作者|跨境资本市场专委会 白宇思 王昱
当前,数据已经成为国家新型生产要素和基础战略资源。保障网络空间与数据的主权和安全,是我国在大数据时代下维护国家安全与独立,保障公共利益的重大需求和挑战。
网络安全审查是国家安全审查的重要组成部分。为防范国家数据安全风险,网络安全审查办公室自2021年7月2日起,先后对“滴滴出行”、“运满满”、“货车帮”、“BOSS直聘”、美光公司等启动网络安全审查。在上述实践中,我国不断修订网络安全审查制度,始终坚持与时俱进的法律发展观。伴随着我国网络安全审查制度的演进与完善,党的二十届三中全会通过了《中共中央关于进一步全面深化改革、推进中国式现代化的决定》,在第三项“健全推动经济高质量发展体制机制”中首次提出 “健全促进实体经济和数字经济深度融合制度”。在此背景下,企业特别是对于关键信息基础设施运营者、网络平台运营者以及有境外资本运作计划的企业应当进一步提高数据安全合规风险防范意识,积极履行可能触发网络安全审查的合规义务,这将有益于其在产业数字化进程中更具竞争优势,有益于维护企业声誉及品牌形象,并且有助于促进我国经济高质量发展。
本文将阐述我国网络安全审查制度的演进以及网络安全审查制度要点,助力企业在经营过程中,特别是在筹划和实施境外上市业务中,基于网络安全审查制度,厘清应重点关注的内容及合规义务。
一、 我国网络安全审查制度演进
(一) 网络安全审查制度的起源
于2015年7月1日生效的《中华人民共和国国家安全法》明确规定“建立国家安全审查和监管的制度和机制”,成为我国网络安全审查制度的上位制度,确立了我国网络安全审查的制度框架和总体思路。
(二) 网络安全审查制度的雏形
2017年6月1日生效的《中华人民共和国网络安全法》第三十五条规定“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查”。
为贯彻落实《中华人民共和国网络安全法》规定的网络安全审查制度,国家互联网信息办公室于2017年5月2日发布《网络产品和服务安全审查办法(试行)》(于2017年6月1日生效,现已废止),通过试行办法的实施,国家对构建网络安全审查制度进行了有益实践。
时隔三年,为更好应对网络空间风险,弥补试行办法不足,国家互联网办公室等12个部门联合发布《网络安全审查办法》,该办法于2020年6月1日生效,其中第二条规定“关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”。
以上法律法规奠定了我国网络安全审查制度雏形,但也同时将网络安全审查的适用范围限定为“关键信息基础设施运营者采购网络产品和服务”。
(三) “滴滴出行”案对网络安全审查制度演进的影响
对“滴滴出行”启动网络安全审查一案对于我国网络安全审查制度演进有重大影响。起因为滴滴全球股份有限公司于2021年6月11日向美国证券交易所递交IPO招股书,并在同年6月30日在美国纽交所上市。网络安全审查办公室于2021年7月2日按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。
2021年7月10日国家互联网信息办公室发布《网络安全审查办法(修订草案征求意见稿)》,扩大网络安全审查适用范围至“数据处理者开展数据处理活动”,并且增加“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的有关规定。
(四) 网络安全审查制度的完善
2021年9月1日《中华人民共和国数据安全法》正式生效,第二十四条明确规定“国家建立数据安全审查制度”,并规定“对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,明确了包括关键信息基础设施运营者在内的所有数据处理者,在开展数据处理活动过程中存在影响或者可能影响国家安全的情形的,纳入国家安全审查范围。
在《中华人民共和国数据安全法》正式生效以及“滴滴出行”案的影响下,国家互联网信息办公室等13个部门于2021年12月28日发布了经修订的《网络安全审查办法》(于2022年2月15日生效)。在肯定原审查办法通过对关键信息基础设施运营者采购活动进行审查和对部分重要产品等发起审查,对于保障关键信息基础设施供应链安全,维护国家安全发挥了重要作用的同时,明确进一步保障网络安全和数据安全,维护国家安全的目的。将网络平台运营者开展影响或者可能影响国家安全的数据处理活动纳入网络安全审查,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。
