從“網絡安全”到“數據主權”的彰顯
作者:吳衛明 毛彤 2021-07-122021年7月10日,恰逢《數據安全法》正式頒布一個月,且近期多家國外上市互聯網企業被實施網絡安全審查之際,國家互聯網信息辦公室發布《網絡安全審查辦法(修訂草案征求意見稿)》(以下簡稱《征求意見稿》),并向社會公開征求意見。
相較于2020年6月1日開始施行的《網絡安全審查辦法》(以下簡稱《辦法》),本次《征求意見稿》將數據處理者的數據處理活動及國外上市活動納入網絡安全審查范圍,既是對于“數據主權”的彰顯,也是對大數據時代國家安全內涵的全面闡釋。
一、《網絡安全審查辦法》與《征求意見稿》之重要條款修訂對比
《網絡安全審查辦法》 2020年6月1日施行 | 《網絡安全審查辦法(修訂草案征求意見稿)》2021年7月10日征求意見 |
第一條 為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》,制定本辦法。 | 第一條 為了確保關鍵信息基礎設施供應鏈安全,維護國家安全,依據《中華人民共和國國家安全法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》,制定本辦法。 |
第二條 關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。 | 第二條 關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,數據處理者(以下稱運營者)開展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。 |
第四條第一款 在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。 | 第四條第一款 在中央網絡安全和信息化委員會領導下,國家互聯網信息辦公室會同中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局建立國家網絡安全審查工作機制。 |
第六條 掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。 | |
第七條 運營者申報網絡安全審查,應當提交以下材料: …… (三)采購文件、協議、擬簽訂的合同等; | 第八條 運營者申報網絡安全審查,應當提交以下材料: …… (三)采購文件、協議、擬簽訂的合同或擬提交的IPO材料等; |
第九條 網絡安全審查重點評估采購網絡產品和服務可能帶來的國家安全風險,主要考慮以下因素: (一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、泄露、毀損的風險; …… (五)其他可能危害關鍵信息基礎設施安全和國家安全的因素。 | 第十條 網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮以下因素: (一)產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險; …… (五)核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險; (六)國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險; (七)其他可能危害關鍵信息基礎設施安全和國家數據安全的因素。 |
第十三條 特別審查程序一般應當在45個工作日內完成,情況復雜的可以適當延長。 | 第十四條 特別審查程序一般應當在3個月內完成,情況復雜的可以延長。 |
第十五條 網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查。 | 第十六條 網絡安全審查工作機制成員單位認為影響或可能影響國家安全的網絡產品和服務、數據處理活動以及國外上市行為,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,依照本辦法的規定進行審查。 |
第二十條第二款 本辦法所稱網絡產品和服務主要指核心網絡設備、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。 | 第二十一條第二款 本辦法所稱網絡產品和服務主要指核心網絡設備、重要通信產品、高性能計算機和服務器、大容量存儲設備、大型數據庫和應用軟件、網絡安全設備、云計算服務,以及其他對關鍵信息基礎設施安全有重要影響的網絡產品和服務。 |
二、被審查主體的擴展及依據
1、被審查主體的擴展
《辦法》的適用對象是“關鍵信息基礎設施運營者”,《征求意見稿》將被審查主體擴大至“關鍵信息基礎設施運營者”和“數據處理者”。《征求意見稿》第二條規定,“關鍵信息基礎設施運營者(以下簡稱運營者)采購網絡產品和服務,數據處理者(以下稱運營者)開展數據處理活動,影響或可能影響國家安全的,應當按照本辦法進行網絡安全審查。”
2、被審查主體擴展的依據
