数安条例 | 数据安全审查和企业境外上市
编者按:
1、数安条例 | 对个人信息保护政策和数据处理规则的新要求
2、数安条例 | 个人权利方面的新规定
第三篇文章就关注数安条例对数据安全审查和企业境外上市的要求。
网络安全审查在数安条例中的总体地位
首先,数安条例对数据安全审查的上位法依据在于《数据安全法》第二十四条——国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。
其次,中央网信办通过【国家互联网信息办公室关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知】,将数据安全审查纳入根据《网络安全法》建立的网络安全审查之中。
现在,数安条例进一步完善了《网络安全审查办法(修订草案征求意见稿)》中对“影响或者可能影响国家安全的数据处理活动”的界定。待数安条例正式通过,就预示着《数据安全法》中规定的额数据安全审查制定正式确立。
根据《网络安全法》建立的网络安全审查,在绝大多数情况下仅是针对关键信息基础设施运营者(特殊情况下,相关部门可以主动发起审查);但在《数据安全法》中不是这样,其是对所有处理数据的主体而言的一项制度。
因此数安条例将(囊括数据安全审查的)网络安全审查的条款,放在了“第二章一般规定”之中,并没有放在关于个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务等章节之中,其用意可见一斑——一是对于所有数据处理者来说,都应当注意其是否需要申报网络安全审查;二是网络安全审查所关注的数据处理活动,既包括涉及个人信息,又包括涉及重要数据,还包括特定情形的跨境。
影响或者可能影响国家安全的数据处理活动
在《数据安全法》中,“影响或者可能影响国家安全”有待展开。《网络安全审查办法(修订草案征求意见稿)》做出了初步的界定,数安条例则提出了更丰富的内涵。
| 《网络安全审查办法(修订草案征求意见稿)》 | 数安条例 |
第六条 掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 | 第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查: (一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的; (二)处理一百万人以上个人信息的数据处理者赴国外上市的; (三)数据处理者赴香港上市,影响或者可能影响国家安全的; (四)其他影响或者可能影响国家安全的数据处理活动。 大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。 |
第一个应该关注的点是:数安条例在第十三条中列出的第一项:“汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源”,仔细分析这个定义会发现,第十三条第一项提出的数据资源,范畴要比重要数据、核心数据来的宽。
| 第十三条第一项 | 汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者 |
| 重要数据 | 重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。 |
| 核心数据 | 核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 |
第二个应该关注的点是:申报的条件。“影响或者可能影响国家安全”出现在第一项、第三项、第四项,但是没有出现在第二项。这样的差异值得高度重视。
换句话说:“处理一百万人以上个人信息的数据处理者赴国外上市的”是个客观条件;但第一项、第三项、第四项,还需要数据处理者在申报之前主动做一次判断——“影响或者可能影响国家安全”。只有评估后发现“影响或者可能影响国家安全”,才需要申报。如果评估后发现不影响国家安全的,是不需要申报的。
因此,“处理一百万人以上个人信息的数据处理者赴国外上市”,直接被认定为“影响或者可能影响国家安全”。其他情形,还需要做个案分析。
第三个关注的点是:“大型互联网平台运营者在境外设立总部或者运营中心、研发中心”,应当向国家网信部门和主管部门报告。这句话的意思是,如果有这样的行为,主动权不在于运营者是否“去申报”网络安全审查,也不需要运营者预先判断是否“影响或者可能影响国家安全”,而是——国家网信部门和主管部门直接强制性地要求运营者必须报告。
因此从文本分析来看,“在境外设立总部或者运营中心、研发中心”的行为在立法者认知中具有更高程度的风险等级。
但里面也有一些疑问:重要数据的处理者能否赴国外上市?数安条例中仅规定“处理一百万人以上个人信息的数据处理者赴国外上市”,再关联到“数据处理者赴香港上市”中,并不区分个人信息或重要数据,那是否可以推测出——重要数据处理者不应到国外上市?当然,这个问题也能被“其他影响或者可能影响国家安全的数据处理活动”所囊括,但总之,希望立法者厘清。
香港上市和国外上市的区别
从前文分析可以看出,相比于国外上市,立法者无疑对赴香港上市给出了一定的优待。
说的更清楚些,就是赴国外上市且本身在国内的个人用户数超过100万,一定要申报。赴香港上市,哪怕个人用户数超过100万,处理者需要预先判断下国家安全风险,然后根据评估结果,决定是否申报网络安全审查。
但业界在学习数安条例相关规定时,往往会提出,那我怎么知道我会不会涉及国家安全风险呢,因此我还是都去申报网络安全审查吧,如此以下,数安条例给出的“优待”就不复存在了。
对此问题有三个方面的回答:
第一,网络安全审查中一直强调的预先判断的要求。预判是个网络安全审查工作的基本原则,在《网络安全审查办法(修订草案征求意见稿)》第五条有清晰的体现。
因此,预判本身就是个法定义务。
第二,国家网信部门本身就已经预见到给与数据处理者预判的自由,会导致一些风险漏报的情况,其有明确的制度措施,具体见数安条例第三十二条,
因此,即便是预判不会涉及国家安全的,国家网信部门也能从年度数据安全评估报告中得知相关的情况,并可根据情况随时可以要求开展网络安全审查。
所以换言之,已经在香港或国外上市的企业,是否可以天然地认为自己不需要接受网络安全审查了呢?这个问题,希望立法者厘清。
第三,来一起看看罚则。
| 违反了第十三条规定(即没有准确预判,或者预判后没有申报的) | 第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款; 拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 |
| 违反第三十二条规定 | 第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务; 拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 |
我们可以看出,违反第三十二条年度报告的规定,情节严重时的罚则比违反第十三条的罚则更加严重。
第三篇文章就分析到这吧。(完)
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
关于数据与竞争政策的翻译和分析:
健康医疗大数据系列文章:
网联汽车数据和自动驾驶的系列文章:
关于中美与国家安全相关的审查机制的系列文章:
美国电信行业涉及外国参与的安全审查(一):基本制度介绍
美国电信行业涉及外国参与的安全审查(二):国际性的第214节授权
美国电信行业涉及外国参与的安全审查(三):建立外国参与安全审查的行政令
美国电信行业涉及外国参与的安全审查(四):FCC对中国企业的陈述理由令
网络空间的国际法适用问题系列文章:
赴美上市网络、数据安全风险系列文章如下:
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于保护网络和信息系统安全的相关文章包括:
数据执法跨境调取的相关文章:
关于人工智能安全和监管,本公号发布过以下文章:
数据的安全、个人信息保护、不正当竞争等方面的重大案例:
数字贸易协定的相关文章有:
中国个人信息保护立法的相关文章包括:
《数据安全法》相关的文章包括:
数据要素治理相关的文章包括:
个性化广告系列文章包括: