2021-07-12
面對《網絡安全審查辦法》修訂,已/擬國外上市公司如何自我審視?
作者:
楊建媛
2021年7月10日,國家互聯網信息辦公室(以下簡稱“網信辦”)發布《網絡安全審查辦法(修訂草案征求意見稿)》(以下簡稱“《修訂草案》”)。一方面,《修訂草案》擴張了網絡安全審查的適用范圍,從關鍵信息基礎設施運營者(以下簡稱“CIIO”)的采購活動與供應鏈安全,擴張至同時包含一般數據處理者在數據處理活動中的數據安全;另一方面,《修訂草案》繼續以“國家安全”為落腳點,網絡安全審查的適用門檻仍限于“影響或者可能影響國家安全”的情形。國外上市成為引發審查的重要關注點。
本文聚焦于已國外上市公司、擬國外上市公司(以下合稱“已/擬國外上市公司”)的視角,重點評析在《網絡安全審查辦法》修訂的大背景下,已/擬國外上市公司如何有針對性地進行自我審視與合規應對。
一、《網絡安全審查辦法》修訂背景:強化跨境數據安全管理的監管環境
近期,我國監管機構在網絡安全、數據保護、證券合規等領域的立法與執法行動頻發,呈現出強監管態勢。網絡安全審查制度作為監管網絡中的節點之一,與其他機制環環相扣、相輔相成。
1、《修訂草案》為《數據安全法》下的數據安全審查提供細化規定
《國家安全法》第59條建立了國家安全審查制度,對影響或可能影響國家安全的網絡信息技術產品和服務進行國家安全審查;《數據安全法》第24條建立了數據安全審查制度,對影響或可能影響國家安全的數據處理活動進行國家安全審查。
但是,《數據安全法》并未對數據安全審查進行具體規定,目前也缺乏可供參考的實施細則。在《數據安全法》即將于9月1日生效前的窗口期,《修訂草案》特別將數據處理活動(尤其針對核心數據、重要數據和大量個人信息)納入網絡安全審查的范圍,并在第10條簡要提出了數據相關的審查因素,為數據安全審查制度提供了指引性的規定。
具體而言,《修訂草案》在堅持“影響或者可能影響國家安全”大原則的同時,將網絡安全審查的適用范圍擴張至數據處理者開展的數據處理活動。一般的數據處理活動或許難以上升至國家安全層面,但國外上市在上市申請中和上市后均難以避免向國外監管機構提供材料,數據安全風險亦將提升。
《修訂草案》的網絡安全審查覆蓋了國外上市的事前事后全流程,為數據安全與證券監管預留了充分的空間。對于擬國外上市公司,《修訂草案》為“掌握超過100萬用戶個人信息的運營者”設定了主動申報的義務;即使不滿足100萬的標準,或已國外上市公司,仍然可能被依職權提起審查,其關注重點在于核心數據、重要數據、大量個人信息的竊取、泄露、毀損,和“非法”利用、出境,以及國外政府對上述數據的影響、控制、惡意利用。
2、《修訂草案》與跨境證券監管形成支撐與呼應
2021年7月6日,中共中央辦公廳、國務院辦公廳印發《關于依法從嚴打擊證券違法活動的意見》,要求完善數據安全、跨境數據流動、涉密信息管理等相關法律法規,尤其在境外發行證券與上市中壓實境外上市公司信息安全主體責任。一方面,加強跨境監管合作;另一方面,對抗境外機構對中概股公司的信息披露要求(如美國《外國公司問責法案》)。
在加強跨境證券監管的大背景下,《修訂草案》專門在國家網絡安全審查工作機制中加入中國證券監督管理委員會,并就國外上市行為進行特別規定,從而為已/擬國外上市公司的監管創設了網絡安全審查的防線。目前,已有若干公司取消或擱置了其赴國外上市的計劃,更多擬國外上市公司正在觀望監管態度、并適時作出相應調整。
二、已/擬國外上市公司如何解讀《修訂草案》的重點變化
1、“掌握”和“不掌握”個人信息的界限何在?
根據《修訂草案》第6條,掌握超過100萬用戶個人信息的運營者赴國外上市,必須申報網絡安全審查。在我國當前的互聯網發展規模下,100萬用戶個人信息是一個較低的門檻。擬國外上市公司在實踐中采用業務剝離、數據托管等模式有助于降低因上市而導致數據被國外政府調取的風險,但能否因此被認為“不掌握”個人信息尚不清晰。
(1)擬國外上市公司將個人信息相關業務剝離至非上市的關聯公司,由關聯公司開展個人信息處理活動。這一模式在一定程度上可以避免擬國外上市公司直接掌握個人信息、進而消減國外監管機構獲取相關數據的可能性。
(2)擬國外上市公司將個人信息交由非關聯的第三方托管,其僅在依據托管協議及用戶單獨授權的情況下才可處理個人信息。例如,微軟在德國運營云計算服務Azure時,將數據的控制權交由德國的數據托管機構,微軟無法自行訪問數據。擬國外上市公司可以申明已通過協議讓渡對數據的控制權,但合同約定具有相對性,實踐中可能難以徹底對抗監管要求。
2、不掌握個人信息就無需顧忌網絡安全審查嗎?
