7月6日，中共中央辦公廳、國務院辦公廳公開發(fā)布《關于依法從嚴打擊證券違法活動的意見》。意見提出，加強跨境監(jiān)管合作。完善數(shù)據(jù)安全、跨境數(shù)據(jù)流動、涉密信息管理等相關法律法規(guī)。

　　近日，國家網(wǎng)信辦連續(xù)發(fā)布了對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”實施網(wǎng)絡安全審查的公告。審查期間，以上APP均已停止新用戶注冊。

　　多家互聯(lián)網(wǎng)企業(yè)接受網(wǎng)絡安全審查，廣受關注。

　　值得注意的是，這幾家被審查的企業(yè)有著共同的特點：近期赴美上市。

　　美方對赴美IPO的中國企業(yè)在數(shù)據(jù)安全出境問題方面有哪些要求？哪些規(guī)定可能會觸及我國的安全法律底線？這些問題值得關注。

　　美國法規(guī)對我構成的安全風險不容忽略

　　2020年12月，美國頒布了《外國公司問責法》，要求在美上市公司披露額外信息。包括依照美國證券交易委員會的審計標準提供審計報告，包含審計底稿。審計底稿中包括相關的原始票據(jù)，以用來交叉驗證審計報告的真實性。

　　該法規(guī)定，如果外國公司連續(xù)三年未能通過美國公眾公司會計監(jiān)督委員會的審計，將被禁止在美國任何交易所上市。

　　同時，依照美國《薩賓斯-奧克利》法案，上市公司需要在審計報告中提供“內部控制”內容，通常包括網(wǎng)絡活動、數(shù)據(jù)庫活動、系統(tǒng)登入活動、賬號活動、用戶活動以及信息接入的參數(shù)和條件等等。其中值得注意的是，審計報告需要提供公司在網(wǎng)絡安全信息基礎的相關信息，其相應的審計底稿可能需要包括基礎設施采購的具體信息。

　　此外，美國證券交易委員會合規(guī)調查與檢查辦公室在2020年1月7日發(fā)布了最新版的《網(wǎng)絡安全與彈性觀察》（以下簡稱《觀察》）。

　　《觀察》沒有約束力，也不代表證券交易委員會的立場，但對上市公司而言，這是網(wǎng)絡安全領域的重要文件。

　　《觀察》建議上市公司在治理和風險管理、接入權力與控制、數(shù)據(jù)丟失預防機制、移動端安全、事故反應與靈活性、零售端管理、培訓與注意力這7個方面來審查自己的政策和實踐。

　　除了證券領域的網(wǎng)絡安全規(guī)定，美國在聯(lián)邦和州的層面還有若干數(shù)據(jù)安全方面的單行法律法規(guī)。

　　例如加州頒布了《加州消費者隱私法》（CCPA），紐約州在2019年頒布了《SHIELD  Act》。

　　在聯(lián)邦層面，美國聯(lián)邦貿易委員會在消費者隱私保護領域享有管轄權。聯(lián)邦和州的司法部可以依據(jù)相關法律進行起訴。

　　僅就法規(guī)文字來看，上述規(guī)定沒有直接要求在美公司向監(jiān)管機構提交中國法律中所指的重要數(shù)據(jù)或者核心數(shù)據(jù)，如用戶數(shù)據(jù)和地圖數(shù)據(jù)，而是要求這些公司建立關于網(wǎng)絡安全和個人數(shù)據(jù)隱私保護方面的機制，或者提交審計報告以及披露所有和控制方面的信息。

　　但是，上述規(guī)定對我國構成的安全風險仍然不容忽略。

　　例如，如果在美上市公司被美國監(jiān)管機構調查，或者被拉入訴訟，則相關公司可能被迫提供網(wǎng)絡安全基礎設施方面的細節(jié)和詳細信息，來證明自己符合美國相關網(wǎng)絡安全和數(shù)據(jù)安全的要求。

