(原标题:从“网络安全”到“数据主权”的彰显)
2021年7月10日,恰逢《数据安全法》正式颁布一个月,且近期多家国外上市互联网企业被实施网络安全审查之际,国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》(以下简称《征求意见稿》),并向社会公开征求意见。
相较于2020年6月1日开始施行的《网络安全审查办法》(以下简称《办法》),本次《征求意见稿》将数据处理者的数据处理活动及国外上市活动纳入网络安全审查范围,既是对于“数据主权”的彰显,也是对大数据时代国家安全内涵的全面阐释。
一、《网络安全审查办法》与《征求意见稿》之重要条款修订对比
二、被审查主体的扩展及依据
1、被审查主体的扩展
《办法》的适用对象是“关键信息基础设施运营者”,《征求意见稿》将被审查主体扩大至“关键信息基础设施运营者”和“数据处理者”。《征求意见稿》第二条规定,“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。”
2、被审查主体扩展的依据
将数据处理者纳入网络安全审查,扩展了网络安全审查的被审查主体范围,意味着一般数据处理者的数据处理活动也将被纳入网络安全审查范围。这一修订的法律依据主要是《数据安全法》,也是我国“数据安全审查制度”的落地措施。
我国《数据安全法》于2021年6月10日经第十三届全国人民代表大会常务委员会第二十九次会议审议通过,并将于2021年9月1日起施行。而《办法》的颁布时间早于《数据安全法》。因此,依据《数据安全法》对《办法》办法进行修订,避免执法中法律的衔接问题,也是监管部门必然会采取的措施。
《数据安全法》第二十四条规定了数据安全审查制度,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据活动进行国家安全审查。”通过分析《数据安全法》和《办法》的内容不难看出,虽然两种审查都属于国家安全审查的范畴,但其被审查主体和待审查内容却并不相同。
《数据安全法》中的审查内容包括所有影响或可能影响国家安全的数据活动,既包括线上的数据活动,也包括线下的数据活动,且对数据活动主体并未做出限制。而《办法》所审查的主体仅为关键信息基础设施运营者产品或服务的采购环节,无法涵盖非关键信息基础设施运营者的数据处理活动。通过增设相关的被审查主体以及需要审查的活动,从而将数据安全审查制度落地,是本次《征求意见稿》的基本制度目标。
三、审查所针对行为的扩展及依据
1、审查所针对行为的扩展
《办法》所针对的行为是“采购活动”,而《征求意见稿》中则将数据处理活动和国外上市纳入了网络安全审查评估的活动。《征求意见稿》第十条规定,“网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险”。
2、审查所针对行为扩展的依据
将数据处理活动和国外上市纳入网络安全审查,扩展了网络安全审查所针对行为的范畴,这一修订的法律依据同样主要是《数据安全法》,作为“数据安全审查制度”和“数据分类分级保护制度”的落地措施之一。
《征求意见稿》第十条对网络安全审查的评估要素新增“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险”和“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。
《数据安全法》第二十一条对数据分类分级保护制度作出规定,首次提出“核心数据”的概念,明确“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录,加强对重要数据的保护。关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行更加严格的管理制度。”
此次《征求意见稿》将数据处理活动中核心数据、重要数据以及大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,以及国外上市活动中核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险纳入评估要素范畴,是对《数据安全法》中核心数据、重要数据保护的落实,也为个人信息保护作出了衔接。需要注意的是,《数据安全法》并未对重要数据作出界定,目前重要数据目录也尚未确定,仍需持续关注国家、所处地区、主管部门、行业制定重要数据具体目录的相关动态。
四、将国外上市纳入安全审查范围
本次《征求意见稿》的一大亮点是,将企业国外上市活动纳入了网络安全审查范围。《征求意见稿》新增第六条规定,“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”将掌握超过100万用户个人信息的运营者赴国外上市的网络安全审查义务予以明确。
1、国外上市网络安全审查的立法背景
根据相关机构统计,2021年上半年,共有38家中国企业在美国IPO上市,共募资135.37亿美元。[1]在已上市的38家中国企业中,不乏滴滴、满帮、BOSS直聘、知乎、每日优鲜、叮咚买菜等互联网企业,其中“滴滴出行”(上市公司:滴滴)、“BOSS直聘”(上市公司:BOSS直聘)、“运满满”和“货车帮”(上市公司:满帮)均于近期被网络安全审查办公室启动网络安全审查。
2020年12月18日,美国《外国公司问责法案》(HFCA法案)经前总统特朗普签署通过,规定如果外国公司连续三年未能通过美国公众公司会计监督委员会(PCAOB)的审计,将被禁止在美国任何交易所上市。此外,HFCA法案针对外国上市公司规定了额外信息披露要求。美国对于中国企业上市信息披露要求的强化,势必涉及我国重要数据或者大量个人信息、甚至国家核心数据的安全问题。
2、针对国外上市的审查细节变化
针对中国企业赴国外上市而展开的网络安全审查,有三方面的细节值得关注:
