關的
法律法規,包括影響中國公司海外上市的要求。
根據2022年2月生效的經修訂的網絡安全審查辦法,購買網絡產品和服務的關鍵信息基礎設施運營商
以及開展影響或可能影響國家安全的數據處理活動的網絡平臺運營商應接受網絡安全審查。 此外,任何擁有超過
百萬用户個人信息的網絡平臺運營商在國外上市之前都必須申請網絡安全審查。如果中華人民共和國相關政府
當局確定某些網絡產品、服務或數據處理活動
影響或可能影響國家安全,也可以啟動網絡安全審查。請參閲 “第 4 項。公司信息 — B. 業務概覽 —
法規 — 互聯網安全監管。” 但是,“將或可能影響國家安全的網絡產品或服務或數據處理活動
” 的範圍以及 “關鍵信息基礎設施” 的運營商範圍仍不清楚。2021年,中國政府對幾家在美國上市的中國
公司運營的多款移動應用程序啟動了網絡安全審查,並禁止相關應用程序在審查期間註冊新用户。我們預計,這些領域今後將受到更多的
以及監管機構和公眾的持續關注和審查,這可能會增加我們的合規成本,
我們面臨與數據安全和保護相關的更大風險和挑戰以及負面宣傳。如果我們無法
管理這些風險,我們可能會受到處罰,包括罰款、暫停業務、禁止新用户註冊
(即使在很短的時間內)和撤銷所需的許可證,我們的聲譽和經營業績可能會受到重大
和不利影響。此外,2021年11月,中國網絡安全管理局頒佈了 這
網絡數據安全管理條例草案或《網絡數據安全條例草案》,徵求公眾意見,其中規定了數據處理者的不同
場景 將 必須申請網絡安全審查,包括
等, (i) 合併、重組或分割擁有影響或可能影響國家安全的與
國家安全、經濟發展或公共利益有關的重要數據資源的互聯網平臺運營商;(ii)海外上市
同時處理超過一百萬用户的個人信息; (iii)影響或可能影響
國家安全的香港上市;或 (iv),以及影響或可能影響國家
安全的其他數據處理活動。 此外, 《網絡數據安全條例》草案還要求日活用户超過1億的大型互聯網平臺的數據政策和
規則及其任何實質性修訂均應由中國網絡空間管理局指定的
第三方組織進行評估,並由中國網絡空間
管理局相應的地方分支機構批准。目前尚無明確的時間表 這個草稿 網絡數據安全
條例草案將頒佈。 因此,此類措施的頒佈時間表、最終
內容、解釋和實施方面存在很大的不確定性。 請參閲 “第 4 項。公司信息 — B.
業務概述—法規—數據和隱私保護法規。”
9
與網絡安全 審查相關的中華人民共和國法律法規相對較新,這些法律法規的適用範圍仍存在不確定性以及中國監管機構的進一步澄清 。截至本年度報告發布之日,我們尚未收到中國網絡安全管理局 關於根據修訂後的網絡安全審查辦法對我們進行網絡安全審查的任何通知。根據我們的中國法律顧問方達合夥人的建議, 我們認為我們之前發行的證券 不需要接受中國網絡安全管理局的網絡安全審查。但是,考慮到我們的業務規模和平臺上的用户數量,我們認為將來我們可能會接受網絡安全 審查。如果我們接受網絡安全審查,無論是在審查 過程中,還是在必要時加強我們的網絡安全措施方面,我們都可能承擔鉅額成本並面臨挑戰。如果我們無法管理這些風險,我們可能會受到處罰,包括罰款、暫停業務、禁止新用户註冊(即使是很短的 時間)和撤銷所需的許可證,我們的聲譽和經營業績可能會受到重大不利影響。 2021 年,中國政府對幾家在美國上市的中國公司運營的多款移動應用程序啟動了網絡安全審查, 禁止相關應用程序在審查期間註冊新用户。此外,如果我們需要接受與任何未來證券發行相關的網絡安全審查 ,我們獲得額外資本的能力可能會受到負面影響。另見 “— 我們可能需要額外的資金,但可能無法以優惠條件獲得或根本無法獲得資金。”
中國監管機構還加強了對跨境數據傳輸的監管
和監管。2021 年 9 月生效的《數據安全法》禁止中國境內的實體和個人
未經中國主管部門批准,向任何外國司法或執法機構提供存儲在中國的任何數據,並規定了被認定違反數據保護義務的實體和個人的法律責任,
包括糾正令、警告、罰款、暫停相關業務以及吊銷營業執照或執照。此外,
2022年7月7日,中國網絡安全管理局頒佈跨境
數據傳輸安全評估辦法,它會來的 中國網絡安全管理局頒佈了
將於 2022 年 9 月 1 日生效。根據這些衡量標準,個人數據處理者 將是 是
在進行任何跨境轉移之前,須接受中國網絡空間管理局進行的安全評估 如果傳輸涉及 (i),則數據
重要數據;(ii) 和個人信息。請參閲
“第 4 項。公司信息 — B. 業務概覽 — 監管 — 數據和隱私保護監管。”
由關鍵信息基礎設施運營商或處理了超過一百萬人的個人
