7月6日，中共中央辦公廳、國務(wù)院辦公廳公開發(fā)布《關(guān)于依法從嚴(yán)打擊證券違法活動的意見》。意見提出，加強(qiáng)跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關(guān)法律法規(guī)。

　　近日，國家網(wǎng)信辦連續(xù)發(fā)布了對“滴滴出行”“運(yùn)滿滿”“貨車幫”“BOSS直聘”實(shí)施網(wǎng)絡(luò)安全審查的公告。審查期間，以上APP均已停止新用戶注冊。

　　多家互聯(lián)網(wǎng)企業(yè)接受網(wǎng)絡(luò)安全審查，廣受關(guān)注。

　　值得注意的是，這幾家被審查的企業(yè)有著共同的特點(diǎn)：近期赴美上市。

　　美方對赴美IPO的中國企業(yè)在數(shù)據(jù)安全出境問題方面有哪些要求？哪些規(guī)定可能會觸及我國的安全法律底線？這些問題值得關(guān)注。

　　美國法規(guī)對我構(gòu)成的安全風(fēng)險不容忽略

　　2020年12月，美國頒布了《外國公司問責(zé)法》，要求在美上市公司披露額外信息。包括依照美國證券交易委員會的審計(jì)標(biāo)準(zhǔn)提供審計(jì)報告，包含審計(jì)底稿。審計(jì)底稿中包括相關(guān)的原始票據(jù)，以用來交叉驗(yàn)證審計(jì)報告的真實(shí)性。

　　該法規(guī)定，如果外國公司連續(xù)三年未能通過美國公眾公司會計(jì)監(jiān)督委員會的審計(jì)，將被禁止在美國任何交易所上市。

　　同時，依照美國《薩賓斯-奧克利》法案，上市公司需要在審計(jì)報告中提供“內(nèi)部控制”內(nèi)容，通常包括網(wǎng)絡(luò)活動、數(shù)據(jù)庫活動、系統(tǒng)登入活動、賬號活動、用戶活動以及信息接入的參數(shù)和條件等等。其中值得注意的是，審計(jì)報告需要提供公司在網(wǎng)絡(luò)安全信息基礎(chǔ)的相關(guān)信息，其相應(yīng)的審計(jì)底稿可能需要包括基礎(chǔ)設(shè)施采購的具體信息。

　　此外，美國證券交易委員會合規(guī)調(diào)查與檢查辦公室在2020年1月7日發(fā)布了最新版的《網(wǎng)絡(luò)安全與彈性觀察》（以下簡稱《觀察》）。

　　《觀察》沒有約束力，也不代表證券交易委員會的立場，但對上市公司而言，這是網(wǎng)絡(luò)安全領(lǐng)域的重要文件。

　　《觀察》建議上市公司在治理和風(fēng)險管理、接入權(quán)力與控制、數(shù)據(jù)丟失預(yù)防機(jī)制、移動端安全、事故反應(yīng)與靈活性、零售端管理、培訓(xùn)與注意力這7個方面來審查自己的政策和實(shí)踐。

　　除了證券領(lǐng)域的網(wǎng)絡(luò)安全規(guī)定，美國在聯(lián)邦和州的層面還有若干數(shù)據(jù)安全方面的單行法律法規(guī)。

　　例如加州頒布了《加州消費(fèi)者隱私法》（CCPA），紐約州在2019年頒布了《SHIELD  Act》。

　　在聯(lián)邦層面，美國聯(lián)邦貿(mào)易委員會在消費(fèi)者隱私保護(hù)領(lǐng)域享有管轄權(quán)。聯(lián)邦和州的司法部可以依據(jù)相關(guān)法律進(jìn)行起訴。

　　僅就法規(guī)文字來看，上述規(guī)定沒有直接要求在美公司向監(jiān)管機(jī)構(gòu)提交中國法律中所指的重要數(shù)據(jù)或者核心數(shù)據(jù)，如用戶數(shù)據(jù)和地圖數(shù)據(jù)，而是要求這些公司建立關(guān)于網(wǎng)絡(luò)安全和個人數(shù)據(jù)隱私保護(hù)方面的機(jī)制，或者提交審計(jì)報告以及披露所有和控制方面的信息。

