■ 在《网络安全审查办法》修订稿正式发布的当天,小贝说安全总结了文件的几个结论,提出了自己的认识。鉴于这项制度影响深远,有必要对这些认识进一步展开。

一、关于对香港上市的要求,不需要主动申报审查,但不等于不审查

2020年以来,美国证券交易委员会(SEC)对中概股提出严格要求,中企赴美上市风云突变;2021年7月,“滴滴”事件中,国家网络安全审查之剑直指赴美上市的三家中国企业;同期,《办法》征求意见稿明确指出,赴“国外”上市的国内企业要接受网络安全审查。这一度刺激了国内企业转而赴港上市的意愿。但2021年11月,《网络数据安全管理条例》(以下简称《条例》)征求意见稿第十三条又规定,数据处理者赴香港上市,影响或者可能影响国家安全的,也应当进行网络安全审查,这一情况使一大批拟赴港上市企业停下观望。

应该说,前述的政策动态,特别是不同时期征求意见稿的不同表述,本身是政策研究起草中的正常现象,但确实会使很多企业有所担心。而香港联交所也注意到了内地的政策动态,多次要求境内企业出具权威数据安全背书,这也加重了企业的焦虑。

如今政策已经十分明朗——未对赴港上市企业提出主动申报网络安全审查的要求。

《办法》与前不久由证监会征求意见的《境内企业境外发行证券和上市备案管理办法》是一致的。《境内企业境外发行证券和上市备案管理办法》第五条指出,发行人应当向证监会提交备案材料,包括有关部门出具的安全评估审查意见(如适用)。显然,“如适用”这种表述,本身就是考虑到了并非所有赴境外上市企业都需要申报网络安全审查的情况。即,赴美上市在达到一定条件时需要申报网络安全审查,赴港上市不用申报网络安全审查。

但是,必须强调另外一点:所谓的赴港上市不用申报网络安全审查,是指企业在赴港上市时不需要主动申报网络安全审查,而不意味着不会受到网络安全审查,因为网络安全审查机制成员单位可以提请对企业进行审查。为此,建议企业依然要主动判断赴香港上市是否会影响国家安全。

而且,《办法》的发布也不意味着企业可以不履行数据安全义务和国家安全义务,不意味着企业不会因其他数据安全风险而受到网络安全审查。后文将对此详述。

二、关于《网络安全审查办法》与《网络数据安全管理条例》的关系

2021年11月14日,《条例》公开征求意见。其第十三条针对的是网络安全审查制度,但在文字描述上与《办法》的征求意见稿不完全相同。由于《条例》征求意见时间(11月)晚于《办法》征求意见时间(7月),且《条例》定位于国务院行政法规,法律地位高于《办法》作为部门规章的定位。故业内曾一度认为,《条例》代表了《办法》的修订方向。但最终的《办法》却依然与《条例》征求意见稿有所区别,特别是在关于赴港上市的问题上。

于是问题便产生了。《办法》层级低但已正式发布,《条例》层级高但是刚刚征求完意见,而在关键问题上两者表述不一致,怎么理解这种情况?即使《办法》已经最终发布,可能也依然不会打消社会上的顾虑。

从逻辑上讲,《办法》是部门规章,《条例》是国务院行政法规,后者的制定当然不必受制于前者。因此,理论上《条例》如果在当前起草和今后印发时发生任何与《办法》文字不一致的情况,都是正常和合理的。

但是,受两点因素决定,可以认为国家关于网络安全审查的制度规定已经大局已定:

一是,《办法》和《条例》的起草单位都是国家互联网信息办公室。因此,对于《条例》征求意见稿与《办法》最终稿的区别,归根结底是国家互联网信息办的内部协调事项。故而,两个文件中出现的不一致情况,属于文件起草过程中不同阶段对工作有不同认识,应当以时间顺序而不是文件级别来作判断。目前,《条例》的征求意见期已经结束,随后会进入修改阶段,相信修改时会保持两者的一致。

