外商在华投资在线服务指南
中国拥有世界上最大的互联网用户数量。根据中国互联网络信息中心[1]发布的报告,截至2018年12月,中国互联网用户数已达到8.29亿。这一广阔又充满活力的市场吸引着全世界的互联网企业。然而,由于中国互联网市场的开放程度有限,且中国政府监管严格,外国投资者在华投资在线服务仍面临着挑战。充分了解中国的监管环境并精心规划进入中国市场的策略对取得成功至关重要。
第一部分
中国的监管环境
A
电信业务许可证的要求
在线服务在中国被视为一种电信业务,并受到中华人民共和国工业和信息化部(以下简称“工信部”)的严格监管。
1. 严格限制外商投资电信产业
根据《中华人民共和国电信条例》(以下简称“《电信条例》”),电信业务分为(i)基础电信业务和(ii)增值电信业务。这两类电信业务受到不同程度的监管。
a)基础电信业务是指提供公共网络基础设施、公共数据传送和基本话音通信服务的业务。实践中,基础电信业务几乎只对3家国有基础电信运营商(即中国移动、中国电信和中国联通)开放。
b)增值电信(Value-Added Telecom,以下简称“VAT”)业务是指利用公共网络基础设施提供的电信与信息服务的业务。根据中国的入世承诺,理论上,只要外国投资者的股权比例不超过50%,其便可以通过与中方合作伙伴合资设立的企业(以下简称“合资企业”)投资于VAT业务。但在实践中,政府的批准很难获得。
根据《电信条例》,电信运营商必须为其开展的电信业务获得相应的许可证。《电信业务分类目录》(以下简称“《目录》”)进一步将基础电信业务和VAT业务划分为不同的子类别,每个子类别都需要获得相应的许可证。
2.互联网信息服务业务经营许可证
VAT业务的一个重要子类别为“信息服务”。通过互联网提供的信息服务称为“互联网信息服务”,即通常所称的互联网内容提供商(Internet Content Provision,“ICP”)服务。 这是一个非常广泛的类别,涵盖多种在线服务,如即时消息、应用商店、搜索引擎、在线社区和在线反病毒服务等。提供ICP服务需要取得ICP许可证。
理论上,外国投资者股权不超过50%的合资企业可以取得ICP许可证。但在实践中,仍具有一定难度。根据中国信息通信技术研究院于2019年1月发布的报告,仅49家中外合资企业获得了ICP许可证[2],其中包括那些根据与香港和澳门之间的“更紧密经贸关系的安排”(Closer Economic Partnership Arrangement,以下简称“CEPA”)进行投资的合资企业。
3.其他VAT许可证
根据在线服务的不同特征,可能还需取得《目录》规定的其他VAT许可证。举例如下:
a)电子商务平台的运营需要取得在线数据处理和交易处理的VAT许可证;
b)云服务的运营需要取得互联网资源协作服务(Internet Resources Collaboration Service,以下简称“IRCS”)的VAT许可证;及
c)内容分发网络(Content Distribution Network,以下简称“CDN”)的运营需要取得CDN服务的VAT许可证。
4.特殊开放政策
CEPA项下或在某些特别区域,比如上海自由贸易区(以下简称“上海自贸区”),有一些特殊的开放政策。以下为两个例子:
a) IRCS许可证不向外国投资者开放。迄今为止,仅在CEPA项下有一例外:香港或澳门服务提供商可以通过在中国设立合资企业的方式提供IRCS服务,但其在合资企业中的股权比例不得超过50%。
b) 在上海自贸区,外国投资者设立的外商独资企业(Wholly Foreign-Owned Enterprise,以下简称“WFOE”)可以获得应用商店的ICP许可证。
特殊开放政策非常有限,并且实践中,依据特殊开放政策获得VAT许可证也很困难。到目前为止,似乎只有一家合资企业成功获得CEPA项下的IRCS许可证,还没有WFOE能成功获得应用商店的ICP许可证。
B
对其他特别许可证的要求
除了工信部发布的电信许可证外,根据在线服务的性质,可能还需要不同政府机构颁发的其他特别许可证。举例如下:
1. 某些在线娱乐服务的运营需要取得文化和旅游部颁发的网络文化经营业务许可证;
2.在线地图的运营需要取得自然资源部颁发的互联网地图服务许可证;及
3. 在线新闻的运营需要取得国家互联网信息办公室(以下简称“网信办”)颁发的互联网新闻信息服务许可证。
