(感谢北京书法家协会理事,北京市丰台区书法家协会主席团成员,民盟中央教育委员会委员韩国强题字)在此前《<数据安全法>将如何影响跨国公司在华业务?》一文中,笔者曾指出《数据安全法》的颁布标志着中国进入了网络与数据安全合规的新纪元,并预期未来会见证更多执法部门对网络和数据安全漏洞问题的强力监管和惩戒。
中国网约车巨头滴滴公司(NYSE:DIDI,以下简称“滴滴”)6月30日刚在美国纽约证券交易所低调挂牌上市不久,中国国家互联网信息办公室(以下简称“网信办”)就宣布对滴滴启动网络安全审查。该消息发布后,滴滴股价一度跌愈10%,在周五收盘时下跌5.3%。
7月2日,网信办发布了《关于对“滴滴出行”启动网络安全审查的公告》(以下简称“《公告》”)。《公告》称,为防范国家数据安全风险,维护国家安全,保障公共利益,网信办对滴滴实施网络安全审查,审查期间滴滴须停止新用户注册。
随后,网信办7月4日又发布《关于下架“滴滴出行”app的通报》,称“滴滴出行”app存在严重违法违规收集使用个人信息问题,通知应用商店下架“滴滴出行”app,并要求滴滴严格按照法律整改存在的问题。
根据《公告》,此次针对滴滴的审查依据是《国家安全法》《网络安全法》和《网络安全审查办法》,但公告并未提及其涉嫌违反的具体条款,也未说明审查将持续多长时间等其他细节。对滴滴的审查是中国首次在对企业的调查中援引国家安全和网络安全,也是《网络安全审查办法》(以下简称“《办法》”)生效后的首次公开适用,一时间引起社会各界的高度关注。《办法》由网信办等十二个中央部委联合制定,于2020年4月13日发布,并在同年6月1日生效。全文共22条,系统规定了网络安全审查的适用范围、审查原则、主管部门、申报审查材料、审查程序、审查内容和法律责任等,为中国相关政府部门开展网络安全审查提供了工作指引和制度保障。其中第二条、第三条对网络安全审查的规定如下:- 《办法》第二条 关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。
- 《办法》第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务安全性、可能带来的国家安全风险等方面进行审查。
在滴滴被进行网络安全审查后,网上涌现了各种评论文章。鉴于官方对滴滴本次审查的最终结果还未正式发布,笔者仅从网信办的官方公告以及《办法》等法律规定出发,结合公开渠道可检索的客观信息资料以及对滴滴公司业务的理解,分析本次对滴滴展开审查可能的原因。《办法》第二条明确了网络安全审查的适用对象为关键信息基础设施运营者。要启动网络安全审查,其主体必须符合该要求。因此,根据滴滴的业务模式和行业属性,可以倒推出滴滴应属于交通运输行业领域的关键信息基础设施运营者。《网络安全法》规定了国家对关键信息基础设施在网络安全等级保护制度的基础上实行重点保护。在《<数据安全法>将如何影响跨国公司在华业务?》一文中,笔者曾提到《网络安全法》和《数据安全法》均未对关键信息基础设施作出明确定义,而《网络安全法》第三十一条通过非穷尽清单的方式列举了属于关键信息基础设施的重要行业和领域,包括公共通信和信息服务、能源、交通、水利、金融、公共服务和电子政务等,此外关键信息基础设施还包括其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的网络信息系统。对于关键信息基础设施的具体范围和安全保护办法,网信办曾于2017年7月10日发布《关键信息基础设施安全保护条例(征求意见稿)》并公开征求意见,但截至目前,该规定的最终稿尚无下文。根据《国务院办公厅关于印发国务院2021年度立法工作计划的通知》,笔者注意到,拟制定的行政法规中包含《关键信息基础设施安全保护条例》,该条例由网信办、工信部、公安部组织起草。