Simpson Thacher & Bartlett | ||
中国工商银行 大厦,35第四地板 中环花园 路 3 号 香港
| ||
电话: +852-2514-7600 传真: +852-2869-7694
| ||
直接拨号号码 +852-2514-7660 |
电子邮件地址 dfertig@stblaw.com |
2023年3月24日
通过埃德加
公司财务部
美国 证券交易委员会
东北 F 街 100 号
华盛顿, 哥伦比亚特区 20549
注意: | 尼古拉斯·纳尔班蒂安 |
唐纳德·球场
回复: | 阿里巴巴集团控股有限公司 |
截至 2022 年 3 月 31 日的财政年度 20-F 表格,于 2022 年 7 月 26 日提交
回复日期为 2022 年 10 月 3 日和 2023 年 1 月 11 日
文件编号 001-36614
女士们、先生们:
我们代表我们的客户阿里巴巴集团控股有限公司(一家根据开曼群岛法律组建的公司,连同其 子公司,“公司” 或 “阿里巴巴”),对美国证券交易委员会(“委员会”)员工(“员工”)2023年2月24日来信(“2月24日评论信”)中包含的评论作出回应,与公司2023年1月11日对委员会2022年12月12日评论信的回复信(“1月11日回应”)以及公司的 有关2022年10月3日对委员会2022年9月7日关于公司于2022年7月26日向委员会提交的截至2022年3月31日财年20-F表年度报告(“2022年20-F”)的评论信的回复信。
下文 是公司对员工在2月24日评论信中的评论的回应。为了便于参考,工作人员的评论 在下面重新输入。在修改拟议披露时,公司还做出了某些额外澄清 和修正案。公司恭敬地告知员工,如果公司为回应员工的评论而提议在未来的 20-F 表格 申报中增加或修改披露内容,则所做的更改将受相关事实更新以及 相关法律或法规或其解释的变更的约束。
michael j.c.m. ceulen | marjory j.ding | daniel fertig | adam C. furber | YI GAO | MAKIKO 春成 | Ian C. Ho | 乔纳森 HWANG | anthony d. kin | jin huk park | 克里斯托弗 k.s.wong |
常驻合作伙伴
香港 simpson thacher & bartlett 是 simpson thacher & bartlett LLP 的子公司,办公室位于:
| |||||||||
全新 约克 | 北京 | 布鲁塞尔 | 休斯顿 | 伦敦 | 洛杉矶 安吉利斯 | Palo Alto | SO PAULO | 东京 | 华盛顿, DC |
Simpson Thacher & Bartlett | ||
2023年3月24日 | -2- |
在附件中,公司 仅包括更新的信息和披露,以回应员工在2月 24评论信中剩余的两条评论。
* * * *
风险因素
风险因素摘要,第 1 页
1. | 我们注意到你对评论6的回应,部分内容是重新发布的。我们注意到您在附录B中进行了修订,在年度报告中对第一和第二点中更详细的风险讨论进行了具体交叉引用 。但是,请修改以纳入风险因素摘要这一部分中讨论的所有风险因素的具体交叉引用 (标题和页码)。 |
公司承认员工的评论,并恭敬地告知员工,公司将按照 修订后的附录B中规定的变更来修改披露信息,其中针对该评论做出的进一步修订在2023年20-F中以粗体显示,下划线为 。
我们的业务受有关隐私和数据保护的复杂和不断变化的国内和 国际法律法规的约束,第 23 页
2. | 我们注意到你对评论7的回复以及重新发布的评论。鉴于最近发生的事件表明,中国网络空间管理局(CAC)加强了对数据安全的监督,请修改您的风险因素披露内容,以更详细地解释您认为这种疏忽 如何影响公司及其业务,以及您认为自己在多大程度上遵守了 CAC 迄今发布的 法规或政策。在这方面,我们注意到,修订后的风险因素仍然笼统地描述了新的或拟议的 法律法规,但没有评估公司将如何实际受到新的或拟议的法律法规的影响。请 进行修改以澄清并具体说明您是否认为根据这些新的或拟议的法律 和法规将受到网络安全审查。如果您认为自己不会受到网络安全审查,请具体讨论您是如何得出的 该结论,包括支持该决定的具体基本事实和情况。例如,第三段 讨论了关键信息基础设施的运营商、网络平台运营商和数据处理者,但没有根据公司的用户数量 或公司收集的数据类型,对这些新的或拟议的法律法规是否会影响公司进行任何分析 。请视情况进行修改,以便投资者能够清楚地了解这些新的或拟议的 法律法规将如何影响公司及其业务以及未来的任何产品。 |
公司承认员工的评论,并恭敬地告知员工,公司将按照 修订后的2023年20-F附件C中规定的变更来修改其披露信息。针对员工的评论,公司修订了 并重组了参考风险因素,以更清楚地解释相关法律法规的影响。