修订的《网络安全审查办法》在扩大网络安全审查范围的同时,也对审查的工作机制、工作流程等方面进行了调整,主要内容包括:增加中国证券监督管理委员会作为网络安全审查工作机制成员单位;增加运营者申报网络安全审查除需提交申报书和分析报告外,还应提交首次公开募股(IPO)等上市申请文件作为上市审查申报材料的一部分;在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价;明确网络安全审查办公室收到合格申报材料的时间为审查开始时间;延长特别审查程序等。
另外,2024年9月24日国务院公布《网络数据安全管理条例》(尚未生效,将于2025年1月1日生效),第十三条规定“网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查”,继承了《中华人民共和国数据安全法》、修订的《网络安全审查办法》对网络安全审查适用范围扩展的思路。
我国网络安全审查制度的不断完善,为我国网络空间安全和数据安全保障体系建设打下了坚实基础。关键信息基础设施运营者、网络平台运营者以及有境外资本运作计划的企业在开展核心数据、重要数据和个人信息的数据处理活动时,应当主动加强数据安全合规风险防范意识,开展合规工作,判断数据处理活动对国家安全带来的影响,及时向网络安全审查办公室报告。以避免触发网络安全审查而未履行相应的合规义务的情形发生,避免因此对给企业的生产经营、商业信誉、品牌形象等造成不利后果。
二、 网络安全审查制度的适用范围
2022年7月21日,时隔一年,国家互联网信息办公室对滴滴全球股份有限公司作出网络安全审查相关行政处罚的决定,依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO、总裁各处人民币100万元罚款。并且在网络安全审查期间以及之后的一段时间里,伴随着“滴滴出行”App下架整改并且停止新用户注册,“滴滴出行”业务存在较大运营压力。
“滴滴出行”一案对于我国网络安全审查制度演进以及拥有境外资本运作计划的企业产生重大影响。下文将详细介绍我国网络安全制度审查要点,并着重分析拥有境外资本运作计划的企业与之相关的合规风险关注点。
根据现行法律法规,启动网络安全审查适用于下述客体及相关行为,并涉及主动申报及主管部门依职权审查两种启动情形。
主动申报情形之一:关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的
依据《关键信息基础设施安全保护条例》的有关规定,“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。关键信息基础设施认定由前述重要行业和领域的主管部门、监督管理部门负责,并有义务及时将认定结果通知运营者,通报国务院公安部门。因此,实践中在关键信息基础设施运营者的身份认定上,适用“敲门原则”,企业可对此身份进行合规评估及预判,但并不需要企业聘请第三方中介机构进行认定。
依据《网络安全审查办法》,“采购网络产品和服务行为”是指采购核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
“影响或者可能影响国家安全的”的评价标准是依据《网络安全审查办法》第十条规定的国家安全风险因素,包括1产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;2产品和服务供应中断对关键信息基础设施业务连续性的危害;3产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;4产品和服务提供者遵守中国法律、行政法规、部门规章情况;5核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;6上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;7其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。另外,“网络平台运营者开展数据处理活动,影响或者可能影响国家安全的”以及“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动”故依职权审查的情形,同样遵循上述评价标准,下文不再赘述。
主动申报情形之二:网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;掌握超过100万用户个人信息的网络平台运营者赴国外上市的
依据《网络安全审查办法》的有关规定,网络平台运营者在开展数据的收集、存储、使用、加工、传输、提供、公开等数据处理活动,影响或者可能影响国家安全的;存在掌握超过100万用户个人信息赴国外上市的,应当主动申报网络安全审查。
