題21-1_畫板 1 副本.png)
題21-1_畫板 1.png)
2021年7月10日,國(guó)家互聯(lián)網(wǎng)信息辦公室(以下簡(jiǎn)稱“網(wǎng)信辦”)發(fā)布《網(wǎng)絡(luò)安全審查辦法(修訂草案征求意見稿)》(以下簡(jiǎn)稱“《修訂草案》”)。一方面,《修訂草案》擴(kuò)張了網(wǎng)絡(luò)安全審查的適用范圍,從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者(以下簡(jiǎn)稱“CIIO”)的采購(gòu)活動(dòng)與供應(yīng)鏈安全,擴(kuò)張至同時(shí)包含一般數(shù)據(jù)處理者在數(shù)據(jù)處理活動(dòng)中的數(shù)據(jù)安全;另一方面,《修訂草案》繼續(xù)以“國(guó)家安全”為落腳點(diǎn),網(wǎng)絡(luò)安全審查的適用門檻仍限于“影響或者可能影響國(guó)家安全”的情形。國(guó)外上市成為引發(fā)審查的重要關(guān)注點(diǎn)。
本文聚焦于已國(guó)外上市公司、擬國(guó)外上市公司(以下合稱“已/擬國(guó)外上市公司”)的視角,重點(diǎn)評(píng)析在《網(wǎng)絡(luò)安全審查辦法》修訂的大背景下,已/擬國(guó)外上市公司如何有針對(duì)性地進(jìn)行自我審視與合規(guī)應(yīng)對(duì)。
一、《網(wǎng)絡(luò)安全審查辦法》修訂背景:強(qiáng)化跨境數(shù)據(jù)安全管理的監(jiān)管環(huán)境
近期,我國(guó)監(jiān)管機(jī)構(gòu)在網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、證券合規(guī)等領(lǐng)域的立法與執(zhí)法行動(dòng)頻發(fā),呈現(xiàn)出強(qiáng)監(jiān)管態(tài)勢(shì)。網(wǎng)絡(luò)安全審查制度作為監(jiān)管網(wǎng)絡(luò)中的節(jié)點(diǎn)之一,與其他機(jī)制環(huán)環(huán)相扣、相輔相成。
1、《修訂草案》為《數(shù)據(jù)安全法》下的數(shù)據(jù)安全審查提供細(xì)化規(guī)定
《國(guó)家安全法》第59條建立了國(guó)家安全審查制度,對(duì)影響或可能影響國(guó)家安全的網(wǎng)絡(luò)信息技術(shù)產(chǎn)品和服務(wù)進(jìn)行國(guó)家安全審查;《數(shù)據(jù)安全法》第24條建立了數(shù)據(jù)安全審查制度,對(duì)影響或可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)進(jìn)行國(guó)家安全審查。
但是,《數(shù)據(jù)安全法》并未對(duì)數(shù)據(jù)安全審查進(jìn)行具體規(guī)定,目前也缺乏可供參考的實(shí)施細(xì)則。在《數(shù)據(jù)安全法》即將于9月1日生效前的窗口期,《修訂草案》特別將數(shù)據(jù)處理活動(dòng)(尤其針對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)和大量個(gè)人信息)納入網(wǎng)絡(luò)安全審查的范圍,并在第10條簡(jiǎn)要提出了數(shù)據(jù)相關(guān)的審查因素,為數(shù)據(jù)安全審查制度提供了指引性的規(guī)定。
具體而言,《修訂草案》在堅(jiān)持“影響或者可能影響國(guó)家安全”大原則的同時(shí),將網(wǎng)絡(luò)安全審查的適用范圍擴(kuò)張至數(shù)據(jù)處理者開展的數(shù)據(jù)處理活動(dòng)。一般的數(shù)據(jù)處理活動(dòng)或許難以上升至國(guó)家安全層面,但國(guó)外上市在上市申請(qǐng)中和上市后均難以避免向國(guó)外監(jiān)管機(jī)構(gòu)提供材料,數(shù)據(jù)安全風(fēng)險(xiǎn)亦將提升。
