文淺意深,關于《網絡安全審查辦法(修訂)》的十個深度解讀
|小貝案語|
■ 在《網絡安全審查辦法》修訂稿正式發布的當天,小貝說安全總結了文件的幾個結論,提出了自己的認識。鑒于這項制度影響深遠,有必要對這些認識進一步展開。
一、關于對香港上市的要求,不需要主動申報審查,但不等于不審查
2020年以來,美國證券交易委員會(SEC)對中概股提出嚴格要求,中企赴美上市風云突變;2021年7月,“滴滴”事件中,國家網絡安全審查之劍直指赴美上市的三家中國企業;同期,《辦法》征求意見稿明確指出,赴“國外”上市的國內企業要接受網絡安全審查。這一度刺激了國內企業轉而赴港上市的意愿。但2021年11月,《網絡數據安全管理條例》(以下簡稱《條例》)征求意見稿第十三條又規定,數據處理者赴香港上市,影響或者可能影響國家安全的,也應當進行網絡安全審查,這一情況使一大批擬赴港上市企業停下觀望。
應該說,前述的政策動態,特別是不同時期征求意見稿的不同表述,本身是政策研究起草中的正常現象,但確實會使很多企業有所擔心。而香港聯交所也注意到了內地的政策動態,多次要求境內企業出具權威數據安全背書,這也加重了企業的焦慮。
如今政策已經十分明朗——未對赴港上市企業提出主動申報網絡安全審查的要求。
《辦法》與前不久由證監會征求意見的《境內企業境外發行證券和上市備案管理辦法》是一致的。《境內企業境外發行證券和上市備案管理辦法》第五條指出,發行人應當向證監會提交備案材料,包括有關部門出具的安全評估審查意見(如適用)。顯然,“如適用”這種表述,本身就是考慮到了并非所有赴境外上市企業都需要申報網絡安全審查的情況。即,赴美上市在達到一定條件時需要申報網絡安全審查,赴港上市不用申報網絡安全審查。
但是,必須強調另外一點:所謂的赴港上市不用申報網絡安全審查,是指企業在赴港上市時不需要主動申報網絡安全審查,而不意味著不會受到網絡安全審查,因為網絡安全審查機制成員單位可以提請對企業進行審查。為此,建議企業依然要主動判斷赴香港上市是否會影響國家安全。
而且,《辦法》的發布也不意味著企業可以不履行數據安全義務和國家安全義務,不意味著企業不會因其他數據安全風險而受到網絡安全審查。后文將對此詳述。
二、關于《網絡安全審查辦法》與《網絡數據安全管理條例》的關系
2021年11月14日,《條例》公開征求意見。其第十三條針對的是網絡安全審查制度,但在文字描述上與《辦法》的征求意見稿不完全相同。由于《條例》征求意見時間(11月)晚于《辦法》征求意見時間(7月),且《條例》定位于國務院行政法規,法律地位高于《辦法》作為部門規章的定位。故業內曾一度認為,《條例》代表了《辦法》的修訂方向。但最終的《辦法》卻依然與《條例》征求意見稿有所區別,特別是在關于赴港上市的問題上。
于是問題便產生了。《辦法》層級低但已正式發布,《條例》層級高但是剛剛征求完意見,而在關鍵問題上兩者表述不一致,怎么理解這種情況?即使《辦法》已經最終發布,可能也依然不會打消社會上的顧慮。
從邏輯上講,《辦法》是部門規章,《條例》是國務院行政法規,后者的制定當然不必受制于前者。因此,理論上《條例》如果在當前起草和今后印發時發生任何與《辦法》文字不一致的情況,都是正常和合理的。
但是,受兩點因素決定,可以認為國家關于網絡安全審查的制度規定已經大局已定:
一是,《辦法》和《條例》的起草單位都是國家互聯網信息辦公室。因此,對于《條例》征求意見稿與《辦法》最終稿的區別,歸根結底是國家互聯網信息辦的內部協調事項。故而,兩個文件中出現的不一致情況,屬于文件起草過程中不同階段對工作有不同認識,應當以時間順序而不是文件級別來作判斷。目前,《條例》的征求意見期已經結束,隨后會進入修改階段,相信修改時會保持兩者的一致。
二是,《辦法》本身反映了多個部門的意見,《條例》在進入后續立法程序時,其他部門料將不會再對網絡安全審查制度提出修改意見。按程序規定,國家互聯網信息辦在此輪修改完《條例》后,會提交司法部,由司法部組織征求意見,并向國務院常務會議提交審議。因此,理論上即使國家互聯網信息辦內部已經協調完畢的事項,也可能在后續立法程序中被其他部門提出進一步意見。但問題在于,《辦法》雖然是國家互聯網信息辦的部門規章,但卻是十三個部門聯合印發的,發文前已在各部門間達成了一致。這十三個部門涵蓋了與這項工作密切相關的政府機構,其他部門在司法部征求意見或國務院常務會議審議時提出修改意見的可能性很小。
三、關于網絡安全審查與數據出境安全管理
如前所述,赴港上市不用主動申報網絡安全審查。那么,企業應該對此采取什么立場呢?是不是對數據安全就不用關注了?