Simpson Thacher & Bartlett | ||
2023年3月24日 | -3- |
为了便利 员工的审查,下文分别列出了员工评论的每个部分,并具体讨论了 公司将如何修改和更新其披露内容以回应评论的该部分:
鉴于最近发生的事件表明 中国网络空间管理局(CAC)加强了对数据安全的监督,请修改您的风险因素披露内容,以更详细地解释 您认为这种监督如何影响公司及其业务,以及您认为自己在多大程度上遵守了 迄今为止发布的法规或政策。
公司谨请员工参阅经修订和更新的拟议风险因素的第二段,该段披露 公司受与个人数据和隐私保护相关的法律法规的约束,并认为其在所有重要方面都符合这些 法律。该段还详细讨论了这些法律对公司的具体影响,包括公司实施的其他 协议和机制,这导致了更高的合规成本和运营成本,以及 公司数据使用和业务惯例的变化。
公司还谨提请员工参阅经修订和更新的拟议风险因素的第三段,该段披露 公司受算法推荐服务法律的约束,并认为公司在所有重大方面都符合此类法律。 该段还指出了遵守这些法律对公司的影响,包括额外的合规成本以及对 数据使用和推荐服务的更改,这可能会对公司平台上的用户活动产生负面影响,以及违规可能产生的 后果。
请 修改以澄清和如果您认为自己将根据这些 新的或拟议的法律法规接受网络安全审查,请特别说明。如果您认为自己不会受到网络安全审查,请具体讨论 您是如何得出该结论的,包括支持该决定的具体基本事实和情况。
Simpson Thacher & Bartlett | ||
2023年3月24日 | -4- |
公司恭敬地请员工参阅1月 11的答复,其中公司修改并更新了披露内容,称公司尚未收到中国网络安全 管理局的任何网络安全审查通知,但考虑到公司的业务规模,公司认为 将来可能会接受网络安全审查。在回应工作人员的评论时,该公司进一步补充说,根据中国法律顾问的建议,公司 认为无需对先前的证券发行进行网络安全审查。 该公司还具体披露了如果公司接受网络安全审查可能产生的影响。公司 谨请员工参阅经修订和更新的拟议风险因素的第五段。
* * * *
如果你对这封信中包含的 回复有任何疑问,请随时致电 +852-2514-7660 或 dfertig@stblaw.com 与我联系。
真的是你的, | |
/s/ 丹尼尔·费蒂格 | |
丹尼尔·费蒂格 | |
外壳
抄送: | 张勇先生,首席执行官 |
Toby Hong Xu,首席财务官
余思颖,总法律顾问
阿里巴巴集团控股有限公司
Ricky Shin,合伙人
陈丹尼尔,合伙人
辛西娅·宁,合伙人
普华永道
附件 B
将在 2023 年 20-F 表格 “第 3 项” 下修订 。关键信息 — D. 风险因素 — 风险 因素摘要”:
与在 中国开展业务相关的风险和不确定性包括与以下内容相关的风险和不确定性:
· | 中华人民共和国政府政治和经济政策的变化和发展,包括但不限于 中华人民共和国政府可能通过制定和执行规章和监管要求来干预或影响我们的业务, 这些规则和监管要求可能会在很少提前通知的情况下迅速演变(见 “— 与在中华人民共和国经商相关的风险 — 中国法律、规章和规章的解释和执行存在不确定性,政策的变化, 法律、规章和规章可能会对中国产生不利影响第 1 页上的 “我们” [•]本年度报告); |
· | 有关中国法律、规章和规章解释和执行的不确定性,包括但不限于中国政府可能采取的 行动,以加强对海外和/或外国对中国发行人的投资 的发行的监督和控制,这可能会严重限制或完全阻碍我们向投资者发行或继续发行证券的能力 ,并导致我们的证券(包括美国存托凭证)的价值大幅下降或变得毫无价值(见 “— 在解释和执法方面存在 不确定性中华人民共和国的法律、法规和规章以及政策的变化,中华人民共和国的法律、法规 和法规可能会对我们产生不利影响” 页面 [•]本年度报告); |
· | 根据HFCA法案,我们的ADS可能会从美国除名 (参见第页上的 “— 如果PCAOB 无法全面检查或调查位于中国的审计师,则根据《追究外国公司责任法》,我们的ADS将被退市, 我们的ADS和股票将被禁止在美国交易” [•]本年度报告); |
· | 中国有关投资离岸公司和员工股权激励计划的法规 (参见 “— 与中国居民投资离岸公司有关的中国 法规可能会使我们的中国居民受益所有人或我们的中国子公司 承担责任或处罚,限制我们向中国子公司注资的能力或限制我们的中国子公司增加注册资本或分配利润的能力”,以及 “— 任何不遵守中国关于 员工股权激励计划的法规都可能使中国参与者参与计划、我们或我们的海外和中国子公司将被处以罚款和 其他法律或行政制裁。” 第页 [•]和 [•]分别为本年度报告); |
1
