2021年7月10日,國家互聯(lián)網(wǎng)信息辦公室(以下簡稱“網(wǎng)信辦”)發(fā)布《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》(以下簡稱“《修訂草案》”)。一方面,《修訂草案》擴張了網(wǎng)絡安全審查的適用范圍,從關(guān)鍵信息基礎設施運營者(以下簡稱“CIIO”)的采購活動與供應鏈安全,擴張至同時包含一般數(shù)據(jù)處理者在數(shù)據(jù)處理活動中的數(shù)據(jù)安全;另一方面,《修訂草案》繼續(xù)以“國家安全”為落腳點,網(wǎng)絡安全審查的適用門檻仍限于“影響或者可能影響國家安全”的情形。國外上市成為引發(fā)審查的重要關(guān)注點。
本文聚焦于已國外上市公司、擬國外上市公司(以下合稱“已/擬國外上市公司”)的視角,重點評析在《網(wǎng)絡安全審查辦法》修訂的大背景下,已/擬國外上市公司如何有針對性地進行自我審視與合規(guī)應對。
一、《網(wǎng)絡安全審查辦法》修訂背景:強化跨境數(shù)據(jù)安全管理的監(jiān)管環(huán)境
近期,我國監(jiān)管機構(gòu)在網(wǎng)絡安全、數(shù)據(jù)保護、證券合規(guī)等領域的立法與執(zhí)法行動頻發(fā),呈現(xiàn)出強監(jiān)管態(tài)勢。網(wǎng)絡安全審查制度作為監(jiān)管網(wǎng)絡中的節(jié)點之一,與其他機制環(huán)環(huán)相扣、相輔相成。
1、《修訂草案》為《數(shù)據(jù)安全法》下的數(shù)據(jù)安全審查提供細化規(guī)定
《國家安全法》第59條建立了國家安全審查制度,對影響或可能影響國家安全的網(wǎng)絡信息技術(shù)產(chǎn)品和服務進行國家安全審查;《數(shù)據(jù)安全法》第24條建立了數(shù)據(jù)安全審查制度,對影響或可能影響國家安全的數(shù)據(jù)處理活動進行國家安全審查。
但是,《數(shù)據(jù)安全法》并未對數(shù)據(jù)安全審查進行具體規(guī)定,目前也缺乏可供參考的實施細則。在《數(shù)據(jù)安全法》即將于9月1日生效前的窗口期,《修訂草案》特別將數(shù)據(jù)處理活動(尤其針對核心數(shù)據(jù)、重要數(shù)據(jù)和大量個人信息)納入網(wǎng)絡安全審查的范圍,并在第10條簡要提出了數(shù)據(jù)相關(guān)的審查因素,為數(shù)據(jù)安全審查制度提供了指引性的規(guī)定。
具體而言,《修訂草案》在堅持“影響或者可能影響國家安全”大原則的同時,將網(wǎng)絡安全審查的適用范圍擴張至數(shù)據(jù)處理者開展的數(shù)據(jù)處理活動。一般的數(shù)據(jù)處理活動或許難以上升至國家安全層面,但國外上市在上市申請中和上市后均難以避免向國外監(jiān)管機構(gòu)提供材料,數(shù)據(jù)安全風險亦將提升。
《修訂草案》的網(wǎng)絡安全審查覆蓋了國外上市的事前事后全流程,為數(shù)據(jù)安全與證券監(jiān)管預留了充分的空間。對于擬國外上市公司,《修訂草案》為“掌握超過100萬用戶個人信息的運營者”設定了主動申報的義務;即使不滿足100萬的標準,或已國外上市公司,仍然可能被依職權(quán)提起審查,其關(guān)注重點在于核心數(shù)據(jù)、重要數(shù)據(jù)、大量個人信息的竊取、泄露、毀損,和“非法”利用、出境,以及國外政府對上述數(shù)據(jù)的影響、控制、惡意利用。
2、《修訂草案》與跨境證券監(jiān)管形成支撐與呼應
2021年7月6日,中共中央辦公廳、國務院辦公廳印發(fā)《關(guān)于依法從嚴打擊證券違法活動的意見》,要求完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關(guān)法律法規(guī),尤其在境外發(fā)行證券與上市中壓實境外上市公司信息安全主體責任。一方面,加強跨境監(jiān)管合作;另一方面,對抗境外機構(gòu)對中概股公司的信息披露要求(如美國《外國公司問責法案》)。
在加強跨境證券監(jiān)管的大背景下,《修訂草案》專門在國家網(wǎng)絡安全審查工作機制中加入中國證券監(jiān)督管理委員會,并就國外上市行為進行特別規(guī)定,從而為已/擬國外上市公司的監(jiān)管創(chuàng)設了網(wǎng)絡安全審查的防線。目前,已有若干公司取消或擱置了其赴國外上市的計劃,更多擬國外上市公司正在觀望監(jiān)管態(tài)度、并適時作出相應調(diào)整。
二、已/擬國外上市公司如何解讀《修訂草案》的重點變化
1、“掌握”和“不掌握”個人信息的界限何在?