可预见的是,作为《网络安全法》配套的行政法规,该条例对于关键信息基础设施的保护和规范将发挥重要作用,应高度关注该条例的立法进展。根据《办法》第九条规定,网络安全审查重点评估采购网络产品和服务可能带来的国家安全风险。滴滴在业务开展中掌握了大量的关于道路交通、车流人流和人口产业集聚区等基础数据,这类数据与国家安全息息相关。同时,由于“滴滴出行”app账号经常会绑定手机号,在我国目前手机号实名制,即手机号约等于身份证号的治安防控体系下,可以说滴滴可获得特定人行动信息,其掌握的远不局限于道路交通数据。如果其网络信息系统出现了安全问题,其可能直接影响国家安全、公共利益和社会稳定,如此便与《公告》所述的“防范国家数据安全”建立起对应。在《<数据安全法>将如何影响跨国公司在华业务?》一文中,笔者曾提到,《数据安全法》的出台将为跨国公司遵守不同法域之间相互冲突的法规带来前所未有的挑战,例如赋予美国执法机构域外权力的《云法案》要求一家总部位于美国的中国子公司有义务在特定情形下提供储存于中国的电子存储通信数据或信息,而这可能会违背《网络安全法》《数据安全法》中有关“数据本地化”以及“数据跨境传输须事先获得中国政府的批准”等相关规定,导致跨国公司处于两难的不利局面。7月3日,滴滴全球公司副总裁李敏在微博上发帖称,“和众多在海外上市的中国企业一样,滴滴国内用户的数据都存放在国内服务器,绝无可能把数据交给美国。”毫无疑问,这是中国企业遵守中国法相关网络和数据安全的红线和底线,笔者亦相信滴滴公司不会触碰和违反这条底线。然而,滴滴赴美上市后,意味着其将受到美国监管机构对于在美上市公司的各类规则的约束。例如美国证监会对于在美上市公司有着严格的披露义务,而滴滴作为一家掌握有大量中国数据和信息的企业,即使只是审计报告、财报附注及与美国证监会的相关往来问核,其所披露的信息量也是巨大的。此外,有业内专业人士的讨论提及了美国《海外公司问责法》关于美国公众公司会计监督委员会对中概股公司审计底稿的审查要求问题,这就要求赴美上市的滴滴“审计底稿出境”(即美国监管机构可抽查滴滴储存在中国境内的审计底稿),而这又是一项中美两国之间的法律冲突。从滴滴等中概股企业角度上来看,作为关键基础设施运营者,完全遵守美国现有的法律,接受美国长臂管辖原则,同时保证中国法下的网络和数据安全合规是极度困难的,其不得不陷入中国《国家安全法》《网络安全法》《数据安全法》《保守国家秘密法》以及美国《云法案》《海外公司问责法》《反海外贿赂法》等等复杂且相互冲突的法律法规的汪洋大海之中。正当社会各界对滴滴网络安全审查事件热议纷纷时,7月5日,网信办又以“防范国家数据安全风险,维护国家安全”为由,对 “运满满”、“货车帮”以及“BOSS直聘”启动类似的审查,审查期间要求其停止新用户的注册。笔者注意到,“运满满”、“货车帮”以及“BOSS直聘”也均有赴美上市背景。2021年6月22日,被称为“货运版滴滴”的满帮集团(NYSE:YMM)在纽约证券交易所挂牌上市,其即是由 “运满满”与“货车帮”于2017年战略合并而成。2021年6月11日,中国最大的互联网人才招聘公司BOSS直聘(NASDAQ:BZ)在纳斯达克证券交易所挂牌上市。笔者认为,三家互联网公司同时在6月份先后赴美上市,且在最近先后受到中国监察机构的网络安全审查,绝非偶然的巧合。相比较于在A股上市或者H股上市的企业而言,赴美上市的企业或将面临更严峻的网络和数据安全合规挑战。显然,滴滴在赴美上市之前也已经意识到了此类跨法域的合规风险,在其于2021年6月10日提交至美国证监会的招股说明书第27页“业务相关风险”中指出:“我们在我们的平台上接收、传输和存储大量个人身份信息和其他数据。我们受众多法域法律和法规的约束,这些法律和法规涉及不同司法管辖区的网络安全和数据保护….. 