網(wǎng)上投稿
隨著法規(guī)建設(shè)和監(jiān)管體系的日趨完善, 無論是從監(jiān)管的角度, 亦或擬上市企業(yè)的角度, 尤其是對于那些具備大量網(wǎng)絡(luò)數(shù)據(jù)或個人信息的企業(yè), 其上市過程中的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題被愈發(fā)重視。尤其在近一年多企業(yè)境外上市的熱潮中,無論是本所服務(wù)的境外上市企業(yè), 還是市場公開項目, 越來越多的企業(yè)在境外上市過程中聘請專業(yè)的數(shù)據(jù)合規(guī)顧問處理復(fù)雜的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題。
本文作為“企業(yè)境外上市中的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題”系列文章的第二篇, 旨在總結(jié)本所“企業(yè)境外上市數(shù)據(jù)合規(guī)小組”過往諸多項目實務(wù)經(jīng)驗, 梳理企業(yè)境外上市過程中涉及的網(wǎng)絡(luò)安全審查和數(shù)據(jù)出境合規(guī)要點, 以供相關(guān)企業(yè)或境外上市中介機構(gòu)參考。
第一部分 境外上市中的網(wǎng)絡(luò)安全審查
一、觸發(fā)網(wǎng)絡(luò)安全審查的情形
目前, 我國有關(guān)網(wǎng)絡(luò)安全審查制度及具體實施要求主要由《網(wǎng)絡(luò)安全法》《網(wǎng)絡(luò)安全審查辦法》規(guī)制。根據(jù)網(wǎng)絡(luò)安全審查工作機制成員單位[1]是否主動發(fā)起審查, 網(wǎng)絡(luò)安全審查的觸發(fā)情形可被區(qū)分為兩類, 分別為依申報審查和依職權(quán)審查。
1. 依申報審查
依申報審查是指在符合以下任一情形時, 由當事人按照《網(wǎng)絡(luò)安全審查辦法》進行網(wǎng)絡(luò)安全審查自主申報:
(1)關(guān)鍵信息基礎(chǔ)設(shè)施運營者(“CIIO”)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù), 影響或者可能影響國家安全的;
(2)網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動, 影響或者可能影響國家安全的(此處的“數(shù)據(jù)處理活動”指網(wǎng)絡(luò)數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動);
(3網(wǎng)絡(luò)平臺運營者掌握超過100萬用戶個人信息, 且赴國外上市。
根據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》, CIIO是指“公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的, 以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露, 可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)”。重要行業(yè)和領(lǐng)域的主管部門、監(jiān)督管理部門將會自行認定運營者是否系CIIO并予以通知, 運營者無需進行自行判斷; 換言之, 若企業(yè)未曾收到監(jiān)管機構(gòu)認定其構(gòu)成或可能構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運營者的通知, 則可認為企業(yè)不屬于關(guān)鍵信息基礎(chǔ)設(shè)施運營者, 有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施運營者的網(wǎng)絡(luò)安全審查申報義務(wù)不適用于該企業(yè)。
此外,《網(wǎng)絡(luò)安全審查辦法》及相關(guān)法律法規(guī)中并未對“網(wǎng)絡(luò)平臺運營者”作出明確定義, 企業(yè)需要結(jié)合業(yè)務(wù)內(nèi)容和數(shù)據(jù)處理活動內(nèi)容來進行實質(zhì)判斷, 實踐中, 通過互聯(lián)網(wǎng)平臺方式向大量C端個人消費者提供商品或服務(wù)的企業(yè)具有不小概率會被認定為“網(wǎng)絡(luò)平臺運營者”, 常見的如從事電子商務(wù)、居民生活服務(wù)、互聯(lián)網(wǎng)零售等業(yè)務(wù)的企業(yè)。
2. 依職權(quán)審查
網(wǎng)絡(luò)安全審查工作機制成員單位認為影響或者可能影響國家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動, 由網(wǎng)絡(luò)安全審查辦公室按程序報中央網(wǎng)絡(luò)安全和信息化委員會批準后, 根據(jù)其職權(quán)主動發(fā)起網(wǎng)絡(luò)安全審查。
二、境外上市過程中的網(wǎng)絡(luò)安全審查