當然不是,企業赴香港上市依然應當認真對待數據安全問題。甚至在某種程度上,數據安全問題依然是決定企業赴港上市成功與否的重要因素。
除了赴港上市還可能被審查機制成員單位要求進行網絡安全審查外,另外一個重要原因是,企業無論在國外還是香港上市,都屬于數據出境行為,而我國正在建立數據出境安全管理制度。
將國外上市活動納入網絡安全審查事項,最初因應的是美國證券交易委員會(SEC)加大了對中概股的資料審核要求。如執行SEC的新規定,企業的大量數據都可能被SEC及其他美國機構掌握,這顯然為國家安全帶來了嚴重風險。本質上,這是一種數據出境行為,當然要進行數據出境安全評估。但如果已經對其進行了網絡安全審查,則當然不必再重復進行出境安全評估,相關風險在審查中一并考慮即可。那么,現在既然赴香港上市不用主動申報網絡安全審查,則就又回到了數據出境安全這個話題上,當然要受這一制度管轄。
2021年10月,國家互聯網信息辦對《數據出境安全評估辦法》公開征求意見。2021年11月,國家互聯網信息辦對《條例》公開征求意見。《條例》規定,重要數據出境、關鍵信息基礎設施運營者掌握的個人信息出境、掌握100萬以上個人信息的數據處理者的個人信息出境,要通過國家網信部門組織的安全評估。其他情況下,個人信息出境雖然不必通過網信部門的安全評估,但依然需要符合特定的條件,如發送方和接收方均通過國家網信部門認定的專業機構進行的個人信息保護認證,或按照國家網信部門制定的關于標準合同的規定與境外數據接收方訂立合同。
在上述制度設計中,并沒有區分數據是向香港還是國外傳輸。這就意味著,雖然企業赴香港上市不用申報網絡安全審查,但應當遵守關于數據出境安全管理的規定。當然,出于支持香港數字經濟發展的目的,未來不排除可能對內地數據向香港傳輸作出特別安排,但這是后話。
這其中還涉及另一個問題:并不是將數據交給境外證券監管機構才屬于數據出境。事實上,赴境外上市企業在聘請機構提供上市輔導過程中,不可避免要涉及到境外律所、審計事務所或其他機構。即使企業在境內接受上市輔導,數據被這些機構接觸都屬于數據出境。因此,在企業赴境外上市這種場景中,數據出境風險源頭比較多,均是數據出境安全管理制度的規范對象。甚至企業因選擇外資機構提供輔導,都有可能被認為觸發數據安全風險。
最近幾家企業赴港上市案例中,大家都很關注律所對其數據安全風險出具的專業意見。從已披露情況看,這些意見的核心是兩點。一是網絡安全審查制度還沒有實施,企業沒有違反國家規定,但會謹慎關注后續政策出臺過程;二是企業的數據安全風險總體可控。實際上,這些意見是不全面的,數據出境安全風險不能不提及。而之所以這些上市成功的企業沒有受到影響,部分原因是《數據出境安全評估辦法》也還在征求意見,數據出境安全管理制度尚未建立起來。但這也只是暫時的。
因此,此次《辦法》發布后,只能說赴香港上市企業的壓力比預期減小了,這是對企業的政策利好,但不意味著企業數據安全責任的降低。從長遠看,數據安全風險研判、整改和政策合規分析(不僅僅是網絡安全審查制度合規)將成為企業赴境外上市過程中必須開展的工作和必須回答的問題。
四、關于網絡安全審查與數據安全審查
2021年9月1日實施的《數據安全法》在第二十四條規定,國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查。因此,社會上在解讀《數據安全法》時,往往將滴滴等企業受到網絡安全審查,以及《辦法》對企業上市的網絡安全審查,都等同于數據安全審查制度。
這是不全面的。無論是《辦法》還是《條例》,從來使用的都是“網絡安全審查”。此次《辦法》第二十二條第二款指出,國家對數據安全審查、外商投資安全審查另有規定的,應當同時符合其規定。這意味著,官方首次明確,網絡安全審查與數據安全審查有所區別,但又緊密聯系。
那么,如何理解他們之間的關系呢?審查辦法是落實《數據安全法》的要求,是在網絡數據領域的安全審查。當然,整個《數據安全法》的范圍更廣。
五、關于數據處理活動與上市
《辦法》最主要的修訂,是在第二條中增加了“網絡平臺運營者開展數據處理活動”。即,網絡安全審查制度自2017年試行并于2020年正式建立以來,始終針對的是關鍵信息基礎設施運營者采購產品和服務可能為國家安全帶來的風險。此次則增加關注了對網絡平臺運營者開展數據處理活動時可能為國家安全帶來的風險。
人們自然會關心,《辦法》將數據處理活動劃分了幾類呢?分別對應什么樣的安全風險呢?