尽管我们努力遵守与相关的适用法律法规和其他义务,但我们的行为、产品或平台可能无法满足此类法律、法规或义务……如果我们未能遵守与隐私、数据保护或信息安全相关的适用法律或法规,可能会损害公司声誉,阻止新的和现有的司机使用滴滴,或导致政府机构和私人索赔或诉讼罚款等。即使我们的做法符合法律要求,对隐私问题的讨论,也会损害我们的声誉和品牌,并对业务、财务状况和经营业绩产生不利影响…”此外,滴滴在其招股说明书第196页“网络安全相关规定”中也提到:“中国的互联网信息从国家安全的角度受到监管和限制….根据《网络安全法》等相关法律法规,互联网服务提供者应当通过履行安全保护义务,制定网络安全应急预案,为公安、国家安全部门提供技术援助和支持,采取措施保障网络安全…互联网服务提供者还必须对此类信息严格保密,并进一步禁止泄露、篡改、销毁任何此类信息,或者向其他方非法出售或提供此类信息。不遵守上述法律法规的互联网服务提供商可能会受到行政处罚,包括但不限于罚款、暂停业务、关闭网站、吊销许可证甚至刑事责任…2021年6月10日,全国人大常委会颁布了《数据安全法》,自2021年9月起施行。《数据安全法》规定了开展数据活动的单位和个人的数据安全和隐私义务…《数据安全法》对可能影响国家安全的数据活动规定了国家安全审查程序,并对某些数据和信息进行了出口限制。由于《数据安全法》最近颁布且尚未生效,我们可能需要进一步调整我们的业务实践以遵守该法律。……”目前,虽然官方对于滴滴、满帮集团和BOSS直聘的审查处理结果还未发布,但是随着中国相关法律法规的不断完善,笔者认为,对于企业的网络和数据安全审查将会越来越严格,不排除将会有越来越多的企业进入监管机构的审查名单。对企业而言,特别是业务涉及多个法域的跨国公司而言,应重视企业的网络和数据合规体系建设,梳理可能存在的安全风险,以应对愈加复杂和互相冲突的网络和数据安全合规环境。为何滴滴以及满帮集团和BOSS直聘这三家互联网公司同时在6月份先后赴美上市,并在上市后又先后受到中国监管机构的安全审查?在各国加大数据主权博弈的背景下,各国监管机构将如何权衡国家数据主权和投资者、公众公司的利益?从前中国监管机构默许的中概股公司为实现海外上市的VIE架构未来还是否可行?中国监管机构又该如何权衡关键基础设施行业和领域的外商投资许可和安全审查?相信未来这些问题的答案会渐渐明晰。笔者将会持续关注滴滴以及满帮集团和BOSS直聘的后续审查处理结果,如果您对本文涉及的对滴滴等公司进行的网络安全审查或其他网络和数据合规问题有任何疑问,请随时与笔者联系。
注意:本文由作者仅从日前发布官方公告以及相关法律规定出发,结合公开渠道可检索的客观信息资料进行的个人思考和分析,难免具有局限性。此外,本文是由作者编写的免费电子出版物,旨在提供非穷尽的一般法律信息。本文无意也不应被解释为提供任何法律意见,对于因使用本文中的信息而导致的任何直接、间接或其他损害,作者概不负责。
孙坤铭
北京周泰律师事务所
顾问
邮箱:zt@zhoutailaw.com
孙坤铭顾问是法国艾克斯马赛大学商法硕士、中国人民大学法学院法学学士;拥有中国律师资格。执业方向为跨国并购、合资经营、项目融资和基础设施、竞争法以及一般公司事务等。
孙坤铭曾于法国基德国际律师事务所北京办公室担任法律顾问。参与了众多境外不同行业的世界领先公司在中国境内开展的直接投资和并购交易,熟悉该类投资项目不同阶段的各类法律问题,并协助外国公司在中国的子公司或代表机构处理日常公司事务。同时在国际仲裁方面也有为境内外客户提供通过仲裁解决跨境商事争议的相关经验。
此外孙坤铭顾问在中国竞争法领域也积累了丰富的专业知识,协助众多境外客户向国家市场监督管理总局反垄断局进行经营者集中申报,并为众多境内外大型企业就中国反垄断法项下的相关法律风险和合规问题提供法律咨询。
董晓华:以“结婚”为手段买卖京牌指标应入罪吗
新媒体首发 | 王玉晴:法院电子卷宗应用消极的原因及电子卷宗、书面卷宗的未来