寧宣鳳，吳涵，李沅珊

（北京市金杜律師事務(wù)所，北京 100020）

“一帶一路”背景下中國企業(yè)境外并購的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題

寧宣鳳，吳涵，李沅珊

（北京市金杜律師事務(wù)所，北京 100020）

隨著我國“一帶一路”倡議的推進(jìn)，中國企業(yè)境外并購日益頻繁。文章介紹了境外政府機(jī)構(gòu)審查中國企業(yè)境外并購中，重點(diǎn)關(guān)心的我國網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題，梳理了當(dāng)前《網(wǎng)絡(luò)安全法》的體系下我國政府可能獲取外國公民個(gè)人信息或重要數(shù)據(jù)的情形，同時(shí)分析了《網(wǎng)絡(luò)安全法》的實(shí)施對于實(shí)現(xiàn)中國企業(yè)境外并購目的、交易后企業(yè)運(yùn)營成本的影響。最后，文章從網(wǎng)絡(luò)安全合規(guī)和實(shí)現(xiàn)交易目的的角度，分析并提出了中國企業(yè)境外并購中的實(shí)踐建議。

一帶一路； 境外并購； 網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)

寧宣鳳，麥吉爾大學(xué)法學(xué)碩士，北京市金杜律師高級合伙人；

吳涵，北京大學(xué)法律博士（J.D.），北京市金杜律師事務(wù)所資深律師

李沅珊，英國格拉斯哥大學(xué)法學(xué)博士，北京市金杜律師事務(wù)所律師。

隨著“一帶一路”倡議的推進(jìn)，據(jù)估計(jì)，未來5年中國對沿線國家和地區(qū)的投資預(yù)計(jì)將達(dá)到1500億美元。①新浪財(cái)經(jīng)，大手筆！中國對“一帶一路”沿線國家和地區(qū)投資將達(dá)1500億美元，發(fā)布于2017年05月15日，http://fi nance.sina.com.cn/roll/2017-05-15/doc-ifyfekhi7777894.shtml?？梢灶A(yù)見，中國企業(yè)通過并購境外企業(yè)而“走出去”的需求將日益增多。在中國企業(yè)海外業(yè)務(wù)拓展的過程中，境內(nèi)母公司和被并購的境外公司之間可能因?yàn)榻?jīng)營需要或者業(yè)務(wù)往來需要而進(jìn)行大量的數(shù)據(jù)跨境傳輸，從而引發(fā)數(shù)據(jù)存儲和數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)安全問題。

目前全球大部分國家都已經(jīng)建立個(gè)人數(shù)據(jù)保護(hù)法規(guī)，根據(jù)澳大利亞著名隱私保護(hù)學(xué)者Graham Greenleaf的統(tǒng)計(jì)，早在2015年2月，全球制定了個(gè)人數(shù)據(jù)保護(hù)法規(guī)的國家和地區(qū)增加到109個(gè)。②Graham Greenleaf, Global Data Privacy Laws 2015: 109Countries, with European Laws Now a Minority, (2015) 133, Privacy Laws & Business International Report, February 2015.考慮到個(gè)人數(shù)據(jù)保護(hù)立法的普遍性，在“一帶一路”背景下，中國企業(yè)的境外并購不免將受到當(dāng)?shù)卣块T有關(guān)網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)方面的審查，尤其是針對于2017年6月1日實(shí)施的《中華人民共和國網(wǎng)絡(luò)安全法》（以下簡稱“《網(wǎng)安法》”），將審查其對境外被并購企業(yè)收集的境外公民個(gè)人信息和重要數(shù)據(jù)安全保護(hù)的影響。

另一方面，《網(wǎng)安法》以及配套措施也對網(wǎng)絡(luò)運(yùn)營者包括關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的網(wǎng)絡(luò)建設(shè)、運(yùn)營、維護(hù)和使用制定了一系列規(guī)則。這些規(guī)則可能對中國企業(yè)海外并購的目的和交易后的運(yùn)營成本產(chǎn)生實(shí)質(zhì)性影響。

基于以上背景，本文將重點(diǎn)分析：1.《網(wǎng)安法》對于境外政府審查中國企業(yè)并購境外實(shí)體的影響；2.《網(wǎng)安法》對于境外并購交易目的實(shí)現(xiàn)以及企業(yè)運(yùn)營成本的影響。①《中華人民共和國網(wǎng)絡(luò)安全法》于2016年11月7日第十二屆全國人民代表大會(huì)常務(wù)委員會(huì)第二十四次會(huì)議通過，自2017年6月1日起施行。