(1)将拟提交的IPO材料纳入审查需要的材料
针对中国企业赴国外上市行为涉及的网络安全审查,《征求意见稿》第八条第三款在运营者申报网络安全审查应当提交的材料中,新增“拟提交的IPO材料”。
(2)将证监会纳入网络安全审查成员单位
《征求意见稿》第四条第一款将中国证券监督管理委员会(以下简称“证监会”)纳入网络安全审查工作机制成员单位。结合《征求意见稿》第六条及第八条第三款、第十二条、第十三条规定,赋予了中国证监会通过网络安全审查工作机制参与对境外上市的中国企业进行网络安全审查的工作的权力。
(3)审查需要考虑的因素
根据《征求意见稿》第十条规定,网络安全审查重点评估采购活动、数据处理活动以及国外上市可能带来的国家安全风险,主要考虑以下因素:
●?? 产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或破坏的风险;
●?? 产品和服务供应中断对关键信息基础设施业务连续性的危害;
●?? 产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
●?? 产品和服务提供者遵守中国法律、行政法规、部门规章情况;
●?? 核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;
●?? 国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
其中核心数据、重要数据或大量个人信息出境的风险,以及国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险为针对国外上市的中国企业(尤其是互联网企业)网络安全审查的重要考虑因素。
3、对中国企业赴国外上市的影响
网络安全审查制度作为国家网络安全及数据安全制度的落地措施,是维护国家安全的重要措施。
随着互联网企业对于社会经济生活各个方面服务领域的深化与拓展,大量的个人信息、人群分布数据、交通出行数据、健康医疗数据、公共服务数据、运输物流数据、生产运行数据等逐步集中于特定的网络运营者。而在这些信息和数据中不乏大量的重要数据,乃至国家核心数据。
企业赴国外上市必然涉及信息披露问题,不同国家的股票发行和上市制度对于企业的信息披露要求也有不同。除了正常且通行的一些信息披露原则和规则外,不排除部分目标上市地可能利用上市信息披露规则,要求中国企业向国外监管机构提交与中国数据出境管理制度相违背的信息。对此,通过网络安全审查制度可以将此类国家安全风险降低。
笔者认为,虽然网络安全审查制度的施行可能会增加中国企业赴国外上市的难度。但是,法律并不禁止国外上市,而是防范不规范的国外上市可能引发的国家安全风险。如果企业按照《网络安全法》《数据安全法》及相关法律法规,建立了完善的数据出境管理制度,以及完善的个人信息保护制度、重要数据与核心数据的鉴别与分级保护制度,依照法定流程提交资料,国外上市仍旧是可行的。
4、对已完成国外上市企业的影响
从对已经完成国外上市的“滴滴出行”(上市公司:滴滴)、“BOSS直聘”(上市公司:BOSS直聘)、“运满满”和“货车帮”(上市公司:满帮)实施的网络安全审查可以看出,已经实施国外上市的企业,并不能免除网络安全审查的义务。对此,我们建议,企业应尽快实施自查,考虑从以下几个方面展开自评估或预先评估:
(1)采购活动评估
虽然目前《关键信息基础设施安全保护条例》及风险预判指南尚未颁布,但考虑到上市的互联网企业整体规模与体量,存在被认定为关键信息基础设施运营者的较大可能性,因此,建议参照已有的法律及规则及社会通行的常识对企业是否构成关键信息基础设施运营者进行判断,并进行网络产品和服务采购活动的评估。
(2)个人信息保护风险评估
对于个人信息处理所涉及的全流程、个人信息处理全生命周期的合法合规性做自评估,包括个人信息被窃取、泄露、毁损以及非法利用或出境的风险。虽然当前《个人信息保护法(草案)》《个人信息出境安全评估办法(征求意见稿)》均未正式通过,但为应对将来的审查,企业自身对于数据出境及利用情况可以进行必要的预先评估,以迅速应对新法的颁布。
(3)核心数据、重要数据风险评估
对于核心数据、重要数据所涉及的数据全生命周期的合法合规性进行自评估,包括核心数据、重要数据被窃取、泄露、毁损以及非法利用或出境的风险。对于重要数据、核心数据的出境,虽然评估指引尚未颁布,但从企业合规管理角度考虑,建议构建自身的重要数据目录与出境管理与评估规则,启动内部预先评估。同时,应密切关注《关键信息基础设施安全保护条例》以及重要数据出境安全评估的规则的立法情况。
(4)被国外政府影响、控制、恶意利用的风险评估
企业应尽快整理上市地证券信息披露规则、监管规则,梳理有关的判例、条令等,并将此类相关文件尽快提交中国境内数据安全法律专家或律师进行审查,以判断上述规则是否可能导致国外政府影响、控制、恶意利用我国的关键信息基础设施及核心数据、重要数据或大量个人信息。
《网络安全审查办法(修订草案征求意见稿)》的发布传递了清晰的政策信号,即随着《数据安全法》的颁布,我国的网络安全审查制度加入了“数据安全审查”的新维度,从而将审查从“采购审查”完善为全方位的安全审查,由此构建一个更为完善的网络空间安全审查机制,也彰显了“数据主权”的重要原则。相关企业与单位也应顺势而为,在网络空间主权的原则下构建自身的行为规范。
[1] 瑞恩资本:《中国企业在美国IPO上市(2021年上半年):上市 38 家,募资逾135亿美元》,https://www.ryanbencapital.com/2021/07/06/4c42e04d95/,最后访问时间2021年7月11日。
本文作者:吴卫明,wuweiming@allbrightlaw.com;毛彤,maotong@allbrightlaw.com
本文系未央网专栏作者:吴卫明 发表,内容属作者个人观点,不代表网站观点,未经许可严禁转载,违者必究!