　　但是，上述信息可能屬于我國《網(wǎng)絡安全法》以及相關法規(guī)所保護的范圍，向美方提供這些信息可能會危害到我國的國家安全。

　　強化關鍵信息基礎設施運營者相關義務

　　我國《網(wǎng)絡安全法》第三十一條規(guī)定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業(yè)和領域，以及其他領域一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網(wǎng)絡安全等級保護制度的基礎上，實行重點保護。”

　　根據(jù)《國家網(wǎng)絡安全檢查操作指南》規(guī)定，對于平臺而言，如果注冊用戶、活躍用戶和日交易額超過一定標準的，就可以認定為“關鍵信息基礎設施”。

　　因此，對這些屬于關鍵信息基礎設施的平臺，需要依法給予重點保護。

　　如何從國家安全的角度理解重點保護？

　　對關鍵信息基礎設施的重點保護，人們通常會理解為依法保護其權利，但其實更重要的，保護平臺的目的是維護國家安全。

　　因此，重點保護的題中之義是強化關鍵信息基礎設施運營者的相關義務。

　　我國《網(wǎng)絡安全法》第三十五條規(guī)定，如果關鍵信息基礎設施的運營者采購網(wǎng)絡產(chǎn)品和服務，可能影響國家安全的，應當通過國家安全審查。

　　同時，該法第三十六條規(guī)定，關鍵信息基礎設施的運營者應當按照規(guī)定與網(wǎng)絡產(chǎn)品和服務提供者簽訂安全保密協(xié)議，明確安全、保密義務與責任。

　　將這兩條結合來看，關鍵信息基礎設施的運營者對網(wǎng)絡產(chǎn)品和服務的采購可能會影響國家安全。

　　此外，關鍵信息基礎設施的運營者還負有《網(wǎng)絡安全法》第二十一條和第三十四條所規(guī)定的義務，包括采取防范計算機病毒和網(wǎng)絡攻擊、網(wǎng)絡侵入等危害網(wǎng)絡安全行為的技術措施；采取數(shù)據(jù)分類、重要數(shù)據(jù)備份和加密等措施。

　　這些法律義務的范圍，不僅是指完成規(guī)定動作，可能還要包括為了防范網(wǎng)絡侵入、數(shù)據(jù)泄密等情況而采取的保密措施。

　　數(shù)據(jù)出境的安全風險值得防范

　　另一個值得關注的，是平臺在開展跨境業(yè)務時可能產(chǎn)生的數(shù)據(jù)出境風險。

　　例如，平臺的國內用戶在出境之后繼續(xù)使用平臺軟件，則可能會調用國內運營時所收集的用戶姓名、銀行賬戶等支付信息。

　　這類數(shù)據(jù)的出境并沒有被完全禁止。我國《網(wǎng)絡安全法》第三十七條規(guī)定，因業(yè)務需要，確需向境外提供的，應當按照國家網(wǎng)信部門會同國務院有關部門制定的辦法進行安全評估?！?/p>

　　今年9月1日即將生效的我國《數(shù)據(jù)安全法》第三十一條規(guī)定，”其他數(shù)據(jù)處理者在中華人民共和國境內運營中收集和產(chǎn)生的重要數(shù)據(jù)的出境安全管理辦法，由國家網(wǎng)信部門會同國務院有關部門制定?！?/p>

　　但是，在重點保護的安全觀下，特別是在我國《數(shù)據(jù)安全法》進一步區(qū)分了重點數(shù)據(jù)和核心數(shù)據(jù)之后，對海外上市企業(yè)相關數(shù)據(jù)出境的安全評估問題可能更加復雜。

　　有能力出海的中國優(yōu)秀企業(yè)對此應有深刻的認識，除了在企業(yè)層面加強對上市所在國法律的認知，更需要深刻理解當前形勢下我國網(wǎng)絡安全和數(shù)據(jù)安全的法律規(guī)定，防范可能存在的安全風險。