一、《網(wǎng)安法》對境外政府審查中國企業(yè)境外并購交易的影響

網(wǎng)絡(luò)安全對于公民、法人和其他組織合法權(quán)益的保護(hù)具有重要影響，同時(shí)數(shù)據(jù)作為國家、企業(yè)具有價(jià)值資源的地位也被普遍認(rèn)可。②有關(guān)數(shù)據(jù)對于企業(yè)的價(jià)值，請參見：經(jīng)濟(jì)學(xué)人，當(dāng)數(shù)據(jù)成為新時(shí)代的石油，2017年5月6日。在數(shù)據(jù)被越來越多國家認(rèn)定為“戰(zhàn)略資源”的當(dāng)下，境外政府對于中國企業(yè)境外并購主要關(guān)注的網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)問題至少包括：在《網(wǎng)安法》下，1.境外企業(yè)收集的境外公民個(gè)人信息數(shù)據(jù)是否被要求在中國境內(nèi)存儲；2.境外企業(yè)收集的境外公民個(gè)人信息數(shù)據(jù)是否可能被中國政府獲得。

(一)有關(guān)境外公民個(gè)人信息數(shù)據(jù)的本地化存儲問題

為了保護(hù)本國公民的合法權(quán)益，不少國家均要求網(wǎng)絡(luò)運(yùn)營者在本國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息數(shù)據(jù)在境內(nèi)儲存，甚至對于成立地在本國以外的機(jī)構(gòu)來說，只要其在提供產(chǎn)品或者服務(wù)的過程中處理了本國/本司法轄區(qū)個(gè)體的個(gè)人數(shù)據(jù)，將需適用本國/本司法轄區(qū)的網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)規(guī)則。例如，歐盟《一般數(shù)據(jù)保護(hù)條例》（General Data Protection Regulation，GDPR）最新規(guī)定，即使數(shù)據(jù)控制者在歐盟境內(nèi)沒有設(shè)立機(jī)構(gòu)，但其在跨境提供商品或服務(wù)的過程中收集處理歐盟公民數(shù)據(jù)，則也應(yīng)當(dāng)適用歐盟數(shù)據(jù)保護(hù)法規(guī)。③REGULATION (EU) 2016/679OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27April 2016on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)，O.J.L119/1，第三條。

根據(jù)《網(wǎng)安法》第三十七條規(guī)定，我國要求關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。我國關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的“屬地原則”和以歐盟為代表的 “屬人原則”可能存在沖突。依據(jù)GDPR的規(guī)定，交易后企業(yè)若在中國境內(nèi)存儲歐盟公民個(gè)人信息，則中國整體以及交易后企業(yè)對于數(shù)據(jù)安全的保護(hù)程度需達(dá)到足夠保護(hù)的標(biāo)準(zhǔn)（adequate level of protection）。如果交易雙方無法證明符合足夠保護(hù)標(biāo)準(zhǔn)的要求，交易可能在其他司法轄區(qū)受到質(zhì)疑。

(二)外國公民個(gè)人信息可能被中國政府獲悉的風(fēng)險(xiǎn)

交易后，如果中國企業(yè)通過并購獲得對外國企業(yè)的控制權(quán)并對境外公司的日常運(yùn)營和戰(zhàn)略決策產(chǎn)生決定性的影響，理論上將有權(quán)要求境外企業(yè)將收集和產(chǎn)生的外國公民個(gè)人信息提供給境內(nèi)并購方存儲或者使用。其次，從運(yùn)營結(jié)構(gòu)而言，交易后境外被并購方的業(yè)務(wù)可能面臨重組。境外公司收集的外國公民個(gè)人信息可能與境內(nèi)并購方的網(wǎng)絡(luò)或者關(guān)鍵信息基礎(chǔ)設(shè)施對接。在上述背景下，國外司法轄區(qū)可能會(huì)關(guān)注：國家網(wǎng)信部門在對于中國境內(nèi)網(wǎng)絡(luò)運(yùn)營者建設(shè)、運(yùn)營、維護(hù)和使用網(wǎng)絡(luò)的監(jiān)督管理中，是否能獲悉外國公民個(gè)人信息。

