发布日期:
掌握超100万用户个人信息运营者国外上市须申报审查
继7月2日对“滴滴出行”启动网络安全审查后,国家互联网信息办公室4日通知应用商店下架“滴滴出行”App,9日又要求下架“滴滴企业版”等25款App,原因均为这些App存在严重违法违规收集使用个人信息问题。10日,国家网信办就《网络安全审查办法(修订草案征求意见稿)》公开征求意见,提出掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。多位专家表示,此次修订预示着网络安全审查升级,数据出境监管加码。
【修订】
新增网络安全审查重点评估对象
征求意见稿提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
为防范国家数据安全风险,维护国家安全,保障公共利益,网络安全审查办公室7月2日宣布对“滴滴出行”启动网络安全审查,这是我国首次对企业启动网络安全审查。5日,又宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。审查期间停止新用户注册。
根据征求意见稿,网络安全审查重点评估对象新增数据处理活动以及国外上市可能带来的国家安全风险,比如核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
征求意见稿还提出,网络安全审查办公室将通过接受举报等形式加强事前事中事后监督。
《数据安全法》被纳入授权依据
根据国家网信办发布的通知,本次修订系依据《国家安全法》《网络安全法》《数据安全法》等法律法规。与正在实施的《网络安全审查办法》版本相比,征求意见稿将上月刚通过的《数据安全法》纳入了授权依据。
“这次修订重点是针对数据安全问题,故《数据安全法》是其上位法。”中国信息安全研究院副院长左晓栋说。根据《数据安全法》,国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。
在北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括看来,由于《数据安全法》现已生效并将于9月1日起施行,此次被纳入到征求意见稿的授权依据中,实际上也推动了其所规定的数据安全审查制度的落地。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可进一步指出,征求意见稿纳入《数据安全法》,主要是为了应对重要数据和核心数据问题危害国家安全的情况。尤其对于赴美上市的互联网企业来讲,关键问题可能不是网络安全问题,而是数据安全问题——这正是《数据安全法》的核心。
【焦点】
被审查四家企业均已在美国上市
记者梳理发现,这次被审查的“滴滴出行”“运满满”“货车帮”“BOSS直聘”前不久都在美国上市,且活跃用户数量均远远超过100万。
“滴滴出行”和“BOSS直聘”向美国证券交易委员会(SEC)递交的IPO招股书显示,前者在中国拥有3.77亿年活跃用户和1300万年活跃司机,后者2020年平均月活跃用户为1980万。
《个人信息保护法》二次审议稿中规定,关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估。
“如今,征求意见稿对‘规定数量’进行了具体的界定。”许可说。不过他同时强调,达到一定规模的个人信息和重要数据之间并不是对等的关系。
左晓栋则对记者表示,这是综合考虑了中国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的标准。吴沈括提到,100万是“业内比较熟悉的基本门槛要求”,这一“门槛”也是第一次在部门规章层面明文出现。
国外上市可能涉及重要数据披露
在网络安全审查重点评估主要考虑的因素方面,征求意见稿第十条提出,核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
“企业在国外上市必然带来数据的跨境流动。当然,并不是说只要有数据跨境流动就会带来安全风险,但如果上市企业是互联网企业,且企业在经营过程中会收集产生大量国家核心数据、重要数据和批量个人信息,那么数据的出境安全风险就必须慎重对待。”左晓栋对记者说。
事实上,从华为、TikTok、WeChat等事件可以看出,美国从去年开始在不断加强对中资企业的审查。美国去年还发布了外国公司问责法,强化了外资企业的信息披露和接受调查等一系列的义务。“这就可能涉及重要数据和核心数据的披露问题。”许可指出。
在左晓栋看来,比如企业在美上市时提供的“审计底稿”(审批报告的原始记录)就可能导致重要数据、个人信息的泄露。“这是一种典型的数据出境问题。”他说,因为“审计底稿”详细地反映了企业运营中的很多具体信息,是非常敏感的。
许可还指出,由于中美对赴美上市企业的监管存在分歧,同时可能造成执法冲突,并影响到国家安全,所以国家才会对赴美上市的企业进行严格的安全审查。但国家“留了一个豁口和余地”,就是“在香港上市的企业不会受到审查的限制”。
运营者申报审查需提交IPO材料
记者还注意到,征求意见稿拟将“数据处理者开展数据处理活动”纳入网络安全审查对象,重点评估的风险也将“数据处理活动以及国外上市可能带来的国家安全风险”包含进来。运营者申报网络安全审查的材料则新增“拟提交的IPO材料”。
对此,左晓栋指出,国家网络安全风险和国家安全风险的一种重要来源是数据处理活动,“作为在网络空间维护国家安全的一项重要制度,不可能忽视这方面的问题。”
吴沈括分析认为,在全球数字化的大背景下,数据跨境流动已经变成一种常态,风险也在快速地聚集和上升,必要的国家安全审查有其合理性和必要性。另外,考虑到各国不断扩大长臂管辖、域外管辖的做法,一定程度上也会造成国家数据资源的风险。比如,中国企业在国外上市及运营过程中,外国政府对中国企业数据的调取。“这种风险既存在,也已经出现了实际案例。”
此外,除了已实施版本中提到的多个国家部门,征求意见稿拟规定中国证监会参与建立国家网络安全审查工作机制。在特别审查程序的时长方面,从45天拟增加至3个月。
