聚焦跨境數(shù)據(jù)披露與國家安全審查

文/鄭孜青 編輯/王亞亞

隨著全球經濟逐步進入數(shù)字化時代，大規(guī)?？缇硵?shù)據(jù)流動日漸頻繁，越來越多的國家都更加重視跨境數(shù)據(jù)流動的安全問題，主要國家的跨境數(shù)據(jù)監(jiān)管與國家安全審查博弈也開始進入“強對流”時代。美國力求主導全球網絡空間，并奉行單邊主義，而其他多國都堅定捍衛(wèi)數(shù)據(jù)主權。在此背景下，跨國經營的企業(yè)需要兼顧境內外數(shù)據(jù)的監(jiān)管要求，做好合規(guī)工作安排。

美、歐跨境數(shù)據(jù)披露和監(jiān)管態(tài)勢

美國跨境數(shù)據(jù)披露和監(jiān)管特點

由于數(shù)據(jù)所有者、存儲者與使用者在地理位置上的分離，導致國際上對究竟以何為標準劃定數(shù)據(jù)主權，長期存在爭議。美國在2018年發(fā)布的《澄清域外合法使用數(shù)據(jù)法案》（以下簡稱《云法案》）要求，以數(shù)據(jù)控制者為標準劃定數(shù)據(jù)主權，強調無論數(shù)據(jù)存儲于何地，只要數(shù)據(jù)由美國主體所控制，則美國便有權獲取，相關主體也有義務提供。參考TikTok（抖音海外版）在美國受到數(shù)據(jù)安全挑戰(zhàn)的案例，可以看出，雖然TikTok反復證明相關數(shù)據(jù)存儲于美國境內且未交予中國政府，美國也依舊表示擔憂數(shù)據(jù)的安全性。除政治因素外，有業(yè)內專家認為，如果美國認可了TikTok的抗辯，無疑就削弱了其以數(shù)據(jù)控制者為核心的數(shù)據(jù)主權界定，進而會弱化美國對全球數(shù)據(jù)治理規(guī)則的話語權。

當前，在全球數(shù)據(jù)流動規(guī)則的博弈中，美國實際上奉行的是雙重標準：一方面，其不容許其他國家未經其批準獲取其本國數(shù)據(jù)；另一方面，倚仗其技術優(yōu)勢在全球任意獲取數(shù)據(jù)，以破除他國數(shù)據(jù)保護并實現(xiàn)美國的利益，體現(xiàn)出美國的特權主義色彩。對于外國政府，想要獲取存儲在美國的數(shù)據(jù)十分耗時耗力。根據(jù)美國與其他國家簽署的雙邊協(xié)議，這些外國政府必須經過漫長而繁瑣的申請流程（Mutual Legal Assistance Treaties, MLAT），且美國司法部和地方法院對此幾乎擁有絕對的審批決定權，審批標準的具體內容也很模糊?！对品ò浮奉C布后，僅有極少數(shù)美國認可的盟友國家才可不經過MLAT程序獲取儲存在美國的數(shù)據(jù)。

根據(jù)《云法案》，無論數(shù)據(jù)存儲于何地，只要其最終控制人是美國企業(yè)，美國政府就可以調取相關數(shù)據(jù)；同時，由于世界主流信息通信技術企業(yè)多為美國企業(yè)，美國實際上憑借《云法案》取得了直接獲取海量數(shù)據(jù)的法律依據(jù)，且可以繞過其他國家的司法申請流程。例如，微軟一度以數(shù)據(jù)儲存在愛爾蘭而拒絕執(zhí)行紐約南區(qū)聯(lián)邦法院發(fā)出的數(shù)據(jù)調取命令，但聯(lián)邦第二巡回法庭駁回了微軟的抗辯。而隨著《云法案》的出臺，該案件終止審理，微軟最終還是向美國法院提交了相關數(shù)據(jù)。