《修訂草案》的網(wǎng)絡(luò)安全審查覆蓋了國(guó)外上市的事前事后全流程,為數(shù)據(jù)安全與證券監(jiān)管預(yù)留了充分的空間。對(duì)于擬國(guó)外上市公司,《修訂草案》為“掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者”設(shè)定了主動(dòng)申報(bào)的義務(wù);即使不滿足100萬(wàn)的標(biāo)準(zhǔn),或已國(guó)外上市公司,仍然可能被依職權(quán)提起審查,其關(guān)注重點(diǎn)在于核心數(shù)據(jù)、重要數(shù)據(jù)、大量個(gè)人信息的竊取、泄露、毀損,和“非法”利用、出境,以及國(guó)外政府對(duì)上述數(shù)據(jù)的影響、控制、惡意利用。
2、《修訂草案》與跨境證券監(jiān)管形成支撐與呼應(yīng)
2021年7月6日,中共中央辦公廳、國(guó)務(wù)院辦公廳印發(fā)《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見》,要求完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī),尤其在境外發(fā)行證券與上市中壓實(shí)境外上市公司信息安全主體責(zé)任。一方面,加強(qiáng)跨境監(jiān)管合作;另一方面,對(duì)抗境外機(jī)構(gòu)對(duì)中概股公司的信息披露要求(如美國(guó)《外國(guó)公司問(wèn)責(zé)法案》)。
在加強(qiáng)跨境證券監(jiān)管的大背景下,《修訂草案》專門在國(guó)家網(wǎng)絡(luò)安全審查工作機(jī)制中加入中國(guó)證券監(jiān)督管理委員會(huì),并就國(guó)外上市行為進(jìn)行特別規(guī)定,從而為已/擬國(guó)外上市公司的監(jiān)管創(chuàng)設(shè)了網(wǎng)絡(luò)安全審查的防線。目前,已有若干公司取消或擱置了其赴國(guó)外上市的計(jì)劃,更多擬國(guó)外上市公司正在觀望監(jiān)管態(tài)度、并適時(shí)作出相應(yīng)調(diào)整。
二、已/擬國(guó)外上市公司如何解讀《修訂草案》的重點(diǎn)變化
1、“掌握”和“不掌握”個(gè)人信息的界限何在?
根據(jù)《修訂草案》第6條,掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市,必須申報(bào)網(wǎng)絡(luò)安全審查。在我國(guó)當(dāng)前的互聯(lián)網(wǎng)發(fā)展規(guī)模下,100萬(wàn)用戶個(gè)人信息是一個(gè)較低的門檻。擬國(guó)外上市公司在實(shí)踐中采用業(yè)務(wù)剝離、數(shù)據(jù)托管等模式有助于降低因上市而導(dǎo)致數(shù)據(jù)被國(guó)外政府調(diào)取的風(fēng)險(xiǎn),但能否因此被認(rèn)為“不掌握”個(gè)人信息尚不清晰。
(1)擬國(guó)外上市公司將個(gè)人信息相關(guān)業(yè)務(wù)剝離至非上市的關(guān)聯(lián)公司,由關(guān)聯(lián)公司開展個(gè)人信息處理活動(dòng)。這一模式在一定程度上可以避免擬國(guó)外上市公司直接掌握個(gè)人信息、進(jìn)而消減國(guó)外監(jiān)管機(jī)構(gòu)獲取相關(guān)數(shù)據(jù)的可能性。
(2)擬國(guó)外上市公司將個(gè)人信息交由非關(guān)聯(lián)的第三方托管,其僅在依據(jù)托管協(xié)議及用戶單獨(dú)授權(quán)的情況下才可處理個(gè)人信息。例如,微軟在德國(guó)運(yùn)營(yíng)云計(jì)算服務(wù)Azure時(shí),將數(shù)據(jù)的控制權(quán)交由德國(guó)的數(shù)據(jù)托管機(jī)構(gòu),微軟無(wú)法自行訪問(wèn)數(shù)據(jù)。擬國(guó)外上市公司可以申明已通過(guò)協(xié)議讓渡對(duì)數(shù)據(jù)的控制權(quán),但合同約定具有相對(duì)性,實(shí)踐中可能難以徹底對(duì)抗監(jiān)管要求。
2、不掌握個(gè)人信息就無(wú)需顧忌網(wǎng)絡(luò)安全審查嗎?