國家互聯(lián)網(wǎng)信息辦公室在《網(wǎng)絡(luò)安全審查辦法》答記者中明確指出, 網(wǎng)絡(luò)平臺運營者在向國外證券監(jiān)管機構(gòu)正式提出上市申請之前申報網(wǎng)絡(luò)安全審查, 尤其是當其業(yè)務(wù)涉及國家安全等重要領(lǐng)域時。這一要求旨在確保國家網(wǎng)絡(luò)安全不受境外上市活動的影響。此外, 在境外上市的相關(guān)申報文件準備過程中, 企業(yè)和中介機構(gòu)還需在提交給中國證監(jiān)會的文件中, 詳細說明是否已經(jīng)涉及并履行了相應(yīng)的安全審查程序, 以確保所有流程符合國家相關(guān)法律法規(guī)的要求。
在實踐中, 擬境外上市的企業(yè)除了需要初步梳理和掌握其已收集和處理的個人信息數(shù)量及具體情況外, 中介機構(gòu)也會積極協(xié)助企業(yè)進行更為深入和全面的梳理工作。這一步驟的目的是為了進一步分析和評估企業(yè)是否具備充分的內(nèi)部、外部依據(jù)確認自身是否需要進行網(wǎng)絡(luò)安全審查申報。例如, 雖然“赴香港上市”明確不屬于《網(wǎng)絡(luò)安全審查辦法》第七條中規(guī)定的“赴國外上市”, 但企業(yè)還可以通過向中國網(wǎng)絡(luò)安全審查認證和市場監(jiān)管大數(shù)據(jù)中心(簡稱“CCRC”)進行咨詢, 確認其境外上市是否屬于《網(wǎng)絡(luò)安全審查辦法》第七條規(guī)定的應(yīng)當進行網(wǎng)絡(luò)安全審查申報的情形, 從而借助官方意見對自身是否需要進行網(wǎng)絡(luò)安全審查申報予以明確。盡管《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例(征求意見稿)》曾將“數(shù)據(jù)處理者赴香港上市, 影響或者可能影響國家安全的”列為應(yīng)當申報網(wǎng)絡(luò)安全審查的情形, 但今年1月1日最終生效的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》已將該情形刪除。
第二部分 境外上市中的數(shù)據(jù)出境合規(guī)
一、重要數(shù)據(jù)出境
《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第七條規(guī)定, 針對重要數(shù)據(jù)出境, 無論是CIIO或除CIIO外的數(shù)據(jù)處理者均需要通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估。對于確需出境的重要數(shù)據(jù), 經(jīng)數(shù)據(jù)出境安全評估認為不會危害國家安全和社會公共利益的, 方可出境。
企業(yè)確保重要數(shù)據(jù)出境合規(guī)的前提是準確識別重要數(shù)據(jù)。《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》規(guī)定, 重要數(shù)據(jù)的范圍由相關(guān)地區(qū)、行業(yè)部門的監(jiān)管部門確定。目前實踐中對于重要數(shù)據(jù)的確認主要由幾種途徑: (1)部分行業(yè)、領(lǐng)域數(shù)據(jù)分類分級標準規(guī)范和重要數(shù)據(jù)識別申報規(guī)則已經(jīng)公開發(fā)布, 如工業(yè)領(lǐng)域的《工業(yè)領(lǐng)域重要數(shù)據(jù)識別指南》、電信領(lǐng)域的《電信領(lǐng)域重要數(shù)據(jù)識別指南》、自然資源領(lǐng)域的《地理信息數(shù)據(jù)分類分級工作指南(試行)》、統(tǒng)計領(lǐng)域的《統(tǒng)計數(shù)據(jù)安全管理辦法》等; (2)此外, 還有主管部門通過召開會議、制發(fā)文件、一對一通知等形式告知到數(shù)據(jù)處理者。
和“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”的認定邏輯類似, 《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》第2條規(guī)定, 數(shù)據(jù)處理者應(yīng)當按照相關(guān)規(guī)定識別、申報重要數(shù)據(jù); 未被相關(guān)部門、地區(qū)告知或者公開發(fā)布為重要數(shù)據(jù)的, 數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)出境安全評估。國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《數(shù)據(jù)出境安全管理政策問答(2025年5月)》也曾對此特別予以說明, 即如果相關(guān)行業(yè)沒有發(fā)布行業(yè)、領(lǐng)域的數(shù)據(jù)分類分級標準規(guī)范和重要數(shù)據(jù)識別申報規(guī)則, 數(shù)據(jù)處理者也沒有被有關(guān)部門告知應(yīng)當進行重要數(shù)據(jù)識別申報的, 數(shù)據(jù)處理者不需要作為重要數(shù)據(jù)申報數(shù)據(jù)安全評估, 相關(guān)數(shù)據(jù)出境活動不會被認定為違反違規(guī)出境重要數(shù)據(jù), 不會因此受到行政處罰。如果數(shù)據(jù)處理者掌握的數(shù)據(jù)公開發(fā)布或被告知為重要數(shù)據(jù)后, 繼續(xù)開展數(shù)據(jù)出境活動的, 應(yīng)當在數(shù)據(jù)公開發(fā)布或被告知后2個月內(nèi), 及時履行數(shù)據(jù)出境安全評估。
二、個人信息出境
