□ 文 王諾方

0 引言

國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》自2022年2月15日起施行，重點(diǎn)放在數(shù)據(jù)“出境”和國(guó)外上市的關(guān)鍵信息基礎(chǔ)設(shè)施（“關(guān)基”）所掌握數(shù)據(jù)“被國(guó)外政府影響、控制、惡意利用”的風(fēng)險(xiǎn)，監(jiān)管對(duì)象直指赴美上市中概股暗含的國(guó)家數(shù)據(jù)及網(wǎng)絡(luò)安全問題。數(shù)據(jù)作為企業(yè)重要發(fā)展資源，其顯著特征是以大量的個(gè)人信息和社會(huì)交往信息為積累基礎(chǔ)，形成數(shù)據(jù)分析與算法的優(yōu)勢(shì)。然而，隨著企業(yè)所攜大量數(shù)據(jù)的重要性程度加深，其赴境外上市的行為也自然關(guān)涉國(guó)家數(shù)據(jù)安全和數(shù)據(jù)跨境問題。

1 中概股數(shù)據(jù)資產(chǎn)應(yīng)用與國(guó)家安全風(fēng)險(xiǎn)

本文選取從2020年1月1日到2021年6月30日止，赴美上市的共71家中概股企業(yè)為研究對(duì)象，其中68家中概股均為在開曼或英屬維京群島注冊(cè)、以小紅籌模式境外上市的離岸公司。

首先，對(duì)數(shù)據(jù)應(yīng)用型中概股進(jìn)行篩選，包含擁有數(shù)據(jù)資源和使用數(shù)據(jù)統(tǒng)合或分析支持經(jīng)營(yíng)共54家。需要強(qiáng)調(diào)的是，任何企業(yè)經(jīng)營(yíng)均可能形成各類業(yè)務(wù)、財(cái)務(wù)、管理數(shù)據(jù)并加以分析運(yùn)用，但此處數(shù)據(jù)應(yīng)用型企業(yè)特指在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》規(guī)制內(nèi)，形成于大數(shù)據(jù)時(shí)代的，包含平臺(tái)用戶信息、人口信息、地理信息等關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)。同時(shí)，區(qū)分了企業(yè)技術(shù)支持與數(shù)據(jù)支持的差別，前者例如以實(shí)業(yè)產(chǎn)品/服務(wù)制造銷售、人工智能研發(fā)、服務(wù)器管理等為主營(yíng)業(yè)務(wù)的企業(yè)，所掌握的數(shù)據(jù)多為商業(yè)及技術(shù)秘密，不在本文關(guān)注范圍內(nèi)，后者則為利用數(shù)據(jù)收集與積累進(jìn)行分析計(jì)算，并將之作為成果應(yīng)用于提供服務(wù)，除了需要遵守個(gè)人信息隱私保護(hù)的規(guī)制外，尚有考慮國(guó)家安全的必要性。

其中，“用戶數(shù)據(jù)”包括平臺(tái)注冊(cè)用戶的個(gè)人財(cái)務(wù)信息、訂單信息、住房信息、健康信息、醫(yī)療記錄、生物識(shí)別信息、血液樣本信息等來自個(gè)體的數(shù)據(jù)?！俺?00萬(wàn)用戶數(shù)據(jù)”根據(jù)企業(yè)披露文件中截止最新時(shí)間的累積用戶數(shù)量計(jì)算?！爸匾獢?shù)據(jù)”與“其他數(shù)據(jù)”的劃分標(biāo)準(zhǔn)源于對(duì)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)《信息安全技術(shù)數(shù)據(jù)出境安全評(píng)估指南（征求意見稿）》對(duì)金融、人口健康、電子商務(wù)、交通運(yùn)輸業(yè)的企業(yè)所掌握的歸類為重要數(shù)據(jù)，例如保險(xiǎn)、地理、腫瘤基因數(shù)據(jù)等。在企業(yè)擁有數(shù)據(jù)資源的基礎(chǔ)上，細(xì)分依靠數(shù)據(jù)收集與分析進(jìn)行經(jīng)營(yíng)的企業(yè)和數(shù)據(jù)處理成為核心技術(shù)產(chǎn)生競(jìng)爭(zhēng)優(yōu)勢(shì)的企業(yè)，兩者的區(qū)別在于對(duì)數(shù)據(jù)要素利用程度的不同。如表1。