對(duì)于赴國(guó)外上市前必須申報(bào)網(wǎng)絡(luò)安全審查的適用范圍,《修訂草案》第6條僅規(guī)定了“掌握超過(guò)100萬(wàn)用戶個(gè)人信息”的情形,但從全文來(lái)看,國(guó)外上市可能影響國(guó)家安全時(shí),也可能引發(fā)依職權(quán)啟動(dòng)的網(wǎng)絡(luò)安全審查。
(1)重要數(shù)據(jù)與核心數(shù)據(jù)。《修訂草案》在立法依據(jù)中新增了《數(shù)據(jù)安全法》,而重要數(shù)據(jù)和核心數(shù)據(jù)正是《數(shù)據(jù)安全法》的重點(diǎn)之一,且在《修訂草案》第10條中和“大量個(gè)人信息”并列,同樣作為網(wǎng)絡(luò)安全審查的考慮因素。目前,我國(guó)關(guān)于重要數(shù)據(jù)和核心數(shù)據(jù)的目錄還不明晰,但已有立法征求意見稿開始嘗試界定重要數(shù)據(jù),企業(yè)應(yīng)當(dāng)對(duì)此予以充分重視。
(2)依職權(quán)審查。除主動(dòng)申報(bào)之外,《修訂草案》第16條規(guī)定了依職權(quán)審查的模式,網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為數(shù)據(jù)處理活動(dòng)、國(guó)外上市行為影響或可能影響國(guó)家安全的,經(jīng)報(bào)批程序后可啟動(dòng)審查。當(dāng)前正是數(shù)據(jù)合規(guī)監(jiān)管的敏感時(shí)期,不排除監(jiān)管機(jī)構(gòu)開展普查摸底活動(dòng),但從《修訂草案》第10條而言,監(jiān)管本意是針對(duì)“核心數(shù)據(jù)、重要數(shù)據(jù)、大量個(gè)人信息”的“竊取、泄露、毀損以及非法利用或出境”,而非任何數(shù)據(jù)的任何處理活動(dòng)都一概納入網(wǎng)絡(luò)安全審查。
3、已國(guó)外上市公司可以獨(dú)善其身嗎?
《修訂草案》新增的第6條直接針對(duì)擬國(guó)外上市公司,但從實(shí)質(zhì)而言,網(wǎng)絡(luò)安全審查的關(guān)注點(diǎn)在于國(guó)外上市對(duì)我國(guó)國(guó)家安全、數(shù)據(jù)安全的影響,這既包括上市前的預(yù)防性審查,也包括上市后的監(jiān)督性審查。《修訂草案》第10.6條矛頭直指國(guó)外上市后我國(guó)數(shù)據(jù)“被國(guó)外政府影響、控制、惡意利用的風(fēng)險(xiǎn)”,因此,已國(guó)外上市公司雖然不必補(bǔ)充申報(bào),但仍然可能被依職權(quán)提起審查。
在某種程度上,已國(guó)外上市公司具有更強(qiáng)的審查必要性。在上市申請(qǐng)中,擬國(guó)外上市公司可能對(duì)外提供的主要是與上市相關(guān)的數(shù)據(jù),有關(guān)的國(guó)外監(jiān)管機(jī)構(gòu)一般僅限于證券監(jiān)管機(jī)構(gòu)(如美國(guó)SEC)。在上市后,已國(guó)外上市公司受制于更多的國(guó)外監(jiān)管機(jī)構(gòu),涉及的數(shù)據(jù)范圍可能更廣。例如,外國(guó)公司在美上市后將會(huì)受到FCPA的管轄,F(xiàn)CPA調(diào)查往往需要公司披露經(jīng)營(yíng)活動(dòng)中的大量文件、可能涉及公司的核心業(yè)務(wù)數(shù)據(jù)。除了SEC外,DOJ也可以啟動(dòng)FCPA調(diào)查。結(jié)合《數(shù)據(jù)安全法》第36條,公司向外國(guó)司法或執(zhí)法機(jī)構(gòu)提供境內(nèi)數(shù)據(jù)的,須經(jīng)主管機(jī)關(guān)批準(zhǔn),由此可能觸發(fā)網(wǎng)絡(luò)安全審查。
4、國(guó)外上市行為動(dòng)輒得咎?
