前言:在新年的第一个工作日,《网络安全审查办法》(以下简称《办法》)的修订稿正式发布。自2021年7月发生滴滴等企业受网络安全审查事件以来,《办法》的修订一直受到社会广泛关注。特别是,其中关于上市的条款搅动了中概股和港股市场风云,2021年11月公开征求意见的《网络数据安全管理条例》又进一步加重了业界的猜测。而今靴子终于落地,企业上市过程中面临的政策不确定性因素已然消散,且文件对企业上市总体利好,是一项刺激经济发展之举。围绕社会重大关切,小贝说安全总结了关于《办法》的几个结论和认识。为阅读方便,文末附上了《办法》原文。
一、赴香港上市不要求进行网络安全审查
2020年以来,美国证券交易委员会(SEC)对中概股提出严格要求,中企赴美上市风云突变。
2021年7月,“滴滴”事件中,国家网络安全审查之剑直指赴美上市的三家中国企业;同期,《办法》征求意见稿明确指出,赴“国外”上市的国内企业要接受网络安全审查。这一度刺激了国内企业转而赴港上市的意愿。
然而,2021年11月,《网络数据安全管理条例(征求意见稿)》第十三条又规定,数据处理者赴香港上市,影响或者可能影响国家安全的,也应当进行网络安全审查,这一政策动态使一大批拟赴港上市企业停下观望。
香港联交所也注意到了上述变化,多次要求境内企业出具权威数据安全背书,这也加重了企业的焦虑。
随着《办法》的发布,如今政策已经十分明朗——文件只对企业赴国外上市提了要求,不再提及香港,意味着赴港上市企业不需要进行网络安全审查。
二、《网络安全审查办法》和《网络数据安全管理条例》将保持一致
2021年11月14日,《网络数据安全管理条例》(以下简称《条例》)公开征求意见。关于网络安全审查,其文字描述与《办法》的征求意见稿不完全相同。由于《条例》征求意见时间(11月)晚于《办法》征求意见时间(7月),且《条例》定位于国务院行政法规,法律地位远高于《办法》作为部门规章的定位。故业内曾一度认为,《条例》代表了《办法》的修订方向。但最终的《办法》却依然与《条例》征求意见稿有所区别,特别是在关于赴港上市的问题上。
于是问题便产生了。《办法》层级低但已正式发布,《条例》层级高但是刚刚征求完意见,而在关键问题上两者表述不一致,怎么理解这种情况?即使《办法》已经最终发布,社会上也依然有所顾虑。
要看到,《办法》和《条例》的起草单位都是国家互联网信息办公室。因此,对于《条例》征求意见稿与《办法》最终稿的区别,归根结底是国家互联网信息办的内部协调事项(虽然《条例》后期要走国务院立法程序)。故而,两个文件中出现的不一致情况,与文件起草的不同阶段有关,应当以时间顺序而不是文件级别来作判断。目前,《条例》的征求意见期已经结束,随后会进入修改阶段,相信修改时会保持两者的一致。
三、境外上市企业仍不可回避数据出境安全管理义务
既然对赴港上市没有了数据安全审查的“路条”要求,那么企业是否还要再考虑数据安全问题呢?
答案是肯定的,企业赴香港上市依然应当认真对待数据安全问题。甚至在某种程度上,数据安全问题依然是决定企业赴港上市成功与否的重要因素。
这是因为,企业无论在国外还是香港上市,都属于数据出境行为,而我国正在建立数据出境安全管理制度。但如果赴国外上市活动已纳入网络安全审查事项,当然就不必再重复进行出境安全评估,相关风险在审查中一并考虑即可。那么,现在既然赴香港上市不用进行网络安全审查,则就又回到了数据出境安全这个话题上,企业当然要受这一制度管辖。
四、网络安全审查不等同于数据安全审查
2021年9月1日实施的《数据安全法》在第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。因此,社会上在解读《数据安全法》时,往往将滴滴等企业受到网络安全审查,以及《办法》对企业上市的网络安全审查,都作为数据安全审查制度的实施案例,甚至有的人将网络安全审查与数据安全审查合二为一。
此次《办法》第二十二条第二款指出,国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。这意味着,官方首次明确,网络安全审查与数据安全审查不是等同的,以往社会上的很多解读是错误的。
五、上市是数据处理活动的一种而非全部,但上市有特殊性
《办法》最主要的修订,是在第二条中增加了“网络平台运营者开展数据处理活动”。即,网络安全审查制度自2017年正式建立以来,始终针对的是关键信息基础设施运营者采购产品和服务可能为国家安全带来的风险。此次则增加关注了对网络平台运营者开展数据处理活动时可能为国家安全带来的风险。
但从《办法》第二条之后的内容看,其明确指出的“数据处理活动”只有一种情况,即第七条提到的“掌握超过100万用户个人信息的网络平台运营者赴国外上市”。这就产生了新的问题,除了上市外,其他的数据处理活动就不用进行网络安全审查了吗?
