網上投稿
隨著法規建設和監管體系的日趨完善, 無論是從監管的角度, 亦或擬上市企業的角度, 尤其是對于那些具備大量網絡數據或個人信息的企業, 其上市過程中的網絡安全和數據合規問題被愈發重視。尤其在近一年多企業境外上市的熱潮中,無論是本所服務的境外上市企業, 還是市場公開項目, 越來越多的企業在境外上市過程中聘請專業的數據合規顧問處理復雜的網絡安全和數據合規問題。
本文作為“企業境外上市中的網絡安全和數據合規問題”系列文章的第二篇, 旨在總結本所“企業境外上市數據合規小組”過往諸多項目實務經驗, 梳理企業境外上市過程中涉及的網絡安全審查和數據出境合規要點, 以供相關企業或境外上市中介機構參考。
第一部分 境外上市中的網絡安全審查
一、觸發網絡安全審查的情形
目前, 我國有關網絡安全審查制度及具體實施要求主要由《網絡安全法》《網絡安全審查辦法》規制。根據網絡安全審查工作機制成員單位[1]是否主動發起審查, 網絡安全審查的觸發情形可被區分為兩類, 分別為依申報審查和依職權審查。
1. 依申報審查
依申報審查是指在符合以下任一情形時, 由當事人按照《網絡安全審查辦法》進行網絡安全審查自主申報:
(1)關鍵信息基礎設施運營者(“CIIO”)采購網絡產品和服務, 影響或者可能影響國家安全的;
(2)網絡平臺運營者開展數據處理活動, 影響或者可能影響國家安全的(此處的“數據處理活動”指網絡數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等活動);
(3網絡平臺運營者掌握超過100萬用戶個人信息, 且赴國外上市。
根據《關鍵信息基礎設施安全保護條例》, CIIO是指“公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的, 以及其他一旦遭到破壞、喪失功能或者數據泄露, 可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統”。重要行業和領域的主管部門、監督管理部門將會自行認定運營者是否系CIIO并予以通知, 運營者無需進行自行判斷; 換言之, 若企業未曾收到監管機構認定其構成或可能構成關鍵信息基礎設施運營者的通知, 則可認為企業不屬于關鍵信息基礎設施運營者, 有關關鍵信息基礎設施運營者的網絡安全審查申報義務不適用于該企業。
此外,《網絡安全審查辦法》及相關法律法規中并未對“網絡平臺運營者”作出明確定義, 企業需要結合業務內容和數據處理活動內容來進行實質判斷, 實踐中, 通過互聯網平臺方式向大量C端個人消費者提供商品或服務的企業具有不小概率會被認定為“網絡平臺運營者”, 常見的如從事電子商務、居民生活服務、互聯網零售等業務的企業。
2. 依職權審查
網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動, 由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后, 根據其職權主動發起網絡安全審查。
二、境外上市過程中的網絡安全審查
國家互聯網信息辦公室在《網絡安全審查辦法》答記者中明確指出, 網絡平臺運營者在向國外證券監管機構正式提出上市申請之前申報網絡安全審查, 尤其是當其業務涉及國家安全等重要領域時。這一要求旨在確保國家網絡安全不受境外上市活動的影響。此外, 在境外上市的相關申報文件準備過程中, 企業和中介機構還需在提交給中國證監會的文件中, 詳細說明是否已經涉及并履行了相應的安全審查程序, 以確保所有流程符合國家相關法律法規的要求。
在實踐中, 擬境外上市的企業除了需要初步梳理和掌握其已收集和處理的個人信息數量及具體情況外, 中介機構也會積極協助企業進行更為深入和全面的梳理工作。這一步驟的目的是為了進一步分析和評估企業是否具備充分的內部、外部依據確認自身是否需要進行網絡安全審查申報。例如, 雖然“赴香港上市”明確不屬于《網絡安全審查辦法》第七條中規定的“赴國外上市”, 但企業還可以通過向中國網絡安全審查認證和市場監管大數據中心(簡稱“CCRC”)進行咨詢, 確認其境外上市是否屬于《網絡安全審查辦法》第七條規定的應當進行網絡安全審查申報的情形, 從而借助官方意見對自身是否需要進行網絡安全審查申報予以明確。盡管《網絡數據安全管理條例(征求意見稿)》曾將“數據處理者赴香港上市, 影響或者可能影響國家安全的”列為應當申報網絡安全審查的情形, 但今年1月1日最終生效的《網絡數據安全管理條例》已將該情形刪除。
第二部分 境外上市中的數據出境合規
一、重要數據出境
《促進和規范數據跨境流動規定》第七條規定, 針對重要數據出境, 無論是CIIO或除CIIO外的數據處理者均需要通過所在地省級網信部門向國家網信部門申報數據出境安全評估。對于確需出境的重要數據, 經數據出境安全評估認為不會危害國家安全和社會公共利益的, 方可出境。
企業確保重要數據出境合規的前提是準確識別重要數據。《網絡數據安全管理條例》規定, 重要數據的范圍由相關地區、行業部門的監管部門確定。目前實踐中對于重要數據的確認主要由幾種途徑: (1)部分行業、領域數據分類分級標準規范和重要數據識別申報規則已經公開發布, 如工業領域的《工業領域重要數據識別指南》、電信領域的《電信領域重要數據識別指南》、自然資源領域的《地理信息數據分類分級工作指南(試行)》、統計領域的《統計數據安全管理辦法》等; (2)此外, 還有主管部門通過召開會議、制發文件、一對一通知等形式告知到數據處理者。