歐盟跨境數(shù)據(jù)披露和監(jiān)管特點

當前，歐盟在數(shù)據(jù)經濟中的地位與其在全球經濟中的地位并不相稱，世界主要互聯(lián)網領軍企業(yè)多為美國公司或中國公司。為了扭轉不利地位，歐盟致力于加強與數(shù)據(jù)相關的人權保護，擴大法律適用范圍，引導市場選擇，增大其在數(shù)據(jù)跨境國際規(guī)則方面的話語權。2018年5月歐盟全面實施《一般數(shù)據(jù)保護條例》（General Data Protection Regulation, GDPR），該條例是歐盟在數(shù)據(jù)保護方面的重要立法，其賦予歐盟主管機關廣泛的管轄權，包括屬地管轄權和屬人管轄權。根據(jù)GDPR第3款，幾乎任何收集、傳輸、存儲或者處理活動，如果由設立于歐盟成員國的機構組織來從事，均受GDPR管轄。即使在歐盟境內未設立實體且僅提供免費服務的歐盟境外的組織機構，如果向歐盟成員國的信息主體提供了服務，或監(jiān)控了其在成員國內的行為，則也受GDPR管轄。此外，歐盟堅持嚴格的數(shù)據(jù)出境審查，以較高的隱私保護水平來確保數(shù)據(jù)跨境流動的安全性。GDPR只允許向達到歐盟認可的隱私保護水平的第三國傳輸個人信息。目前，僅有阿根廷、日本、新西蘭、韓國、英國等十幾個國家達到了該標準。

GDPR所采用的“充分性認定白名單”制度，使歐盟得以在國際數(shù)據(jù)博弈過程中，向其他國家推廣歐盟標準和歐盟價值觀，完成其國內法向國際法的轉化。如果無法達到“充分性認定標準”，則GDPR第46款還提供了其他個案適用的跨境傳輸方案，包括采用監(jiān)管機構批準的 “標準合同條款”（Standard Clause Contract）及“約束性公司規(guī)則”（Binding Corporate Rules）等。通過構建較高的歐盟標準，歐盟也希望最終能夠促使更多企業(yè)出于合規(guī)方面的考慮而選擇將數(shù)據(jù)存儲在歐盟境內，并在歐盟境內進行數(shù)據(jù)處理。

美、歐在跨境數(shù)據(jù)傳輸規(guī)則上的博弈

由于美歐在跨境數(shù)據(jù)傳輸規(guī)則方面的立場并不相同，從而導致了二者在該問題上頻繁拉鋸。美國采取全球主義立場，希望歐盟等世界各國減少對數(shù)據(jù)跨境流動的干預，以促進“數(shù)據(jù)自由流動”；而歐盟則致力于建構以數(shù)據(jù)存儲者為核心的數(shù)據(jù)主權概念，并重視數(shù)據(jù)的本地化存儲，無論是GDPR還是其前身1995年的《關于涉及個人數(shù)據(jù)處理的個人保護以及此類數(shù)據(jù)自由流動的指令》，都強調歐盟有權介入數(shù)據(jù)的跨境流動并有責任對第三國的數(shù)據(jù)保護做出評估，凸顯其屬地主義原則的數(shù)據(jù)主權立場。

2020年7月，歐盟法院做出判決，認定歐盟與美國在2016年簽署的、關于跨境數(shù)據(jù)傳輸?shù)摹峨[私盾協(xié)議》無效，從而使美國公司無法繼續(xù)通過該協(xié)議將歐盟的個人數(shù)據(jù)傳輸?shù)矫绹?，也將迫使美國繼續(xù)向歐盟隱私保護制度做出讓步，接受歐盟越來越高的隱私保護標準。該判決進一步加劇了美歐在跨境數(shù)據(jù)領域的緊張關系，并將產生深遠影響。美國前任商務部部長威爾伯·羅斯稱，對這一判決“深感失望”，并表示美國將繼續(xù)與歐盟就此事保持密切聯(lián)系。

