当前,数据作为国家新型生产要素和基础战略资源的代表,数据安全已成为保障网络强国建设、护航数字经济发展的安全基石。2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版《审查办法》)开始施行,新修订内容针对数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求,为构建完善国家网络安全审查机制,切实保障国家安全提供了有力抓手。
一、审查对象新增数据处理活动,突出赴国外上市申报审查
(一)影响或者可能影响国家安全的数据处理活动在审查范围内
与上版《审查办法》相比,新版《审查办法》要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应按照新版《审查办法》进行网络安全审查。这意味着除了关键信息基础设施运营者采购网络产品和服务外,网络运营者开展影响或者可能影响国家安全的数据处理活动,也将在网络安全审查范围内。
判断影响或者可能影响国家安全的数据处理活动,可从数据处理活动是否存在或疑似存在危害国家安全行为,或者是否存在国家安全风险等方面进行判断,例如掌握100万用户个人信息的运营者赴国外上市,掌握核心数据或重要数据的运营者赴国外上市,掌握我国禁止或限制出口技术的运营者赴国外上市,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立等数据处理活动,一旦影响或者可能影响国家安全的,都可能成为网络安全审查的对象。
(二)超过100万用户个人信息的运营者赴国外上市应申报审查
新版《审查办法》明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。按照中国证监会公布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,赴国外上市的主体涉及境内企业国外直接发行上市、境内企业国外间接发行上市。其中,直接发行上市是指注册在境内的股份有限公司在国外发行证券或者将其证券在国外上市交易;间接发行上市是指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在国外发行证券或者将证券在国外上市交易。
赴国外上市的方式或途径,包括但不限于首次公开发行并上市(IPO)、特殊目的公司收购(SPAC)上市、借壳上市,通过一次或多次收购、换股、划转以及其他交易安排实现境内企业资产境外直接或间接上市,境内上市公司分拆所属境内企业到国外发行上市,境内上市公司以境内上市股份为基础证券在国外发行可转换为基础证券的存托凭证等。此外,虽然新版《审查办法》没有提及赴香港上市,但是掌握超过100万用户个人信息的运营者赴香港上市,仍应按照数据出境安全评估的有关规定进行评估。
二、审查评估聚焦国家数据安全风险因素
运营者开展影响或可能影响国家安全的数据处理活动,可能带来多种国家数据安全风险,新版《审查办法》在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在国家安全或公共利益风险:一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据的完整性和可用性。三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及国家安全、公共利益或个人权益的数据,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境,应通过国家网信部门组织的数据出境安全评估。
(二)外国政府影响、控制、恶意利用和网络信息安全风险
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(SEC)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(PCAOB)检查,披露上市公司的审计细节、工作底稿等信息。在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。
三、小结
新版《审查办法》的发布,推动国家数据安全治理进入新阶段。网络运营者开展核心数据、重要数据和大量个人信息的数据处理活动时,应加强国家安全意识,预判数据处理活动可能带来的国家安全风险,影响或者可能影响国家安全的及时向网络安全审查办公室报告甚至申报网络安全审查,主动防范可能造成的国家安全风险。我国网络安全审查制度的不断完善,将为我国数据安全和网络安全保障体系建设打下坚实基础。