二是,《办法》本身反映了多个部门的意见,《条例》在进入后续立法程序时,其他部门料将不会再对网络安全审查制度提出修改意见。按程序规定,国家互联网信息办在此轮修改完《条例》后,会提交司法部,由司法部组织征求意见,并向国务院常务会议提交审议。因此,理论上即使国家互联网信息办内部已经协调完毕的事项,也可能在后续立法程序中被其他部门提出进一步意见。但问题在于,《办法》虽然是国家互联网信息办的部门规章,但却是十三个部门联合印发的,发文前已在各部门间达成了一致。这十三个部门涵盖了与这项工作密切相关的政府机构,其他部门在司法部征求意见或国务院常务会议审议时提出修改意见的可能性很小。

三、关于网络安全审查与数据出境安全管理

如前所述,赴港上市不用主动申报网络安全审查。那么,企业应该对此采取什么立场呢?是不是对数据安全就不用关注了?

当然不是,企业赴香港上市依然应当认真对待数据安全问题。甚至在某种程度上,数据安全问题依然是决定企业赴港上市成功与否的重要因素。

除了赴港上市还可能被审查机制成员单位要求进行网络安全审查外,另外一个重要原因是,企业无论在国外还是香港上市,都属于数据出境行为,而我国正在建立数据出境安全管理制度。

将国外上市活动纳入网络安全审查事项,最初因应的是美国证券交易委员会(SEC)加大了对中概股的资料审核要求。如执行SEC的新规定,企业的大量数据都可能被SEC及其他美国机构掌握,这显然为国家安全带来了严重风险。本质上,这是一种数据出境行为,当然要进行数据出境安全评估。但如果已经对其进行了网络安全审查,则当然不必再重复进行出境安全评估,相关风险在审查中一并考虑即可。那么,现在既然赴香港上市不用主动申报网络安全审查,则就又回到了数据出境安全这个话题上,当然要受这一制度管辖。

2021年10月,国家互联网信息办对《数据出境安全评估办法》公开征求意见。2021年11月,国家互联网信息办对《条例》公开征求意见。《条例》规定,重要数据出境、关键信息基础设施运营者掌握的个人信息出境、掌握100万以上个人信息的数据处理者的个人信息出境,要通过国家网信部门组织的安全评估。其他情况下,个人信息出境虽然不必通过网信部门的安全评估,但依然需要符合特定的条件,如发送方和接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证,或按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同。

在上述制度设计中,并没有区分数据是向香港还是国外传输。这就意味着,虽然企业赴香港上市不用申报网络安全审查,但应当遵守关于数据出境安全管理的规定。当然,出于支持香港数字经济发展的目的,未来不排除可能对内地数据向香港传输作出特别安排,但这是后话。

这其中还涉及另一个问题:并不是将数据交给境外证券监管机构才属于数据出境。事实上,赴境外上市企业在聘请机构提供上市辅导过程中,不可避免要涉及到境外律所、审计事务所或其他机构。即使企业在境内接受上市辅导,数据被这些机构接触都属于数据出境。因此,在企业赴境外上市这种场景中,数据出境风险源头比较多,均是数据出境安全管理制度的规范对象。甚至企业因选择外资机构提供辅导,都有可能被认为触发数据安全风险。

最近几家企业赴港上市案例中,大家都很关注律所对其数据安全风险出具的专业意见。从已披露情况看,这些意见的核心是两点。一是网络安全审查制度还没有实施,企业没有违反国家规定,但会谨慎关注后续政策出台过程;二是企业的数据安全风险总体可控。实际上,这些意见是不全面的,数据出境安全风险不能不提及。而之所以这些上市成功的企业没有受到影响,部分原因是《数据出境安全评估办法》也还在征求意见,数据出境安全管理制度尚未建立起来。但这也只是暂时的。

因此,此次《办法》发布后,只能说赴香港上市企业的压力比预期减小了,这是对企业的政策利好,但不意味着企业数据安全责任的降低。从长远看,数据安全风险研判、整改和政策合规分析(不仅仅是网络安全审查制度合规)将成为企业赴境外上市过程中必须开展的工作和必须回答的问题。