依据《网络安全审查办法》的有关规定,企业需明确了解以下两个应用问题,第一《网络安全审查办法》并未对“网络平台运营者”进行定义,目前也尚无生效的法律法规对网络平台运营者进行准确定义;第二《网络安全审查办法》及其他法律法规未对“掌握超过100万用户个人信息”的范围进行具体解释。在上述问题的基础上,企业在开展合规工作时,不应当抱有侥幸心理。相关适用范围合规风险关注点,将在本文“有境外资本运作计划的企业合规风险关注点”部分予以详细阐述。
主管部门依职权审查的情形:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动
依据《网络安全审查办法》第十六条及第十九条的有关规定,在网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照《网络安全审查办法》的规定进行审查;并且,网络安全审查办公室通过接受举报等形式加强事前事中事后监督,网络安全审查办公室在接受举报并查证属实后,依照《网络安全审查办法》启动相关审查。
美光公司案是网络安全审查办公室依职权启动审查的典型案例。2023年3月31日,为保障关键信息基础设施供应链安全,防范产品问题隐患造成网络安全风险,维护国家安全,网络安全审查办公室对美光公司在华销售的产品实施网络安全审查。2023年5月21日,网络安全审查办公室作出不予通过网络安全审查的结论。并提出,按照《中华人民共和国网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。
三、有境外资本运作计划的企业合规风险关注点
承上文所述的两个应用问题,笔者依据美国证券交易委员会网站公示的信息了解到,在中概股当中,极氪(ZK)、亚朵(ATAT)、震坤行(ZKH)、致保(ZBAO)、量子之歌(QSG)、日日煮(DDC)通过了网络安全审查,覆盖汽车、住宿、工业、保险、交易、食品行业。其他赴美上市中概股企业在招股说明书当中披露其非“关键信息基础设施运营者”、“开展数据处理活动的网络平台运营者”或未“掌握超过100万用户个人信息”。
实务中,我们会首先协助企业确定运营者实体,运营者实体应当是从事相关主营业务,并因此对数据进行收集、存储、使用、加工、传输、提供、公开等数据处理活动。在确定运营者实体后,我们会对其业务和数据进行全面盘点,梳理企业主营业务情况、业务系统中用户量、收集用户个人信息的字段等情况,并与监管部门开展多轮沟通,以确定合规工作目标和具体方法,保障企业高效、安全履行相关义务。
此外,有境外资本运作计划的企业还应当明确了解的是,在《网络安全审查办法》规定的申报条件中,“赴国外上市”的方式不限于首次公开募股(IPO),特殊目的公司并购(SPAC)、反向收购(RTO)、直接上市(DPO)等方式的上市也在审查范围内,企业应当履行相关合规义务;对于修订的《网络安全审查办法》实施前已经完成国外上市的企业,不需要进行申报审查。但是,对于已上市的企业赴国外进行二次上市、双重主要上市等情况,属于网络安全审查范围,企业应当主动申报。
在实务过程中,有部分赴国外上市需求且符合申报条件的企业认为网络安全审查工作是上市活动的“附属品”,审查的内容是与上市活动分裂的“数据”内容,并且投入相关工作会减缓上市进度,这是一种错误的认识。
网络安全审查工作的目的是维护国家安全,重点关注以下两类风险,即“核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险”及“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险”,是审查整个上市活动带来的数据安全风险是否作为国家数据安全风险考虑的因素。并且,根据《境内企业境外发行证券和上市管理试行办法》第九条“在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序”以及第十六条的有关规定“发行人境外首次公开发行或者上市的,应当在境外提交发行上市申请文件后3个工作日内向中国证监会备案”,其中根据《监管规则适用指引——境外发行上市类第2号:备案材料内容和格式指引》,向中国证监会进行备案所需的材料包括“国务院有关主管部门出具的安全评估审查意见(如适用)”。因此,我们可以看到的是,境外上市备案与国家安全审查是两个独立的程序,并且在涉及网络安全审查适用范围的,网络安全审查应当是上市备案的前置条件。因此,网络平台运营者应当高度重视相关工作,在向境外(国外)证券监督管理机构、交易场所等提交发行上市申请前,以及在向中国证监会申请备案之前完成网络安全审查程序,并将国务院有关主管部门出具的安全评估审查意见提交中国证监会备案。