根據(jù)《修訂草案》第6條,掌握超過100萬用戶個人信息的運營者赴國外上市,必須申報網(wǎng)絡安全審查。在我國當前的互聯(lián)網(wǎng)發(fā)展規(guī)模下,100萬用戶個人信息是一個較低的門檻。擬國外上市公司在實踐中采用業(yè)務剝離、數(shù)據(jù)托管等模式有助于降低因上市而導致數(shù)據(jù)被國外政府調(diào)取的風險,但能否因此被認為“不掌握”個人信息尚不清晰。
(1)擬國外上市公司將個人信息相關(guān)業(yè)務剝離至非上市的關(guān)聯(lián)公司,由關(guān)聯(lián)公司開展個人信息處理活動。這一模式在一定程度上可以避免擬國外上市公司直接掌握個人信息、進而消減國外監(jiān)管機構(gòu)獲取相關(guān)數(shù)據(jù)的可能性。
(2)擬國外上市公司將個人信息交由非關(guān)聯(lián)的第三方托管,其僅在依據(jù)托管協(xié)議及用戶單獨授權(quán)的情況下才可處理個人信息。例如,微軟在德國運營云計算服務Azure時,將數(shù)據(jù)的控制權(quán)交由德國的數(shù)據(jù)托管機構(gòu),微軟無法自行訪問數(shù)據(jù)。擬國外上市公司可以申明已通過協(xié)議讓渡對數(shù)據(jù)的控制權(quán),但合同約定具有相對性,實踐中可能難以徹底對抗監(jiān)管要求。
2、不掌握個人信息就無需顧忌網(wǎng)絡安全審查嗎?
對于赴國外上市前必須申報網(wǎng)絡安全審查的適用范圍,《修訂草案》第6條僅規(guī)定了“掌握超過100萬用戶個人信息”的情形,但從全文來看,國外上市可能影響國家安全時,也可能引發(fā)依職權(quán)啟動的網(wǎng)絡安全審查。
(1)重要數(shù)據(jù)與核心數(shù)據(jù)。《修訂草案》在立法依據(jù)中新增了《數(shù)據(jù)安全法》,而重要數(shù)據(jù)和核心數(shù)據(jù)正是《數(shù)據(jù)安全法》的重點之一,且在《修訂草案》第10條中和“大量個人信息”并列,同樣作為網(wǎng)絡安全審查的考慮因素。目前,我國關(guān)于重要數(shù)據(jù)和核心數(shù)據(jù)的目錄還不明晰,但已有立法征求意見稿開始嘗試界定重要數(shù)據(jù),企業(yè)應當對此予以充分重視。
(2)依職權(quán)審查。除主動申報之外,《修訂草案》第16條規(guī)定了依職權(quán)審查的模式,網(wǎng)絡安全審查工作機制成員單位認為數(shù)據(jù)處理活動、國外上市行為影響或可能影響國家安全的,經(jīng)報批程序后可啟動審查。當前正是數(shù)據(jù)合規(guī)監(jiān)管的敏感時期,不排除監(jiān)管機構(gòu)開展普查摸底活動,但從《修訂草案》第10條而言,監(jiān)管本意是針對“核心數(shù)據(jù)、重要數(shù)據(jù)、大量個人信息”的“竊取、泄露、毀損以及非法利用或出境”,而非任何數(shù)據(jù)的任何處理活動都一概納入網(wǎng)絡安全審查。
3、已國外上市公司可以獨善其身嗎?
《修訂草案》新增的第6條直接針對擬國外上市公司,但從實質(zhì)而言,網(wǎng)絡安全審查的關(guān)注點在于國外上市對我國國家安全、數(shù)據(jù)安全的影響,這既包括上市前的預防性審查,也包括上市后的監(jiān)督性審查。《修訂草案》第10.6條矛頭直指國外上市后我國數(shù)據(jù)“被國外政府影響、控制、惡意利用的風險”,因此,已國外上市公司雖然不必補充申報,但仍然可能被依職權(quán)提起審查。
在某種程度上,已國外上市公司具有更強的審查必要性。在上市申請中,擬國外上市公司可能對外提供的主要是與上市相關(guān)的數(shù)據(jù),有關(guān)的國外監(jiān)管機構(gòu)一般僅限于證券監(jiān)管機構(gòu)(如美國SEC)。在上市后,已國外上市公司受制于更多的國外監(jiān)管機構(gòu),涉及的數(shù)據(jù)范圍可能更廣。例如,外國公司在美上市后將會受到FCPA的管轄,F(xiàn)CPA調(diào)查往往需要公司披露經(jīng)營活動中的大量文件、可能涉及公司的核心業(yè)務數(shù)據(jù)。除了SEC外,DOJ也可以啟動FCPA調(diào)查。結(jié)合《數(shù)據(jù)安全法》第36條,公司向外國司法或執(zhí)法機構(gòu)提供境內(nèi)數(shù)據(jù)的,須經(jīng)主管機關(guān)批準,由此可能觸發(fā)網(wǎng)絡安全審查。
4、國外上市行為動輒得咎?