四、关于网络安全审查与数据安全审查

2021年9月1日实施的《数据安全法》在第二十四条规定,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。因此,社会上在解读《数据安全法》时,往往将滴滴等企业受到网络安全审查,以及《办法》对企业上市的网络安全审查,都等同于数据安全审查制度。

这是不全面的。无论是《办法》还是《条例》,从来使用的都是“网络安全审查”。此次《办法》第二十二条第二款指出,国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。这意味着,官方首次明确,网络安全审查与数据安全审查有所区别,但又紧密联系。

那么,如何理解他们之间的关系呢?审查办法是落实《数据安全法》的要求,是在网络数据领域的安全审查。当然,整个《数据安全法》的范围更广。

五、关于数据处理活动与上市

《办法》最主要的修订,是在第二条中增加了“网络平台运营者开展数据处理活动”。即,网络安全审查制度自2017年试行并于2020年正式建立以来,始终针对的是关键信息基础设施运营者采购产品和服务可能为国家安全带来的风险。此次则增加关注了对网络平台运营者开展数据处理活动时可能为国家安全带来的风险。

人们自然会关心,《办法》将数据处理活动划分了几类呢?分别对应什么样的安全风险呢?

从《办法》第二条之后的内容看,其明确指出的“数据处理活动”只有一种情况,即第七条提到的“掌握超过100万用户个人信息的网络平台运营者赴国外上市”。这就产生了新的问题,除了上市外,其他的数据处理活动就不用进行网络安全审查了吗?

回答这个问题,需要深刻理解《办法》第二条与其他条款的关系。第二条列出的是网络安全审查的宗旨,即影响或可能影响国家安全的行为要受到审查。尔后几条则是对关键信息基础设施运营者采购产品和服务,以及网络平台运营者赴国外上市进行审查的程序性要求。需要注意,这些程序性要求针对的是主动申报审查的情况,但不意味着其他不需主动申报审查的活动就一定不会受到网络安全审查了。《办法》第十六条指出,网络安全审查机制成员单位认为属于影响或可能影响国家安全的行为,可以报请批准后启动审查。这种审查,不限于是否属于关键信息基础设施运营者采购活动,也不限于是否属于国外上市活动。

因此,对赴国外上市之外的其他数据处理活动,不是不审查,而是在程序上不要求主动申报审查。包括赴港上市,也只是不要求主动申报审查。

另外还有一点需要注意,即使对关键信息基础设施运营者采购产品和服务的行为,《办法》也并未要求必然进行网络安全审查,而是在“影响或者可能影响国家安全”的情况下才要求申报审查。但对于掌握超过100万用户个人信息的网络平台运营者赴国外上市,《办法》则使用的是“必须”申报网络安全审查。这足以说明在国外上市的敏感性。

六、关于“网络平台运营者”概念

《办法》在2021年7月征求意见时,新增的被审查对象是“数据处理者”。而《办法》最终发布时使用的是“网络平台运营者”。而且,根据《办法》第七条规定,应当进行审查的对象是掌握超过100万用户个人信息的“网络平台运营者”。这必然会带来一个问题:有的企业虽然掌握了100万以上的用户个人信息,但其属于传统企业(例如食品生产企业),明显不是互联网企业,那么其是否属于被审查对象呢?

不仅如此,鉴于《办法》本身没有对“网络平台运营者”进行定义,有人会参照《条例》去理解该概念。《条例》第七十三条规定,互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。按这一定义,“平台运营者”的典型特征是两个,一是为用户提供平台,相当于“搭台供唱戏”;二是平台上的服务是特定的,主要是信息发布、社交、交易、支付、视听等。如遵照该定义,“网络平台运营者”是一个较小的子集。

当然,也有人会参考国家市场监管总局发布的《互联网平台分类分级指南(征求意见稿)》。该文件指出,对平台进行分类需要考虑平台的连接属性和主要功能。平台的连接属性是指通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来,由此使得平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。按照这一定义,实际上只要涉及互联网应用的,都能归属到上述其中一类。这是一种广义的对“平台运营者”的理解。

