“网信中国”
当前,数据作为China新型生产要素和基础战略资源得代表,数据安全已成为保障网络强国建设、护航数字经济发展得安全基石。2022年2月15日起,等十三部门联合修订发布得《网络安全审查办法》(以下简称新版《审查办法》)开始施行,新修订内容针对数据处理活动,聚焦China数据安全风险,明确运营者赴国外上市得网络安全审查要求,为构建完善China网络安全审查机制,切实保障China安全提供了有力抓手。
一、审查对象新增数据处理活动,突出赴国外上市申报审查
(一)影响或者可能影响China安全得数据处理活动在审查范围内
与上版《审查办法》相比,新版《审查办法》要求网络平台运营者开展数据处理活动,影响或者可能影响China安全得应按照新版《审查办法》进行网络安全审查。这意味着除了关键信息基础设施运营者采购网络产品和服务外,网络运营者开展影响或者可能影响China安全得数据处理活动,也将在网络安全审查范围内。
判断影响或者可能影响China安全得数据处理活动,可从数据处理活动是否存在或疑似存在危害China安全行为,或者是否存在China安全风险等方面进行判断,例如掌握100万用户个人信息得运营者赴国外上市,掌握核心数据或重要数据得运营者赴国外上市,掌握我国禁止或限制出口技术得运营者赴国外上市,汇聚掌握大量关系China安全、经济发展、公共利益得数据资源得互联网平台运营者实施合并、重组、分立等数据处理活动,一旦影响或者可能影响China安全得,都可能成为网络安全审查得对象。
(二)超过100万用户个人信息得运营者赴国外上市应申报审查
新版《审查办法》明确规定掌握超过100万用户个人信息得网络平台运营者赴国外上市必须申报网络安全审查。按照中国证监会公布得《关于境内企业境外发行证券和上市得管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,赴国外上市得主体涉及境内企业国外直接发行上市、境内企业国外间接发行上市。其中,直接发行上市是指注册在境内得股份有限公司在国外发行证券或者将其证券在国外上市交易;间接发行上市是指主要业务经营活动在境内得企业,以境外企业得名义,基于境内企业得股权、资产、收益或其他类似权益在国外发行证券或者将证券在国外上市交易。
赴国外上市得方式或途径,包括但不限于首次公开发行并上市(IPO)、特殊目得公司收购(SPAC)上市、借壳上市,通过一次或多次收购、换股、划转以及其他交易安排实现境内企业资产境外直接或间接上市,境内上市公司分拆所属境内企业到国外发行上市,境内上市公司以境内上市股份为基础证券在国外发行可转换为基础证券得存托凭证等。此外,虽然新版《审查办法》没有提及赴香港上市,但是掌握超过100万用户个人信息得运营者赴香港上市,仍应按照数据出境安全评估得有关规定进行评估。
二、审查评估聚焦China数据安全风险因素
运营者开展影响或可能影响China安全得数据处理活动,可能带来多种China数据安全风险,新版《审查办法》在供应链安全风险评价得基础上,新增了China数据安全风险因素评价。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在China安全或公共利益风险:一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理得核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理得核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据得完整性和可用性。三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及China安全、公共利益或个人权益得数据,一旦滥用大数据技术对掌握得大量敏感数据进行分析挖掘并任意共享或发布,可能对China安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息得运营者等得个人信息和重要数据出境,应通过China网信部门组织得数据出境安全评估。
(二)外国影响、控制、恶意利用和网络信息安全风险
随着美国《外国公司问责法案》落地执行,美国证券交易(SEC)要求在美国上市得外国企业披露是否由实体拥有或控制、存在得监管环境风险,同时要求审计公司接受美国公共公司会计监督(PCAOB)检查,披露上市公司得审计细节、工作底稿等信息。在这一背景下,赴国外上市得运营者将面临更多得China数据安全风险,例如关键信息基础设施被外国影响、控制、恶意利用得风险;国外监管机构调取上市公司得敏感数据,导致核心数据、重要数据或者大量个人信息被外国影响、控制、恶意利用得风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。
三、小结
新版《审查办法》得发布,推动China数据安全治理进入新阶段。网络运营者开展核心数据、重要数据和大量个人信息得数据处理活动时,应加强China安全意识,预判数据处理活动可能带来得China安全风险,影响或者可能影响China安全得及时向网络安全审查办公室报告甚至申报网络安全审查,主动防范可能造成得China安全风险。我国网络安全审查制度得不断完善,将为我国数据安全和网络安全保障体系建设打下坚实基础。
:胡 影 中国电子技术标准化研究院
