2023年3月24日

通过埃德加

公司财务部

美国 证券交易委员会

东北 F 街 100 号

华盛顿， 哥伦比亚特区 20549

唐纳德·球场

截至 2022 年 3 月 31 日的财政年度 20-F 表格，于 2022 年 7 月 26 日提交

回复日期为 2022 年 10 月 3 日和 2023 年 1 月 11 日

文件编号 001-36614

女士们、先生们：

我们代表我们的客户阿里巴巴集团控股有限公司（一家根据开曼群岛法律组建的公司，连同其 子公司，“公司” 或 “阿里巴巴”），对美国证券交易委员会（“委员会”）员工（“员工”）2023年2月24日来信（“2月24日评论信”）中包含的评论作出回应，与公司2023年1月11日对委员会2022年12月12日评论信的回复信（“1月11日回应”）以及公司的 有关2022年10月3日对委员会2022年9月7日关于公司于2022年7月26日向委员会提交的截至2022年3月31日财年20-F表年度报告（“2022年20-F”）的评论信的回复信。

下文 是公司对员工在2月24日评论信中的评论的回应。为了便于参考，工作人员的评论 在下面重新输入。在修改拟议披露时，公司还做出了某些额外澄清 和修正案。公司恭敬地告知员工，如果公司为回应员工的评论而提议在未来的 20-F 表格 申报中增加或修改披露内容，则所做的更改将受相关事实更新以及 相关法律或法规或其解释的变更的约束。

在附件中，公司 仅包括更新的信息和披露，以回应员工在2月 24评论信中剩余的两条评论。

* * * *

风险因素

风险因素摘要，第 1 页

公司承认员工的评论，并恭敬地告知员工，公司将按照 修订后的附录B中规定的变更来修改披露信息，其中针对该评论做出的进一步修订在2023年20-F中以粗体显示，下划线为 。

我们的业务受有关隐私和数据保护的复杂和不断变化的国内和 国际法律法规的约束，第 23 页

公司承认员工的评论，并恭敬地告知员工，公司将按照 修订后的2023年20-F附件C中规定的变更来修改其披露信息。针对员工的评论，公司修订了 并重组了参考风险因素，以更清楚地解释相关法律法规的影响。

为了便利 员工的审查，下文分别列出了员工评论的每个部分，并具体讨论了 公司将如何修改和更新其披露内容以回应评论的该部分：

鉴于最近发生的事件表明 中国网络空间管理局（CAC）加强了对数据安全的监督，请修改您的风险因素披露内容，以更详细地解释 您认为这种监督如何影响公司及其业务，以及您认为自己在多大程度上遵守了 迄今为止发布的法规或政策。

公司谨请员工参阅经修订和更新的拟议风险因素的第二段，该段披露 公司受与个人数据和隐私保护相关的法律法规的约束，并认为其在所有重要方面都符合这些 法律。该段还详细讨论了这些法律对公司的具体影响，包括公司实施的其他 协议和机制，这导致了更高的合规成本和运营成本，以及 公司数据使用和业务惯例的变化。

公司还谨提请员工参阅经修订和更新的拟议风险因素的第三段，该段披露 公司受算法推荐服务法律的约束，并认为公司在所有重大方面都符合此类法律。 该段还指出了遵守这些法律对公司的影响，包括额外的合规成本以及对 数据使用和推荐服务的更改，这可能会对公司平台上的用户活动产生负面影响，以及违规可能产生的 后果。

请 修改以澄清和如果您认为自己将根据这些 新的或拟议的法律法规接受网络安全审查，请特别说明。如果您认为自己不会受到网络安全审查，请具体讨论 您是如何得出该结论的，包括支持该决定的具体基本事实和情况。

公司恭敬地请员工参阅1月 11的答复，其中公司修改并更新了披露内容，称公司尚未收到中国网络安全 管理局的任何网络安全审查通知，但考虑到公司的业务规模，公司认为 将来可能会接受网络安全审查。在回应工作人员的评论时，该公司进一步补充说，根据中国法律顾问的建议，公司 认为无需对先前的证券发行进行网络安全审查。 该公司还具体披露了如果公司接受网络安全审查可能产生的影响。公司 谨请员工参阅经修订和更新的拟议风险因素的第五段。

