赴香港上市，网易云如何说明数据安全合规

前哨按语：2021年12月2日，网易云音乐以云村（CLOUD VILLAGE）的名字在香港联交所主板挂牌上市。在11月23日上市文件中，网易云就其数据隐私和安全合规作出了说明。以下相关内容节选自该文件中"概要"和"风险因素"部分，以供参考。

于2021年7月10日，国家互联网信息办公室就《网络安全审查办法草案》公开征求意见，规定关键信息基础设施运营者采购网络产品和服务，数据处理者（连同关键信息基础设施运营者统称「运营者」）开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。根据《网络安全审查办法草案》，掌握超过1百万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。然而，《网络安全审查办法草案》并无就「国外上市」提供进一步解释或诠释。截至最后实际可行日期，《网络安全审查办法草案》尚未正式施行。根据现有中国网络安全法律，关键信息基础设施运营者拟采购网络产品和服务，可能影响国家安全的，应当进行网络安全审查。如我们的中国法律顾问告知，在《网络安全审查办法草案》下，「关键信息基础设施运营者」的实际范畴及现有监管机制尚未明确，而中国政府机关对诠释及执行该等法律可能具广泛的自由裁量权。截至本文件日期，我们并无涉及国家互联网信息办公室就网络安全审查作出的任何调查，而我们亦无就此方面接获任何询问、通知、警告或制裁。

于2021年8月20日，全国人大常委会颁布《个人信息保护法》，其于2021年11月1日生 效。《个人信息保护法》进一步强调处理者的义务及责任对个人信息保护的重要性，并 制定处理个人信息的基本规则，以及个人信息跨境提供的规则。

根据《个人信息保护法》，仅在若干情况下，如取得个人的同意，或为履行个人作为一方当事人的合同或履行法定职责所必需，或者按照依法制定的劳动规章制度和依法签 订的集体合同实施人力资源管理所必需，保护公共利益，或在合理的范围内使用已经 合法公开的信息等，个人信息处理者方可处理(包括收集、存储、使用、传输、提供、 公开、删除等)个人信息。处理敏感个人信息，如一旦非法泄露，容易导致人格尊严受 到侵害或者人身、财产安全受到危害的个人信息，以及不满十四周岁未成年人的个人 信息，须遵守更高的监管要求，包括须具有特定的目的和充分的必要性、向有关个人 告知的责任，以及取得未成年人的父母或者其他监护人的同意。

此外，任何跨境个人信息传输均必须遵守必要性原则，以及具备下列条件之一:(i)通 过国家网信部门组织的安全评估;(ii)按照国家网信部门的规定经专业机构进行个人信 息保护认证;(iii)按照国家网信部门制定的标准合同与境外接收方订立合同;或(iv)法 律、行政法规或者国家网信部门规定的任何其他条件。

关键信息基础设施运营者及处理个人信息达到国家网信部门规定数量的个人信息处理者，必须在中国境内存储在中国境内收集或产生的个人信息。如确需向境外提供有关 信息，则必须通过国家网信部门组织的安全评估。截至本文件日期，我们并没有受到 任何关于个人信息保护方面的处罚。

2021年11月14日，国家互联网信息办公室就《网络数据安全管理条例(征求意见稿)》 (“《数据安全条例草案》”)公开征求意见。根据《数据安全条例草案》，数据处理者如进 行以下活动:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联 网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的;(2)处理一百万人以上个人信息的数据处理者赴国外上市的;(3)数据处理者赴香港上市，影响或者可能影响国家安全的;(4)其他影响或者可能影响国家安全的数据处理活动，应当按照国家有关规定，申报网络安全审查。然而，《数据安全条例草案》并无就“影响或可能影响国家安全”提供进一步解释或诠释。如我们的中国法律顾问所告知，中国政府机关对于“影响或可能影响国家安全”的诠释可能具广泛的自由裁量权。

此外，《数据安全条例草案》还从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务的角度就数据处理者利用网络开展数据处理活动进行了其他具体规定。例如，有下列情况之一的，数据处理者应当在十五个工作日内删除个人信息或匿名化处理：(1)已实现个人信息处理目的或者实现处理目的不再必要；(2)达到与用户约定或者个人信息处理规则明确的存储期限；(3)终止服务或者个人注销账号；(4)因使用自动化采集技术等，无法避免采集到的非必要个人信息或者未经个人同意的个人信息。处理重要数据的，应符合具体要求，例如，重要数据的处理者应当明确数据安全负责人，成立数据安全管理机构，并在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。

​

数据处理者处理一百万人以上个人信息的，还应当遵守《数据安全条例草案》对重要数据的处理者作出有关重要数据安全的规定。处理重要数据或者赴境外上市的数据处理者，应当自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。数据处理者向境外提供在中国境内收集和产生的数据，倘若数据中包含重要数据、或倘若数据处理者为关键信息基础设施运营者或处理一百万人以上个人信息，数据处理者应当通过国家网信部门组织的数据出境安全评估。

