Судьба компании DiDi зависит от новых правил кибербезопасности в КНР

Чехарда новостей по китайскому агрегатору такси DiDi отражает противоречивые моменты, касающиеся переоценки роли госконтроля и государственной собственности в Китае, который остается социалистическим государством и вынужден конфронтировать с США.

1.Согласно новым положениям, объявленным 10 июля 2021г., период специального расследования вопросов безопасности со стороны Китайской службы контроля за сетевой безопасностью (Cyberspace Administration of China (“CAC”)) продлен с 45 дней до 3 месяцев — с возможностью продления и этого срока. Тогда же 10 июля было выдвинуто требование обязательного предварительного рассмотрения регулятором готовящихся заграничных IPO для бизнесов с числом пользователей более 1 млн в Китае.

Видно, что регулятор формирует свое мнение буквально «на ходу». Ведь расследование по компании DiDi, проведшей самостийно IPO в США, было объявлено CAC 2 июля 2021. Отсюда можно заключить, что выводы по этому кейсу, касающихся всех инвесторов в китайские технологические акции, могут стать известны ко 2 октября 2021. 5 июля были запущены аналогичные расследования относительно online recruiter Zhipin.com, truck-hailing apps Huochebang и Yunmanman — логистических агрегаторов по грузовому транспорту.

Решения, принятые службой, станут маяком для оценки инвесторами практики имплементации нового закона о безопасности данных (Data Security Law), вводимого в действие с 1 сентября 2021. О вводе в действие закона было объявлено 10 июня 2021г. (IPO DiDi прошло 29 июня 2021.) Поясню, что Закон о безопасности данных требует от Китайской службы контроля за сетевой безопасностью (CAC) формулировки мер безопасности в отношении трансграничного трансферта важных данных (Cross-border data transfer). Очевидно, CAC должна это сделать  в отношении Didi после её злосчастного IPO в Америке.

Вообще-то сама DiDi убеждает публику, что все данные о её пользователях хранятся и будут храниться на китайских серверах. Data Security Law как раз подчеркивает, что сетевые операторы должны хранить в Принципе данные в КНР. Однако после июньского IPO компании в США был запущен слух, что теперь важные данные будут передаваться в Америку, раз акционерами Didi выступают американские граждане, интересы которых охраняет SEC США. А такая ситуация как раз требует контрольного рассмотрения госорганов.

По основополагающему закону о кибербезопасности (China’s Cybersecurity Law (CSL) 2017г.), личные данные и важная информация ключевых сетевых операторов critical information infrastructure operators (CIIOs) должны храниться на территории КНР. В случае необходимости трансграничной передачи данных должна проводиться оценка безопасности этого трансферта в сотрудничестве с соответствующими госорганами.

структура законов КНР об информационной безопасности. ист. https://www.isaca.org/resources/news-and-trends/industry-news/2021/cross-border-data-transfer-and-data-localization-requirements-in-china


Каким образом необходимые условия такой проверки-оценки безопасности формулировались прежде, приведем цитатой ниже. Заметьте, что в ней ничего не говорится о передаче данных в результате заграничных IPO, что вроде как дало лазейку для действий DiDi по самостийной организации IPO в США. Размещение прошло успешно, удалось привлечь $4,4 млрд за 6,6% акций (outstanding). Увы, расплывчатый характер еще только формирующегося законодательства и отсутствие больших подвижек в китайско-американских отношениях после прихода Байдена к Белый дом в январе 2021г. позволило наступить «на песню» частной компании.

Итак, 27 апреля 2020 была обозначена роль нового органа внутри CAC — The Cybersecurity Review Office и сформулировано следующее. 