部分上述许可证并不对外国投资者开放。
C
网络安全
1. 网络安全法的颁布和现行立法状态
中国颁布了《中华人民共和国网络安全法》(以下简称“《网安法》”)以加强对网络安全的监管。《网安法》于2016年11月颁布,并于2017年6月1日生效。
《网安法》仅提供了有关保护网络安全的框架和一般原则。实施《网安法》需要更具体的实施细则。虽然中国政府已经发布了一些实施细则和国家标准,但大多数仍为草案。许多重要的实施细则或国家标准尚未最终确定或发布。
2.关键信息基础设施(Critical Information Infrastructure,以下简称“CII”)运营者与非CII运营者
《网安法》适用于所有在中国的网络运营者。网络运营者的范围很广。拥有或管理网络或提供网络服务的任何个人或实体均可能被确定为网络运营者。网络运营者可以进一步分为(i)CII运营者(CII Operators,或“CIIO”)和(ii)非CII运营者(Non-CII Operators,或“非CIIO”)。CIIO以外的网络运营者都是非CIIO。
CIIO指的是运营CII的网络运营者,即与国民经济和民生相关的关键网络设施。CII的范围非常广泛。
由于CII的重要性,《网安法》要求采取特别措施来保护CII。
3.保护个人信息的规定
《网安法》下的“个人信息”是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。
《网安法》提供了保护个人信息的重要原则。《个人信息安全规范》(以下简称“《规范》”)作为一项推荐性国家标准,提供了更具体的规定。虽然《规范》并不具有强制效力,但它是实践中的重要指南。国家还起草了个人信息保护的其它一些标准。
《网安法》和《规范》共同提供了保护个人信息的重要规则,例如:
a)知情同意
网络运营者必须告知个人收集的目的、方法和范围以及个人信息的用途,并获得其同意。
此外,如果收集的信息是个人敏感信息[3],则同意必须是明示同意而非默示同意。
b)最低必要性
网络运营者只能收集与其提供的服务相关的个人信息,并且必须遵守与个人的约定。
c)合法收集
网络运营者收集的个人信息必须来自合法渠道。中国不允许出售或购买个人信息,甚至可能由此触发刑事责任。
d)去标识化与匿名化
“去标识化”是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别个人信息主体的过程。“匿名化”是指通过对个人信息的技术处理,使得个人信息主体无法被识别,且处理后的信息不能被复原的过程。虽然去标识化可能会降低风险,但去标识化后的个人信息仍然属于《网安法》下定义的个人信息。匿名化的个人信息将不再被视为《网安法》下定义的个人信息,因此不必受上述《网安法》和《规范》规定的保护措施的限制。
4.本地存储和跨境传输
根据《网安法》,中国CIIO收集和产生的重要数据[4]和个人信息应当在境内存储。如CIIO因业务需要需向境外提供上述数据,应当按照中国政府制定的办法进行安全评估。
《网安法》下安全评估的要求仅适用于CIIO,但《网安法》的配套规定草案将非CIIO也纳入了此类要求。最近,网信办意图进一步收紧对数据出境的监管。2019年6月13日,网信办发布了《个人信息出境安全评估办法(征求意见稿)》(“个人信息出境办法草案”),要求CIIO和非CIIO必须向省级网信部门申报安全评估。这是对之前草案的巨大改动。根据之前的草案,CIIO和非CIIO可以自行开展安全评估,并且只有CIIO的安全评估结果需要政府审批。此外,之前的草案同时规定了个人信息和重要数据的数据出境安全评估,但是个人信息出境办法草案对于重要数据的安全评估未做规定。有可能重要数据出境安全评估的办法将会另行发布。
值得注意的是,该等草案尚未最终确定和颁布。社会公众,尤其是跨国公司,批评该等草案的监管范围过于广泛。中国政府也面临来自其他国家政府要求减轻数据跨境转移负担的压力。因此,在最终确定之前,相关配套规定可能会被调整。
5.等级保护制度
信息系统的运营者必须确定其信息系统的安全保护水平,并根据相关规则采取相应的保护措施。这种机制被称为“等级保护制度”(以下简称“等保”)。
根据重要性水平,中国将信息系统的安全保护级别划分为五级,从等保一级到等保五级。信息系统等级越高,表明信息系统对国家安全越重要,要求采取更为严格的保护措施。