到目前為止，為了配合《網(wǎng)安法》的實(shí)施，國家互聯(lián)網(wǎng)信息辦公室（以下簡稱“網(wǎng)信辦”）還發(fā)布了《個(gè)人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》（以下簡稱“《安全評估辦法（征求意見稿）》”）和《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法（試行）》（以下簡稱“《審查辦法》”）。①網(wǎng)信辦分別于2017年4月11日發(fā)布了《數(shù)據(jù)跨境安全評估辦法》（征求意見稿），2017年5月2日發(fā)布《審查辦法》并于2017年6月1日起實(shí)施。在目前的《網(wǎng)安法》及配套措施下，可能被中國政府獲悉外國公民個(gè)人信息的情形至少包括以下四種：個(gè)人信息和重要數(shù)據(jù)跨境傳輸?shù)陌踩u估、對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)抽查、對關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行的網(wǎng)絡(luò)安全審查、以及網(wǎng)絡(luò)運(yùn)營者為政府部門履行維護(hù)網(wǎng)絡(luò)安全或者其他公職義務(wù)提供協(xié)助和支持。②主管部門評估是相對于自行評估而言?！稊?shù)據(jù)跨境安全評估辦法（征求意見稿）》第七條要求網(wǎng)絡(luò)運(yùn)營者應(yīng)在數(shù)據(jù)出境前，自行組織對數(shù)據(jù)出境進(jìn)行安全評估。當(dāng)跨境數(shù)據(jù)達(dá)到一定標(biāo)準(zhǔn)時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)報(bào)請行業(yè)主管或監(jiān)管部門組織安全評估（即“主管部門評估”）

1.對網(wǎng)絡(luò)運(yùn)營者數(shù)據(jù)跨境的主管部門評估

依據(jù)《網(wǎng)安法》第三十七條的規(guī)定，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者在中華人民共和國境內(nèi)運(yùn)營中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)應(yīng)當(dāng)在境內(nèi)存儲。因業(yè)務(wù)需要，確需向境外提供的，應(yīng)當(dāng)按照國家網(wǎng)信部門會(huì)同國務(wù)院有關(guān)部門制定的辦法進(jìn)行安全評估；法律、行政法規(guī)另有規(guī)定的，依照其規(guī)定。

《安全評估辦法（征求意見稿）》進(jìn)一步將以上《網(wǎng)安法》第三十七條的規(guī)制主體從關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者擴(kuò)大到了網(wǎng)絡(luò)運(yùn)營者，甚至要求其他個(gè)人和組織參照適用。對于達(dá)到《安全評估辦法（征求意見稿）》第九條標(biāo)準(zhǔn)的出境數(shù)據(jù)，網(wǎng)絡(luò)運(yùn)營者應(yīng)報(bào)請行業(yè)主管或監(jiān)管部門組織安全評估（即主管部門評估）。在對數(shù)據(jù)出境的主管部門評估中，應(yīng)重點(diǎn)評估的內(nèi)容包括但不限于涉及個(gè)人信息和重要數(shù)據(jù)的情況，包括個(gè)人信息和重要數(shù)據(jù)的數(shù)量、范圍、類型、敏感程度等。由于《個(gè)人信息和重要數(shù)據(jù)出境安全評估指南》尚未出臺，基于以上數(shù)據(jù)跨境主管部門評估的規(guī)定，不能排除被并購主體收集的外國公民或政府的個(gè)人信息和重要數(shù)據(jù)在跨境數(shù)據(jù)主管部門評估中被中國政府獲悉的可能性。

2.對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)抽查

《網(wǎng)安法》第三十九條第一項(xiàng)規(guī)定，國家網(wǎng)信部門應(yīng)當(dāng)統(tǒng)籌協(xié)調(diào)有關(guān)部門對關(guān)鍵信息基礎(chǔ)設(shè)施的安全風(fēng)險(xiǎn)進(jìn)行抽查檢測，必要時(shí)可以委托網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)對網(wǎng)絡(luò)存在的安全風(fēng)險(xiǎn)進(jìn)行檢測評估。如果被收購的境外企業(yè)由于經(jīng)營需要或者業(yè)務(wù)安排與境內(nèi)網(wǎng)絡(luò)經(jīng)營者的系統(tǒng)對接，則可能會(huì)被認(rèn)定為境內(nèi)網(wǎng)絡(luò)運(yùn)營者關(guān)鍵信息基礎(chǔ)設(shè)施的組成部分，從而不能排除其收集的外國公民或政府的個(gè)人信息和重要數(shù)據(jù)在國家網(wǎng)信部門統(tǒng)籌的安全風(fēng)險(xiǎn)抽查中被中國政府獲悉。