數據的數據處理器向海外傳輸的個人信息;(iii)自去年1月1日以來已經在海外提供10萬人的個人
數據或10,000人的敏感個人數據的數據處理者向海外傳輸的個人信息;或(iv)中國網絡空間局要求的其他情況
。根據中國網絡空間局的官方解釋,
《跨境數據傳輸安全評估辦法》涵蓋(1)數據處理者
在中國境內運營期間產生的數據的海外傳輸和存儲,以及(2)境外機構、組織或個人訪問或使用數據處理者和
存儲在中國境內的數據。此外, 任意在違反《跨境數據傳輸安全評估辦法》的
生效之前進行的跨境
數據傳輸活動必須在 2023 年 3 月之前予以糾正。 截至本年度報告發布之日,這些措施
尚未生效,這些措施
在實踐中的解釋和實施以及它們將如何影響我們的業務運營方面仍然存在實質性的不確定性。 我們已經實施了控制程序以符合
的新要求。遵守與跨境數據傳輸相關的中國法律法規會增加我們的合規成本,
可能會影響我們跨境傳輸數據的能力。我們認為,我們的業務運營在所有重大方面都符合與跨境數據傳輸相關的中華人民共和國法律法規
。
此外,中國和我們開展業務的其他司法管轄區 的監管機構可能會採取措施,確保用户數據的加密不會妨礙執法機構 訪問這些數據。例如,根據中華人民共和國《網絡安全法》和相關法規,包括我們在內的網絡運營商有義務 依法為公安和國家安全機關提供援助和支持,以保護國家 安全或協助刑事調查。以被視為損害 隱私的方式遵守這些法律和要求可能會嚴重損害我們的聲譽以及監管機構和私人團體對我們的訴訟和訴訟。
10
遵守《中華人民共和國網絡安全法》、
《中華人民共和國國家安全法》、《數據安全法》、《個人信息保護法》、《網絡安全審查辦法》以及
未來可能生效的其他法律法規,包括《跨境
數據傳輸安全評估辦法、網絡數據安全條例草案和其他數據安全和個人信息保護法律法規,
可能會導致我們的合規性大幅提高成本,迫使我們改變業務做法會對我們的業務業績
產生不利影響,並使我們受到負面宣傳,這可能會損害我們在用户中的聲譽,並對我們
ADS、股票和/或其他證券的交易價格產生負面影響。由於其中許多法律和法規尚未生效,或者直到最近才生效,
在實踐中如何解釋、實施和執行這些法律法規尚不確定,我們可能會受到監管部門的
調查、罰款、暫停業務和吊銷許可證。
隨着我們進一步將業務擴展到國際 市場,在我們經營業務以及消費者、用户、商家、客户 和其他參與者所在的其他司法管轄區,我們將受到其他法律的約束。例如,歐盟委員會自2020年起提出了《數字市場法》、《數字服務法》 和《歐洲數據法》,對數據使用、數據共享和數據保護提出了各種要求。其他司法管轄區的此類法律、法規和 條例的範圍可能更全面、更詳細,並可能施加的要求和處罰 與中國相沖突或比中國更嚴格。此外,這些法律、規章和法規可能會限制跨司法管轄區傳輸 數據,這可能會給我們帶來額外和沉重的運營、管理和合規負擔, 還可能限制我們的業務活動和擴張計劃,並阻礙我們以數據為導向的業務戰略。遵守越來越多的司法管轄區的 法律法規可能需要大量的資源和成本。我們在中國和其他地方持續擴展 雲服務,也將增加我們系統上託管的數據量,並增加我們擁有IT系統的司法管轄區的數量。這以及各個司法管轄區越來越多的新法律要求, ,例如 GDPR 和俄羅斯《聯邦個人數據法》的數據本地化規則,在與數據收集、存儲、傳輸、披露、保護和隱私相關的政策和程序方面帶來了越來越多的挑戰和風險 ,並將對違規行為處以 重罰。例如,根據 GDPR,可能會按全球收入的百分比計算罰款。GDPR 的合規要求影響了我們的許多業務,例如速賣通和阿里雲。如果我們未能遵守上述和其他適用的監管要求或與隱私保護相關的法律、法規和 法規,或 法規,則可能導致聲譽損害或政府實體、消費者或其他人對我們提起訴訟或訴訟。這些 訴訟或訴訟可能會使我們受到重大處罰和負面宣傳,要求我們更改數據和其他業務 慣例,增加成本並嚴重擾亂我們的業務,阻礙我們的全球擴張或對 我們的ADS、股票和/或其他證券的交易價格產生負面影響。
儘管我們認為我們在所有重要方面都遵守了此類法律 和法規,但在如何解釋這些法律和法規、 在實踐中的實施和執行尚不確定,尤其是因為其中許多法律法規直到最近才生效或 尚未生效,而且我們可能會受到監管調查、罰款、暫停業務和吊銷許可證。此外, 未來對這些法律法規或可能生效的其他法律法規的解釋和實施 可能會導致我們的合規成本大幅增加,迫使我們改變業務慣例,對我們的業務業績產生不利影響 並使我們受到負面宣傳,這可能會損害我們在用户中的聲譽,並對我們 ADS、股票和/或其他證券的交易價格產生負面影響。
11