由于《数据安全条例草案》于颇为近期颁布，《数据安全条例草案》部分要求需视乎更细化的明文规定或实行标准，我们仍正在评估《数据安全条例草案》各项规定对我们业务的适用程度。基于《数据安全条例草案》并未正式通过及视乎进一步指引，且本集团并无涉及国家互联网信息办公室按此基准作出的任何网络安全审查的调查，亦并无就此接获任何查询、通知、警告或制裁，经咨询中国法律顾问，董事认为有关条例并无对本集团业务经营及财务表现构成重大不利影响，且将不会影响本公司截至本文件日期在任何重大方面遵守法律及法规。然而，董事及中国法律顾问不能排除日后颁布的新规则或法规将会对本集团施加额外合规规定的可能性。

假设《网络安全审查办法草案》及《数据安全条例草案》未来以目前的形式生效，视乎《网络安全审查办法草案》及《数据安全条例草案》的进一步实施详情、指引及澄清，我们及中国法律顾问认为将不会对我们截至本文件日期在任何重大方面遵守法律法规或上市构成重大不利影响，原因是(i)如「业务－数据安全」所披露，我们已实施全面措施，以确保安全存储和传送数据，以及防止任何未经授权取得或使用数据；(ii)截至本文件日期，我们并无遭受任何政府机关处以有关违反数据安全法律法规的重大罚款或行政处罚；(iii)截至本文件日期，我们概无将对业务运营有重大不利影响的数据或个人信息重大泄漏或对数据保护和隐私法律法规的违反；(iv)我们已在采取措施准备遵守《数据安全条例草案》的规定；及(v)我们将继续关注中国数据安全法规的发展。倘《网络安全审查办法草案》及《数据安全条例草案》生效，我们将向相关监管机构寻求指引，以确保我们采取的措施属适当。然而，本公司中国法律顾问不排除未来颁布的新规则或法规将对本集团造成额外合规要求的可能性。

我们收集、处理并存储大量关于用户、业务伙伴及雇员的数据，包括涉及我们用户的个人及交易数据。虽然我们已采取合理措施保护有关数据，但无法保证该等措施将奏效。未经授权访问数据及系统、禁用或降低服务或破坏系统的技术不断演变，因此我们可能无法预知、阻止或防范该等技术或以其他方式实施充分的防范措施，因而不能避免未经授权访问有关数据或系统。

我们须遵守与数据安全和隐私有关的各种法律和其他义务，其中包括于2021年11月1日生效的《个人信息保护法》，其强调处理者的义务及责任对个人信息保护的重要性。该等法律及法规包括对个人信息的收集、使用和存储的限制，以及采取措施防止个人数据被泄漏、盗取或篡改的规定。互联网服务提供商如欲收集或使用个人信息，只能收集其提供服务所必需的个人信息。此外，互联网服务提供商必须向用户明确告知收集或使用个人信息的目的、方式和范围，且必须征得被收集或使用个人信息的用户的同意。互联网服务提供商亦须制定及发布用户个人信息收集、使用规则，对所收集信息严格保密，采用技术及其他措施维护信息安全。

网络运营者收集、存储、使用、转移、披露不满十四周岁儿童个人信息的，应当设置专门的儿童个人信息保护规则和用户协议，以显著、清晰的方式告知儿童监护人，并应当征得儿童监护人的同意。有关详细资料请参阅「法规－有关互联网隐私的法规」。

全国人大常委会于2021年6月10日发布《数据安全法》，规范中国的数据处理活动和安全监管，该法已于2021年9月1日生效。根据《数据安全法》，国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。任何组织或者个人数据处理活动违反《数据安全法》，视具体情况承担相应的民事、行政或刑事责任。此外，随着《7月6日意见》的颁布，中概股公司在数据安全、跨境数据流动及涉密信息管理等方面的合规受到中国监管机关的严格审查。预计此类法律法规将发生进一步变化，这可能要求增加信息安全责任和加强跨境信息管理机制及程序。于2021年7月10日，国家互联网信息办公室就《网络安全审查办法草案》公开征求意见，该草案规定运营者开展数据处理活动，影响或可能影响国家安全的，应当进行网络安全审查。根据《网络安全审查办法草案》，掌握超过1百万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。此外，于2021年11月14日，国家互联网信息办公室就《数据安全条例草案》公开征求意见，当中要求数据处理者于其日常营运遵守若干规定，并进一步列明若干情况下数据处理者应申报网络安全审查，包括数据处理者赴香港上市，影响或者可能影响国安全的。然而，《网络安全审查办法草案》及《数据安全条例草案》均无就「国外上市」或「影响或可能影响国家安全」提供任何进一步解释或诠释。截至最后实际可行日期，《网络安全审查办法草案》及《数据安全条例草案》均未正式通过。我们无法保证我们在日后的融资活动中会否受网络安全审查的限制，抑或日后新颁布的规则或法规会否对我们构成额外合规要求。

于2021年10月29日，国家互联网信息办公室就《数据出境安全评估办法（征求意见稿）》公开征求意见。该法规规定任何数据处理者向境外提供在中国境内运营中收集和产生的重要数据或应当进行安全评估的个人信息，应当进行安全评估。截至最后实际可行日期，《数据出境安全评估办法（征求意见稿）》并未正式通过。有关详情，请参阅「法规－有关信息安全的法规」。