根據(jù)《個人信息保護法》第三十八條的規(guī)定, 個人信息處理者因業(yè)務(wù)等需要, 確需向中華人民共和國境外提供個人信息的, 應(yīng)當具備下列條件之一:
(1)依照《個人信息保護法》第四十條的規(guī)定通過國家網(wǎng)信部門組織的安全評估;
(2)按照國家網(wǎng)信部門的規(guī)定經(jīng)專業(yè)機構(gòu)進行個人信息保護認證;
(3)按照國家網(wǎng)信部門制定的標準合同與境外接收方訂立合同, 約定雙方的權(quán)利和義務(wù);
(4)法律、行政法規(guī)或者國家網(wǎng)信部門規(guī)定的其他條件。
中華人民共和國締結(jié)或者參加的國際條約、協(xié)定對向中華人民共和國境外提供個人信息的條件等有規(guī)定的, 可以按照其規(guī)定執(zhí)行。
據(jù)此, 根據(jù)個人信息出境的類型和情形不同, 對于個人信息出境的監(jiān)管類型可區(qū)分為豁免、與接收方訂立個人信息出境標準合同、通過個人信息保護認證和數(shù)據(jù)出境安全評估。
同時, 《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》允許自由貿(mào)易試驗區(qū)在國家數(shù)據(jù)分類分級保護制度框架下, 自行制定區(qū)內(nèi)需要納入數(shù)據(jù)出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數(shù)據(jù)清單(“負面清單”), 經(jīng)省級網(wǎng)絡(luò)安全和信息化委員會批準后, 報國家網(wǎng)信部門、國家數(shù)據(jù)管理部門備案。截至目前, 天津、北京、上海、海南和浙江的自貿(mào)區(qū)已制定負面清單, 就具體行業(yè)和數(shù)據(jù)出境場景進行細化規(guī)定。
三、其他數(shù)據(jù)出境的監(jiān)管豁免情形
除上文表格所述的“自當年1月1日起累計向境外提供不滿10萬人個人信息”屬于豁免監(jiān)管的數(shù)據(jù)出境情形外, 根據(jù)《促進和規(guī)范數(shù)據(jù)跨境流動規(guī)定》之規(guī)定, 如下情形亦在豁免之列:
1.國際貿(mào)易、跨境運輸、學(xué)術(shù)合作、跨國生產(chǎn)制造和市場營銷等活動中收集和產(chǎn)生的數(shù)據(jù)向境外提供, 且不包含個人信息或者重要數(shù)據(jù)的;
2.數(shù)據(jù)處理者在境外收集和產(chǎn)生的個人信息傳輸至境內(nèi)處理后向境外提供, 處理過程中沒有引入境內(nèi)個人信息或者重要數(shù)據(jù)的;
3.為訂立、履行個人作為一方當事人的合同, 如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預(yù)訂、簽證辦理、考試服務(wù)等, 確需向境外提供個人信息的;
4.按照依法制定的勞動規(guī)章制度和依法簽訂的集體合同實施跨境人力資源管理, 確需向境外提供員工個人信息的(企業(yè)對于自身相關(guān)行為是否屬于“跨境人力資源管理”行為存在疑義的, 可通過中介機構(gòu)咨詢相關(guān)主管部門意見);
5.緊急情況下為保護自然人的生命健康和財產(chǎn)安全, 確需向境外提供個人信息的。
結(jié)語
我們期望本文的梳理能夠幫助相關(guān)方更迅速地了解企業(yè)境外上市過程中面臨的網(wǎng)絡(luò)安全審查和數(shù)據(jù)出境合規(guī)要點及其應(yīng)對策略。隨著國際地緣博弈不斷加劇, 在當下及未來較長一段時間內(nèi), 可以預(yù)見各方對網(wǎng)絡(luò)安全和數(shù)據(jù)出境的重視將不斷加強; 加之國內(nèi)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)監(jiān)管體系亦在不斷動態(tài)更新或完善之中, 企業(yè)及相關(guān)專業(yè)機構(gòu)應(yīng)不斷跟蹤學(xué)習(xí), 了解監(jiān)管動態(tài), 和主管部門進行適時溝通, 從而以最高效的方式應(yīng)對企業(yè)境外上市過程中的相關(guān)合規(guī)風(fēng)險。
[1] 指國家互聯(lián)網(wǎng)信息辦公室、國家發(fā)展和改革委員會、工業(yè)和信息化部、公安部、國家安全部、財政部、商務(wù)部、中國人民銀行、國家市場監(jiān)督管理總局、國家廣播電視總局、中國證券監(jiān)督管理委員會、國家保密局、國家密碼管理局十三家成員單位。
[2] 所謂“個人信息”, 是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關(guān)的各種信息, 不包括匿名化處理后的信息。此處匿名化處理是指經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。
[3] 所謂“敏感個人信息”是指一旦泄露或者非法使用, 容易導(dǎo)致自然人的人格尊嚴受到侵害或者人身、財產(chǎn)安全受到危害的個人信息, 包括生物識別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息, 以及不滿十四周歲未成年人的個人信息。
【文章僅代表作者本人觀點, 不代表通力律師事務(wù)所的法律意見或建議。我們明示不對任何依賴該等文章的任何內(nèi)容而采取或不采取行動所導(dǎo)致的后果承擔責任。】