從《辦法》第二條之后的內容看,其明確指出的“數據處理活動”只有一種情況,即第七條提到的“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市”。這就產生了新的問題,除了上市外,其他的數據處理活動就不用進行網絡安全審查了嗎?
回答這個問題,需要深刻理解《辦法》第二條與其他條款的關系。第二條列出的是網絡安全審查的宗旨,即影響或可能影響國家安全的行為要受到審查。爾后幾條則是對關鍵信息基礎設施運營者采購產品和服務,以及網絡平臺運營者赴國外上市進行審查的程序性要求。需要注意,這些程序性要求針對的是主動申報審查的情況,但不意味著其他不需主動申報審查的活動就一定不會受到網絡安全審查了。《辦法》第十六條指出,網絡安全審查機制成員單位認為屬于影響或可能影響國家安全的行為,可以報請批準后啟動審查。這種審查,不限于是否屬于關鍵信息基礎設施運營者采購活動,也不限于是否屬于國外上市活動。
因此,對赴國外上市之外的其他數據處理活動,不是不審查,而是在程序上不要求主動申報審查。包括赴港上市,也只是不要求主動申報審查。
另外還有一點需要注意,即使對關鍵信息基礎設施運營者采購產品和服務的行為,《辦法》也并未要求必然進行網絡安全審查,而是在“影響或者可能影響國家安全”的情況下才要求申報審查。但對于掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,《辦法》則使用的是“必須”申報網絡安全審查。這足以說明在國外上市的敏感性。
六、關于“網絡平臺運營者”概念
《辦法》在2021年7月征求意見時,新增的被審查對象是“數據處理者”。而《辦法》最終發布時使用的是“網絡平臺運營者”。而且,根據《辦法》第七條規定,應當進行審查的對象是掌握超過100萬用戶個人信息的“網絡平臺運營者”。這必然會帶來一個問題:有的企業雖然掌握了100萬以上的用戶個人信息,但其屬于傳統企業(例如食品生產企業),明顯不是互聯網企業,那么其是否屬于被審查對象呢?
不僅如此,鑒于《辦法》本身沒有對“網絡平臺運營者”進行定義,有人會參照《條例》去理解該概念。《條例》第七十三條規定,互聯網平臺運營者是指為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者。按這一定義,“平臺運營者”的典型特征是兩個,一是為用戶提供平臺,相當于“搭臺供唱戲”;二是平臺上的服務是特定的,主要是信息發布、社交、交易、支付、視聽等。如遵照該定義,“網絡平臺運營者”是一個較小的子集。
當然,也有人會參考國家市場監管總局發布的《互聯網平臺分類分級指南(征求意見稿)》。該文件指出,對平臺進行分類需要考慮平臺的連接屬性和主要功能。平臺的連接屬性是指通過網絡技術把人和商品、服務、信息、娛樂、資金以及算力等連接起來,由此使得平臺具有交易、社交、娛樂、資訊、融資、計算等各種功能。按照這一定義,實際上只要涉及互聯網應用的,都能歸屬到上述其中一類。這是一種廣義的對“平臺運營者”的理解。
事實上,無論是狹義或廣義的理解,如今同互聯網完全無關的擬上市企業并不多。尤其是,當企業掌握了100萬以上用戶個人信息時,其如果不涉及通過網絡提供服務,這幾乎是不可想象的。
因此,“網絡平臺運營者”本身不是用來區分某企業是否應該進行網絡安全審查的依據。
七、關于上市網絡安全風險
《辦法》第十條指出了網絡安全審查重點評估的國家安全風險因素。其中第(六)項針對的是國外上市。即,上市存在的關鍵信息基礎設施、核心數據、重要數據或者大量個人信息被外國政府影響、控制、惡意利用的風險,以及網絡信息安全風險。
對比2021年7月的《辦法》征求意見稿,上述描述增加了“網絡信息安全風險”。那么,何以在“網絡安全”已經成為通用詞匯的情況下,又使用“網絡信息安全風險”呢?這一概念反映出什么樣的國家安全風險關切呢?