此外，由于目前關(guān)鍵信息基礎(chǔ)設(shè)施的定義不明確，增加了對其進(jìn)行安全風(fēng)險(xiǎn)抽查范圍的不確定性。

首先，《網(wǎng)安法》對關(guān)鍵信息基礎(chǔ)設(shè)施涉及的行業(yè)進(jìn)行了非完全性的列舉。

我國在2015年7月公布的《網(wǎng)絡(luò)安全法（草案）》中，將涉及關(guān)鍵信息基礎(chǔ)設(shè)施的行業(yè)進(jìn)行了較為詳盡的列舉，包括：提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、交通、水利、金融等重要行業(yè)和供電、供水、供氣、醫(yī)療衛(wèi)生、社會(huì)保障等公共服務(wù)領(lǐng)域的重要信息系統(tǒng)，軍事網(wǎng)絡(luò)，設(shè)區(qū)的市級以上國家機(jī)關(guān)等政務(wù)網(wǎng)絡(luò)，用戶數(shù)量眾多的網(wǎng)絡(luò)服務(wù)提供者所有或管理的網(wǎng)絡(luò)和系統(tǒng)。然而，目前正式頒布的《網(wǎng)安法》，則刪除了所列舉的關(guān)鍵信息基礎(chǔ)設(shè)施范圍，改為從遭到破壞、喪失功能或者數(shù)據(jù)泄露的嚴(yán)重后果為導(dǎo)向?qū)﹃P(guān)鍵信息基礎(chǔ)設(shè)施進(jìn)行了更為概括性的描述，即“國家對公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，在網(wǎng)絡(luò)安全等級保護(hù)制度的基礎(chǔ)上，實(shí)行重點(diǎn)保護(hù)?！雹邸毒W(wǎng)安法》，第三十一條。隨后網(wǎng)信辦2016年12月27日發(fā)布的《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》中有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的定義與之類似，但行業(yè)列舉范圍有所擴(kuò)大。①依據(jù)《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》第四點(diǎn)第（三）項(xiàng)，國家關(guān)鍵信息基礎(chǔ)設(shè)施是指關(guān)系國家安全、國計(jì)民生，一旦數(shù)據(jù)泄露、遭到破壞或者喪失功能可能嚴(yán)重危害國家安全、公共利益的信息設(shè)施，包括但不限于提供公共通信、廣播電視傳輸?shù)确?wù)的基礎(chǔ)信息網(wǎng)絡(luò)，能源、金融、交通、教育、科研、水利、工業(yè)制造、醫(yī)療衛(wèi)生、社會(huì)保障、公用事業(yè)等領(lǐng)域和國家機(jī)關(guān)的重要信息系統(tǒng)，重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)等。有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的范圍，目前還可參見2017年7月10日，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的關(guān)于《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例（征求意見稿）》。

有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定步驟，目前僅在網(wǎng)信辦2016年6月向其地方執(zhí)法機(jī)構(gòu)下發(fā)的《國家網(wǎng)絡(luò)安全檢查操作指南》有所提及。根據(jù)該指南，關(guān)鍵信息基礎(chǔ)設(shè)施的確定，通常包括三個(gè)步驟，一是確定關(guān)鍵業(yè)務(wù)，二是確定支撐關(guān)鍵業(yè)務(wù)的信息系統(tǒng)或工業(yè)控制系統(tǒng)，三是根據(jù)關(guān)鍵業(yè)務(wù)對信息系統(tǒng)或工業(yè)控制系統(tǒng)的依賴程度，以及信息系統(tǒng)發(fā)生網(wǎng)絡(luò)安全事件后可能造成的損失認(rèn)定關(guān)鍵信息基礎(chǔ)設(shè)施。②《關(guān)于開展鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》，第3.2部分。同時(shí)，指南明確指出關(guān)鍵信息基礎(chǔ)設(shè)施包括三類：1.網(wǎng)站類，如黨政機(jī)關(guān)網(wǎng)站、企事業(yè)單位網(wǎng)站、新聞網(wǎng)站等；2.平臺類，如即時(shí)通信、網(wǎng)上購物、網(wǎng)上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網(wǎng)絡(luò)服務(wù)平臺；3.生產(chǎn)業(yè)務(wù)類，如辦公和業(yè)務(wù)系統(tǒng)、工業(yè)控制系統(tǒng)、大型數(shù)據(jù)中心、云計(jì)算平臺、電視轉(zhuǎn)播系統(tǒng)等。但是，該指南的發(fā)布早于《網(wǎng)安法》的頒布，因此不可能成為《網(wǎng)安法》下的配套細(xì)則。另外，根據(jù)該指南自身所載說明，其依據(jù)是《關(guān)于開展鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》（中辦發(fā)2016第3號），目的是指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查工作。隨著檢查工作于2016年12月底結(jié)束，配合檢查工作發(fā)布的指南是否依然有效有待網(wǎng)信辦的進(jìn)一步確認(rèn)。目前尚不確定，預(yù)期正在制定的《關(guān)鍵信息基礎(chǔ)設(shè)施識別指南》是否會(huì)參考《國家網(wǎng)絡(luò)安全檢查操作指南》中有關(guān)關(guān)鍵信息基礎(chǔ)設(shè)施的范圍界定和認(rèn)定步驟的規(guī)定。