事实上,无论是狭义或广义的理解,如今同互联网完全无关的拟上市企业并不多。尤其是,当企业掌握了100万以上用户个人信息时,其如果不涉及通过网络提供服务,这几乎是不可想象的。

因此,“网络平台运营者”本身不是用来区分某企业是否应该进行网络安全审查的依据。

七、关于上市网络安全风险

《办法》第十条指出了网络安全审查重点评估的国家安全风险因素。其中第(六)项针对的是国外上市。即,上市存在的关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。

对比2021年7月的《办法》征求意见稿,上述描述增加了“网络信息安全风险”。那么,何以在“网络安全”已经成为通用词汇的情况下,又使用“网络信息安全风险”呢?这一概念反映出什么样的国家安全风险关切呢?

该词重点指向的是信息内容安全风险,即违法有害信息大规模扩散的情况。传统上,信息内容安全与信息技术安全有明确的界限。但随着信息技术的进步,利用人工智能、区块链、深度伪造、定向推送等技术传播违法有害信息、破坏网络安全设施的事例越来越多,技术风险已经与意识形态风险交织在一起,而赴国外上市活动将直接与外国机构打交道,这方面的风险不得不防。

八、关于网络安全审查启动条件

很多人认为,网络安全审查只有一种启动条件,这来自于对文件字面意思的片面理解。正是这种认识,导致2021年7月滴滴被审查时猜测满天飞。甚至一些机构基于个人认识而发表了很多与事实不符的言论,误导了舆论。

实际上,网络安全审查的条件可以有三种。

第一种见《办法》第二条,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查。这是绝大多数人理解的审查启动条件。《办法》修订前,主要是关键信息基础设施运营者采购产品和服务——也正因为如此,滴滴被审查时,一些人误会这意味着滴滴被认定为关键信息基础设施了,且滴滴在采购产品或服务时触发了国家安全风险。《办法》此次修订后,增加了企业赴国外上市的情况。

第二种见《办法》第十六条,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,按规定进行审查。这种启动条件直接针对任何可能影响国家安全的产品或服务,与是否属于关键信息基础设施,是否采购产品或服务,是否属于国外上市行为均无关。滴滴被审查便是由此而起。从这一逻辑看,虽然企业赴香港上市时不需申报网络安全审查,但如果网络安全审查工作机制成员中有任何单位认为其上市行为存在国家安全风险,也依然可以对其启动审查。这样一来,企业更不能对数据处理活动的安全性掉以轻心。

第三种见《办法》第三条和第十九条。第三条指出,网络安全审查坚持事前审查与持续监管相结合、企业承诺与社会监督相结合。第十九条指出,网络安全审查办公室通过接受举报等形式加强事前事中事后监督。这意味着,任何人或组织都可以向网络安全审查办公室举报,对某产品或服务已经或可能带来的国家安全风险进行反映。如审查办公室认为有必要进行审查的,也可按规定启动审查。

当然,也可以认为,第三种与第二种是殊途同归的。因为接到社会举报后,启动审查也是由网络安全审查办公室提出,只是最初的起点不同而已。但之所以要将其单列为第三种,是因为要强调社会监督的作用。

九、关于处罚

处罚是以减损权益或者增加义务的方式予以惩戒的行为。网络安全审查制度中,处罚手段有哪些?程度如何?这是大家都关心的事项。但讨论这个问题时,需要明确这个制度中列出了几种需要施以处罚的行为。实践中,这还要根据动机、后果分不同的情况。

一是应当申报审查,而主观上有意回避申报。这又要分两种情况,第一种是关键信息基础设施运营者采购网络产品和服务时,未判断国家安全风险;第二种是关键信息基础设施运营者经判断存在国家安全风险而故意不申报。

二是应当申报审查,但因错误判断国家安全风险而未申报审查。这种情况往往是关键信息基础设施运营者能力水平等方面的原因,导致未能正确判断国家安全风险,因而应该申报而未申报。从动机角度看,这种情况的违法程度要弱于第一种。