表1 2020、2021年上市中概股企業(yè)數(shù)據(jù)應(yīng)用情況

可以發(fā)現(xiàn)，近兩年內(nèi)赴美上市中概股中涉及數(shù)據(jù)資產(chǎn)的比例高達(dá)79%，超百萬(wàn)用戶數(shù)據(jù)的運(yùn)營(yíng)比例達(dá)37%，47%的企業(yè)均使用數(shù)據(jù)資源驅(qū)動(dòng)技術(shù)與經(jīng)營(yíng)，其中81%的企業(yè)將數(shù)據(jù)分析與測(cè)算列為企業(yè)核心競(jìng)爭(zhēng)優(yōu)勢(shì)之一。而且，根據(jù)企業(yè)披露，至少有87%的數(shù)據(jù)應(yīng)用型企業(yè)的數(shù)據(jù)均主要來源于境內(nèi)。如圖1。

圖1 68家中概股的各行業(yè)占比

根據(jù)披露文件中關(guān)于風(fēng)險(xiǎn)披露和法律法規(guī)列示，僅15%數(shù)據(jù)應(yīng)用型企業(yè)在披露《網(wǎng)絡(luò)安全法》的同時(shí)提示了國(guó)家對(duì)關(guān)基的監(jiān)管要求，僅有9%的企業(yè)全面揭示了關(guān)基運(yùn)營(yíng)者的數(shù)據(jù)跨境風(fēng)險(xiǎn)和對(duì)境內(nèi)數(shù)據(jù)本土化的規(guī)制。如表2。

表2 數(shù)據(jù)應(yīng)用型中概股的數(shù)據(jù)風(fēng)險(xiǎn)披露情況

隨著中概股企業(yè)對(duì)數(shù)據(jù)資產(chǎn)應(yīng)用的程度不斷加深，企業(yè)經(jīng)營(yíng)對(duì)大數(shù)據(jù)積累下的分析計(jì)算依賴漸強(qiáng)，數(shù)據(jù)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要性也正在凸顯。理論上，中概股境外上市并不涉及直接的數(shù)據(jù)出境行為，其主要營(yíng)業(yè)地和總部仍設(shè)于境內(nèi)，收集并處理數(shù)據(jù)的行為也依靠境內(nèi)服務(wù)器進(jìn)行。但是，中概股的數(shù)據(jù)風(fēng)險(xiǎn)恰不在于數(shù)據(jù)本身的直接轉(zhuǎn)移，而在于其作為離岸注冊(cè)公司在境外上市后處于別國(guó)證券監(jiān)管之下存在的安全隱患，如在美國(guó)《澄清域外合法使用數(shù)據(jù)法案》即CLOUD法案賦予美國(guó)監(jiān)管主體的域外資產(chǎn)的審查資格的背景下，數(shù)據(jù)“本地化”的失靈。中概股迫于別國(guó)監(jiān)管壓力仍可能在數(shù)據(jù)與服務(wù)器不直接轉(zhuǎn)移的前提下，向境外披露審計(jì)底稿、經(jīng)營(yíng)信息和數(shù)據(jù)資產(chǎn)。

根據(jù)2015年7月1日通過的《國(guó)家安全法》第25條，國(guó)家對(duì)關(guān)基和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)擁有主權(quán)。該概念來源于數(shù)據(jù)是國(guó)家，人、事、物在網(wǎng)絡(luò)空間中的記錄，應(yīng)受領(lǐng)土主權(quán)管轄的邏輯，系主權(quán)國(guó)家最高權(quán)力在本國(guó)數(shù)據(jù)領(lǐng)域的外化，協(xié)調(diào)數(shù)據(jù)跨境流動(dòng)需求和公共利益安全管控。這使得中概股企業(yè)持有的國(guó)家級(jí)基礎(chǔ)及重要數(shù)據(jù)與國(guó)家安全、公共利益和社會(huì)穩(wěn)定息息相關(guān)，而不僅僅局限于個(gè)人作為信息產(chǎn)生主體的隱私保護(hù)要求，2021年6月10日通過的《數(shù)據(jù)安全法》更是直接將數(shù)據(jù)安全提升至國(guó)家安全層面。