盡管《網(wǎng)安法》對于關(guān)鍵信息基礎(chǔ)設(shè)施的范圍有不完全列舉，關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定的步驟仍不明確，在《關(guān)鍵信息基礎(chǔ)設(shè)施識別指南》尚未出臺的情況下，識別關(guān)鍵信息基礎(chǔ)設(shè)施仍有很大的不確定性。有學(xué)者認(rèn)為，大部分行政管理部門受行政教條、“條塊”管理的影響，實(shí)踐中易將本部門所管轄重要行業(yè)確定為關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)范圍，③顧偉，美國關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)與中國等級保護(hù)制度的比較研究及啟示，電子政務(wù)，2015年第7期（總第151期），第97頁。從而給關(guān)鍵信息技術(shù)設(shè)施的管理帶來了不確定性。而國外實(shí)行關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)的國家，如美國，則是通過行政法律文件明確保護(hù)范圍與重點(diǎn)。從克林頓政府時(shí)期的八類關(guān)鍵基礎(chǔ)設(shè)施，到小布什政府時(shí)期的十八類，以及奧巴馬政府時(shí)期的十六類，美國關(guān)鍵基礎(chǔ)設(shè)施都有明確的法定范疇。④同上。

其次，目前《網(wǎng)安法》并未明確與關(guān)鍵信息基礎(chǔ)設(shè)施的系統(tǒng)對接是否可能會(huì)被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的一部分。

由于《網(wǎng)安法》對于關(guān)鍵信息基礎(chǔ)設(shè)施范圍界定的不確定性，即使境外被并購方在交易后仍然保持獨(dú)立運(yùn)營，其與境內(nèi)并購方的關(guān)鍵信息基礎(chǔ)設(shè)施可能不可避免的基于運(yùn)營管理或者業(yè)務(wù)需要而系統(tǒng)對接，因此不排除有被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施組成部分的可能性。典型的情況是，境內(nèi)收購方企業(yè)在交易后為境外被收購方提供云儲存或者計(jì)算服務(wù)。如果境內(nèi)收購方企業(yè)的云服務(wù)平臺被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施，將業(yè)務(wù)系統(tǒng)與云服務(wù)平臺對接的被收購方的自身業(yè)務(wù)網(wǎng)絡(luò)是否被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施組成部分尚待明確。

除了業(yè)務(wù)平臺的對接，在實(shí)踐中，境外被收購方的郵件系統(tǒng)或財(cái)務(wù)運(yùn)營網(wǎng)絡(luò)可能與境內(nèi)收購方的關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)現(xiàn)對接，從而境外被收購方的郵件系統(tǒng)或財(cái)務(wù)運(yùn)營網(wǎng)絡(luò)是否會(huì)被認(rèn)定為境內(nèi)收購方的關(guān)鍵信息基礎(chǔ)設(shè)施組成部分也有待明確。

3.對重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行的網(wǎng)絡(luò)安全審查

依據(jù)《審查辦法》的第二條，關(guān)系國家安全的網(wǎng)絡(luò)和信息系統(tǒng)采購的重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)，應(yīng)當(dāng)經(jīng)過網(wǎng)絡(luò)安全審查。在進(jìn)行網(wǎng)絡(luò)安全審查的過程中，將重點(diǎn)審查網(wǎng)絡(luò)產(chǎn)品和服務(wù)的安全性、可控性，其中包括產(chǎn)品和服務(wù)提供者利用提供產(chǎn)品和服務(wù)的便利條件非法收集、存儲、處理、使用用戶相關(guān)信息的風(fēng)險(xiǎn)。①《審查辦法》，第四條第（三）項(xiàng)。因此，不能排除境外企業(yè)收集的外國公民個(gè)人信息在傳輸至境內(nèi)的過程中，被收購主體使用的網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者收集，并由網(wǎng)信辦同有關(guān)部門成立的網(wǎng)絡(luò)安全審查委員會(huì)在組織實(shí)施對重要網(wǎng)絡(luò)產(chǎn)品和服務(wù)進(jìn)行的網(wǎng)絡(luò)安全審查過程中獲悉。