我國跨境數(shù)據(jù)披露監(jiān)管范圍擴大

近年來，我國日益重視數(shù)據(jù)安全，跨境數(shù)據(jù)法律監(jiān)管體系可概括為“1+3+N”的格局。“1”是指《國家安全法》，這是我國跨境數(shù)據(jù)法律規(guī)范體系的基石，也凸顯數(shù)據(jù)跨境合規(guī)其最重要的目的是保護國家的利益和安全?！?”是指《網絡安全法》《數(shù)據(jù)安全法》和即將出臺的《個人信息保護法》。這三部法律堪稱我國數(shù)據(jù)保護三大基本法?！癗”指《網絡安全審查辦法》《個人信息出境安全評估辦法（征求意見稿）》等規(guī)章以及《信息安全技術數(shù)據(jù)出境安全評估指南（征求意見稿）》等規(guī)范和一系列相關的國家標準，旨在為數(shù)據(jù)跨境規(guī)范提供詳細補充。

現(xiàn)行《網絡安全審查辦法》于2020年4月印發(fā)，2020年6月1日起實施。該辦法以關鍵信息基礎設施運營者（Critical Information Infrastructure Operator,CIIO）為監(jiān)管抓手，以CIIO采購網絡產品和服務為主要切入點，目標是維護關鍵信息基礎設施（Critical Information Infrastructure, CII）的供應鏈安排。2021年7月10日，國家互聯(lián)網信息辦公室發(fā)布《網絡安全審查辦法（修訂草案征求意見稿）》，其中，對跨境上市企業(yè)提出了更嚴格的信息審查要求。

一是新增數(shù)據(jù)處理行為。《網絡安全審查辦法（修訂草案征求意見稿）》（下稱《審查辦法》）進一步明確要求數(shù)據(jù)處理者開展數(shù)據(jù)處理活動，影響或可能影響國家安全的，亦應當進行網絡安全審查，擴大了網絡安全審查的適用范圍和義務主體范圍。但《審查辦法》并未明確哪些情形屬于影響國家安全的數(shù)據(jù)和處理活動，僅列舉了其中的一種情形，即 “掌握超過 100 萬用戶個人信息的運營者（關鍵信息基礎設施運營者及數(shù)據(jù)處理者）赴國外上市”。這意味著無論掌握超過100萬用戶個人信息的運營者是否屬于關鍵信息基礎設施運營者，其都將落入“數(shù)據(jù)處理者”這一義務主體范圍。此次《審查辦法》的修訂，亦表明《數(shù)據(jù)安全法》進入實施前緊鑼密鼓的準備階段，其已提及的各項重大制度將逐步通過法規(guī)和細則予以落實。《審查辦法》的修訂和實施，應該也會和《數(shù)據(jù)安全法》的生效日期保持協(xié)同。

二是增加中國證券監(jiān)督管理委員會（以下簡稱“證監(jiān)會”）為監(jiān)管主體?！秾彶檗k法》第4條將證監(jiān)會新增納入國家網絡安全審查工作機制成員單位，反映出國家對企業(yè)國外上市行為所產生的數(shù)據(jù)安全問題的高度關注。需要注意的是，在中國香港上市很可能屬于境外上市而非國外上市，因此，企業(yè)赴中國香港上市可能不在必須主動申報網絡安全審查的范圍之內。

三是企業(yè)合規(guī)風險增加。不同于擬海外上市企業(yè)未通過網絡安全審查可能導致無法上市的直接后果,對已海外上市企業(yè)未通過審查的情形, 《網絡安全法》僅規(guī)定了停止使用數(shù)據(jù)和罰款處罰, 而《數(shù)據(jù)安全法》則未做規(guī)定。因此，對已境外上市企業(yè)，如果網絡安全審查未通過會導致何種后果, 仍有待后續(xù)配套法規(guī)和監(jiān)管實踐予以明確。

企業(yè)應對策略

一是適時調整上市計劃。企業(yè)需要緊密跟蹤變化中的國際跨境數(shù)據(jù)監(jiān)管博弈，并根據(jù)公司的發(fā)展需要，適時做出調整。當前，我國企業(yè)赴美上市需要考慮到我國網絡安全審查風險和由此導致的業(yè)務停滯風險，以及由于連續(xù)三年達不到美國證監(jiān)會信息披露要求而被強制退市的風險、在美面臨集體訴訟的風險等等，并據(jù)此謹慎評估是否需要變更相關赴美上市計劃。