· | 我们依赖于我们在中国的运营子公司支付的股息、贷款和其他股权分配,
对我们或我们的子公司或 VIE 的能力进行干预或施加限制的风险
转移在中国业务或中国实体中的现金或资产的能力可能会限制我们在中国境外为运营提供资金或用于其他
用途的能力 |
· | 与互联网广告相关的中华人民共和国法律法规的潜在影响 (参见第 页上的 “— P4P 服务被视为部分涉及互联网广告,这使我们受其他法律、规章和法规以及其他义务的约束” [•]本年度报告); |
· | 我们的全球收入可能需要缴纳中国所得税,以及我们目前享受的优惠税收待遇可能会终止 (参见《中华人民共和国企业 所得税法》规定,出于中国纳税目的,我们可能被视为居民企业,因此我们可能需要为全球收入缴纳中国所得税” [•]本年度报告); 和 |
· | 支付给外国投资者的股息和我们的外国投资者出售我们的证券的收益可能受中国纳税,以及间接转让中国居民企业的股权或归因于在中国设立非中国公司的其他 资产的不确定性 (参见第页上的 “— 支付给外国投资者的股息以及我们的外国投资者出售我们的ADS和/或普通股所得的 收益可能需要缴纳中华人民共和国税” [•]本年度报告的 ). |
2
附件 C
将在 2023 年 20-F 表格 “第 3 项” 下修订 。关键信息 — D. 风险因素 — 与 我们的业务和行业相关的风险”:
经修订和更新的拟议风险因素
我们的业务受有关隐私和数据保护的复杂和不断变化的国内 和国际法律法规的约束,这些法律和法规可能会发生变化和不确定的解释。 遵守这些法律法规会增加我们的运营成本,并可能需要更改我们的数据和其他商业惯例 或对我们的用户增长和参与度产生负面影响。不遵守这些法律法规可能会导致索赔、监管机构 调查、诉讼或处罚,或以其他方式对我们的业务产生负面影响。
中国和世界各地的监管机构最近实施了有关隐私和 数据保护的进一步立法和监管提案,特别是有关个人信息保护、网络安全和跨境数据传输的立法和监管提案,并将来可能会继续实施。这些 法律和法规可能很复杂,这些法律法规的解释和适用往往是不确定的、不断变化的 而且很复杂。
中国监管机构越来越注重 个人数据和隐私保护,并颁布了多项法律法规,包括《个人信息保护法》和《常见类型移动互联网应用程序所需个人信息范围的规定》, 规定了收集、处理和处理个人信息的要求和限制。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护法规” 和 “第 项 4.公司信息— B. 业务概述—监管—移动应用程序监管。”在我们的业务运营过程中,我们收集客户和用户的信息,包括个人信息。因此,我们必须 遵守与个人数据和隐私保护相关的适用法律法规。为了确保我们遵守这些法律 和法规,我们制定了相关的协议和机制。例如,在收集用户的个人信息时, 我们会明确告知他们收集的信息和收集信息的目的,向他们解释 信息可以与第三方共享的内容、方式和原因,并提供与我们共享信息的第三方的隐私政策。 这些个人数据隐私保护程序增加了我们的合规性和运营成本,并改变了我们的数据使用和业务 惯例。数据隐私法律法规还对不合规信息 收集和处理活动的信息处理者规定了处罚和责任,包括更正、暂停或终止其服务、没收非法收入、 以及高达收入5%的巨额罚款和其他处罚。我们认为,我们的业务运营在所有重大方面都符合与个人数据和隐私保护有关的 现行中华人民共和国法律。中国网络空间管理局 此前已将我们的某些移动应用程序列为不遵守隐私和数据安全法规的行为。我们已经纠正了 这些移动应用程序的数据收集和使用惯例,使其合规。
3
中国监管机构还加强了对算法推荐服务的监管 。根据2022年3月1日起施行的《互联网信息服务算法推荐管理规定》( 或《算法推荐规定》),算法推荐服务提供者应 明确告知用户其提供算法推荐服务的情况,公开算法推荐服务的基本原理、意图和主要 运行机制,还应确保用户可以方便地终止算法 推荐服务。此外,算法推荐服务提供商向消费者销售商品或提供服务,应保护 消费者的公平交易权利,禁止基于消费者的偏好、购买行为或其他特征进行不合理的差别待遇 等违法行为。我们在各种各样的 业务中使用算法推荐。因此,我们需要遵守算法建议条款和其他管理算法推荐服务的适用法律法规 ,我们可能会因违规行为而受到处罚和责任,其中可能包括行政 责任,包括警告、公开谴责、罚款、要求我们更正的执法令,或暂停我们发布 新信息、暂停业务甚至刑事责任。遵守中国对算法推荐服务的法规 增加了我们的合规成本,改变了我们的数据使用和商业惯例,并可能对我们平台上的用户活动产生负面影响。 我们认为,我们的业务运营在所有重大方面都符合与算法推荐服务 相关的中国现行法律。
