企业上市: 网络与数据安全一样都不能少——《网络安全审查办法(修订草案)》对企业境外上市影响之Q&A

1

是否涉嫌“先处罚再修法”? 涉事企业是否对执法毫无预期?

“滴滴出行”受到网络安全审查的原因几何? 之前有诸多关于“滴滴出行”被认定为关键信息基础设施运营者的猜测。

长期参与我国网络安全重大政策法规研究起草工作的中国信息安全研究院副院长左晓栋在接受媒体专访[1]对这一点进行了澄清: 对“滴滴出行”发起网络安全审查“与其是否被列为关基没有必然关系, 因为网络安全审查的启动还有第二种条件, 即网络安全审查机制成员单位认为网络产品和服务可能影响国家安全”。

网络设备、服务与依托于该等设备、服务的数据和背后的关键业务密不可分, 在修订前, 《网络安全审查办法》已关注利用网络设备、服务中非法获取、泄露、毁损重要数据、用户数据的风险, 因此在网络安全审查中必然包含有关数据安全的考察。

正如在此前文章中指出的, 我们认为《网络安全审查办法》对于数据处理活动的规制是应有之义。此次为免疑义, 进一步提高立法的严谨性, 在适用范围等多处将数据处理活动明确列出, 作为一项单独的网络安全审查的对象。

《网络安全审查办法》在此时作出修订亦有迹可循。

一方面, 《数据安全法》第二十四条明确规定: 国家建立数据安全审查制度, 对影响或者可能影响国家安全的数据处理活动进行国家安全审查。作为《数据安全法》配套细则之一, 《网络安全审查办法》在《数据安全法》实施前的准备阶段进行修订并非全然是意外之举。 

另一方面, 《修订草案》的关于跨境证券监管的特别修订呼应了2021年7月6日中共中央办公厅、国务院办公厅印发的《关于依法从严打击证券违法活动的意见》, 该意见要求“加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。” 

从“滴滴出行”的角度, 此次遭遇网络安全审查也不是毫无征兆。据外媒报道, 美股上市前几周, 网信办曾建议“滴滴出行”暂缓上市, 并督促其审查网络安全现状[2]。从结果来看, “滴滴出行”或未完成网络安全审查, 便强行闯关匆匆上市。

我们理解, “滴滴出行”一事验证了《网络安全审查办法》是国家规制企业网络安全与数据不合规行为的一项重要工具, 但不应理解为《网络安全审查办法》单为处罚“滴滴出行”而特别修订。毕竟, 企业赴国外上市只是《网络安全审查办法》规制的、可能存在数据安全风险的一种具体情形, 而不是全部。

作为身处漩涡的“滴滴出行”事先已得到执法警告, 法的可预测性并未受到减损, 建议企业以此为戒, 谨慎对待来自监管部门的提示、劝诫和警告, 提高自身的网络安全合规意识。

2

网络安全审查的触发条件? 

• 关键信息运营者预判其采购的产品和服务投入使用后可能带来国家安全风险

这是明确的触发条件, 规定在《修订草案》第五条。该触发条件目前有两点尚不明确, 即“企业是否为关键信息运营者”有待企业所属行业主管部门和网信办进行认定, “如何预判”还有待关键信息基础设施保护工作部门制定本行业、本领域的预判指南, 建议企业予以关注。

• 掌握超过100万用户个人信息的运营者赴国外上市

这条也是明确的触发条件, 规定在《修订草案》第六条。

“掌握”和“控制”具有类似语义, 根据文义解释, “掌握个人信息的运营者”可以理解为“个人信息控制者”, 实践中, “个人信息控制者”通常是指有能力决定个人信息处理目的、方式等的实体。

考虑到法律法规层面未对“控制者”做出明确定义, 在目前网络安全审查从严监管的形势下, 为谨慎起见, 建议企业将自身作为控制者和处理者分别所获取和存储的个人信息量合并, 均纳入“掌握超过100万用户个人信息”的计算范畴内。

“赴国外上市”不应狭义理解, 我们认为“上市”包括境内公司在国外的IPO(首次公开募股)、SPAC (特殊目的收购公司上市)、RTO(反向收购上市)、Direct Listing(直接上市), 以及已上市公司的增发和发债等。

• 其他场景

结合《修订草案》的意旨, 我们理解其他对关键信息基础设施、核心数据、重要数据或大量个人信息带来国家安全风险的场景也可能也会触发网络安全审查, 需要继续出台细则加以明确。

3

赴香港上市的企业是否受到影响?  