«Если оператор приобретает сетевые продукты и услуги, он должен прогнозировать риски национальной безопасности, которые могут возникнуть после ввода продуктов и услуг в эксплуатацию. Если это влияет или может повлиять на национальную безопасность, об этом следует сообщить в Управление по проверке сетевой безопасности для проверки сетевой безопасности.» www.cac.gov.cn/2020-04/27/c_1589535450769077.htm

В 2021 году законодательный акцент сместился и сделан на превентивную оценку и согласование последствий и характера возможной трансграничной передачи данных. Также в новом Data Security Law обозначены штрафы за несоблюдение правил согласования. Согласно логике властных органов, трансграничная передача данных следует из самого факта проведения IPO в США. В готовящемся (ещё) в КНР законе о защите персональных данных намечены пункты о гарантиях безопасности при (любой) трансграничной передаче данных, обязательной оценки рисков, ужесточении требований к локализации данных и порядке одобрения госорганов.

Пока юридические фирмы не советуют проводить IPO в США. 25 августа 2021г. Владелец социальной сети TikTok ByteDance после консультаций с госорганами заявил, что проведет IPO ByteDance в конце 2021 или начале 2022г. в Гонконге, (а не как ранее желал — в США). 

Что угрожает Didi? — Штрафы, делистинг? Существует некоторая неопределенность вокруг судьбы уже проведенных IPO в США (Тех же DiDi, а также более ранних — AliBaba и пр.). Среди обвинений компаний, наверное, фигурирует предупреждения CAC ещё перед IPO о том, что географическая локация местонахождения в приложении агрегатора может раскрывать военные объекты. Вердикт госоргана в отношении агрегатора станет одновременно и предупреждением всей технологической отрасли. Также на Didi усилится давление и претензии инвесторов за то, что она не обсуждала с ними регуляторные последствия её размещения.

2.Параллельно в Китае проходят в 2021г. антимонопольные расследования и дискуссии в отношении агрегатора такси DiDi, который занимает около 90% рынка в КНР и распространяет свои влияние, кстати, и на Россию. Антимонопольные расследования также анализируют использование агрегатором личных данных и информации для осуществления своего доминирующего положения на рынке.

DiDi в Казани [Photo/Xinhua] https://www.chinadaily.com.cn/a/202008/28/WS5f484c56a310675eafc56006.html

Регистрация новых пользователей пока закрыта для компании, а ее приложение удалено из магазина мобильных приложении. Но эти ограничения не закрывают коммерческую деятельность DiDi, хотя «они хороши» по определению для её конкурента Alibaba. 

В партийной печати (the Securities Times) этим летом раздавались призывы к тому, что агрегаторы не должны наживаться, а их функция по связи пассажира с водителям должна рассматриваться как квази-публичная услуга. В Китае власти могут установить предел комиссии за связь водителя с пассажиром в районе 20-21%. Однако в мае 2021 DiDi отчиталась о том, что ее средняя комиссия составляет 20,9%, а 79,1% выручки — остается водителю. Можно сделать вывод, что по этому пункту  дела выглядят как бы в порядке.

Рынок такси в Китае в 2020г. составил 249.91 млрд юаней (Internet Society of China), это падение на ( -17.9%) по сравнению с 2019г.

В русле общественной значимости такси для жизни граждан следует рассматривать недавнюю новость Блумберга (3 сентября) о том, что власти Пекина предложили приобрести своим компаниям (Beijing Tourism Group и Shouqi Group) контрольную долю в капитале агрегатора. DiDi вскоре опровергла эту информацию.


график ADR DiDi ист. https://www.investing.com/


Что стоит за новостью Блумберга и её опровержением? Непроверенная информация или инсайдерская утечка о переговорах на локальном уровне? Понятно, что купить акцию по цене, значительно ниже, чем она предлагалась на IPO в США ($14), выглядит как не самая плохая торговая идея. Однако как инвестиции госкомпаний в Didi соотносятся с государственным курсом на снижение долговой обремененности в КНР? Насколько власти Пекина независимы в этой идее от позиции верховной власти и насколько сильно желание самих пекинских компаний приобретать пакет акций агрегатора? Всё это интересно было бы узнать.

 Душин Олег