此外,还要说明的是,目前我国为“一国四法域”格局,“赴国外上市”不包含“赴香港上市”。但是这不意味着网络平台运营者赴香港上市过程中可以忽视相应的合规风险和义务。根据《网络安全审查办法》的规定,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序进行审查。因此,计划赴香港上市的企业,应当重点评价上市活动带来的数据安全风险是否作为国家安全风险考虑的因素。
有境外资本运作计划的企业,特别是处于电子商务、医疗健康、人力资源、TMT、保险、市场营销、旅游、教育、运输、助贷等行业的企业,由于掌握了大量国内个人信息,加之平台型经济特性,其面临的数据安全风险逐步加大,应当加强相关合规义务的严格履行。
四、审查主体及主动申报的审查流程
依据《网络安全审查办法》第四条的有关规定,网络安全审查办公室负责制定网络安全审查相关制度规范,组织网络安全审查。实务过程中,由国家网络安全审查认证和市场监管大数据中心(CCRC)在网络安全审查办公室的指导下,承担接收网络安全审查申报材料、对申报材料进行形式审核、具体组织审查工作等任务。
并且,在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制,网络安全审查工作机制全部成员单位对审查结论建议回复书面意见。
主动申报的审查流程具体如下:
1、申报人按照《网络安全审查办法》第八条的有关规定,提交1申报书;2关于影响或者可能影响国家安全的分析报告;3采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;4网络安全审查工作需要的其他材料。
2、网络安全审查办公室自收到符合规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知申报人;
3、如网络安全审查办公室书面通知确定要开展网络安全审查,将自通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可延长15个工作日;
4、网络安全审查工作机制成员单位和相关部门自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知申报人;意见不一致的,按照特别审查程序处理,并通知申报人;
5、按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知申报人。特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
根据上述流程,确需开展网络安全审查的,网络安全审查时限较短的约55个工作日完成,较长的约160个工作日完成,并仍可能延长。网络安全审查办公室要求提供补充材料的,提交补充材料的时间不计入审查时间。在此也建议有赴国外上市需求的企业,因更关注时间进度,应尽早布局相关合规工作。
伴随着新技术与新应用的出现,网络空间大国的博弈日趋激烈。全球经济结构变革,本质上是数据所带来的对传统经济模式的解构和重组。世界进入百年未有之变局,数据因此成为国际政治、经济博弈焦点。对于此,关键信息基础设施运营者、网络平台运营者以及有境外资本运作计划的企业等应当更加深化对于数据安全的认识,主动履行相关义务。
对外开放是我国的基本国策,我国始终支持境内企业依法依规合理利用境外资本市场融资发展。因此,对于赴国外上市企业而言,促进我国数据合规与利用,保障数据的安全与权益更应成为其使命与责任,进而使得中国企业在国际舞台上更好的发出中国声音。
作者简介
白宇思
炜衡北京总所 合伙人
baiyusi@weihenglaw.com
白宇思律师,中国法学会会员、中国行为法学会数据要素法治决策咨询专家委员会数据合规与治理专班专家、CISSP、国际信息系统安全认证联盟(ISC2)会员、工信部认证高级大数据工程师、江苏省大数据交易和流通工程实验室数据安全专委会专家委员、网络空间治理与数字经济法治(长三角)研究基地副研究员、中国网络安全审查认证和市场监管大数据中心(CCRC)讲师、全球数字经济大会中国数据要素50人论坛(CDFF)主持人、北京2022冬奥会及冬残奥会组织委员会官方法律服务商数据及隐私领域业务主办律师、深圳数据交易所首批认证数据交易合规师(DEXCO)及首期认证培训班班干、海淀区大数据与人工智能律师人才库律师。
王昱
炜衡海南所 实习律师
wangyu@weihenglaw.com
王昱,实习律师,毕业于中国政法大学民商经济法学院,拥有较强的英语阅读与写作能力。业务方向:数据合规、数据跨境、民商事诉讼。
排版|刘雅洁