中国监管机构也加大了保障网络安全的力度 。《中华人民共和国网络安全法》总体上规范中国建设、运营、维护和使用 网络,要求包括我们在内的网络运营商承担各种与安全保护相关的义务。此外,中华人民共和国 网络安全法规定,关键信息基础设施 运营商在中国运营过程中收集和生成的个人信息和重要数据应存储在中国,并对关键信息基础设施的运营商规定了更严格的监管和额外的安全义务 。请参阅 “第 4 项。公司信息 — B. 业务概览 — 法规 — 互联网安全监管。”我们认为,我们在所有 重大方面都遵守了《中华人民共和国网络安全法》,包括与安全保护、用户身份验证、网络安全应急响应计划和技术援助相关的要求。不遵守规定可能会对我们处以罚款、暂停业务、关闭网站和吊销企业 许可证。
中国监管机构最近颁布了与网络安全审查相关的法律 和法规,包括影响中国公司海外上市的要求。 根据2022年2月生效的经修订的网络安全审查办法,购买网络产品和服务的关键信息基础设施 的运营商以及开展影响或可能影响国家安全的数据处理活动的网络平台运营商应接受网络安全审查。此外,任何拥有超过一百万 用户个人信息的网络平台运营商在国外上市之前都必须申请网络安全审查。如果中国相关政府机构确定某些网络产品、服务或数据处理活动影响或可能影响 国家安全, 也可启动网络安全审查。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 互联网安全监管。”此外,2021年11月,中国网络安全管理局颁布了《网络 数据安全管理条例草案,即《网络数据安全条例草案》,征求公众意见,其中规定了 数据处理者需要申请网络安全审查的不同场景,包括在处理超过一百万 用户个人信息时在海外上市、影响或可能影响国家安全的香港上市以及其他影响国家安全的数据处理活动 或者可能会影响国家安全。《网络数据安全条例草案》还要求对日活跃用户超过1亿的大型互联网平台的数据政策和规则及其任何实质性修订,都必须由中国网络空间管理局指定的 第三方机构进行评估,并由中国网络空间局相应的地方分支机构批准。 尚无关于何时颁布《网络数据安全条例草案》的明确时间表。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护法规。”
4
与网络安全审查 相关的中华人民共和国法律法规相对较新,这些法律法规的适用范围仍存在不确定性以及中国监管机构的进一步澄清 。截至本年度报告发布之日,我们尚未收到中国网络安全管理局 关于根据修订后的网络安全审查办法对我们进行网络安全审查的任何通知。根据我们的中国法律顾问方达合伙人的建议, 我们认为我们之前发行的证券 不需要接受中国网络安全管理局的网络安全审查。但是,考虑到我们的业务规模和平台上的用户数量,我们认为将来我们可能会接受网络安全 审查。如果我们接受网络安全审查,无论是在审查 过程中,还是在必要时加强我们的网络安全措施方面,我们都可能承担巨额成本并面临挑战。如果我们无法管理这些风险,我们可能会受到处罚,包括罚款、暂停业务、禁止新用户注册(即使是很短的 时间)和撤销所需的许可证,我们的声誉和经营业绩可能会受到重大不利影响。 2021 年,中国政府对几家在美国上市的中国公司运营的多款移动应用程序启动了网络安全审查, 禁止相关应用程序在审查期间注册新用户。此外,如果我们需要接受与任何未来证券发行相关的网络安全审查 ,我们获得额外资本的能力可能会受到负面影响。另见 “— 我们可能需要额外的资金,但可能无法以优惠条件获得或根本无法获得资金。”
中国监管机构还加强了对跨境数据传输的监管 和监管。2021 年 9 月生效的《数据安全法》禁止中国境内的实体和个人 未经中国主管部门批准,向任何外国司法或执法机构提供存储在中国的任何数据,并规定了被认定违反数据保护义务的实体和个人的法律责任, 包括纠正令、警告、罚款、暂停相关业务以及吊销营业执照或执照。此外, 中国网络安全局颁布的《跨境数据传输安全评估办法》已于 2022 年 9 月 1 日生效。根据这些措施,在跨境传输重要数据和个人信息之前,个人数据处理者必须接受中国网络空间管理局 进行的安全评估。请参阅 “第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护监管。” 任何在措施生效之前违反《跨境数据传输安全评估办法》的跨境数据传输活动 都必须在 2023 年 3 月之前予以纠正。我们已经实施了控制程序以遵守 的新要求。遵守与跨境数据传输相关的中国法律法规会增加我们的合规 成本,并可能影响我们跨境传输数据的能力。我们认为,我们的业务运营在所有重大方面都符合中国法律 和与跨境数据传输相关的法规。
5
此外,中国和我们开展业务的其他司法管辖区 的监管机构可能会采取措施,确保用户数据的加密不会妨碍执法机构 访问这些数据。例如,根据中华人民共和国《网络安全法》和相关法规,包括我们在内的网络运营商有义务 依法为公安和国家安全机关提供援助和支持,以保护国家 安全或协助刑事调查。以被视为损害 隐私的方式遵守这些法律和要求可能会严重损害我们的声誉以及监管机构和私人团体对我们的诉讼和诉讼。