和“關鍵信息基礎設施運營者”的認定邏輯類似, 《促進和規范數據跨境流動規定》第2條規定, 數據處理者應當按照相關規定識別、申報重要數據; 未被相關部門、地區告知或者公開發布為重要數據的, 數據處理者不需要作為重要數據申報數據出境安全評估。國家互聯網信息辦公室發布的《數據出境安全管理政策問答(2025年5月)》也曾對此特別予以說明, 即如果相關行業沒有發布行業、領域的數據分類分級標準規范和重要數據識別申報規則, 數據處理者也沒有被有關部門告知應當進行重要數據識別申報的, 數據處理者不需要作為重要數據申報數據安全評估, 相關數據出境活動不會被認定為違反違規出境重要數據, 不會因此受到行政處罰。如果數據處理者掌握的數據公開發布或被告知為重要數據后, 繼續開展數據出境活動的, 應當在數據公開發布或被告知后2個月內, 及時履行數據出境安全評估。
二、個人信息出境
根據《個人信息保護法》第三十八條的規定, 個人信息處理者因業務等需要, 確需向中華人民共和國境外提供個人信息的, 應當具備下列條件之一:
(1)依照《個人信息保護法》第四十條的規定通過國家網信部門組織的安全評估;
(2)按照國家網信部門的規定經專業機構進行個人信息保護認證;
(3)按照國家網信部門制定的標準合同與境外接收方訂立合同, 約定雙方的權利和義務;
(4)法律、行政法規或者國家網信部門規定的其他條件。
中華人民共和國締結或者參加的國際條約、協定對向中華人民共和國境外提供個人信息的條件等有規定的, 可以按照其規定執行。
據此, 根據個人信息出境的類型和情形不同, 對于個人信息出境的監管類型可區分為豁免、與接收方訂立個人信息出境標準合同、通過個人信息保護認證和數據出境安全評估。
同時, 《促進和規范數據跨境流動規定》允許自由貿易試驗區在國家數據分類分級保護制度框架下, 自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單(“負面清單”), 經省級網絡安全和信息化委員會批準后, 報國家網信部門、國家數據管理部門備案。截至目前, 天津、北京、上海、海南和浙江的自貿區已制定負面清單, 就具體行業和數據出境場景進行細化規定。
三、其他數據出境的監管豁免情形
除上文表格所述的“自當年1月1日起累計向境外提供不滿10萬人個人信息”屬于豁免監管的數據出境情形外, 根據《促進和規范數據跨境流動規定》之規定, 如下情形亦在豁免之列:
1.國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供, 且不包含個人信息或者重要數據的;
2.數據處理者在境外收集和產生的個人信息傳輸至境內處理后向境外提供, 處理過程中沒有引入境內個人信息或者重要數據的;
3.為訂立、履行個人作為一方當事人的合同, 如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等, 確需向境外提供個人信息的;
4.按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理, 確需向境外提供員工個人信息的(企業對于自身相關行為是否屬于“跨境人力資源管理”行為存在疑義的, 可通過中介機構咨詢相關主管部門意見);
5.緊急情況下為保護自然人的生命健康和財產安全, 確需向境外提供個人信息的。
結語
我們期望本文的梳理能夠幫助相關方更迅速地了解企業境外上市過程中面臨的網絡安全審查和數據出境合規要點及其應對策略。隨著國際地緣博弈不斷加劇, 在當下及未來較長一段時間內, 可以預見各方對網絡安全和數據出境的重視將不斷加強; 加之國內網絡安全和數據合規監管體系亦在不斷動態更新或完善之中, 企業及相關專業機構應不斷跟蹤學習, 了解監管動態, 和主管部門進行適時溝通, 從而以最高效的方式應對企業境外上市過程中的相關合規風險。
[1] 指國家互聯網信息辦公室、國家發展和改革委員會、工業和信息化部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局十三家成員單位。
[2] 所謂“個人信息”, 是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息, 不包括匿名化處理后的信息。此處匿名化處理是指經過處理無法識別特定自然人且不能復原的過程。
[3] 所謂“敏感個人信息”是指一旦泄露或者非法使用, 容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息, 包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息, 以及不滿十四周歲未成年人的個人信息。
【文章僅代表作者本人觀點, 不代表通力律師事務所的法律意見或建議。我們明示不對任何依賴該等文章的任何內容而采取或不采取行動所導致的后果承擔責任。】