將數據處理者納入網絡安全審查,擴展了網絡安全審查的被審查主體范圍,意味著一般數據處理者的數據處理活動也將被納入網絡安全審查范圍。這一修訂的法律依據主要是《數據安全法》,也是我國“數據安全審查制度”的落地措施。
我國《數據安全法》于2021年6月10日經第十三屆全國人民代表大會常務委員會第二十九次會議審議通過,并將于2021年9月1日起施行。而《辦法》的頒布時間早于《數據安全法》。因此,依據《數據安全法》對《辦法》辦法進行修訂,避免執法中法律的銜接問題,也是監管部門必然會采取的措施。
《數據安全法》第二十四條規定了數據安全審查制度,“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據活動進行國家安全審查。”通過分析《數據安全法》和《辦法》的內容不難看出,雖然兩種審查都屬于國家安全審查的范疇,但其被審查主體和待審查內容卻并不相同。
《數據安全法》中的審查內容包括所有影響或可能影響國家安全的數據活動,既包括線上的數據活動,也包括線下的數據活動,且對數據活動主體并未做出限制。而《辦法》所審查的主體僅為關鍵信息基礎設施運營者產品或服務的采購環節,無法涵蓋非關鍵信息基礎設施運營者的數據處理活動。通過增設相關的被審查主體以及需要審查的活動,從而將數據安全審查制度落地,是本次《征求意見稿》的基本制度目標。
三、審查所針對行為的擴展及依據
1、審查所針對行為的擴展
《辦法》所針對的行為是“采購活動”,而《征求意見稿》中則將數據處理活動和國外上市納入了網絡安全審查評估的活動。《征求意見稿》第十條規定,“網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險”。
2、審查所針對行為擴展的依據
將數據處理活動和國外上市納入網絡安全審查,擴展了網絡安全審查所針對行為的范疇,這一修訂的法律依據同樣主要是《數據安全法》,作為“數據安全審查制度”和“數據分類分級保護制度”的落地措施之一。
《征求意見稿》第十條對網絡安全審查的評估要素新增“核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險”和“國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險”。
《數據安全法》第二十一條對數據分類分級保護制度作出規定,首次提出“核心數據”的概念,明確“國家數據安全工作協調機制統籌協調有關部門制定重要數據目錄,加強對重要數據的保護。關系國家安全、國民經濟命脈、重要民生、重大公共利益等數據屬于國家核心數據,實行更加嚴格的管理制度。”
此次《征求意見稿》將數據處理活動中核心數據、重要數據以及大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險,以及國外上市活動中核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險納入評估要素范疇,是對《數據安全法》中核心數據、重要數據保護的落實,也為個人信息保護作出了銜接。需要注意的是,《數據安全法》并未對重要數據作出界定,目前重要數據目錄也尚未確定,仍需持續關注國家、所處地區、主管部門、行業制定重要數據具體目錄的相關動態。
四、將國外上市納入安全審查范圍
本次《征求意見稿》的一大亮點是,將企業國外上市活動納入了網絡安全審查范圍。《征求意見稿》新增第六條規定,“掌握超過100萬用戶個人信息的運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”將掌握超過100萬用戶個人信息的運營者赴國外上市的網絡安全審查義務予以明確。
1、國外上市網絡安全審查的立法背景
根據相關機構統計,2021年上半年,共有38家中國企業在美國IPO上市,共募資135.37億美元。[i]在已上市的38家中國企業中,不乏滴滴、滿幫、BOSS直聘、知乎、每日優鮮、叮咚買菜等互聯網企業,其中“滴滴出行”(上市公司:滴滴)、“BOSS直聘”(上市公司:BOSS直聘)、“運滿滿”和“貨車幫”(上市公司:滿幫)均于近期被網絡安全審查辦公室啟動網絡安全審查。
2020年12月18日,美國《外國公司問責法案》(HFCA法案)經前總統特朗普簽署通過,規定如果外國公司連續三年未能通過美國公眾公司會計監督委員會(PCAOB)的審計,將被禁止在美國任何交易所上市。此外,HFCA法案針對外國上市公司規定了額外信息披露要求。美國對于中國企業上市信息披露要求的強化,勢必涉及我國重要數據或者大量個人信息、甚至國家核心數據的安全問題。
2、針對國外上市的審查細節變化
針對中國企業赴國外上市而展開的網絡安全審查,有三方面的細節值得關注:
(1)將擬提交的IPO材料納入審查需要的材料
針對中國企業赴國外上市行為涉及的網絡安全審查,《征求意見稿》第八條第三款在運營者申報網絡安全審查應當提交的材料中,新增“擬提交的IPO材料”。
(2)將證監會納入網絡安全審查成員單位
《征求意見稿》第四條第一款將中國證券監督管理委員會(以下簡稱“證監會”)納入網絡安全審查工作機制成員單位。結合《征求意見稿》第六條及第八條第三款、第十二條、第十三條規定,賦予了中國證監會通過網絡安全審查工作機制參與對境外上市的中國企業進行網絡安全審查的工作的權力。