《修訂草案》在近期數(shù)據(jù)合規(guī)事件高潮迭起的大環(huán)境中發(fā)布,進(jìn)一步加劇了市場(chǎng)的緊張情緒,不免引發(fā)過(guò)度解讀的傾向。在修訂前,網(wǎng)絡(luò)安全審查的適用范圍僅限于“CIIO”在“采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)”中“影響或者可能影響國(guó)家安全”的情形;在修訂后,其適用范圍擴(kuò)張至一般數(shù)據(jù)處理者的數(shù)據(jù)處理活動(dòng)、國(guó)外上市行為,因此引發(fā)了廣泛關(guān)注。
事實(shí)上,網(wǎng)絡(luò)安全審查仍然落腳于“影響或者可能影響國(guó)家安全”的情形,并非所有的數(shù)據(jù)處理活動(dòng)、國(guó)外上市行為一概而論。根據(jù)《修訂草案》第10條,從客體上,網(wǎng)絡(luò)安全審查聚焦于核心數(shù)據(jù)、重要數(shù)據(jù)、大量個(gè)人信息(如第6條的“100萬(wàn)”);從后果上,網(wǎng)絡(luò)安全審查聚焦于對(duì)上述數(shù)據(jù)的竊取、泄露、毀損、“非法”的利用、出境,以及國(guó)外政府對(duì)上述數(shù)據(jù)的影響、控制、惡意利用。
以數(shù)據(jù)出境為例,并非數(shù)據(jù)一概不能出境,數(shù)據(jù)仍然可以“依法”出境。根據(jù)《數(shù)據(jù)安全法》第31條,CIIO的重要數(shù)據(jù)出境適用《網(wǎng)絡(luò)安全法》的規(guī)定、其他數(shù)據(jù)處理者的重要數(shù)據(jù)出境適用網(wǎng)信辦的規(guī)定,個(gè)人信息的出境則依據(jù)將來(lái)《個(gè)人信息保護(hù)法》的規(guī)定。
三、已/擬國(guó)外上市公司應(yīng)對(duì)網(wǎng)絡(luò)安全審查的合規(guī)建議
近期,我國(guó)監(jiān)管機(jī)構(gòu)在網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)、證券合規(guī)等領(lǐng)域的立法與執(zhí)法行動(dòng)頻發(fā),《數(shù)據(jù)安全法》即將在9月1日正式施行。在這個(gè)敏感時(shí)期,《網(wǎng)絡(luò)安全審查辦法》發(fā)生修訂,且修訂內(nèi)容高度匹配近期的監(jiān)管重點(diǎn),《修訂草案》有可能在短期內(nèi)生效。
面對(duì)《修訂草案》,我們對(duì)已/擬國(guó)外上市公司提出以下合規(guī)建議:
1、對(duì)公司數(shù)據(jù)資產(chǎn)進(jìn)行全面盤查,按照數(shù)據(jù)分類分級(jí)的思路,梳理個(gè)人信息、重要數(shù)據(jù)、核心數(shù)據(jù)的類型、數(shù)量、處理目的與方式。
2、對(duì)公司業(yè)務(wù)進(jìn)行全面檢視,梳理可能存在的數(shù)據(jù)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)等級(jí),尤其是其中影響或可能影響國(guó)家安全的情形。
3、掌握超過(guò)100萬(wàn)用戶個(gè)人信息的擬國(guó)外上市公司,依法申報(bào)網(wǎng)絡(luò)安全審查,并為審查預(yù)留充分的時(shí)間(如至少留出半年時(shí)間),同時(shí)做好業(yè)務(wù)受影響(如暫停注冊(cè)新用戶)的準(zhǔn)備。即使采取個(gè)人信息業(yè)務(wù)剝離、數(shù)據(jù)托管等模式,亦需充分評(píng)估監(jiān)管機(jī)構(gòu)對(duì)以該等模式實(shí)現(xiàn)風(fēng)險(xiǎn)規(guī)避的接受度。
4、對(duì)于數(shù)據(jù)出境活動(dòng),事前開展必要性與風(fēng)險(xiǎn)評(píng)估;對(duì)于外國(guó)司法或執(zhí)法機(jī)構(gòu)要求提供境內(nèi)數(shù)據(jù)的情形,提供前主動(dòng)報(bào)主管機(jī)關(guān)批準(zhǔn);對(duì)于已經(jīng)出境的數(shù)據(jù),及時(shí)復(fù)盤并視情況采取補(bǔ)救措施。
5、持續(xù)跟進(jìn)立法與執(zhí)法動(dòng)向,與監(jiān)管機(jī)構(gòu)保持良好溝通。
6、持續(xù)加強(qiáng)公司內(nèi)部的數(shù)據(jù)合規(guī)體系建設(shè),提升數(shù)據(jù)治理整體水平。
京ICP備05019364號(hào)-1 .png "備案圖標(biāo).png"){kind=small}
京公網(wǎng)安備110105011258
