适用场景
计划或已在境外(尤其是美国、香港等地)上市的中国企业,以及在日常运营中涉及处理大量用户个人信息、重要数据或核心数据的出海企业,在筹备上市、上市后运营及数据出境等关键阶段需要重点关注。
核心要点
1. 审查范围扩大:从关键设施到一般数据处理
网络安全审查的适用范围已从关键信息基础设施运营者的采购活动,扩展至涵盖所有数据处理者的数据处理活动,特别是涉及境外上市的行为。审查的核心落脚点始终是“是否影响或可能影响国家安全”。
2. 百万用户门槛与主动申报义务
掌握超过100万用户个人信息的运营者赴国外上市,必须主动向网络安全审查办公室申报网络安全审查。这是一个相对较低的触发门槛,出海企业需提前评估自身用户数据规模。
3. 数据分类分级是合规基石
审查重点关注核心数据、重要数据以及大量个人信息。企业必须厘清自身处理的数据类型、数量及用途,这是评估风险、应对审查的基础工作。目前重要数据和核心数据的目录正在完善中,企业需保持关注。
4. 已上市公司并非高枕无忧
网络安全审查不仅针对上市前,也涵盖上市后的持续监督。已境外上市公司虽无主动申报义务,但其数据处理活动,尤其是应外国司法或执法机构要求提供数据时,仍可能被监管机构依职权启动审查。
5. 数据出境需依法依规
并非所有数据都不能出境,但必须“依法”进行。关键信息基础设施运营者的重要数据出境、其他运营者的重要数据出境、个人信息出境分别适用不同的法律法规要求,企业需遵循相应路径并进行风险评估。
实务建议
- 立即开展数据资产盘查:系统梳理公司持有的个人信息、重要数据及核心数据的类型、数量、处理目的与方式,建立数据分类分级台账。
- 全面进行业务风险检视:评估各项业务中的数据流动与处理环节,识别可能影响国家安全的风险点,并确定风险等级。
- 提前规划上市时间表:若掌握超百万用户信息且拟境外上市,必须将网络安全审查申报纳入时间表,并为此预留至少半年以上的审查周期。
- 审慎评估数据规避模式:对通过业务剥离、数据托管等方式试图降低数据持有风险的做法,需充分评估监管机构的接受度,不可盲目依赖。
- 建立数据出境管理机制:在数据出境前进行必要性及安全风险评估;若外国司法或执法机构要求提供境内数据,必须事先报请中国主管机关批准。
- 保持与监管动态同步:持续关注网络安全、数据安全领域的立法与执法动向,与行业主管部门保持良好、及时的沟通。
风险提示
- 误区:不掌握个人信息就无需担心审查。 注意:即使不直接处理个人信息,若涉及重要数据或核心数据,仍可能触发依职权审查。
- 误区:已上市公司可完全规避审查。 注意:上市后受外国法律管辖范围更广(如FCPA),向外国机构提供数据可能引发审查,风险反而可能增加。
- 误区:所有数据出境都被禁止。 注意:数据可以依法出境,但必须严格遵循针对不同数据类型(重要数据、个人信息等)的特定出境路径和审批要求。
- 误区:合同约定可完全对抗监管要求。 注意:通过协议将数据控制权委托给第三方(如数据托管)的做法,其合同相对性在面临强有力的外国监管要求时可能效力有限。