《修訂草案》在近期數(shù)據(jù)合規(guī)事件高潮迭起的大環(huán)境中發(fā)布,進一步加劇了市場的緊張情緒,不免引發(fā)過度解讀的傾向。在修訂前,網(wǎng)絡安全審查的適用范圍僅限于“CIIO”在“采購網(wǎng)絡產(chǎn)品和服務”中“影響或者可能影響國家安全”的情形;在修訂后,其適用范圍擴張至一般數(shù)據(jù)處理者的數(shù)據(jù)處理活動、國外上市行為,因此引發(fā)了廣泛關(guān)注。
事實上,網(wǎng)絡安全審查仍然落腳于“影響或者可能影響國家安全”的情形,并非所有的數(shù)據(jù)處理活動、國外上市行為一概而論。根據(jù)《修訂草案》第10條,從客體上,網(wǎng)絡安全審查聚焦于核心數(shù)據(jù)、重要數(shù)據(jù)、大量個人信息(如第6條的“100萬”);從后果上,網(wǎng)絡安全審查聚焦于對上述數(shù)據(jù)的竊取、泄露、毀損、“非法”的利用、出境,以及國外政府對上述數(shù)據(jù)的影響、控制、惡意利用。
以數(shù)據(jù)出境為例,并非數(shù)據(jù)一概不能出境,數(shù)據(jù)仍然可以“依法”出境。根據(jù)《數(shù)據(jù)安全法》第31條,CIIO的重要數(shù)據(jù)出境適用《網(wǎng)絡安全法》的規(guī)定、其他數(shù)據(jù)處理者的重要數(shù)據(jù)出境適用網(wǎng)信辦的規(guī)定,個人信息的出境則依據(jù)將來《個人信息保護法》的規(guī)定。
三、已/擬國外上市公司應對網(wǎng)絡安全審查的合規(guī)建議
近期,我國監(jiān)管機構(gòu)在網(wǎng)絡安全、數(shù)據(jù)保護、證券合規(guī)等領域的立法與執(zhí)法行動頻發(fā),《數(shù)據(jù)安全法》即將在9月1日正式施行。在這個敏感時期,《網(wǎng)絡安全審查辦法》發(fā)生修訂,且修訂內(nèi)容高度匹配近期的監(jiān)管重點,《修訂草案》有可能在短期內(nèi)生效。
面對《修訂草案》,我們對已/擬國外上市公司提出以下合規(guī)建議:
1、對公司數(shù)據(jù)資產(chǎn)進行全面盤查,按照數(shù)據(jù)分類分級的思路,梳理個人信息、重要數(shù)據(jù)、核心數(shù)據(jù)的類型、數(shù)量、處理目的與方式。
2、對公司業(yè)務進行全面檢視,梳理可能存在的數(shù)據(jù)風險及風險等級,尤其是其中影響或可能影響國家安全的情形。
3、掌握超過100萬用戶個人信息的擬國外上市公司,依法申報網(wǎng)絡安全審查,并為審查預留充分的時間(如至少留出半年時間),同時做好業(yè)務受影響(如暫停注冊新用戶)的準備。即使采取個人信息業(yè)務剝離、數(shù)據(jù)托管等模式,亦需充分評估監(jiān)管機構(gòu)對以該等模式實現(xiàn)風險規(guī)避的接受度。
4、對于數(shù)據(jù)出境活動,事前開展必要性與風險評估;對于外國司法或執(zhí)法機構(gòu)要求提供境內(nèi)數(shù)據(jù)的情形,提供前主動報主管機關(guān)批準;對于已經(jīng)出境的數(shù)據(jù),及時復盤并視情況采取補救措施。
5、持續(xù)跟進立法與執(zhí)法動向,與監(jiān)管機構(gòu)保持良好溝通。
6、持續(xù)加強公司內(nèi)部的數(shù)據(jù)合規(guī)體系建設,提升數(shù)據(jù)治理整體水平。
京ICP備05019364號-1 
京公網(wǎng)安備110105011258
近日,北京市海問律師事務所(“本所”)發(fā)現(xiàn),網(wǎng)絡上存在將一家名為“廣州海問睿律咨詢顧問有限公司”的主體與本所進行不當關(guān)聯(lián)的大量不實信息,導致社會公眾產(chǎn)生混淆與誤解,也對本所的聲譽及正常執(zhí)業(yè)活動造成不良影響。
本所特此澄清,本所與“廣州海問睿律咨詢顧問有限公司”(成立于2025年11月)不存在任何隸屬、投資、關(guān)聯(lián)、合作、授權(quán)或品牌許可關(guān)系,亦從未授權(quán)任何主體以“海問”的名義提供法律咨詢服務,該公司的任何行為與本所無關(guān)。更多詳情,請點擊左下方按鈕查看。