該詞重點指向的是信息內容安全風險,即違法有害信息大規模擴散的情況。傳統上,信息內容安全與信息技術安全有明確的界限。但隨著信息技術的進步,利用人工智能、區塊鏈、深度偽造、定向推送等技術傳播違法有害信息、破壞網絡安全設施的事例越來越多,技術風險已經與意識形態風險交織在一起,而赴國外上市活動將直接與外國機構打交道,這方面的風險不得不防。
八、關于網絡安全審查啟動條件
很多人認為,網絡安全審查只有一種啟動條件,這來自于對文件字面意思的片面理解。正是這種認識,導致2021年7月滴滴被審查時猜測滿天飛。甚至一些機構基于個人認識而發表了很多與事實不符的言論,誤導了輿論。
實際上,網絡安全審查的條件可以有三種。
第一種見《辦法》第二條,關鍵信息基礎設施運營者采購網絡產品和服務,網絡平臺運營者開展數據處理活動,影響或者可能影響國家安全的,應當進行網絡安全審查。這是絕大多數人理解的審查啟動條件。《辦法》修訂前,主要是關鍵信息基礎設施運營者采購產品和服務——也正因為如此,滴滴被審查時,一些人誤會這意味著滴滴被認定為關鍵信息基礎設施了,且滴滴在采購產品或服務時觸發了國家安全風險。《辦法》此次修訂后,增加了企業赴國外上市的情況。
第二種見《辦法》第十六條,網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動,由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后,按規定進行審查。這種啟動條件直接針對任何可能影響國家安全的產品或服務,與是否屬于關鍵信息基礎設施,是否采購產品或服務,是否屬于國外上市行為均無關。滴滴被審查便是由此而起。從這一邏輯看,雖然企業赴香港上市時不需申報網絡安全審查,但如果網絡安全審查工作機制成員中有任何單位認為其上市行為存在國家安全風險,也依然可以對其啟動審查。這樣一來,企業更不能對數據處理活動的安全性掉以輕心。
第三種見《辦法》第三條和第十九條。第三條指出,網絡安全審查堅持事前審查與持續監管相結合、企業承諾與社會監督相結合。第十九條指出,網絡安全審查辦公室通過接受舉報等形式加強事前事中事后監督。這意味著,任何人或組織都可以向網絡安全審查辦公室舉報,對某產品或服務已經或可能帶來的國家安全風險進行反映。如審查辦公室認為有必要進行審查的,也可按規定啟動審查。
當然,也可以認為,第三種與第二種是殊途同歸的。因為接到社會舉報后,啟動審查也是由網絡安全審查辦公室提出,只是最初的起點不同而已。但之所以要將其單列為第三種,是因為要強調社會監督的作用。
九、關于處罰
處罰是以減損權益或者增加義務的方式予以懲戒的行為。網絡安全審查制度中,處罰手段有哪些?程度如何?這是大家都關心的事項。但討論這個問題時,需要明確這個制度中列出了幾種需要施以處罰的行為。實踐中,這還要根據動機、后果分不同的情況。
一是應當申報審查,而主觀上有意回避申報。這又要分兩種情況,第一種是關鍵信息基礎設施運營者采購網絡產品和服務時,未判斷國家安全風險;第二種是關鍵信息基礎設施運營者經判斷存在國家安全風險而故意不申報。
二是應當申報審查,但因錯誤判斷國家安全風險而未申報審查。這種情況往往是關鍵信息基礎設施運營者能力水平等方面的原因,導致未能正確判斷國家安全風險,因而應該申報而未申報。從動機角度看,這種情況的違法程度要弱于第一種。
三是使用審查未通過的產品。這也分兩種情況,第一種是關鍵信息基礎設施運營者申報審查后,擬采購的產品或服務未能通過審查,但關鍵信息基礎設施運營者繼續使用;第二種是其他網絡運營者使用了未通過審查的產品或服務。前者顯然應當受到嚴厲處罰;后者是否應當受處罰,要看具體情況,因為產品或服務的風險與具體使用場景有關。不是所有的網絡產品或服務只要有過未通過審查的記錄,就在任何地方都不能使用了。