回答这个问题,需要深刻理解《办法》第二条与其他条款的关系。第二条列出的是网络安全审查的宗旨,即影响或可能影响国家安全的行为要受到审查。尔后几条分别列出了对关键信息基础设施运营者采购产品和服务,以及网络平台运营者赴国外上市进行审查的程序性要求。需要注意,这些程序性要求针对的是主动申请审查的情况。但不意味着其他不需主动申请审查的活动就一定不会受到网络安全审查了。
因此,对赴国外上市之外的其他数据处理活动,不是不审查,而是在程序上不要求主动申报审查。
六、不能从“平台运营者”角度判断是否属于审查对象
《办法》在2021年7月征求意见时,新增的被审查对象是“数据处理者”。而《办法》最终发布时使用的是“网络平台运营者”。特别是,根据《办法》第七条规定,应当进行审查的对象是掌握超过100万用户个人信息的“网络平台运营者”。这必然会带来一个问题:有的企业虽然掌握了100万以上的用户个人信息,但其属于传统企业(例如食品生产企业),明显不是互联网企业,那么其是否属于被审查对象呢?
不仅如此,鉴于《办法》本身没有对“网络平台运营者”进行定义,有的人会参考《网络数据安全管理条例(征求意见稿)》或国家市场监管总局发布的《互联网平台分类分级指南(征求意见稿)》中的相关定义。但客观上,当企业掌握了100万以上用户个人信息时,其如果不涉及通过网络提供服务,这几乎是不可想象的。
因此,“网络平台运营者”本身不是用来区分某企业是否应该进行网络安全审查的依据。
七、对上市企业新增了“网络信息安全风险”的评估
《办法》第十条指出了网络安全审查重点评估的国家安全风险因素。其中第(六)项针对的是赴国外上市活动。即,上市存在的关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。
对比2021年7月的《办法》征求意见稿,上述描述增加了“网络信息安全风险”。该词重点指向的是信息内容安全风险,即违法有害信息大规模扩散的情况。目前,利用人工智能、区块链、深度伪造、定向推送等技术传播违法有害信息、破坏网络安全设施的事例越来越多,技术风险已经与意识形态风险交织在一起,而赴国外上市活动将直接与外国机构打交道,这方面的风险不得不防。
八、网络安全审查启动条件不止一种
很多人认为,网络安全审查只有一种启动条件,这来自于对文件字面意思的片面理解。正是这种认识,导致2021年7月滴滴被审查时猜测满天飞。
实际上,网络安全审查的条件可以有三种。第一种见《办法》第二条,即主动申报。第二种见《办法》第十六条,即网络安全审查工作机制成员单位提请审查。第三种见《办法》第三条和第十九条,即社会举报。
九、特殊情况下企业要在审查期间采取预防和消减风险的措施
《办法》第十六条指出,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。这可以认为是一种处罚措施,例如要求产品下架、停止注册新用户。但需要指出,这种处罚措施一般只适用于第十六条(以及社会举报),一般不适用于按照正常程序主动申报审查的情况。
十、试图规避“上市”网络安全审查的捷径不可行
企业上市的情况其实很复杂。例如,境内企业很多采取VIE(可变利益实体)架构;除了IPO(首次公开募股)外,重组上市、买壳上市、造壳上市等也是可选的上市路径;不仅如此,还有些企业试图成立独立公司,将数据处理业务从拟上市企业中剥离出来,转移给独立公司,并与该公司签署数据服务合同。
《办法》的出台不是孤立的,要与前不久征求意见的《国务院关于境内企业境外发行证券和上市的管理规定》一起理解。从后者对“上市”所作定义看,试图通过改变形式而规避网络安全审查的渠道基本走不通。特别是,网络安全审查制度的关注焦点是上市行为是否会导致数据安全、网络安全或信息内容安全风险,这是网络安全审查制度中定义“上市”行为的判断准则。故在制度实施中,不会拘泥于上市的形式,而将抽丝剥茧关注数据处理行为。(文章来源:小贝说安全,作者:securityfact)