随着我们进一步将业务扩展到国际 市场,在我们经营业务以及消费者、用户、商家、客户 和其他参与者所在的其他司法管辖区,我们将受到其他法律的约束。例如,欧盟委员会自2020年起提出了《数字市场法》、《数字服务法》 和《欧洲数据法》,对数据使用、数据共享和数据保护提出了各种要求。其他司法管辖区的此类法律、法规和 条例的范围可能更全面、更详细,并可能施加的要求和处罚 与中国相冲突或比中国更严格。此外,这些法律、规章和法规可能会限制跨司法管辖区传输 数据,这可能会给我们带来额外和沉重的运营、管理和合规负担, 还可能限制我们的业务活动和扩张计划,并阻碍我们以数据为导向的业务战略。遵守越来越多的司法管辖区的 法律法规可能需要大量的资源和成本。我们在中国和其他地方持续扩展 云服务,也将增加我们系统上托管的数据量,并增加我们拥有IT系统的司法管辖区的数量。这以及各个司法管辖区越来越多的新法律要求, ,例如 GDPR 和俄罗斯《联邦个人数据法》的数据本地化规则,在与数据收集、存储、传输、披露、保护和隐私相关的政策和程序方面带来了越来越多的挑战和风险 ,并将对违规行为处以 重罚。例如,根据 GDPR,可能会按全球收入的百分比计算罚款。GDPR 的合规要求影响了我们的许多业务,例如速卖通和阿里云。如果我们未能遵守上述和其他适用的监管要求或与隐私保护相关的法律、法规和 法规,或 法规,则可能导致声誉损害或政府实体、消费者或其他人对我们提起诉讼或诉讼。这些 诉讼或诉讼可能会使我们受到重大处罚和负面宣传,要求我们更改数据和其他业务 惯例,增加成本并严重扰乱我们的业务,阻碍我们的全球扩张或对 我们的ADS、股票和/或其他证券的交易价格产生负面影响。
6
尽管我们认为我们在所有重要方面都遵守了此类法律法规 ,但在实践中如何解释、实施和 执行这些法律法规尚不确定,尤其是因为其中许多法律法规最近才生效或尚未生效 ,而且我们可能会受到监管调查、罚款、暂停业务和吊销许可证。此外,将来 对这些法律法规或可能生效的其他法律法规的解释和实施可能会导致 我们的合规成本大幅增加,迫使我们改变业务惯例,对我们的业务业绩 造成不利影响,并使我们受到负面宣传,这可能会损害我们在用户中的声誉,并对我们 ADS、股票和/或其他证券的交易价格产生负面影响。
修订和更新了拟议风险因子,轨迹变化显示 对2022年20-F的修订
我们的业务受有关隐私和数据保护的复杂和不断变化的国内
和国际法律法规的约束。 这些法律法规可能既复杂又严格,
还有很多 这些可能会发生变化和不确定的解释,这可能会导致索赔。遵守
这些法律法规会增加我们的运营成本,并可能需要更改我们的数据和其他商业惯例
或对我们的用户增长和参与度产生负面影响。不遵守这些法律法规可能会导致索赔、
监管调查、诉讼或处罚, 运营成本增加或用户增长或参与度下降,
或以其他方式对我们的业务产生负面影响。
中国和世界各地的监管机构最近实施了有关隐私和
数据保护的进一步立法和监管提案,并将来可能会继续实施这些提案, 包括 特别是在保护个人信息方面,网络安全
和跨境数据传输。,这可能会对我们施加更严格的要求。此外, 这些
法律法规可能很复杂,的解释和应用 数据保护 这些
法律 和法规往往是不确定的、不断变化的、复杂的。 现有或新出台的法律法规或其解释、适用或执行可能会严重影响我们数据的价值,
迫使我们改变数据收集、数据使用和其他商业惯例,导致我们承担巨额合规成本,并使
我们遭受监管调查、罚款、暂停业务和吊销许可证。
7
中国监管机构越来越注重
个人数据和隐私保护,并颁布了多项法律法规 监督个人信息的收集和处理
,包括《个人信息保护法》和《关于常见类型的移动互联网应用程序所需的必要个人
信息范围的规定。这些法律和法规 ,那个
规定 的要求和限制 那个 (i)收藏、处理和处理
的个人信息。 应限制在实现处理目的所需的最低范围内,特别是,
移动应用程序运营商在选择不收集不必要的个人
信息时不得拒绝用户的基本功能和服务,(ii) 个人信息的处理必须以与处理目的直接相关
的明确合理意图进行,且对个人权益的影响最小,以及 (iii) 处理个人信息的实体
信息应采取必要措施保护他们处理的个人信息的安全。此外,《个人
信息保护法》要求信息处理者在收集 14 岁以下未成年人
的个人信息之前必须征得父母的同意,并对处理未成年人的个人信息采用特殊规则。信息处理者应对其信息收集和处理活动承担责任
,包括更正、暂停或终止其服务,以及
没收非法收入、高达收入5%的巨额罚款或其他处罚。请参阅 “第 4 项。公司信息
— B. 业务概览 — 监管 — 数据和隐私保护法规。” 和
“第 4 项。公司信息— B. 业务概述—监管—移动应用程序监管。”
在我们的业务运营过程中,我们收集客户和用户的信息,包括个人信息.