　　但是，上述規(guī)定對我國構(gòu)成的安全風(fēng)險仍然不容忽略。

　　例如，如果在美上市公司被美國監(jiān)管機(jī)構(gòu)調(diào)查，或者被拉入訴訟，則相關(guān)公司可能被迫提供網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施方面的細(xì)節(jié)和詳細(xì)信息，來證明自己符合美國相關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)安全的要求。

　　但是，上述信息可能屬于我國《網(wǎng)絡(luò)安全法》以及相關(guān)法規(guī)所保護(hù)的范圍，向美方提供這些信息可能會危害到我國的國家安全。

　　強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者相關(guān)義務(wù)

　　我國《網(wǎng)絡(luò)安全法》第三十一條規(guī)定，“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他領(lǐng)域一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！?/p>

　　根據(jù)《國家網(wǎng)絡(luò)安全檢查操作指南》規(guī)定，對于平臺而言，如果注冊用戶、活躍用戶和日交易額超過一定標(biāo)準(zhǔn)的，就可以認(rèn)定為“關(guān)鍵信息基礎(chǔ)設(shè)施”。

　　因此，對這些屬于關(guān)鍵信息基礎(chǔ)設(shè)施的平臺，需要依法給予重點(diǎn)保護(hù)。

　　如何從國家安全的角度理解重點(diǎn)保護(hù)？

　　對關(guān)鍵信息基礎(chǔ)設(shè)施的重點(diǎn)保護(hù)，人們通常會理解為依法保護(hù)其權(quán)利，但其實(shí)更重要的，保護(hù)平臺的目的是維護(hù)國家安全。

　　因此，重點(diǎn)保護(hù)的題中之義是強(qiáng)化關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的相關(guān)義務(wù)。

　　我國《網(wǎng)絡(luò)安全法》第三十五條規(guī)定，如果關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，可能影響國家安全的，應(yīng)當(dāng)通過國家安全審查。

　　同時，該法第三十六條規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者應(yīng)當(dāng)按照規(guī)定與網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者簽訂安全保密協(xié)議，明確安全、保密義務(wù)與責(zé)任。

　　將這兩條結(jié)合來看，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者對網(wǎng)絡(luò)產(chǎn)品和服務(wù)的采購可能會影響國家安全。

　　此外，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者還負(fù)有《網(wǎng)絡(luò)安全法》第二十一條和第三十四條所規(guī)定的義務(wù)，包括采取防范計(jì)算機(jī)病毒和網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等危害網(wǎng)絡(luò)安全行為的技術(shù)措施；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

　　這些法律義務(wù)的范圍，不僅是指完成規(guī)定動作，可能還要包括為了防范網(wǎng)絡(luò)侵入、數(shù)據(jù)泄密等情況而采取的保密措施。

　　數(shù)據(jù)出境的安全風(fēng)險值得防范

　　另一個值得關(guān)注的，是平臺在開展跨境業(yè)務(wù)時可能產(chǎn)生的數(shù)據(jù)出境風(fēng)險。

　　例如，平臺的國內(nèi)用戶在出境之后繼續(xù)使用平臺軟件，則可能會調(diào)用國內(nèi)運(yùn)營時所收集的用戶姓名、銀行賬戶等支付信息。

　　這類數(shù)據(jù)的出境并沒有被完全禁止。我國《網(wǎng)絡(luò)安全法》第三十七條規(guī)定，因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估?！?/p>

　　今年9月1日即將生效的我國《數(shù)據(jù)安全法》第三十一條規(guī)定，”其他數(shù)據(jù)處理者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務(wù)院有關(guān)部門制定。“

　　但是，在重點(diǎn)保護(hù)的安全觀下，特別是在我國《數(shù)據(jù)安全法》進(jìn)一步區(qū)分了重點(diǎn)數(shù)據(jù)和核心數(shù)據(jù)之后，對海外上市企業(yè)相關(guān)數(shù)據(jù)出境的安全評估問題可能更加復(fù)雜。

　　有能力出海的中國優(yōu)秀企業(yè)對此應(yīng)有深刻的認(rèn)識，除了在企業(yè)層面加強(qiáng)對上市所在國法律的認(rèn)知，更需要深刻理解當(dāng)前形勢下我國網(wǎng)絡(luò)安全和數(shù)據(jù)安全的法律規(guī)定，防范可能存在的安全風(fēng)險。