《修订草案》中多处使用“国外上市行为”“赴国外上市”的表述, 通常“境外”“数据出境”“数据跨境传输”是数据安全相关法律法规的关注点, “国外”一词并不多见, 但我们理解此处立法者是有意作出区分。

香港作为中国的一部分, 企业在香港上市, 引发《修订草案》第十条所描述的“国外上市后……被国外政府影响、控制、恶意利用的风险”的可能性相对较小。因此, 赴香港上市的企业不会触发Q2第二条的触发条件, 但这不意味着赴香港上市的企业不会受到《修订草案》的规制, 其仍可能因触发其他条件而具有网络安全审查申请义务。另外, 我们提示赴香港上市企业特别注意数据出境相关规则。

4

已在海外上市的企业是否受到影响?  

对于已海外上市企业是否可能受到网络安全审查, 执法实践已经给出明确答案。本月初, 网络安全审查办公室即根据《网络安全审查办法》, 相继对已在美国上市的“滴滴出行”“运满满”“货车帮”“BOSS直聘”启动网络安全审查, 可能的启动条件即是网络安全审查工作机制成员单位认为上述企业采购影响或可能影响国家安全的网络产品和服务。

《修订草案》第十六条对此类情形予以进一步完善, 将“网络产品和服务”“数据处理活动”“国外上市行为”均纳入网络安全审查办公室依职权开展审查的范围。换言之, 所有企业头上均已高悬“网络安全审查之剑”, 而已海外上市企业因“国外上市行为”风险尤甚。

此外, 网络安全审查对于国外上市行为的审查意在控制企业国外上市后关键信息基础设施, 核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险, 由于已海外上市企业中同样存在大量关键信息基础设施和重要数据, 且事实上这些企业已经暴露在很多国外监管机构的管辖之中, 从全面控制国家安全风险的立法目的出发, 已海外上市企业无法独善其身。

但不同于拟海外上市企业未通过网络安全审查可能导致的的无法上市的直接后果, 对于已海外上市企业未通过审查的情形, 《网络安全法》仅规定了停止使用和罚款处罚, 《数据安全法》则未作规定。因此, 实践中网络安全审查未通过的结果将对已海外上市企业带来多大影响, 有待后续配套法规和监管实践予以明确。

5

网络安全审查, 可能导致推迟上市多久? 

简单来说, 如果进入一般审查程序, 审查期间一般为30/45个工作日(网络安全审查办公室初步审查)+15个工作日(网络安全审查工作机制成员单位和相关关键信息基础设施保护工作部门回复意见), 最长60个工作日(不含进入审查程序前的10个工作日); 如果进入特别审查程序, 审查期间在上述基础上延长3个月, 情况复杂的, 可以进一步延长。

基于上述审查期间的考虑, 对于可能触发网络安全审查条件, 并有意赴国外上市的企业而言, 建议预留网络安全审查的时间, 如果自身业务分支复杂、数据掌握体量较大, 建议至少留足半年时间, 并事先做好业务可能受到影响的准备, 包括暂停注册新用户等。

站在企业的角度上, 我们理解境外上市可获得的高估值对于企业的巨大吸引力, 但我们仍提示企业以“滴滴出行”的经历为戒: 由于“滴滴出行”在上市仅三日即遭到中国监管部门的审查, 美股股价应声下跌, 目前数个美国律师事务所已开始征集遭受损失的投资人, 设法向“滴滴出行”发起集体诉讼, 多位美国参议员呼吁美国证券交易委员会(SEC)以“上市前未充分揭露投资风险”为由对“滴滴出行”展开调查; 国内方面亦不容乐观, 近期, “滴滴出行”关联企业因违法实施经营者集中被市场监管总局开出8张罚单。由此可见, 网络安全和数据合规方面的不合规行为可能牵扯出企业其他行为受到监管关注, 建议企业不急在一时, 谨慎为先。

结语

年初, 网信办成立了“网络数据管理局”, 以进一步扩大执法队伍, 强化执法力量。据已发布的新闻报道, 该局已开始开展立法、执法工作。在立法加强、执法趋紧的环境下, 企业应牢记, 上市, 网络与数据安全一样都不能少!

作者:

往期分享

见微知萌—从滴滴出行案谈网络安全审查制度

《数据安全法》与企业合规

安全与发展并重——《数据安全法(草案)》要旨与解读

能力越大, 责任越大——数据分类分级制度评述

网安法、个保法、数安法下的法律责任

个人信息保护法和数据安全法二审稿对跨国金融机构的影响