因此,我们需要遵守与个人数据和隐私保护相关的适用法律法规。为了确保
我们遵守这些法律法规,我们制定了相关的协议和机制。例如,在收集用户的
个人信息时,我们会明确告知他们收集的信息和收集信息的目的,向他们解释
可以与第三方共享信息的内容、方式和原因,并提供与我们共享信息的
第三方的隐私政策。这些个人数据隐私保护程序增加了我们的合规性和运营成本,并改变了
我们的数据使用和业务惯例。数据隐私法律法规还对不合规的信息处理者
规定了处罚和责任中国网络空间管理局有 以前被命名 肯定的
一个数字的 我们的 移动应用程序,包括我们的一些人,出现在监管公告中
因为未能遵守隐私和数据安全法规。我们已经更正了这些移动应用程序' ,并且
命令这些应用程序更正其 数据收集和使用实践 使他们合规. 此外,
中国监管机构还加强了对算法推荐服务的监管
。根据2022年3月1日起施行的《互联网信息服务算法推荐管理规定》(
或《算法推荐规定》),算法推荐服务提供者应
明确告知用户其提供算法推荐服务的情况,并公开其基本原则、意图,
和算法推荐服务的主要操作机制。算法,还应确保
用户可以方便地终止算法推荐服务。此外,算法向消费者销售商品或提供服务的推荐服务提供商
应 也 保护消费者的公平贸易权利,并禁止
进行非法行为,例如基于消费者的偏好、购买行为、
或其他特征的不合理差别待遇。 在我们的业务运营过程中,我们收集客户和用户的信息,包括
个人信息,以及 我们使用算法推荐 服务广泛用于
范围很广我们的业务是. 任何故障 因此,我们需要
遵守 算法推荐条款和其他适用条款法律法规 r与个人数据和隐私有关的
可能会导致 管理算法推荐服务,我们可能会受到处罚
和违规责任,其中可能包括行政责任,包括警告、公开谴责、罚款、要求我们更正的
执行令,或暂停我们发布新信息、暂停业务甚至刑事责任。
遵守中国对算法推荐服务的法规增加了我们的合规成本,改变了我们的数据使用和
商业惯例,并可能对我们平台上的用户活动产生负面影响。我们认为,我们的业务运营在所有重大方面都符合与算法推荐服务相关的中国现行法律。
8
中国监管机构也加大了保障网络安全的力度
通过进行网络安全审查。中华人民共和国。《中华人民共和国网络安全法》(
一般管理中国网络的建设、运营、维护和使用,它要求包括我们在内的网络运营商
承担各种与安全保护相关的义务。此外,中华人民共和国《网络安全法》规定,关键信息基础设施运营商在
中华人民共和国运营过程中收集和生成的个人信息
和重要数据应存储在中华人民共和国,以及 法律对关键信息基础设施的运营商
施加了更严格的监管和额外的安全义务。 请参阅 “第 4 项。公司信息 — B. 业务概览 —
法规 — 互联网安全监管。”我们认为,我们在所有物质
方面都遵守了《中华人民共和国网络安全法》,包括与安全保护、用户身份验证、网络安全应急响应计划和技术援助有关的
要求。不遵守规定可能会对我们处以罚款、暂停业务、关闭网站和吊销营业执照。
中国监管机构最近颁布了与网络安全审查有关的
法律法规,包括影响中国公司海外上市的要求。
根据2022年2月生效的经修订的网络安全审查办法,购买网络产品和服务的关键信息基础设施运营商
以及开展影响或可能影响国家安全的数据处理活动的网络平台运营商应接受网络安全审查。 此外,任何拥有超过
百万用户个人信息的网络平台运营商在国外上市之前都必须申请网络安全审查。如果中华人民共和国相关政府
当局确定某些网络产品、服务或数据处理活动
影响或可能影响国家安全,也可以启动网络安全审查。请参阅 “第 4 项。公司信息 — B. 业务概览 —
法规 — 互联网安全监管。” 但是,“将或可能影响国家安全的网络产品或服务或数据处理活动
” 的范围以及 “关键信息基础设施” 的运营商范围仍不清楚。2021年,中国政府对几家在美国上市的中国
公司运营的多款移动应用程序启动了网络安全审查,并禁止相关应用程序在审查期间注册新用户。我们预计,这些领域今后将受到更多的
以及监管机构和公众的持续关注和审查,这可能会增加我们的合规成本,