* * * *

如果你对这封信中包含的 回复有任何疑问，请随时致电 +852-2514-7660 或 dfertig@stblaw.com 与我联系。

外壳

Toby Hong Xu，首席财务官

余思颖，总法律顾问

阿里巴巴集团控股有限公司

Ricky Shin，合伙人

陈丹尼尔，合伙人

辛西娅·宁，合伙人

普华永道

附件 B

将在 2023 年 20-F 表格 “第 3 项” 下修订 。关键信息 — D. 风险因素 — 风险 因素摘要”：

与在 中国开展业务相关的风险和不确定性包括与以下内容相关的风险和不确定性：

附件 C

将在 2023 年 20-F 表格 “第 3 项” 下修订 。关键信息 — D. 风险因素 — 与 我们的业务和行业相关的风险”：

经修订和更新的拟议风险因素

我们的业务受有关隐私和数据保护的复杂和不断变化的国内 和国际法律法规的约束，这些法律和法规可能会发生变化和不确定的解释。 遵守这些法律法规会增加我们的运营成本，并可能需要更改我们的数据和其他商业惯例 或对我们的用户增长和参与度产生负面影响。不遵守这些法律法规可能会导致索赔、监管机构 调查、诉讼或处罚，或以其他方式对我们的业务产生负面影响。

中国和世界各地的监管机构最近实施了有关隐私和 数据保护的进一步立法和监管提案，特别是有关个人信息保护、网络安全和跨境数据传输的立法和监管提案，并将来可能会继续实施。这些 法律和法规可能很复杂，这些法律法规的解释和适用往往是不确定的、不断变化的 而且很复杂。

中国监管机构越来越注重 个人数据和隐私保护，并颁布了多项法律法规，包括《个人信息保护法》和《常见类型移动互联网应用程序所需个人信息范围的规定》， 规定了收集、处理和处理个人信息的要求和限制。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护法规” 和 “第 项 4.公司信息— B. 业务概述—监管—移动应用程序监管。”在我们的业务运营过程中，我们收集客户和用户的信息，包括个人信息。因此，我们必须 遵守与个人数据和隐私保护相关的适用法律法规。为了确保我们遵守这些法律 和法规，我们制定了相关的协议和机制。例如，在收集用户的个人信息时， 我们会明确告知他们收集的信息和收集信息的目的，向他们解释 信息可以与第三方共享的内容、方式和原因，并提供与我们共享信息的第三方的隐私政策。 这些个人数据隐私保护程序增加了我们的合规性和运营成本，并改变了我们的数据使用和业务 惯例。数据隐私法律法规还对不合规信息 收集和处理活动的信息处理者规定了处罚和责任，包括更正、暂停或终止其服务、没收非法收入、 以及高达收入5％的巨额罚款和其他处罚。我们认为，我们的业务运营在所有重大方面都符合与个人数据和隐私保护有关的 现行中华人民共和国法律。中国网络空间管理局 此前已将我们的某些移动应用程序列为不遵守隐私和数据安全法规的行为。我们已经纠正了 这些移动应用程序的数据收集和使用惯例，使其合规。

中国监管机构还加强了对算法推荐服务的监管 。根据2022年3月1日起施行的《互联网信息服务算法推荐管理规定》（ 或《算法推荐规定》），算法推荐服务提供者应 明确告知用户其提供算法推荐服务的情况，公开算法推荐服务的基本原理、意图和主要 运行机制，还应确保用户可以方便地终止算法 推荐服务。此外，算法推荐服务提供商向消费者销售商品或提供服务，应保护 消费者的公平交易权利，禁止基于消费者的偏好、购买行为或其他特征进行不合理的差别待遇 等违法行为。我们在各种各样的 业务中使用算法推荐。因此，我们需要遵守算法建议条款和其他管理算法推荐服务的适用法律法规 ，我们可能会因违规行为而受到处罚和责任，其中可能包括行政 责任，包括警告、公开谴责、罚款、要求我们更正的执法令，或暂停我们发布 新信息、暂停业务甚至刑事责任。遵守中国对算法推荐服务的法规 增加了我们的合规成本，改变了我们的数据使用和商业惯例，并可能对我们平台上的用户活动产生负面影响。 我们认为，我们的业务运营在所有重大方面都符合与算法推荐服务 相关的中国现行法律。

