道可特研究 | 警钟敲响：中概股企业国外上市不可忽视的数据安全问题

Original 国际业务团队道可特法视界 2023-03-25

收录于合集

「道可特法视界第1477篇原创文章」

美国东部时间6月30日，滴滴出行正式在纽交所挂牌上市。没有敲钟仪式，没有新闻报道，滴滴用20天时间实现了“低调”上市，却敲响了国家网络安全审查的警钟。

7月2日，国家网信办网络安全审查办公室（以下简称“国家网信办”）发布消息对“滴滴出行”实施网络安全审查。时隔一日，国际网信办再次发文责令滴滴APP下架整改。7月9日，国家网信办第三次出手，下架滴滴名下25款APP。7月10日，国家网信办发布《网络安全审查办法》征求意见稿（以下简称“《审查办法（修订草案）》”）。

《审查办法（修订草案）》扩大了网络安全审查的范围，将数据处理者也纳入了监管范围，同时还规定“掌握超过100万用户个人信息的运营者赴国外上市”，必须主动向网络安全审查办公室申报网络安全审查。

根据其立法依据《中华人民共和国数据安全法》（以下简称“《数据安全法》”）第三条第二款规定“数据处理”是指“数据的收集、存储、使用、加工、传输、提供、公开等”一系列活动，相应的数据处理者涵盖了与数据整个生命周期有关的企业，而对于达到上市要求的企业来说，“100万用户”是一个极低的门槛，此条规定几乎将所有面向用户端、拟国外上市的企业纳入了主动申报审查的范围。

在互联网时代，数据资源日益重要，数据安全直接关乎国家安全。于今年9月实施的《数据安全法》提出了“建国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”而《审查办法（修订草案）》回应了这一要求，体现了国家对于核心、重要数据的重视，规定国家网信办进行审查时还要考虑：

（五）核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险。（六）国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

《审查办法（修订草案）》将《数据安全法》作为上位法依据，并通过具体条文将建立国家数据安全审查制度的规定细化。

滴滴作为最大的网约车平台，在运营中掌握了大量的用户信息、敏感区域的人流车流数据、测绘数据、道路车辆流量等关键信息，关乎国家数据安全。此前，国家互联网信息办公室起草的《汽车数据安全管理若干规定（征求意见稿）》作为专门规制汽车数据安全的法规，其规定：

网约车企业在中华人民共和国境内收集、分析、存储、传输、查询、利用、删除以及向境外提供（以下统称处理）个人信息或重要数据，应当遵守相关法律法规和本规定的要求。

《汽车数据安全管理若干规定（征求意见稿）》中还要求“处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者”需要每年上报数据管理情况，将重要数据储存在境内，数据出境时需要网信部门进行数据出境的评估。

在滴滴等三家互联网企业被实施网络安全审查后，喜马拉雅、哈啰出行、Keep等公司均暂缓其赴美上市计划，许多拟上市企业也在观望《审查办法（修订草案）》的后续发展。但并非所有的数据处理活动、国外上市行为都必须进行审查，网络安全审查的重点在于国外上市对我国国家安全、数据安全的影响。拟赴国外上市公司需要对自身掌握的数据资产进行全面盘查，明确是否存在影响或可能影响国家安全的数据、信息，尤其是拥有超过100万用户的拟国外上市公司，应依法主动申报进行网络安全审查，还要审慎考虑选择上市地点。

已经上市的企业也并非绝对安全，网络安全审查机构认为其存在危害国家数据安全的情形时，可以依职权开展审查。为此，已上市企业也要及时开展自查并视情况采取补救措施，完善企业内部的个人信息保护制度及数据安全制度。

精彩推荐

点击图片查看

。。。

更多精彩文章请点击以下“栏目名称”阅读