我们面临与数据安全和保护相关的更大风险和挑战以及负面宣传。如果我们无法
管理这些风险,我们可能会受到处罚,包括罚款、暂停业务、禁止新用户注册
(即使在很短的时间内)和撤销所需的许可证,我们的声誉和经营业绩可能会受到重大
和不利影响。此外,2021年11月,中国网络安全管理局颁布了 这
网络数据安全管理条例草案或《网络数据安全条例草案》,征求公众意见,其中规定了数据处理者的不同
场景 将 必须申请网络安全审查,包括
等, (i) 合并、重组或分割拥有影响或可能影响国家安全的与
国家安全、经济发展或公共利益有关的重要数据资源的互联网平台运营商;(ii)海外上市
同时处理超过一百万用户的个人信息; (iii)影响或可能影响
国家安全的香港上市;或 (iv),以及影响或可能影响国家
安全的其他数据处理活动。 此外, 《网络数据安全条例》草案还要求日活用户超过1亿的大型互联网平台的数据政策和
规则及其任何实质性修订均应由中国网络空间管理局指定的
第三方组织进行评估,并由中国网络空间
管理局相应的地方分支机构批准。目前尚无明确的时间表 这个草稿 网络数据安全
条例草案将颁布。 因此,此类措施的颁布时间表、最终
内容、解释和实施方面存在很大的不确定性。 请参阅 “第 4 项。公司信息 — B.
业务概述—法规—数据和隐私保护法规。”
9
与网络安全 审查相关的中华人民共和国法律法规相对较新,这些法律法规的适用范围仍存在不确定性以及中国监管机构的进一步澄清 。截至本年度报告发布之日,我们尚未收到中国网络安全管理局 关于根据修订后的网络安全审查办法对我们进行网络安全审查的任何通知。根据我们的中国法律顾问方达合伙人的建议, 我们认为我们之前发行的证券 不需要接受中国网络安全管理局的网络安全审查。但是,考虑到我们的业务规模和平台上的用户数量,我们认为将来我们可能会接受网络安全 审查。如果我们接受网络安全审查,无论是在审查 过程中,还是在必要时加强我们的网络安全措施方面,我们都可能承担巨额成本并面临挑战。如果我们无法管理这些风险,我们可能会受到处罚,包括罚款、暂停业务、禁止新用户注册(即使是很短的 时间)和撤销所需的许可证,我们的声誉和经营业绩可能会受到重大不利影响。 2021 年,中国政府对几家在美国上市的中国公司运营的多款移动应用程序启动了网络安全审查, 禁止相关应用程序在审查期间注册新用户。此外,如果我们需要接受与任何未来证券发行相关的网络安全审查 ,我们获得额外资本的能力可能会受到负面影响。另见 “— 我们可能需要额外的资金,但可能无法以优惠条件获得或根本无法获得资金。”
中国监管机构还加强了对跨境数据传输的监管
和监管。2021 年 9 月生效的《数据安全法》禁止中国境内的实体和个人
未经中国主管部门批准,向任何外国司法或执法机构提供存储在中国的任何数据,并规定了被认定违反数据保护义务的实体和个人的法律责任,
包括纠正令、警告、罚款、暂停相关业务以及吊销营业执照或执照。此外,
2022年7月7日,中国网络安全管理局颁布跨境
数据传输安全评估办法,它会来的 中国网络安全管理局颁布了
将于 2022 年 9 月 1 日生效。根据这些衡量标准,个人数据处理者 将是 是
在进行任何跨境转移之前,须接受中国网络空间管理局进行的安全评估 如果传输涉及 (i),则数据
重要数据;(ii) 和个人信息。请参阅
“第 4 项。公司信息 — B. 业务概览 — 监管 — 数据和隐私保护监管。”
由关键信息基础设施运营商或处理了超过一百万人的个人
数据的数据处理器向海外传输的个人信息;(iii)自去年1月1日以来已经在海外提供10万人的个人
数据或10,000人的敏感个人数据的数据处理者向海外传输的个人信息;或(iv)中国网络空间局要求的其他情况
。根据中国网络空间局的官方解释,
《跨境数据传输安全评估办法》涵盖(1)数据处理者
在中国境内运营期间产生的数据的海外传输和存储,以及(2)境外机构、组织或个人访问或使用数据处理者和
存储在中国境内的数据。此外, 任意在违反《跨境数据传输安全评估办法》的