(3)審查需要考慮的因素
根據《征求意見稿》第十條規定,網絡安全審查重點評估采購活動、數據處理活動以及國外上市可能帶來的國家安全風險,主要考慮以下因素:
● 產品和服務使用后帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞的風險;
● 產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害;
● 產品和服務的安全性、開放性、透明性、來源的多樣性,供應渠道的可靠性以及因為政治、外交、貿易等因素導致供應中斷的風險;
● 產品和服務提供者遵守中國法律、行政法規、部門規章情況;
● 核心數據、重要數據或大量個人信息被竊取、泄露、毀損以及非法利用或出境的風險;
● 國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險。
其中核心數據、重要數據或大量個人信息出境的風險,以及國外上市后關鍵信息基礎設施,核心數據、重要數據或大量個人信息被國外政府影響、控制、惡意利用的風險為針對國外上市的中國企業(尤其是互聯網企業)網絡安全審查的重要考慮因素。
3、對中國企業赴國外上市的影響
網絡安全審查制度作為國家網絡安全及數據安全制度的落地措施,是維護國家安全的重要措施。
隨著互聯網企業對于社會經濟生活各個方面服務領域的深化與拓展,大量的個人信息、人群分布數據、交通出行數據、健康醫療數據、公共服務數據、運輸物流數據、生產運行數據等逐步集中于特定的網絡運營者。而在這些信息和數據中不乏大量的重要數據,乃至國家核心數據。
企業赴國外上市必然涉及信息披露問題,不同國家的股票發行和上市制度對于企業的信息披露要求也有不同。除了正常且通行的一些信息披露原則和規則外,不排除部分目標上市地可能利用上市信息披露規則,要求中國企業向國外監管機構提交與中國數據出境管理制度相違背的信息。對此,通過網絡安全審查制度可以將此類國家安全風險降低。
筆者認為,雖然網絡安全審查制度的施行可能會增加中國企業赴國外上市的難度。但是,法律并不禁止國外上市,而是防范不規范的國外上市可能引發的國家安全風險。如果企業按照《網絡安全法》《數據安全法》及相關法律法規,建立了完善的數據出境管理制度,以及完善的個人信息保護制度、重要數據與核心數據的鑒別與分級保護制度,依照法定流程提交資料,國外上市仍舊是可行的。
4、對已完成國外上市企業的影響
從對已經完成國外上市的“滴滴出行”(上市公司:滴滴)、“BOSS直聘”(上市公司:BOSS直聘)、“運滿滿”和“貨車幫”(上市公司:滿幫)實施的網絡安全審查可以看出,已經實施國外上市的企業,并不能免除網絡安全審查的義務。對此,我們建議,企業應盡快實施自查,考慮從以下幾個方面展開自評估或預先評估:
(1)采購活動評估
雖然目前《關鍵信息基礎設施安全保護條例》及風險預判指南尚未頒布,但考慮到上市的互聯網企業整體規模與體量,存在被認定為關鍵信息基礎設施運營者的較大可能性,因此,建議參照已有的法律及規則及社會通行的常識對企業是否構成關鍵信息基礎設施運營者進行判斷,并進行網絡產品和服務采購活動的評估。
(2)個人信息保護風險評估
對于個人信息處理所涉及的全流程、個人信息處理全生命周期的合法合規性做自評估,包括個人信息被竊取、泄露、毀損以及非法利用或出境的風險。雖然當前《個人信息保護法(草案)》《個人信息出境安全評估辦法(征求意見稿)》均未正式通過,但為應對將來的審查,企業自身對于數據出境及利用情況可以進行必要的預先評估,以迅速應對新法的頒布。
(3)核心數據、重要數據風險評估
對于核心數據、重要數據所涉及的數據全生命周期的合法合規性進行自評估,包括核心數據、重要數據被竊取、泄露、毀損以及非法利用或出境的風險。對于重要數據、核心數據的出境,雖然評估指引尚未頒布,但從企業合規管理角度考慮,建議構建自身的重要數據目錄與出境管理與評估規則,啟動內部預先評估。同時,應密切關注《關鍵信息基礎設施安全保護條例》以及重要數據出境安全評估的規則的立法情況。
(4)被國外政府影響、控制、惡意利用的風險評估
企業應盡快整理上市地證券信息披露規則、監管規則,梳理有關的判例、條令等,并將此類相關文件盡快提交中國境內數據安全法律專家或律師進行審查,以判斷上述規則是否可能導致國外政府影響、控制、惡意利用我國的關鍵信息基礎設施及核心數據、重要數據或大量個人信息。
《網絡安全審查辦法(修訂草案征求意見稿)》的發布傳遞了清晰的政策信號,即隨著《數據安全法》的頒布,我國的網絡安全審查制度加入了“數據安全審查”的新維度,從而將審查從“采購審查”完善為全方位的安全審查,由此構建一個更為完善的網絡空間安全審查機制,也彰顯了“數據主權”的重要原則。相關企業與單位也應順勢而為,在網絡空間主權的原則下構建自身的行為規范。
[i] 瑞恩資本:《中國企業在美國IPO上市(2021年上半年):上市 38 家,募資逾135億美元》,https://www.ryanbencapital.com/2021/07/06/4c42e04d95/,最后訪問時間2021年7月11日。