4.為配合政府部門履行網(wǎng)絡(luò)安全或者其他公職義務(wù)提供協(xié)助和支持

如上所述，境外被收購主體系統(tǒng)中收集的外國公民個(gè)人信息數(shù)據(jù)如果與境內(nèi)收購方的網(wǎng)絡(luò)、關(guān)鍵信息基礎(chǔ)設(shè)施對接，可能依據(jù)《網(wǎng)安法》的規(guī)定受到一系列的監(jiān)管。而網(wǎng)絡(luò)運(yùn)營者對網(wǎng)信部門和有關(guān)部門依法實(shí)施的監(jiān)督檢查，應(yīng)當(dāng)予以配合。②《網(wǎng)安法》，第四十九條。由于具體監(jiān)管實(shí)施細(xì)則尚未發(fā)布，不排除網(wǎng)絡(luò)運(yùn)營者在監(jiān)督檢查中被要求披露收集的個(gè)人信息和重要數(shù)據(jù)的可能。

此外，根據(jù)《網(wǎng)安法》第二十八條，網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)為公安機(jī)關(guān)、國家安全機(jī)關(guān)依法維護(hù)國家安全和偵查犯罪的活動(dòng)提供技術(shù)支持和協(xié)助。實(shí)踐中不排除境外被收購主體收集的外國公民個(gè)人信息數(shù)據(jù)在上述活動(dòng)中向政府披露。

綜上所述，由于《網(wǎng)安法》和其他國家關(guān)于個(gè)人信息和數(shù)據(jù)保護(hù)規(guī)定的沖突，以及境外公民個(gè)人信息可能依據(jù)《網(wǎng)安法》被我國政府知悉，而在《網(wǎng)安法》實(shí)施細(xì)則尚未完全到位的情況下，海外并購可能會(huì)因?yàn)榫W(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的合規(guī)問題受到其他司法轄區(qū)的質(zhì)疑。

二、《網(wǎng)安法》對于境外并購目的和交易后運(yùn)營成本的影響

對于中國企業(yè)境外并購而言，其目的多為實(shí)現(xiàn)境外業(yè)務(wù)的整合和拓展。為了整合和拓展業(yè)務(wù)，境外被并購主體收集和產(chǎn)生的數(shù)據(jù)可能被傳回境內(nèi)總部進(jìn)行處理和分析，并進(jìn)一步傳回境外被并購主體指導(dǎo)商業(yè)行為，因此數(shù)據(jù)的跨境傳輸可能成為中國企業(yè)“走出國門”后的常態(tài)。

然而，《網(wǎng)安法》以及《安全評估辦法（征求意見稿）》對網(wǎng)絡(luò)運(yùn)營者的數(shù)據(jù)跨境提出了安全評估的前置條件，可能增加了中國企業(yè)境外并購后的經(jīng)營成本，并且影響境外并購的目的。

第一、對于數(shù)據(jù)跨境需普遍征得個(gè)人信息主體同意的要求

依據(jù)《安全評估辦法（征求意見稿）》第四條的規(guī)定，個(gè)人信息出境，應(yīng)向個(gè)人信息主體說明數(shù)據(jù)出境的目的、范圍、內(nèi)容、接收方及接收方所在的國家或地區(qū)，并經(jīng)其同意。然而，在實(shí)際的數(shù)據(jù)跨境過程中，具體的個(gè)人信息主體可能難以被識別且被復(fù)原。即使在此種情況下，數(shù)據(jù)出境也需獲得相關(guān)個(gè)人主體同意，可能對數(shù)據(jù)跨境造成實(shí)質(zhì)性的障礙。在之后的《數(shù)據(jù)出境安全評估辦法》修改稿中，是否會(huì)列舉數(shù)據(jù)跨境征得個(gè)人信息主體同意的例外情況值得我們關(guān)注。

