7月6日，中共中央辦公廳、國(guó)務(wù)院辦公廳公開(kāi)發(fā)布《關(guān)于依法從嚴(yán)打擊證券違法活動(dòng)的意見(jiàn)》。意見(jiàn)提出，加強(qiáng)跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動(dòng)、涉密信息管理等相關(guān)法律法規(guī)。

　　近日，國(guó)家網(wǎng)信辦連續(xù)發(fā)布了對(duì)“滴滴出行”“運(yùn)滿滿”“貨車(chē)幫”“BOSS直聘”實(shí)施網(wǎng)絡(luò)安全審查的公告。審查期間，以上APP均已停止新用戶注冊(cè)。

　　多家互聯(lián)網(wǎng)企業(yè)接受網(wǎng)絡(luò)安全審查，廣受關(guān)注。

　　值得注意的是，這幾家被審查的企業(yè)有著共同的特點(diǎn)：近期赴美上市。

　　美方對(duì)赴美IPO的中國(guó)企業(yè)在數(shù)據(jù)安全出境問(wèn)題方面有哪些要求？哪些規(guī)定可能會(huì)觸及我國(guó)的安全法律底線？這些問(wèn)題值得關(guān)注。

　　美國(guó)法規(guī)對(duì)我構(gòu)成的安全風(fēng)險(xiǎn)不容忽略

　　2020年12月，美國(guó)頒布了《外國(guó)公司問(wèn)責(zé)法》，要求在美上市公司披露額外信息。包括依照美國(guó)證券交易委員會(huì)的審計(jì)標(biāo)準(zhǔn)提供審計(jì)報(bào)告，包含審計(jì)底稿。審計(jì)底稿中包括相關(guān)的原始票據(jù)，以用來(lái)交叉驗(yàn)證審計(jì)報(bào)告的真實(shí)性。

　　該法規(guī)定，如果外國(guó)公司連續(xù)三年未能通過(guò)美國(guó)公眾公司會(huì)計(jì)監(jiān)督委員會(huì)的審計(jì)，將被禁止在美國(guó)任何交易所上市。

　　同時(shí)，依照美國(guó)《薩賓斯-奧克利》法案，上市公司需要在審計(jì)報(bào)告中提供“內(nèi)部控制”內(nèi)容，通常包括網(wǎng)絡(luò)活動(dòng)、數(shù)據(jù)庫(kù)活動(dòng)、系統(tǒng)登入活動(dòng)、賬號(hào)活動(dòng)、用戶活動(dòng)以及信息接入的參數(shù)和條件等等。其中值得注意的是，審計(jì)報(bào)告需要提供公司在網(wǎng)絡(luò)安全信息基礎(chǔ)的相關(guān)信息，其相應(yīng)的審計(jì)底稿可能需要包括基礎(chǔ)設(shè)施采購(gòu)的具體信息。

　　此外，美國(guó)證券交易委員會(huì)合規(guī)調(diào)查與檢查辦公室在2020年1月7日發(fā)布了最新版的《網(wǎng)絡(luò)安全與彈性觀察》（以下簡(jiǎn)稱(chēng)《觀察》）。

　　《觀察》沒(méi)有約束力，也不代表證券交易委員會(huì)的立場(chǎng)，但對(duì)上市公司而言，這是網(wǎng)絡(luò)安全領(lǐng)域的重要文件。

　　《觀察》建議上市公司在治理和風(fēng)險(xiǎn)管理、接入權(quán)力與控制、數(shù)據(jù)丟失預(yù)防機(jī)制、移動(dòng)端安全、事故反應(yīng)與靈活性、零售端管理、培訓(xùn)與注意力這7個(gè)方面來(lái)審查自己的政策和實(shí)踐。

　　除了證券領(lǐng)域的網(wǎng)絡(luò)安全規(guī)定，美國(guó)在聯(lián)邦和州的層面還有若干數(shù)據(jù)安全方面的單行法律法規(guī)。

　　例如加州頒布了《加州消費(fèi)者隱私法》（CCPA），紐約州在2019年頒布了《SHIELD  Act》。

　　在聯(lián)邦層面，美國(guó)聯(lián)邦貿(mào)易委員會(huì)在消費(fèi)者隱私保護(hù)領(lǐng)域享有管轄權(quán)。聯(lián)邦和州的司法部可以依據(jù)相關(guān)法律進(jìn)行起訴。

　　僅就法規(guī)文字來(lái)看，上述規(guī)定沒(méi)有直接要求在美公司向監(jiān)管機(jī)構(gòu)提交中國(guó)法律中所指的重要數(shù)據(jù)或者核心數(shù)據(jù)，如用戶數(shù)據(jù)和地圖數(shù)據(jù)，而是要求這些公司建立關(guān)于網(wǎng)絡(luò)安全和個(gè)人數(shù)據(jù)隱私保護(hù)方面的機(jī)制，或者提交審計(jì)報(bào)告以及披露所有和控制方面的信息。