三是使用审查未通过的产品。这也分两种情况,第一种是关键信息基础设施运营者申报审查后,拟采购的产品或服务未能通过审查,但关键信息基础设施运营者继续使用;第二种是其他网络运营者使用了未通过审查的产品或服务。前者显然应当受到严厉处罚;后者是否应当受处罚,要看具体情况,因为产品或服务的风险与具体使用场景有关。不是所有的网络产品或服务只要有过未通过审查的记录,就在任何地方都不能使用了。

四是应当申报审查的企业不经审查而在国外上市。按照以前的管理模式,这是完全可能发生的行为,必然会受到严厉处罚。但一段时间以来,证监会会同国务院有关部门研究起草了《国务院关于境内企业境外发行证券和上市的管理规定》,并于2021年12月公开征求意见。按该文件第六条规定,境内企业境外发行上市的,应当向国务院证券监督管理机构履行备案程序,报告有关信息。文件的第八条进一步规定,境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。这意味着,企业应审而不审,继而直接到国外上市的可能性已经降为零,因为增加了一道证监会备案的强制要求。

这样一来,违规行为中,只会出现证监会在备案时发现企业未提交网络安全审查结论,因而不予备案的情况,相当于不发“路条”,而不会出现企业“抢跑”。但这也带来另一个问题:证监会怎么知道一个拟赴国外上市企业是否符合审查标准?如果某企业向证监会备案时声称其不必进行网络安全审查,证监会将如何判断?可以预见,证监会此时将相当谨慎,作为非网络安全、数据安全专业部门,其很可能将会商有关部门。以上情况如出现,将大大延缓企业的备案速度。如企业存在侥幸心理,主张自己虽赴国外上市但不属于应申报审查情况,可能要承担很大的风险,企业为此要有充分准备。

五是网络安全审查工作机制成员单位认为某网络产品和服务以及数据处理活动影响或者可能影响国家安全,或者社会举报了某网络产品和服务以及数据处理活动,国家按程序对其进行审查。此时,审查的技术层面操作与平时无异,但由于审查是由监测或举报触发的,往往国家安全风险已经发生,故还存在一个风险处置的问题。《办法》第十六条指出,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。这可以认为是一种处罚措施,例如要求产品下架、停止注册新用户。但需要指出,这种处罚措施一般只适用于第十六条(以及社会举报),一般不适用于按照正常程序主动申报审查的情况。

十、关于“上市”的概念

《办法》对赴国外上市活动提出了网络安全审查要求,但如何定义“上市”,这决定了网络安全审查制度监管对象的范围,是一个不可绕过的话题。

但有三个方面的原因,导致这个问题带有一定的复杂性。

一是境内企业很多采VIE(可变利益实体)架构,导致“境内企业”“经营”等传统概念需要有新的适应性解释。为此,《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》第二条引入了境内企业境外直接发行上市和间接发行上市的概念。后者特指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在境外发行证券或者将证券在境外上市交易。因此,可以认为这个问题已经解决,VIE架构已被纳入监管。

二是海外上市的手法众多。除了IPO(首次公开募股)外,重组上市、买壳上市、造壳上市等也是可选的上市途径,这些活动中的数据安全、网络安全风险同样不可忽视。

三是一些企业试图剥离数据业务,以此规避上市网络安全审查。例如,成立独立公司,将数据处理业务从拟上市企业中剥离出来,转移给独立公司,并与该公司签署数据服务合同,从而使拟上市公司不掌握数据。

网络安全审查制度的关注焦点是上市行为是否会导致数据安全、网络安全或信息内容安全风险,这是网络安全审查制度中定义“上市”行为的判断准则。故在制度实施中,不会只拘泥于上市的形式,而将抽丝剥茧关注数据处理行为。故可以得出结论,试图通过改变形式而规避网络安全审查的渠道基本走不通。

小贝结语

■  网络安全审查制度是一项重要且内涵丰富的制度,而且是一项在发展中的制度,特别是在数据安全风险防范方面。本文所作分析,仅代表了作者的粗浅认识,希望抛砖引玉,引起更多人对网络安全审查制度的关注。

声明:本文来自小贝说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。