中国监管机构也加大了保障网络安全的力度 。《中华人民共和国网络安全法》总体上规范中国建设、运营、维护和使用 网络，要求包括我们在内的网络运营商承担各种与安全保护相关的义务。此外，中华人民共和国 网络安全法规定，关键信息基础设施 运营商在中国运营过程中收集和生成的个人信息和重要数据应存储在中国，并对关键信息基础设施的运营商规定了更严格的监管和额外的安全义务 。请参阅 “第 4 项。公司信息 — B. 业务概览 — 法规 — 互联网安全监管。”我们认为，我们在所有 重大方面都遵守了《中华人民共和国网络安全法》，包括与安全保护、用户身份验证、网络安全应急响应计划和技术援助相关的要求。不遵守规定可能会对我们处以罚款、暂停业务、关闭网站和吊销企业 许可证。

中国监管机构最近颁布了与网络安全审查相关的法律 和法规，包括影响中国公司海外上市的要求。 根据2022年2月生效的经修订的网络安全审查办法，购买网络产品和服务的关键信息基础设施 的运营商以及开展影响或可能影响国家安全的数据处理活动的网络平台运营商应接受网络安全审查。此外，任何拥有超过一百万 用户个人信息的网络平台运营商在国外上市之前都必须申请网络安全审查。如果中国相关政府机构确定某些网络产品、服务或数据处理活动影响或可能影响 国家安全， 也可启动网络安全审查。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 互联网安全监管。”此外，2021年11月，中国网络安全管理局颁布了《网络 数据安全管理条例草案，即《网络数据安全条例草案》，征求公众意见，其中规定了 数据处理者需要申请网络安全审查的不同场景，包括在处理超过一百万 用户个人信息时在海外上市、影响或可能影响国家安全的香港上市以及其他影响国家安全的数据处理活动 或者可能会影响国家安全。《网络数据安全条例草案》还要求对日活跃用户超过1亿的大型互联网平台的数据政策和规则及其任何实质性修订，都必须由中国网络空间管理局指定的 第三方机构进行评估，并由中国网络空间局相应的地方分支机构批准。 尚无关于何时颁布《网络数据安全条例草案》的明确时间表。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护法规。”

与网络安全审查 相关的中华人民共和国法律法规相对较新，这些法律法规的适用范围仍存在不确定性以及中国监管机构的进一步澄清 。截至本年度报告发布之日，我们尚未收到中国网络安全管理局 关于根据修订后的网络安全审查办法对我们进行网络安全审查的任何通知。根据我们的中国法律顾问方达合伙人的建议， 我们认为我们之前发行的证券 不需要接受中国网络安全管理局的网络安全审查。但是，考虑到我们的业务规模和平台上的用户数量，我们认为将来我们可能会接受网络安全 审查。如果我们接受网络安全审查，无论是在审查 过程中，还是在必要时加强我们的网络安全措施方面，我们都可能承担巨额成本并面临挑战。如果我们无法管理这些风险，我们可能会受到处罚，包括罚款、暂停业务、禁止新用户注册（即使是很短的 时间）和撤销所需的许可证，我们的声誉和经营业绩可能会受到重大不利影响。 2021 年，中国政府对几家在美国上市的中国公司运营的多款移动应用程序启动了网络安全审查， 禁止相关应用程序在审查期间注册新用户。此外，如果我们需要接受与任何未来证券发行相关的网络安全审查 ，我们获得额外资本的能力可能会受到负面影响。另见 “— 我们可能需要额外的资金，但可能无法以优惠条件获得或根本无法获得资金。”

