适用场景
适用于所有涉及数据处理活动的中国出海企业,特别是拥有大量用户个人信息、计划在境外上市,或被认定为关键信息基础设施运营者(CIIO)的企业。在企业进行日常运营、数据处理、产品服务采购以及筹备境外上市等阶段,均需高度关注。
核心要点
1. 审查范围显著扩大
新规将网络安全审查对象从关键信息基础设施运营者(CIIO)采购网络产品和服务,扩展至所有数据处理者的数据处理活动。这意味着更广泛的中国出海企业及其数据运营都可能面临审查。
2. 境外上市触发审查
拥有超过100万用户个人信息的运营者,在计划境外上市前必须通过网络安全审查。此举旨在加强对境外上市企业数据安全的监管,防范数据泄露及被外国政府控制的风险。
3. 审查考量因素深化
审查将更侧重评估核心数据、重要数据和大量个人信息被窃取、泄露、损坏、非法利用或跨境转移的风险。同时,也会考量境外上市后数据是否可能受外国政府影响或控制。
4. 审查周期可能延长
特别审查的期限由原先的45个工作日延长至3个月,企业需为合规审查预留更充裕的时间。
5. “网络产品和服务”定义更新
新规将“重要通信产品”纳入“网络产品和服务”的定义范畴,进一步强化了对信息和数据传输手段的监管力度。
实务建议
- 建立健全数据合规体系:制定内部数据处理规范,定期进行数据处理活动自评估,确保符合中国数据安全和个人信息保护法律法规。
- 境外上市前审慎评估:计划境外上市的企业,特别是拥有大量个人信息的,应提前进行全面的数据安全合规自查,并审慎选择上市地点,充分考虑地缘政治和监管风险。
- 积极寻求监管指导:在关键合规问题上,如境外上市前,主动与国家网信办、证监会等监管机构沟通,寻求明确的指导意见。
- 密切关注法规动态及解释:持续跟踪“重要数据”、“核心数据”、“大量个人信息”等关键术语的后续立法和官方解释,及时调整合规策略。
- 加强供应链安全管理:潜在的CIIO及其供应链企业应评估自身是否属于CIIO范畴,并完善网络产品和服务采购制度,确保采购行为不影响国家安全。
风险提示
- 概念定义模糊性: “拥有”个人信息、“重要数据”、“核心数据”以及“大量个人信息”的具体界定尚不清晰,可能导致企业合规判断困难。
- 既有境外上市企业合规风险: 新规未明确已在境外上市的企业是否需要追溯审查,存在不确定性。
- 香港上市地位待明确: 香港证券交易所是否被视为“境外证券交易所”尚未有官方定论,影响企业上市策略。
- 监管机构自由裁量权大: 缺乏明确的风险评估标准,监管机构在审查中拥有较大的自由裁量权。
- 合规准备时间紧迫: 新规可能很快落地,企业需抓紧时间进行合规准备,避免仓促应对。