根據(jù)《審查辦法》，當前，我國香港地區(qū)可能不受事前申報網絡安全審查的限制。雖然，與赴美上市相比，赴港上市仍有較高門檻，且在市場流動性、股東退出難易度等方面港股也略遜于美股，但仍有多家中資企業(yè)在綜合權衡后，暫?；蚪K止了赴美上市的進程，包括科技企業(yè)Keep、喜馬拉雅以及醫(yī)療科技公司零氪科技等。

二是主動做好數(shù)據(jù)合規(guī)。無論是否計劃上市的企業(yè)，均建議做好數(shù)據(jù)安全和個人信息保護方面的合規(guī)。隨著《數(shù)據(jù)安全法》即將在2021年9月1日正式實施，以及未來《個人信息保護法》的頒行，可以預見，包括《審查辦法》在內的各項配套規(guī)定也會密集出臺，數(shù)據(jù)保護方面的執(zhí)法將日趨嚴格。當前，鑒于美國、歐盟在內的世界各主要司法轄區(qū)在不斷加強數(shù)據(jù)保護，我國企業(yè)也應更加積極主動地做好數(shù)據(jù)合規(guī)，并將數(shù)據(jù)合規(guī)的需要和業(yè)務發(fā)展戰(zhàn)略相協(xié)調，以數(shù)據(jù)合規(guī)促進業(yè)務發(fā)展。

企業(yè)被動進行數(shù)據(jù)合規(guī)不僅成本高昂，而且社會效益低；企業(yè)主動開展數(shù)據(jù)合規(guī)雖然合規(guī)成本不變，但很可能帶來額外的經濟效益和社會效益，從而使合規(guī)從燒錢的工作變成創(chuàng)造財富的工作。舉例而言，美國互聯(lián)網巨頭已經率先受到歐盟GDPR的巨大合規(guī)壓力，從美國互聯(lián)網巨頭已經采取的措施和效果可以看到主動合規(guī)的諸多優(yōu)勢。例如，蘋果通過對在線廣告數(shù)據(jù)安全方面的管制，實際上進一步加強了其對在線廣告市場的控制力，并同時贏得了消費者的信任，增強了消費者粘性。微軟積極開發(fā)數(shù)據(jù)保護方面的軟硬件，不僅用于企業(yè)自身數(shù)據(jù)合規(guī)的需要，也用于吸引其他有合規(guī)需求的客戶，使數(shù)據(jù)保護合規(guī)服務成為一項新的業(yè)務增長點。

三是充分利用法律允許的抗辯理由。當前，國外的數(shù)據(jù)披露要求和我國法律監(jiān)管要求存有一定的沖突。實踐中，有企業(yè)通過在美國法院提起訴訟，減少或豁免了相關數(shù)據(jù)披露要求的案例。在個案中，企業(yè)可以聘請經驗豐富的中外律師，協(xié)助處理信息披露方面的法律沖突，以隔離企業(yè)或其高管可能面臨的法律風險，并充分利用法律允許的抗辯理由，力爭減少數(shù)據(jù)披露的要求；對于確須披露的信息，企業(yè)則可在專業(yè)機構的協(xié)助下獲得我國司法部、證監(jiān)會等主管機關的批準。

四是積極參與規(guī)則制定。企業(yè)可通過多渠道參與我國或國外相關規(guī)則的制定過程，積極提交反饋意見。各國政府制定監(jiān)管規(guī)則均有其特定背景、理由和目的，企業(yè)除了從自身利益角度出發(fā)提出反饋意見，還可以嘗試提出建設性和創(chuàng)新性的制度構建建議。通常，各國政府在不影響相關立法目的的情況下，會考慮盡量減少對企業(yè)的不利影響。

應對不同司法轄區(qū)的監(jiān)管規(guī)則，對企業(yè)而言是一個復雜的過程。鑒此，企業(yè)應從自身發(fā)展階段、業(yè)務領域、主管機關、背景原因、國際關系、發(fā)展趨勢等各方面綜合收集信息、審慎分析，結合相關商業(yè)決策研判，提前制定公司合規(guī)舉措。