四是應當申報審查的企業不經審查而在國外上市。按照以前的管理模式,這是完全可能發生的行為,必然會受到嚴厲處罰。但一段時間以來,證監會會同國務院有關部門研究起草了《國務院關于境內企業境外發行證券和上市的管理規定》,并于2021年12月公開征求意見。按該文件第六條規定,境內企業境外發行上市的,應當向國務院證券監督管理機構履行備案程序,報告有關信息。文件的第八條進一步規定,境內企業境外發行上市的,應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定,切實履行國家安全保護義務。涉及安全審查的,應當依法履行相關安全審查程序。這意味著,企業應審而不審,繼而直接到國外上市的可能性已經降為零,因為增加了一道證監會備案的強制要求。
這樣一來,違規行為中,只會出現證監會在備案時發現企業未提交網絡安全審查結論,因而不予備案的情況,相當于不發“路條”,而不會出現企業“搶跑”。但這也帶來另一個問題:證監會怎么知道一個擬赴國外上市企業是否符合審查標準?如果某企業向證監會備案時聲稱其不必進行網絡安全審查,證監會將如何判斷?可以預見,證監會此時將相當謹慎,作為非網絡安全、數據安全專業部門,其很可能將會商有關部門。以上情況如出現,將大大延緩企業的備案速度。如企業存在僥幸心理,主張自己雖赴國外上市但不屬于應申報審查情況,可能要承擔很大的風險,企業為此要有充分準備。
五是網絡安全審查工作機制成員單位認為某網絡產品和服務以及數據處理活動影響或者可能影響國家安全,或者社會舉報了某網絡產品和服務以及數據處理活動,國家按程序對其進行審查。此時,審查的技術層面操作與平時無異,但由于審查是由監測或舉報觸發的,往往國家安全風險已經發生,故還存在一個風險處置的問題。《辦法》第十六條指出,為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。這可以認為是一種處罰措施,例如要求產品下架、停止注冊新用戶。但需要指出,這種處罰措施一般只適用于第十六條(以及社會舉報),一般不適用于按照正常程序主動申報審查的情況。
十、關于“上市”的概念
《辦法》對赴國外上市活動提出了網絡安全審查要求,但如何定義“上市”,這決定了網絡安全審查制度監管對象的范圍,是一個不可繞過的話題。
但有三個方面的原因,導致這個問題帶有一定的復雜性。
一是境內企業很多采取VIE(可變利益實體)架構,導致“境內企業”“經營”等傳統概念需要有新的適應性解釋。為此,《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》第二條引入了境內企業境外直接發行上市和間接發行上市的概念。后者特指主要業務經營活動在境內的企業,以境外企業的名義,基于境內企業的股權、資產、收益或其他類似權益在境外發行證券或者將證券在境外上市交易。因此,可以認為這個問題已經解決,VIE架構已被納入監管。
二是海外上市的手法眾多。除了IPO(首次公開募股)外,重組上市、買殼上市、造殼上市等也是可選的上市途徑,這些活動中的數據安全、網絡安全風險同樣不可忽視。
三是一些企業試圖剝離數據業務,以此規避上市網絡安全審查。例如,成立獨立公司,將數據處理業務從擬上市企業中剝離出來,轉移給獨立公司,并與該公司簽署數據服務合同,從而使擬上市公司不掌握數據。
網絡安全審查制度的關注焦點是上市行為是否會導致數據安全、網絡安全或信息內容安全風險,這是網絡安全審查制度中定義“上市”行為的判斷準則。故在制度實施中,不會只拘泥于上市的形式,而將抽絲剝繭關注數據處理行為。故可以得出結論,試圖通過改變形式而規避網絡安全審查的渠道基本走不通。
|小貝結語|
■ 網絡安全審查制度是一項重要且內涵豐富的制度,而且是一項在發展中的制度,特別是在數據安全風險防范方面。本文所作分析,僅代表了作者的粗淺認識,希望拋磚引玉,引起更多人對網絡安全審查制度的關注。