中国监管机构还加强了对跨境数据传输的监管 和监管。2021 年 9 月生效的《数据安全法》禁止中国境内的实体和个人 未经中国主管部门批准，向任何外国司法或执法机构提供存储在中国的任何数据，并规定了被认定违反数据保护义务的实体和个人的法律责任， 包括纠正令、警告、罚款、暂停相关业务以及吊销营业执照或执照。此外， 中国网络安全局颁布的《跨境数据传输安全评估办法》已于 2022 年 9 月 1 日生效。根据这些措施，在跨境传输重要数据和个人信息之前，个人数据处理者必须接受中国网络空间管理局 进行的安全评估。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护监管。” 任何在措施生效之前违反《跨境数据传输安全评估办法》的跨境数据传输活动 都必须在 2023 年 3 月之前予以纠正。我们已经实施了控制程序以遵守 的新要求。遵守与跨境数据传输相关的中国法律法规会增加我们的合规 成本，并可能影响我们跨境传输数据的能力。我们认为，我们的业务运营在所有重大方面都符合中国法律 和与跨境数据传输相关的法规。

此外，中国和我们开展业务的其他司法管辖区 的监管机构可能会采取措施，确保用户数据的加密不会妨碍执法机构 访问这些数据。例如，根据中华人民共和国《网络安全法》和相关法规，包括我们在内的网络运营商有义务 依法为公安和国家安全机关提供援助和支持，以保护国家 安全或协助刑事调查。以被视为损害 隐私的方式遵守这些法律和要求可能会严重损害我们的声誉以及监管机构和私人团体对我们的诉讼和诉讼。

随着我们进一步将业务扩展到国际 市场，在我们经营业务以及消费者、用户、商家、客户 和其他参与者所在的其他司法管辖区，我们将受到其他法律的约束。例如，欧盟委员会自2020年起提出了《数字市场法》、《数字服务法》 和《欧洲数据法》，对数据使用、数据共享和数据保护提出了各种要求。其他司法管辖区的此类法律、法规和 条例的范围可能更全面、更详细，并可能施加的要求和处罚 与中国相冲突或比中国更严格。此外，这些法律、规章和法规可能会限制跨司法管辖区传输 数据，这可能会给我们带来额外和沉重的运营、管理和合规负担， 还可能限制我们的业务活动和扩张计划，并阻碍我们以数据为导向的业务战略。遵守越来越多的司法管辖区的 法律法规可能需要大量的资源和成本。我们在中国和其他地方持续扩展 云服务，也将增加我们系统上托管的数据量，并增加我们拥有IT系统的司法管辖区的数量。这以及各个司法管辖区越来越多的新法律要求， ，例如 GDPR 和俄罗斯《联邦个人数据法》的数据本地化规则，在与数据收集、存储、传输、披露、保护和隐私相关的政策和程序方面带来了越来越多的挑战和风险 ，并将对违规行为处以 重罚。例如，根据 GDPR，可能会按全球收入的百分比计算罚款。GDPR 的合规要求影响了我们的许多业务，例如速卖通和阿里云。如果我们未能遵守上述和其他适用的监管要求或与隐私保护相关的法律、法规和 法规，或 法规，则可能导致声誉损害或政府实体、消费者或其他人对我们提起诉讼或诉讼。这些 诉讼或诉讼可能会使我们受到重大处罚和负面宣传，要求我们更改数据和其他业务 惯例，增加成本并严重扰乱我们的业务，阻碍我们的全球扩张或对 我们的ADS、股票和/或其他证券的交易价格产生负面影响。

尽管我们认为我们在所有重要方面都遵守了此类法律法规 ，但在实践中如何解释、实施和 执行这些法律法规尚不确定，尤其是因为其中许多法律法规最近才生效或尚未生效 ，而且我们可能会受到监管调查、罚款、暂停业务和吊销许可证。此外，将来 对这些法律法规或可能生效的其他法律法规的解释和实施可能会导致 我们的合规成本大幅增加，迫使我们改变业务惯例，对我们的业务业绩 造成不利影响，并使我们受到负面宣传，这可能会损害我们在用户中的声誉，并对我们 ADS、股票和/或其他证券的交易价格产生负面影响。