第二、主管部門評估的適用標(biāo)準(zhǔn)和審查時(shí)限

《安全評估辦法（征求意見稿）》設(shè)定的主管部門評估標(biāo)準(zhǔn)依然存在不確定性。除了以上所述《安全評估辦法（征求意見稿）》對于本地?cái)?shù)據(jù)存儲和數(shù)據(jù)跨境傳輸規(guī)制主體的范圍有所擴(kuò)大，數(shù)據(jù)跨境主管部門評估的適用標(biāo)準(zhǔn)也可能存在門檻過低的問題。

一方面，依據(jù)《安全評估辦法（征求意見稿）》要求，出境數(shù)據(jù)存在以下情況之一的，網(wǎng)絡(luò)運(yùn)營者應(yīng)報(bào)請行業(yè)主管或監(jiān)管部門組織安全評估：（一）含有或累計(jì)含有50萬人以上的個(gè)人信息；（二）數(shù)據(jù)量超過1000GB。對于社交網(wǎng)絡(luò)行業(yè)的數(shù)據(jù)跨境傳輸很容易滿足第（一）項(xiàng)“含有或累計(jì)含有50萬人以上的個(gè)人信息”的要求，而對于電影數(shù)碼等行業(yè)的數(shù)據(jù)跨境傳輸很容易滿足第（二）項(xiàng)“數(shù)據(jù)量超過1000GB”的要求。因此，目前數(shù)據(jù)跨境主管部門評估的適用標(biāo)準(zhǔn)可能門檻過低，導(dǎo)致網(wǎng)絡(luò)運(yùn)營者需投入成本為日常運(yùn)營的跨境傳輸申請主管部門評估。

另一方面，《安全評估辦法（征求意見稿）》規(guī)定了主管部門評估的基本時(shí)限，要求行業(yè)主管或監(jiān)管部門組織的安全評估，應(yīng)當(dāng)于六十個(gè)工作日內(nèi)完成。由于評估過程中數(shù)據(jù)跨境傳輸是否需要停止并未明確規(guī)定，尤其是對于數(shù)據(jù)處理和傳輸有時(shí)效性要求的互聯(lián)網(wǎng)企業(yè)，其日常業(yè)務(wù)運(yùn)營可能因?yàn)樽铋L可達(dá)六十天的主管部門評估而受到阻礙。

第三、每年至少進(jìn)行一次安全評估和重新進(jìn)行安全評估的安排

除了安全評估，網(wǎng)絡(luò)運(yùn)營者網(wǎng)絡(luò)運(yùn)營者應(yīng)根據(jù)業(yè)務(wù)發(fā)展和網(wǎng)絡(luò)運(yùn)營情況，每年對數(shù)據(jù)出境至少進(jìn)行一次安全評估，及時(shí)將評估情況報(bào)行業(yè)主管或監(jiān)管部門。安全評估的硬性要求將增加并購境外企業(yè)后的運(yùn)營成本。

此外，當(dāng)數(shù)據(jù)接收方出現(xiàn)變更，數(shù)據(jù)出境目的、范圍、數(shù)量、類型等發(fā)生較大變化，數(shù)據(jù)接收方或出境數(shù)據(jù)發(fā)生重大安全事件時(shí)，應(yīng)及時(shí)重新進(jìn)行安全評估。①《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，第十二條。根據(jù)要求，未來并購境外企業(yè)后，數(shù)據(jù)傳輸可能需要采用數(shù)據(jù)歸類，分類統(tǒng)籌，定點(diǎn)管理等方式來避免因?yàn)橹匦略u估帶來的合規(guī)、評估時(shí)間等方面的成本。

第四、禁止數(shù)據(jù)跨境的情形

《安全評估辦法（征求意見稿）》規(guī)定，存在以下情況之一的，數(shù)據(jù)不得出境：1.個(gè)人信息出境未經(jīng)個(gè)人信息主體同意，或可能侵害個(gè)人利益；2.數(shù)據(jù)出境給國家政治、經(jīng)濟(jì)、科技、國防等安全帶來風(fēng)險(xiǎn)，可能影響國家安全、損害社會(huì)公共利益；3.其他經(jīng)國家網(wǎng)信部門、公安部門、安全部門等有關(guān)部門認(rèn)定不能出境的。②《網(wǎng)安法》，第十一條。