　　但是，上述規(guī)定對(duì)我國(guó)構(gòu)成的安全風(fēng)險(xiǎn)仍然不容忽略。

　　例如，如果在美上市公司被美國(guó)監(jiān)管機(jī)構(gòu)調(diào)查，或者被拉入訴訟，則相關(guān)公司可能被迫提供網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施方面的細(xì)節(jié)和詳細(xì)信息，來(lái)證明自己符合美國(guó)相關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的要求。

　　但是，上述信息可能屬于我國(guó)《網(wǎng)絡(luò)安全法》以及相關(guān)法規(guī)所保護(hù)的范圍，向美方提供這些信息可能會(huì)危害到我國(guó)的國(guó)家安全。

　　強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者相關(guān)義務(wù)

　　我國(guó)《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，“國(guó)家對(duì)公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他領(lǐng)域一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)。”

　　根據(jù)《國(guó)家網(wǎng)絡(luò)安全檢查操作指南》規(guī)定，對(duì)于平臺(tái)而言，如果注冊(cè)用戶、活躍用戶和日交易額超過(guò)一定標(biāo)準(zhǔn)的，就可以認(rèn)定為“關(guān)鍵信息基礎(chǔ)設(shè)施”。

　　因此，對(duì)這些屬于關(guān)鍵信息基礎(chǔ)設(shè)施的平臺(tái)，需要依法給予重點(diǎn)保護(hù)。

　　如何從國(guó)家安全的角度理解重點(diǎn)保護(hù)？

　　對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)，人們通常會(huì)理解為依法保護(hù)其權(quán)利，但其實(shí)更重要的，保護(hù)平臺(tái)的目的是維護(hù)國(guó)家安全。

　　因此，重點(diǎn)保護(hù)的題中之義是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的相關(guān)義務(wù)。

　　我國(guó)《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，如果關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國(guó)家安全的，應(yīng)當(dāng)通過(guò)國(guó)家安全審查。

　　同時(shí)，該法第三十六條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者應(yīng)當(dāng)按照規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確安全、保密義務(wù)與責(zé)任。

　　將這兩條結(jié)合來(lái)看，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者對(duì)網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購(gòu)可能會(huì)影響國(guó)家安全。

　　此外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者還負(fù)有《網(wǎng)絡(luò)安全法》第二十一條和第三十四條所規(guī)定的義務(wù)，包括采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；采取數(shù)據(jù)分類(lèi)、重要數(shù)據(jù)備份和加密等措施。

　　這些法律義務(wù)的范圍，不僅是指完成規(guī)定動(dòng)作，可能還要包括為了防范網(wǎng)絡(luò)侵入、數(shù)據(jù)泄密等情況而采取的保密措施。

　　數(shù)據(jù)出境的安全風(fēng)險(xiǎn)值得防范

　　另一個(gè)值得關(guān)注的，是平臺(tái)在開(kāi)展跨境業(yè)務(wù)時(shí)可能產(chǎn)生的數(shù)據(jù)出境風(fēng)險(xiǎn)。

　　例如，平臺(tái)的國(guó)內(nèi)用戶在出境之后繼續(xù)使用平臺(tái)軟件，則可能會(huì)調(diào)用國(guó)內(nèi)運(yùn)營(yíng)時(shí)所收集的用戶姓名、銀行賬戶等支付信息。

　　這類(lèi)數(shù)據(jù)的出境并沒(méi)有被完全禁止。我國(guó)《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定的辦法進(jìn)行安全評(píng)估。“

　　今年9月1日即將生效的我國(guó)《數(shù)據(jù)安全法》第三十一條規(guī)定，”其他數(shù)據(jù)處理者在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定?！?/p>

　　但是，在重點(diǎn)保護(hù)的安全觀下，特別是在我國(guó)《數(shù)據(jù)安全法》進(jìn)一步區(qū)分了重點(diǎn)數(shù)據(jù)和核心數(shù)據(jù)之后，對(duì)海外上市企業(yè)相關(guān)數(shù)據(jù)出境的安全評(píng)估問(wèn)題可能更加復(fù)雜。

　　有能力出海的中國(guó)優(yōu)秀企業(yè)對(duì)此應(yīng)有深刻的認(rèn)識(shí)，除了在企業(yè)層面加強(qiáng)對(duì)上市所在國(guó)法律的認(rèn)知，更需要深刻理解當(dāng)前形勢(shì)下我國(guó)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的法律規(guī)定，防范可能存在的安全風(fēng)險(xiǎn)。