對于赴國外上市前必須申報網絡安全審查的適用范圍,《修訂草案》第6條僅規定了“掌握超過100萬用戶個人信息”的情形,但從全文來看,國外上市可能影響國家安全時,也可能引發依職權啟動的網絡安全審查。
(1)重要數據與核心數據。《修訂草案》在立法依據中新增了《數據安全法》,而重要數據和核心數據正是《數據安全法》的重點之一,且在《修訂草案》第10條中和“大量個人信息”并列,同樣作為網絡安全審查的考慮因素。目前,我國關于重要數據和核心數據的目錄還不明晰,但已有立法征求意見稿開始嘗試界定重要數據,企業應當對此予以充分重視。
(2)依職權審查。除主動申報之外,《修訂草案》第16條規定了依職權審查的模式,網絡安全審查工作機制成員單位認為數據處理活動、國外上市行為影響或可能影響國家安全的,經報批程序后可啟動審查。當前正是數據合規監管的敏感時期,不排除監管機構開展普查摸底活動,但從《修訂草案》第10條而言,監管本意是針對“核心數據、重要數據、大量個人信息”的“竊取、泄露、毀損以及非法利用或出境”,而非任何數據的任何處理活動都一概納入網絡安全審查。
3、已國外上市公司可以獨善其身嗎?
《修訂草案》新增的第6條直接針對擬國外上市公司,但從實質而言,網絡安全審查的關注點在于國外上市對我國國家安全、數據安全的影響,這既包括上市前的預防性審查,也包括上市后的監督性審查。《修訂草案》第10.6條矛頭直指國外上市后我國數據“被國外政府影響、控制、惡意利用的風險”,因此,已國外上市公司雖然不必補充申報,但仍然可能被依職權提起審查。
在某種程度上,已國外上市公司具有更強的審查必要性。在上市申請中,擬國外上市公司可能對外提供的主要是與上市相關的數據,有關的國外監管機構一般僅限于證券監管機構(如美國SEC)。在上市后,已國外上市公司受制于更多的國外監管機構,涉及的數據范圍可能更廣。例如,外國公司在美上市后將會受到FCPA的管轄,FCPA調查往往需要公司披露經營活動中的大量文件、可能涉及公司的核心業務數據。除了SEC外,DOJ也可以啟動FCPA調查。結合《數據安全法》第36條,公司向外國司法或執法機構提供境內數據的,須經主管機關批準,由此可能觸發網絡安全審查。
4、國外上市行為動輒得咎?
《修訂草案》在近期數據合規事件高潮迭起的大環境中發布,進一步加劇了市場的緊張情緒,不免引發過度解讀的傾向。在修訂前,網絡安全審查的適用范圍僅限于“CIIO”在“采購網絡產品和服務”中“影響或者可能影響國家安全”的情形;在修訂后,其適用范圍擴張至一般數據處理者的數據處理活動、國外上市行為,因此引發了廣泛關注。
事實上,網絡安全審查仍然落腳于“影響或者可能影響國家安全”的情形,并非所有的數據處理活動、國外上市行為一概而論。根據《修訂草案》第10條,從客體上,網絡安全審查聚焦于核心數據、重要數據、大量個人信息(如第6條的“100萬”);從后果上,網絡安全審查聚焦于對上述數據的竊取、泄露、毀損、“非法”的利用、出境,以及國外政府對上述數據的影響、控制、惡意利用。
以數據出境為例,并非數據一概不能出境,數據仍然可以“依法”出境。根據《數據安全法》第31條,CIIO的重要數據出境適用《網絡安全法》的規定、其他數據處理者的重要數據出境適用網信辦的規定,個人信息的出境則依據將來《個人信息保護法》的規定。
三、已/擬國外上市公司應對網絡安全審查的合規建議
近期,我國監管機構在網絡安全、數據保護、證券合規等領域的立法與執法行動頻發,《數據安全法》即將在9月1日正式施行。在這個敏感時期,《網絡安全審查辦法》發生修訂,且修訂內容高度匹配近期的監管重點,《修訂草案》有可能在短期內生效。
面對《修訂草案》,我們對已/擬國外上市公司提出以下合規建議:
1、對公司數據資產進行全面盤查,按照數據分類分級的思路,梳理個人信息、重要數據、核心數據的類型、數量、處理目的與方式。
2、對公司業務進行全面檢視,梳理可能存在的數據風險及風險等級,尤其是其中影響或可能影響國家安全的情形。
3、掌握超過100萬用戶個人信息的擬國外上市公司,依法申報網絡安全審查,并為審查預留充分的時間(如至少留出半年時間),同時做好業務受影響(如暫停注冊新用戶)的準備。即使采取個人信息業務剝離、數據托管等模式,亦需充分評估監管機構對以該等模式實現風險規避的接受度。
4、對于數據出境活動,事前開展必要性與風險評估;對于外國司法或執法機構要求提供境內數據的情形,提供前主動報主管機關批準;對于已經出境的數據,及時復盤并視情況采取補救措施。
5、持續跟進立法與執法動向,與監管機構保持良好溝通。
6、持續加強公司內部的數據合規體系建設,提升數據治理整體水平。
京ICP備05019364號-1 
京公網安備110105011258