生效之前进行的跨境
数据传输活动必须在 2023 年 3 月之前予以纠正。 截至本年度报告发布之日,这些措施
尚未生效,这些措施
在实践中的解释和实施以及它们将如何影响我们的业务运营方面仍然存在实质性的不确定性。 我们已经实施了控制程序以符合
的新要求。遵守与跨境数据传输相关的中国法律法规会增加我们的合规成本,
可能会影响我们跨境传输数据的能力。我们认为,我们的业务运营在所有重大方面都符合与跨境数据传输相关的中华人民共和国法律法规
。
此外,中国和我们开展业务的其他司法管辖区 的监管机构可能会采取措施,确保用户数据的加密不会妨碍执法机构 访问这些数据。例如,根据中华人民共和国《网络安全法》和相关法规,包括我们在内的网络运营商有义务 依法为公安和国家安全机关提供援助和支持,以保护国家 安全或协助刑事调查。以被视为损害 隐私的方式遵守这些法律和要求可能会严重损害我们的声誉以及监管机构和私人团体对我们的诉讼和诉讼。
10
遵守《中华人民共和国网络安全法》、
《中华人民共和国国家安全法》、《数据安全法》、《个人信息保护法》、《网络安全审查办法》以及
未来可能生效的其他法律法规,包括《跨境
数据传输安全评估办法、网络数据安全条例草案和其他数据安全和个人信息保护法律法规,
可能会导致我们的合规性大幅提高成本,迫使我们改变业务做法会对我们的业务业绩
产生不利影响,并使我们受到负面宣传,这可能会损害我们在用户中的声誉,并对我们
ADS、股票和/或其他证券的交易价格产生负面影响。由于其中许多法律和法规尚未生效,或者直到最近才生效,
在实践中如何解释、实施和执行这些法律法规尚不确定,我们可能会受到监管部门的
调查、罚款、暂停业务和吊销许可证。
随着我们进一步将业务扩展到国际 市场,在我们经营业务以及消费者、用户、商家、客户 和其他参与者所在的其他司法管辖区,我们将受到其他法律的约束。例如,欧盟委员会自2020年起提出了《数字市场法》、《数字服务法》 和《欧洲数据法》,对数据使用、数据共享和数据保护提出了各种要求。其他司法管辖区的此类法律、法规和 条例的范围可能更全面、更详细,并可能施加的要求和处罚 与中国相冲突或比中国更严格。此外,这些法律、规章和法规可能会限制跨司法管辖区传输 数据,这可能会给我们带来额外和沉重的运营、管理和合规负担, 还可能限制我们的业务活动和扩张计划,并阻碍我们以数据为导向的业务战略。遵守越来越多的司法管辖区的 法律法规可能需要大量的资源和成本。我们在中国和其他地方持续扩展 云服务,也将增加我们系统上托管的数据量,并增加我们拥有IT系统的司法管辖区的数量。这以及各个司法管辖区越来越多的新法律要求, ,例如 GDPR 和俄罗斯《联邦个人数据法》的数据本地化规则,在与数据收集、存储、传输、披露、保护和隐私相关的政策和程序方面带来了越来越多的挑战和风险 ,并将对违规行为处以 重罚。例如,根据 GDPR,可能会按全球收入的百分比计算罚款。GDPR 的合规要求影响了我们的许多业务,例如速卖通和阿里云。如果我们未能遵守上述和其他适用的监管要求或与隐私保护相关的法律、法规和 法规,或 法规,则可能导致声誉损害或政府实体、消费者或其他人对我们提起诉讼或诉讼。这些 诉讼或诉讼可能会使我们受到重大处罚和负面宣传,要求我们更改数据和其他业务 惯例,增加成本并严重扰乱我们的业务,阻碍我们的全球扩张或对 我们的ADS、股票和/或其他证券的交易价格产生负面影响。
尽管我们认为我们在所有重要方面都遵守了此类法律 和法规,但在如何解释这些法律和法规、 在实践中的实施和执行尚不确定,尤其是因为其中许多法律法规直到最近才生效或 尚未生效,而且我们可能会受到监管调查、罚款、暂停业务和吊销许可证。此外, 未来对这些法律法规或可能生效的其他法律法规的解释和实施 可能会导致我们的合规成本大幅增加,迫使我们改变业务惯例,对我们的业务业绩产生不利影响 并使我们受到负面宣传,这可能会损害我们在用户中的声誉,并对我们 ADS、股票和/或其他证券的交易价格产生负面影响。
11