交易员在美国纽约证券交易所工作。图片来源:新华社


文 | 刘洋(新京智库特约撰稿人,中国人民大学国家发展与战略研究院研究员,法学院助理教授)


7月6日,中共中央办公厅、国务院办公厅公开发布《关于依法从严打击证券违法活动的意见》。意见提出,加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。


近日,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查的公告。审查期间,以上APP均已停止新用户注册。


多家互联网企业接受网络安全审查,广受关注。


值得注意的是,这几家被审查的企业有着共同的特点:近期赴美上市。


美方对赴美IPO的中国企业在数据安全出境问题方面有哪些要求?哪些规定可能会触及我国的安全法律底线?这些问题值得关注。


美国法规对我构成的安全风险不容忽略 


2020年12月,美国颁布了《外国公司问责法》,要求在美上市公司披露额外信息。包括依照美国证券交易委员会的审计标准提供审计报告,包含审计底稿。审计底稿中包括相关的原始票据,以用来交叉验证审计报告的真实性。


该法规定,如果外国公司连续三年未能通过美国公众公司会计监督委员会的审计,将被禁止在美国任何交易所上市。


同时,依照美国《萨宾斯-奥克利》法案,上市公司需要在审计报告中提供“内部控制”内容,通常包括网络活动、数据库活动、系统登入活动、账号活动、用户活动以及信息接入的参数和条件等等。其中值得注意的是,审计报告需要提供公司在网络安全信息基础的相关信息,其相应的审计底稿可能需要包括基础设施采购的具体信息。


此外,美国证券交易委员会合规调查与检查办公室在2020年1月7日发布了最新版的《网络安全与弹性观察》(以下简称《观察》)。


《观察》没有约束力,也不代表证券交易委员会的立场,但对上市公司而言,这是网络安全领域的重要文件。


《观察》建议上市公司在治理和风险管理、接入权力与控制、数据丢失预防机制、移动端安全、事故反应与灵活性、零售端管理、培训与注意力这7个方面来审查自己的政策和实践。


资料图。图片来源:Unsplash


除了证券领域的网络安全规定,美国在联邦和州的层面还有若干数据安全方面的单行法律法规。


例如加州颁布了《加州消费者隐私法》(CCPA),纽约州在2019年颁布了《SHIELD  Act》。


在联邦层面,美国联邦贸易委员会在消费者隐私保护领域享有管辖权。联邦和州的司法部可以依据相关法律进行起诉。


仅就法规文字来看,上述规定没有直接要求在美公司向监管机构提交中国法律中所指的重要数据或者核心数据,如用户数据和地图数据,而是要求这些公司建立关于网络安全和个人数据隐私保护方面的机制,或者提交审计报告以及披露所有和控制方面的信息。


但是,上述规定对我国构成的安全风险仍然不容忽略。


例如,如果在美上市公司被美国监管机构调查,或者被拉入诉讼,则相关公司可能被迫提供网络安全基础设施方面的细节和详细信息,来证明自己符合美国相关网络安全和数据安全的要求。


但是,上述信息可能属于我国《网络安全法》以及相关法规所保护的范围,向美方提供这些信息可能会危害到我国的国家安全。


强化关键信息基础设施运营者相关义务


我国《网络安全法》第三十一条规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他领域一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。”


根据《国家网络安全检查操作指南》规定,对于平台而言,如果注册用户、活跃用户和日交易额超过一定标准的,就可以认定为“关键信息基础设施”。


因此,对这些属于关键信息基础设施的平台,需要依法给予重点保护。


如何从国家安全的角度理解重点保护?


资料图。图片来源:Unsplash


对关键信息基础设施的重点保护,人们通常会理解为依法保护其权利,但其实更重要的,保护平台的目的是维护国家安全。


因此,重点保护的题中之义是强化关键信息基础设施运营者的相关义务。


我国《网络安全法》第三十五条规定,如果关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家安全审查。


同时,该法第三十六条规定,关键信息基础设施的运营者应当按照规定与网络产品和服务提供者签订安全保密协议,明确安全、保密义务与责任。


将这两条结合来看,关键信息基础设施的运营者对网络产品和服务的采购可能会影响国家安全。


此外,关键信息基础设施的运营者还负有《网络安全法》第二十一条和第三十四条所规定的义务,包括采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;采取数据分类、重要数据备份和加密等措施。


这些法律义务的范围,不仅是指完成规定动作,可能还要包括为了防范网络侵入、数据泄密等情况而采取的保密措施。


数据出境的安全风险值得防范


另一个值得关注的,是平台在开展跨境业务时可能产生的数据出境风险。


例如,平台的国内用户在出境之后继续使用平台软件,则可能会调用国内运营时所收集的用户姓名、银行账户等支付信息。


这类数据的出境并没有被完全禁止。我国《网络安全法》第三十七条规定,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。”


今年9月1日即将生效的我国《数据安全法》第三十一条规定,“其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。”


但是,在重点保护的安全观下,特别是在我国《数据安全法》进一步区分了重点数据和核心数据之后,对海外上市企业相关数据出境的安全评估问题可能更加复杂。


有能力出海的中国优秀企业对此应有深刻的认识,除了在企业层面加强对上市所在国法律的认知,更需要深刻理解当前形势下我国网络安全和数据安全的法律规定,防范可能存在的安全风险。


编辑:柯锐、张笑缘  校对:李立军

投稿、合作、联系我们:futurecity@xjbsmartcity.com