修订和更新了拟议风险因子，轨迹变化显示 对2022年20-F的修订

我们的业务受有关隐私和数据保护的复杂和不断变化的国内 和国际法律法规的约束。 这些法律法规可能既复杂又严格， 还有很多 这些可能会发生变化和不确定的解释，这可能会导致索赔。遵守 这些法律法规会增加我们的运营成本，并可能需要更改我们的数据和其他商业惯例 或对我们的用户增长和参与度产生负面影响。不遵守这些法律法规可能会导致索赔、 监管调查、诉讼或处罚， 运营成本增加或用户增长或参与度下降， 或以其他方式对我们的业务产生负面影响。

中国和世界各地的监管机构最近实施了有关隐私和 数据保护的进一步立法和监管提案，并将来可能会继续实施这些提案， 包括 特别是在保护个人信息方面，网络安全 和跨境数据传输。，这可能会对我们施加更严格的要求。此外， 这些 法律法规可能很复杂，的解释和应用 数据保护 这些 法律 和法规往往是不确定的、不断变化的、复杂的。 现有或新出台的法律法规或其解释、适用或执行可能会严重影响我们数据的价值， 迫使我们改变数据收集、数据使用和其他商业惯例，导致我们承担巨额合规成本，并使 我们遭受监管调查、罚款、暂停业务和吊销许可证。

中国监管机构越来越注重 个人数据和隐私保护，并颁布了多项法律法规 监督个人信息的收集和处理 ，包括《个人信息保护法》和《关于常见类型的移动互联网应用程序所需的必要个人 信息范围的规定。这些法律和法规 ，那个 规定 的要求和限制 那个 (i)收藏、处理和处理 的个人信息。 应限制在实现处理目的所需的最低范围内，特别是， 移动应用程序运营商在选择不收集不必要的个人 信息时不得拒绝用户的基本功能和服务，(ii) 个人信息的处理必须以与处理目的直接相关 的明确合理意图进行，且对个人权益的影响最小，以及 (iii) 处理个人信息的实体 信息应采取必要措施保护他们处理的个人信息的安全。此外，《个人 信息保护法》要求信息处理者在收集 14 岁以下未成年人 的个人信息之前必须征得父母的同意，并对处理未成年人的个人信息采用特殊规则。信息处理者应对其信息收集和处理活动承担责任 ，包括更正、暂停或终止其服务，以及 没收非法收入、高达收入5％的巨额罚款或其他处罚。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护法规。” 和 “第 4 项。公司信息— B. 业务概述—监管—移动应用程序监管。” 在我们的业务运营过程中，我们收集客户和用户的信息，包括个人信息. 因此，我们需要遵守与个人数据和隐私保护相关的适用法律法规。为了确保 我们遵守这些法律法规，我们制定了相关的协议和机制。例如，在收集用户的 个人信息时，我们会明确告知他们收集的信息和收集信息的目的，向他们解释 可以与第三方共享信息的内容、方式和原因，并提供与我们共享信息的 第三方的隐私政策。这些个人数据隐私保护程序增加了我们的合规性和运营成本，并改变了 我们的数据使用和业务惯例。数据隐私法律法规还对不合规的信息处理者 规定了处罚和责任中国网络空间管理局有 以前被命名 肯定的 一个数字的 我们的 移动应用程序，包括我们的一些人，出现在监管公告中 因为未能遵守隐私和数据安全法规。我们已经更正了这些移动应用程序' ，并且 命令这些应用程序更正其 数据收集和使用实践 使他们合规. 此外，