然而，從文本本身看來，這三類數(shù)據(jù)的認(rèn)定標(biāo)準(zhǔn)仍較為寬泛。首先，就“個(gè)人信息”而言，在出境環(huán)節(jié)強(qiáng)調(diào)法定的知情同意原則確有必要，但現(xiàn)實(shí)中將難以準(zhǔn)確判斷何種數(shù)據(jù)出境行為具不具有“侵害個(gè)人利益”的可能；其次，以“可能影響國家安全、損害社會(huì)公共利益”為標(biāo)準(zhǔn)或在兜底條款中引入“有關(guān)部門”的自由裁量權(quán)，將會(huì)在一定程度上增加了判斷標(biāo)準(zhǔn)的不確定性，同時(shí)也可能影響本條的可操作性，讓網(wǎng)絡(luò)運(yùn)營者難以合理預(yù)期禁止數(shù)據(jù)跨境的情形。

綜上所述，中國境內(nèi)企業(yè)并購境外企業(yè)需要考慮到數(shù)據(jù)跨境傳輸?shù)囊?，評估其可能帶來的關(guān)于合規(guī)、評估時(shí)間等方面的成本。此外，由于數(shù)據(jù)跨境傳輸?shù)南拗?，中國境?nèi)企業(yè)還需要考慮交易后數(shù)據(jù)跨境的統(tǒng)籌安排。

三、關(guān)于企業(yè)合規(guī)的建議

在《網(wǎng)安法》配套細(xì)則尚未完全出臺的情況下，對于關(guān)鍵信息基礎(chǔ)設(shè)施的范圍認(rèn)定等問題尚不確定，為了減少交易來自其他司法轄區(qū)審查機(jī)構(gòu)的質(zhì)疑，也為了準(zhǔn)確評估海外并購目的和成本，中國企業(yè)一方面需要考慮采取有效措施，例如與被并購的境外企業(yè)之間建立防火墻等多種方式，打消其他司法轄區(qū)審查機(jī)構(gòu)的疑慮，促使交易順利進(jìn)行；同時(shí)也需要考慮目前《網(wǎng)安法》對于數(shù)據(jù)跨境傳輸?shù)确矫娴囊罂赡軐?shí)現(xiàn)交易目的和成本交易后企業(yè)運(yùn)營成本的影響，從企業(yè)內(nèi)部數(shù)據(jù)流轉(zhuǎn)、平臺管理等方面進(jìn)行提前準(zhǔn)備。

另外《網(wǎng)安法》的配套實(shí)施細(xì)則包括諸多行業(yè)的技術(shù)標(biāo)準(zhǔn)正陸續(xù)發(fā)布，對于《網(wǎng)安法》的落地具有重要意義。企業(yè)需密切關(guān)注這些實(shí)施細(xì)則的發(fā)布，并主動(dòng)與行業(yè)監(jiān)管機(jī)構(gòu)以及細(xì)則發(fā)布機(jī)構(gòu)溝通，從而了解符合《網(wǎng)安法》規(guī)定的最佳行業(yè)操作指南。特別對于可能被認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者，或者將被關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營者并購的企業(yè)，需關(guān)注相關(guān)法律法規(guī)及政策的發(fā)展，尤其是本文中提到的問題在之后的實(shí)施細(xì)則中是否已得到進(jìn)一步解決或說明，從而確保交易后企業(yè)日常運(yùn)營中的合規(guī)性。

（責(zé)任編輯：鐘宇歡）

Cybersecurity and Data Compliance of Outbound M&A for Chinese Enterprises in the Context of “One Belt One Road” Initiative

NING Xuan-feng, WU Han, LI Yuan-shan

Along with the development of "One Belt One Road" initiative, outbound M&A activities by Chinese enterprises have become increasingly frequent. This article summarizes key concerns of the foreign governments from the perspective of cybersecurity and data compliance in their review process of these M&A transactions. It also provides scenarios where Chinese government may get access to personal information or important data of foreign nationals in the context of China’s Cybersecurity Law. Meanwhile, the article also analyzes the impact of the Cybersecurity Law on the realization of the transactional purpose of Chinese enterprises’ outbound M&A activities, and the post-transaction operational costs incurred on the Chinese enterprises. Finally, the article provides some practical advice for Chinese enterprises on how to strike a balance between cybersecurity compliance and the transactional purpose in the outbound M&A activities.

"One Belt One Road" Initiative, outbound M&A, cybersecurity and data compliance

F49

：A

：1001-4225（2017）07-0112-07

注：本文屬非職務(wù)作品，對報(bào)告的相關(guān)評價(jià)不代表作者所在機(jī)構(gòu)的意見。