多位专家对记者表示,此前网络安全审查主要针对关键信息基础设施,场景比较单一、常发;现在网络安全审查范围更广,比如国外上市是重大的经营行为,偶发且复杂,因此无论是从法律法规的查明、业务场景的分析层面,还是对于是否影响国家安全的全面判断上,都需要更长的审查时间。
综合《南方都市报》等报道
【修订】
新增网络安全审查重点评估对象
征求意见稿提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
为防范国家数据安全风险,维护国家安全,保障公共利益,网络安全审查办公室7月2日宣布对“滴滴出行”启动网络安全审查,这是我国首次对企业启动网络安全审查。5日,又宣布对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。审查期间停止新用户注册。
根据征求意见稿,网络安全审查重点评估对象新增数据处理活动以及国外上市可能带来的国家安全风险,比如核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
征求意见稿还提出,网络安全审查办公室将通过接受举报等形式加强事前事中事后监督。
《数据安全法》被纳入授权依据
根据国家网信办发布的通知,本次修订系依据《国家安全法》《网络安全法》《数据安全法》等法律法规。与正在实施的《网络安全审查办法》版本相比,征求意见稿将上月刚通过的《数据安全法》纳入了授权依据。
“这次修订重点是针对数据安全问题,故《数据安全法》是其上位法。”中国信息安全研究院副院长左晓栋说。根据《数据安全法》,国家建立数据安全审查制度,对影响或可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。
在北京师范大学网络法治国际中心执行主任、中国互联网协会研究中心副主任吴沈括看来,由于《数据安全法》现已生效并将于9月1日起施行,此次被纳入到征求意见稿的授权依据中,实际上也推动了其所规定的数据安全审查制度的落地。
对外经济贸易大学数字经济与法律创新研究中心执行主任许可进一步指出,征求意见稿纳入《数据安全法》,主要是为了应对重要数据和核心数据问题危害国家安全的情况。尤其对于赴美上市的互联网企业来讲,关键问题可能不是网络安全问题,而是数据安全问题——这正是《数据安全法》的核心。
【焦点】
被审查四家企业均已在美国上市
记者梳理发现,这次被审查的“滴滴出行”“运满满”“货车帮”“BOSS直聘”前不久都在美国上市,且活跃用户数量均远远超过100万。
“滴滴出行”和“BOSS直聘”向美国证券交易委员会(SEC)递交的IPO招股书显示,前者在中国拥有3.77亿年活跃用户和1300万年活跃司机,后者2020年平均月活跃用户为1980万。
《个人信息保护法》二次审议稿中规定,关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者,确需向境外提供的,应当通过国家网信部门组织的安全评估。
“如今,征求意见稿对‘规定数量’进行了具体的界定。”许可说。不过他同时强调,达到一定规模的个人信息和重要数据之间并不是对等的关系。
左晓栋则对记者表示,这是综合考虑了中国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的标准。吴沈括提到,100万是“业内比较熟悉的基本门槛要求”,这一“门槛”也是第一次在部门规章层面明文出现。
国外上市可能涉及重要数据披露
在网络安全审查重点评估主要考虑的因素方面,征求意见稿第十条提出,核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险;国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
“企业在国外上市必然带来数据的跨境流动。当然,并不是说只要有数据跨境流动就会带来安全风险,但如果上市企业是互联网企业,且企业在经营过程中会收集产生大量国家核心数据、重要数据和批量个人信息,那么数据的出境安全风险就必须慎重对待。”左晓栋对记者说。
事实上,从华为、TikTok、WeChat等事件可以看出,美国从去年开始在不断加强对中资企业的审查。美国去年还发布了外国公司问责法,强化了外资企业的信息披露和接受调查等一系列的义务。“这就可能涉及重要数据和核心数据的披露问题。”许可指出。
在左晓栋看来,比如企业在美上市时提供的“审计底稿”(审批报告的原始记录)就可能导致重要数据、个人信息的泄露。“这是一种典型的数据出境问题。”他说,因为“审计底稿”详细地反映了企业运营中的很多具体信息,是非常敏感的。
许可还指出,由于中美对赴美上市企业的监管存在分歧,同时可能造成执法冲突,并影响到国家安全,所以国家才会对赴美上市的企业进行严格的安全审查。但国家“留了一个豁口和余地”,就是“在香港上市的企业不会受到审查的限制”。
运营者申报审查需提交IPO材料
记者还注意到,征求意见稿拟将“数据处理者开展数据处理活动”纳入网络安全审查对象,重点评估的风险也将“数据处理活动以及国外上市可能带来的国家安全风险”包含进来。运营者申报网络安全审查的材料则新增“拟提交的IPO材料”。
对此,左晓栋指出,国家网络安全风险和国家安全风险的一种重要来源是数据处理活动,“作为在网络空间维护国家安全的一项重要制度,不可能忽视这方面的问题。”
吴沈括分析认为,在全球数字化的大背景下,数据跨境流动已经变成一种常态,风险也在快速地聚集和上升,必要的国家安全审查有其合理性和必要性。另外,考虑到各国不断扩大长臂管辖、域外管辖的做法,一定程度上也会造成国家数据资源的风险。比如,中国企业在国外上市及运营过程中,外国政府对中国企业数据的调取。“这种风险既存在,也已经出现了实际案例。”
此外,除了已实施版本中提到的多个国家部门,征求意见稿拟规定中国证监会参与建立国家网络安全审查工作机制。在特别审查程序的时长方面,从45天拟增加至3个月。
多位专家对记者表示,此前网络安全审查主要针对关键信息基础设施,场景比较单一、常发;现在网络安全审查范围更广,比如国外上市是重大的经营行为,偶发且复杂,因此无论是从法律法规的查明、业务场景的分析层面,还是对于是否影响国家安全的全面判断上,都需要更长的审查时间。
综合《南方都市报》等报道