中国监管机构还加强了对算法推荐服务的监管 。根据2022年3月1日起施行的《互联网信息服务算法推荐管理规定》（ 或《算法推荐规定》），算法推荐服务提供者应 明确告知用户其提供算法推荐服务的情况，并公开其基本原则、意图, 和算法推荐服务的主要操作机制。算法，还应确保 用户可以方便地终止算法推荐服务。此外，算法向消费者销售商品或提供服务的推荐服务提供商 应 也 保护消费者的公平贸易权利，并禁止 进行非法行为，例如基于消费者的偏好、购买行为、 或其他特征的不合理差别待遇。 在我们的业务运营过程中，我们收集客户和用户的信息，包括 个人信息，以及 我们使用算法推荐 服务广泛用于 范围很广我们的业务是. 任何故障 因此，我们需要 遵守 算法推荐条款和其他适用条款法律法规 r与个人数据和隐私有关的 可能会导致 管理算法推荐服务，我们可能会受到处罚 和违规责任，其中可能包括行政责任，包括警告、公开谴责、罚款、要求我们更正的 执行令，或暂停我们发布新信息、暂停业务甚至刑事责任。 遵守中国对算法推荐服务的法规增加了我们的合规成本，改变了我们的数据使用和 商业惯例，并可能对我们平台上的用户活动产生负面影响。我们认为，我们的业务运营在所有重大方面都符合与算法推荐服务相关的中国现行法律。

中国监管机构也加大了保障网络安全的力度 通过进行网络安全审查。中华人民共和国。《中华人民共和国网络安全法》（ 一般管理中国网络的建设、运营、维护和使用，它要求包括我们在内的网络运营商 承担各种与安全保护相关的义务。此外，中华人民共和国《网络安全法》规定，关键信息基础设施运营商在 中华人民共和国运营过程中收集和生成的个人信息 和重要数据应存储在中华人民共和国，以及 法律对关键信息基础设施的运营商 施加了更严格的监管和额外的安全义务。 请参阅 “第 4 项。公司信息 — B. 业务概览 — 法规 — 互联网安全监管。”我们认为，我们在所有物质 方面都遵守了《中华人民共和国网络安全法》，包括与安全保护、用户身份验证、网络安全应急响应计划和技术援助有关的 要求。不遵守规定可能会对我们处以罚款、暂停业务、关闭网站和吊销营业执照。

中国监管机构最近颁布了与网络安全审查有关的 法律法规，包括影响中国公司海外上市的要求。 根据2022年2月生效的经修订的网络安全审查办法，购买网络产品和服务的关键信息基础设施运营商 以及开展影响或可能影响国家安全的数据处理活动的网络平台运营商应接受网络安全审查。 此外，任何拥有超过 百万用户个人信息的网络平台运营商在国外上市之前都必须申请网络安全审查。如果中华人民共和国相关政府 当局确定某些网络产品、服务或数据处理活动 影响或可能影响国家安全，也可以启动网络安全审查。请参阅 “第 4 项。公司信息 — B. 业务概览 — 法规 — 互联网安全监管。” 但是，“将或可能影响国家安全的网络产品或服务或数据处理活动 ” 的范围以及 “关键信息基础设施” 的运营商范围仍不清楚。2021年，中国政府对几家在美国上市的中国 公司运营的多款移动应用程序启动了网络安全审查，并禁止相关应用程序在审查期间注册新用户。我们预计，这些领域今后将受到更多的 以及监管机构和公众的持续关注和审查，这可能会增加我们的合规成本， 我们面临与数据安全和保护相关的更大风险和挑战以及负面宣传。如果我们无法 管理这些风险，我们可能会受到处罚，包括罚款、暂停业务、禁止新用户注册 （即使在很短的时间内）和撤销所需的许可证，我们的声誉和经营业绩可能会受到重大 和不利影响。此外，2021年11月，中国网络安全管理局颁布了 这 网络数据安全管理条例草案或《网络数据安全条例草案》，征求公众意见，其中规定了数据处理者的不同 场景 将 必须申请网络安全审查，包括 等， (i) 合并、重组或分割拥有影响或可能影响国家安全的与 国家安全、经济发展或公共利益有关的重要数据资源的互联网平台运营商；(ii)海外上市 同时处理超过一百万用户的个人信息; (iii)影响或可能影响 国家安全的香港上市；或 (iv)，以及影响或可能影响国家 安全的其他数据处理活动。 此外， 《网络数据安全条例》草案还要求日活用户超过1亿的大型互联网平台的数据政策和 规则及其任何实质性修订均应由中国网络空间管理局指定的 第三方组织进行评估，并由中国网络空间 管理局相应的地方分支机构批准。目前尚无明确的时间表 这个草稿 网络数据安全 条例草案将颁布。 因此，此类措施的颁布时间表、最终 内容、解释和实施方面存在很大的不确定性。 请参阅 “第 4 项。公司信息 — B. 业务概述—法规—数据和隐私保护法规。”

