(网经社讯)要依法加强对大数据的管理。一些涉及国家利益、国家安全的数据,很多掌握在互联网企业手里,企业要保证这些数据安全。
企业要重视数据安全。如果企业在数据保护和安全上出了问题,对自己的信誉也会产生不利影响。
——2016年4月19日习近平在网络安全和信息化工作座谈会上的讲话
2021年7月10日,国家互联网信息办公室(下称“网信办”)发布了《网络安全审查办法(修订草案征求意见稿)》(下称“《征求意见稿》”)。拟对2020年6月1日生效的《网络安全审查办法》进行修订。
在网络安全审查办公室依据现行《网络安全审查办法》对“滴滴出行”“运满满”、“货车帮”、“BOSS直聘”等近期赴美IPO的企业实施安全审查的背景下,此次征求意见稿的发布,可以揭示出未来一段时间网络安全审查重点关注的对象将会是前往国外进行上市的行为。
一、数据安全审查的接入
《征求意见稿》第1条与第20条中将《数据安全法》新增为上位法,将数据安全审查的法律义务引入了网络安全审查。《网络安全法》中的网络安全审查制度,并未明晰是否可以进行上诉或复议,但《数据安全法》中明确规定了“依法作出的安全审查决定为最终决定。”
目前,从《征求意见稿》接入数据安全审查制度来看,网络安全审查与数据安全审查极有可能合并进行。
除此以外,《征求意见稿》还拟将《数据安全法》中新增的“核心数据”保护列为审查考虑因素,与“重要数据”、“大量个人信息出境”统筹纳入风险评估的考虑因素。
二、扩展网络安全审查的适用范围
《征求意见稿》拟扩大网络安全审查的范围,第2条将“数据处理者”的数据处理活动也纳入审查范围。根据《数据安全法》第3条,数据处理“包括数据的收集、存储、使用、加工、传输、提供、公开等”。原本仅关注CIIO的网络安全审查制度适用范围陡然增加,这也意味着企业判断自身是否需要开展网络安全审查的场景也显著增加。
原本企业只要不是CIIO,就可以基本可以不再关注网络安全审查制度,但目前因为数据处理保罗万象,需要企业以是否可能影响国家安全自己为网络安全审查启动的判断标准。
网络安全审查的启动,除了《征求意见稿》第2条,在第17条同样进行了扩张。现行《网络安全审查办法》中,主动审查仅包括针对可能影响国家安全的网络产品和服务,目前则增加了更多的情形:
网络安全审查范围的扩展,不仅会影响中国企业通过VIE架构赴海外上市,也会影响在中国运营的外国企业在外国进行上市。其核心在于掌握大量中国个人信息的企业在上市后数据的掌控能力。
三、加入证监会
《征求意见稿》第4条将中国证券监督管理委员会(下称“证监会”)纳入网络安全审查成员单位。结合第6条的相关规定,我们认为这揭示出未来一段时间网络安全审查重点关注的对象将会是前往国外进行上市的行为。
此前,为应对“瑞幸咖啡财务造假事件”的域外调查,2020年3月1日起施行的《中华人民共和国证券法》(下称“《证券法》”)第177条新增规定境外证券监督管理机构不得在中国境内直接进行调查取证等活动;未经中国证监会和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
对于《证券法》177条第二款是否包含上市前的文件和资料一直存在争议,且结合第一款规定及瑞幸事件发生的背景,普遍认为第二款并未赋予证监会对赴境外上市企业的申报文件及资料进行审查的权利。
而《征求意见稿》第4条、第6条及第8条第三款则赋予了证监会通过网络安全审查对赴国外上市企业的IPO材料进行审查的权利。
四、新审查阈值:100万用户个人信息
《征求意见稿》第6条明确列举了对于掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。就该条中使用的“国外”一词而言,自文义观之,其区别于“境外”,似排除了中国境内企业境外上市主要选择地,即在香港特别行政区进行上市情形的适用。
考虑到赴国外上市的中国企业以TMT行业(科技、媒体和通信)、出行、医疗、文娱、教育行业为主,这类企业的用户个人信息及数据众多。如果说此前未涉及敏感数据、大量个人信息及跨境传输等情形不会成为国外上市的主要障碍。就该条触发网络安全审查适用的阈值100万条数量而言可以说轻而易举即可触发,其后果可能导致赴国外上市必然招致进行网络安全审查。
准此而言,对于掌握100万条个人信息的运营者拟选择国外上市的企业,从网络安全审查的角度而言,为了加大网络安全审查通过的可能性,除了关注中国法项下对个人信息及数据保护的相关规定并进行落地外,在其供应链的选择上可能要考虑选择经过中国相关主管部门认证或测评的网络产品、服务及本国供应商。
除了100万用户这一阈值,10万用户是另一需要关注的门槛。同样是国家互联网信息办公室发布的《汽车数据安全管理若干规定(征求意见稿)》中,规定处理个人信息涉及个人信息主体超过10万人的,就需要每年向有关部门提交数据安全管理情况报告。
因此,对于企业在履行分类分级工作过程中,对数量的判断会直接影响到合规的义务。
五、延长期限
在审查期限方面,原先的特别审查期限为45个工作日(约2.75个月),目前延长至3个月。
六、我们的关注与建议
从近期的监管来看,数据合规日益成为企业生死存亡的决定性因素。尤其是个人信息保护,正在成为企业数据合规工作中最容易暴露的“短板”。
面对不断收紧的互联网监管环境,以及日趋明晰的法律、法规及部门规章,我们对涉网供应链上的在华运营的跨国公司、拟通过红筹境外上市及已在境外上市企业等企业等提出以下合规建议:
1. 在日常经营过程中,密切关注中国立法机关及监管机关不时更新的关于个人信息保护及数据保护相关法律、法规、部门规章、相关规范性文件及执法案例,把握执法重点,主动对其监管要求。
2. 全面落实个人信息及数据安全保护制度、等级保护制度、数据本地化存储及数据跨境合规措施及行业最佳实践,在《网络安全法》《数据安全法》《个人信息保护法》的框架下落实各项合规义务。
3. 企业安全审查的重心须从单一产品的技术性安全走向供应链安全。企业需加强对供应商的事前尽调评估工作、完善事中事后延伸检查及合规审计、保障开展业务连续性,为有效防范数据泄露、窃取、损毁、非法篡改需要对整个供应链有完善的管理。
4. 在上市前或上市后,持续保证业务合规性,在向境外合作方或母公司、向境外监管机关提供个人信息或数据前,严格按照法律法规及规范履行相应的获得授权、进行评估、备案或审批程序。此外,企业还应当将网络安全审查的周期纳入考量范围,可能持续数个月的网络安全审查会对赴国外上市的进程造成显著影响。
5. 此次《征求意见稿》,重点关注了赴国外上市的情形,预期作为国内城市的香港(“境外”与“国外”是两个不同的法律概念)将成为境外上市的热门候选,有融资需要的企业可以充分评估赴港上市的可能性。
6. 无论是否上市,在可能涉及协议控制的场景下,应重点关注条款中数据控制的问题,如果企业所掌握的核心数据、重要数据或大量个人信息即使不出境,但存在可能被国外政府影响、控制、恶意利用的风险,那么就可能被纳入监管部门的视野。