如果公司的网络设施被视为CII,它们通常将适用等保三级保护措施,并且必须通过相应的认证。
等保在《网安法》之前已存在多年。《网安法》之前的等保规定通常被称为“等保 1.0”。《网安法》再次强调了等保的重要性,故《网安法》下升级的等保规定通常被称为“等保 2.0”。5月10日,作为等保 2.0的一部分,中国政府发布了多项国家标准。更多等保 2.0规则尚待发布。
D
用户信息披露
1. 强制披露
根据相关法律法规,为刑事调查或其他调查之目的,中国公司必须向不同的政府机构披露其用户信息。
2.无需用户同意
《规范》进一步规定,如果个人信息与犯罪侦查、起诉、审判和判决执行直接相关,公司可以在未经个人同意的情况下分享、转让、披露个人信息。
E
无违禁的内容
《电信条例》和许多其他相关规定要求任何实体或个人不得制作、复制、发布或传播法律或行政法规禁止的信息(“违禁内容”)。
国务院授权网信办管理和审查网上发布的内容。此外,一些其他政府机构也同样有权监控在线内容。
F
被隔离的仅限中国的服务
如果外商投资企业希望在中国部署服务器以提供在线服务,则其在中国提供的服务通常需要与其离岸服务隔离且仅向中国提供。
第二部分
进入中国市场的潜在方案
进入中国市场有几种方案。然而,没有一种方案是完美的,它们各有利弊。
1. WFOE
在大多数情况下,WFOE非外国投资者在中国境内落地在线服务的可选方案,因为WFOE无法获取大部分所必需的证照。
2. 合资企业
理论上,与中方合作伙伴设立合资企业是可行的,特别是当合资企业是根据CEPA设立的时候。但实践中,该种模式下获取必需的许可证仍然非常困难,尤其在涉及云计算服务所需的IRCS许可证的时候。
3. 许可模式
向中方合作伙伴许可外国公司的技术和商标似乎更加可行,因为作为中国国内公司的中方合作伙伴将更容易获得所必需的许可证。但是,此种模式下外国公司只能对中方合作伙伴的运营施加有限的控制。
4. 可变利益实体(Variable Interest Entity,以下简称“VIE”)
在典型的VIE结构中,离岸控股公司将在中国设立一家WFOE,以此控制并获得国内公司(其股东为中国个人(通常是创始人)或公司)的财务利益。该国内公司将持有外国企业无法合法拥有的证照和资产,其通常被称为“VIE”。在外国证券交易所上市或拟上市的中国公司广泛采用这种VIE结构。
VIE结构允许投资者控制在华服务的日常运营。然而,值得注意的是,在典型的VIE结构中,外国投资者大多是财务投资者,他们不参与企业的日常运营。创始人(通常为中国公民)控制着日常的经营管理。因此,如果外国投资者本身是技术公司或在线服务提供商,且VIE架构的搭建并不是出于在外国IPO之目的,中国政府可能对此保持警觉,其是否允许这种VIE结构可能存在很大的不确定性。
综上所述,在华提供不同的在线服务需要获取不同的许可证,不同的投资者可能对其投资有不同的策略和风险容忍度。适合一家公司的策略可能并不适合另一家公司。此外,中国在线服务的监管环境也在不断发展。因此,为确保成功投资,外国投资者需要咨询专业人士并在进入中国市场之前仔细地作出规划。
【注]
[1] http://www.cac.gov.cn/2019-02/28/c_1124175677.htm
[2]http://m.caict.ac.cn/yjcg/201901/P020190104477132355599.pdf
[3]根据《规范》,“个人敏感信息”指个人信息中更敏感的部分。个人敏感信息一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇。《规范》列出了一些典型的个人敏感信息作为示例。
[4] “重要数据”是指与国家安全、经济发展和公共利益密切相关的数据。其范围未被最终确定,根据某一国家标准的草案,该范围非常广泛。与许多敏感行业相关的数据将均有可能被认定为重要数据。
End
作者简介
斯响俊 律师
上海办公室 顾问
业务领域:公司/外商直接投资, 知识产权, 劳动法
蔡荣伟 律师
上海办公室 高级顾问
业务领域:资本市场/证券, 收购兼并, 诉讼仲裁
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。