与网络安全 审查相关的中华人民共和国法律法规相对较新，这些法律法规的适用范围仍存在不确定性以及中国监管机构的进一步澄清 。截至本年度报告发布之日，我们尚未收到中国网络安全管理局 关于根据修订后的网络安全审查办法对我们进行网络安全审查的任何通知。根据我们的中国法律顾问方达合伙人的建议， 我们认为我们之前发行的证券 不需要接受中国网络安全管理局的网络安全审查。但是，考虑到我们的业务规模和平台上的用户数量，我们认为将来我们可能会接受网络安全 审查。如果我们接受网络安全审查，无论是在审查 过程中，还是在必要时加强我们的网络安全措施方面，我们都可能承担巨额成本并面临挑战。如果我们无法管理这些风险，我们可能会受到处罚，包括罚款、暂停业务、禁止新用户注册（即使是很短的 时间）和撤销所需的许可证，我们的声誉和经营业绩可能会受到重大不利影响。 2021 年，中国政府对几家在美国上市的中国公司运营的多款移动应用程序启动了网络安全审查， 禁止相关应用程序在审查期间注册新用户。此外，如果我们需要接受与任何未来证券发行相关的网络安全审查 ，我们获得额外资本的能力可能会受到负面影响。另见 “— 我们可能需要额外的资金，但可能无法以优惠条件获得或根本无法获得资金。”

中国监管机构还加强了对跨境数据传输的监管 和监管。2021 年 9 月生效的《数据安全法》禁止中国境内的实体和个人 未经中国主管部门批准，向任何外国司法或执法机构提供存储在中国的任何数据，并规定了被认定违反数据保护义务的实体和个人的法律责任， 包括纠正令、警告、罚款、暂停相关业务以及吊销营业执照或执照。此外， 2022年7月7日，中国网络安全管理局颁布跨境 数据传输安全评估办法，它会来的 中国网络安全管理局颁布了 将于 2022 年 9 月 1 日生效。根据这些衡量标准，个人数据处理者 将是 是 在进行任何跨境转移之前，须接受中国网络空间管理局进行的安全评估 如果传输涉及 (i)，则数据 重要数据；(ii) 和个人信息。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护监管。” 由关键信息基础设施运营商或处理了超过一百万人的个人 数据的数据处理器向海外传输的个人信息；（iii）自去年1月1日以来已经在海外提供10万人的个人 数据或10,000人的敏感个人数据的数据处理者向海外传输的个人信息；或（iv）中国网络空间局要求的其他情况 。根据中国网络空间局的官方解释， 《跨境数据传输安全评估办法》涵盖（1）数据处理者 在中国境内运营期间产生的数据的海外传输和存储，以及（2）境外机构、组织或个人访问或使用数据处理者和 存储在中国境内的数据。此外， 任意在违反《跨境数据传输安全评估办法》的 生效之前进行的跨境 数据传输活动必须在 2023 年 3 月之前予以纠正。 截至本年度报告发布之日，这些措施 尚未生效，这些措施 在实践中的解释和实施以及它们将如何影响我们的业务运营方面仍然存在实质性的不确定性。 我们已经实施了控制程序以符合 的新要求。遵守与跨境数据传输相关的中国法律法规会增加我们的合规成本， 可能会影响我们跨境传输数据的能力。我们认为，我们的业务运营在所有重大方面都符合与跨境数据传输相关的中华人民共和国法律法规 。

此外，中国和我们开展业务的其他司法管辖区 的监管机构可能会采取措施，确保用户数据的加密不会妨碍执法机构 访问这些数据。例如，根据中华人民共和国《网络安全法》和相关法规，包括我们在内的网络运营商有义务 依法为公安和国家安全机关提供援助和支持，以保护国家 安全或协助刑事调查。以被视为损害 隐私的方式遵守这些法律和要求可能会严重损害我们的声誉以及监管机构和私人团体对我们的诉讼和诉讼。

遵守《中华人民共和国网络安全法》、 《中华人民共和国国家安全法》、《数据安全法》、《个人信息保护法》、《网络安全审查办法》以及 未来可能生效的其他法律法规，包括《跨境 数据传输安全评估办法、网络数据安全条例草案和其他数据安全和个人信息保护法律法规， 可能会导致我们的合规性大幅提高成本，迫使我们改变业务做法会对我们的业务业绩 产生不利影响，并使我们受到负面宣传，这可能会损害我们在用户中的声誉，并对我们 ADS、股票和/或其他证券的交易价格产生负面影响。由于其中许多法律和法规尚未生效，或者直到最近才生效， 在实践中如何解释、实施和执行这些法律法规尚不确定，我们可能会受到监管部门的 调查、罚款、暂停业务和吊销许可证。

随着我们进一步将业务扩展到国际 市场，在我们经营业务以及消费者、用户、商家、客户 和其他参与者所在的其他司法管辖区，我们将受到其他法律的约束。例如，欧盟委员会自2020年起提出了《数字市场法》、《数字服务法》 和《欧洲数据法》，对数据使用、数据共享和数据保护提出了各种要求。其他司法管辖区的此类法律、法规和 条例的范围可能更全面、更详细，并可能施加的要求和处罚 与中国相冲突或比中国更严格。此外，这些法律、规章和法规可能会限制跨司法管辖区传输 数据，这可能会给我们带来额外和沉重的运营、管理和合规负担， 还可能限制我们的业务活动和扩张计划，并阻碍我们以数据为导向的业务战略。遵守越来越多的司法管辖区的 法律法规可能需要大量的资源和成本。我们在中国和其他地方持续扩展 云服务，也将增加我们系统上托管的数据量，并增加我们拥有IT系统的司法管辖区的数量。这以及各个司法管辖区越来越多的新法律要求， ，例如 GDPR 和俄罗斯《联邦个人数据法》的数据本地化规则，在与数据收集、存储、传输、披露、保护和隐私相关的政策和程序方面带来了越来越多的挑战和风险 ，并将对违规行为处以 重罚。例如，根据 GDPR，可能会按全球收入的百分比计算罚款。GDPR 的合规要求影响了我们的许多业务，例如速卖通和阿里云。如果我们未能遵守上述和其他适用的监管要求或与隐私保护相关的法律、法规和 法规，或 法规，则可能导致声誉损害或政府实体、消费者或其他人对我们提起诉讼或诉讼。这些 诉讼或诉讼可能会使我们受到重大处罚和负面宣传，要求我们更改数据和其他业务 惯例，增加成本并严重扰乱我们的业务，阻碍我们的全球扩张或对 我们的ADS、股票和/或其他证券的交易价格产生负面影响。

尽管我们认为我们在所有重要方面都遵守了此类法律 和法规，但在如何解释这些法律和法规、 在实践中的实施和执行尚不确定，尤其是因为其中许多法律法规直到最近才生效或 尚未生效，而且我们可能会受到监管调查、罚款、暂停业务和吊销许可证。此外， 未来对这些法律法规或可能生效的其他法律法规的解释和实施 可能会导致我们的合规成本大幅增加，迫使我们改变业务惯例，对我们的业务业绩产生不利影响 并使我们受到负面宣传，这可能会损害我们在用户中的声誉，并对我们 ADS、股票和/或其他证券的交易价格产生负面影响。