2 域內(nèi)外數(shù)據(jù)跨境流動(dòng)規(guī)制分析

2.1 “隱私導(dǎo)向”與“市場(chǎng)導(dǎo)向”的規(guī)制模式

歐盟于1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》（EU Directive 95/46 EC）（以下簡(jiǎn)稱《指令》）提出了數(shù)據(jù)向第三國(guó)流動(dòng)的著名認(rèn)定標(biāo)準(zhǔn)——“充分保護(hù)”原則，2018年《通用數(shù)據(jù)保護(hù)條例》（以下簡(jiǎn)稱GDPR）將這一標(biāo)準(zhǔn)下的管轄權(quán)擴(kuò)大到向歐盟公民提供服務(wù)或在歐盟市場(chǎng)內(nèi)經(jīng)營(yíng)的公司。這代表了對(duì)于數(shù)據(jù)跨境問題基本采取了“隱私導(dǎo)向”的規(guī)制模式。但是，中概股視閾下的數(shù)據(jù)安全問題并不僅僅來自于對(duì)個(gè)人隱私信息的擔(dān)憂，個(gè)人數(shù)據(jù)“充分保護(hù)”標(biāo)準(zhǔn)的要求可以解決數(shù)據(jù)直接跨境中的個(gè)人權(quán)益問題，卻無法回應(yīng)我國(guó)對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”和國(guó)家數(shù)據(jù)安全的關(guān)切。

反觀美國(guó)，借2004年亞太經(jīng)合組織APEC的《隱私保護(hù)框架》初步確立了促進(jìn)跨境數(shù)據(jù)自由流動(dòng)的主旨。2013年通過的《跨境隱私規(guī)則體系》引入隱私執(zhí)法機(jī)構(gòu)和問責(zé)制，形成建立在國(guó)際條約上有較強(qiáng)影響力的數(shù)據(jù)自由流動(dòng)的市場(chǎng)自律模式。而其與歐盟間的數(shù)據(jù)跨境協(xié)定《安全港協(xié)議》和《隱私盾協(xié)議》卻二度無效。究其根本，不僅僅是因?yàn)閮烧咴跀?shù)據(jù)保護(hù)理念和體系上的差異，更因美國(guó)不斷擴(kuò)張的“國(guó)家安全”霸權(quán)，借由企業(yè)的全球化優(yōu)勢(shì)與歐盟間形成實(shí)質(zhì)單向的數(shù)據(jù)跨境流動(dòng)，進(jìn)而影響歐盟的“技術(shù)主權(quán)”。

對(duì)比美國(guó)數(shù)據(jù)跨境的自由度、市場(chǎng)導(dǎo)向的行業(yè)自律模式和對(duì)企業(yè)組織的問責(zé)制執(zhí)法路徑，我國(guó)現(xiàn)行立法中對(duì)數(shù)據(jù)跨境呈現(xiàn)出嚴(yán)格限制。但必須澄清的是，我國(guó)并未否定數(shù)據(jù)跨境，而諸如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的數(shù)據(jù)本地化要求和《證券法》對(duì)外禁止提供資料要求，是在“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”概念上提出的，針對(duì)的是境外注冊(cè)并上市的大型中概股企業(yè)。換角度看，美國(guó)數(shù)據(jù)自由市場(chǎng)化的前提也正是其問責(zé)制和監(jiān)管管轄的強(qiáng)力和有效性，然而中概股受制于其自身的VIE結(jié)構(gòu)，實(shí)際脫離了營(yíng)業(yè)地國(guó)家的法律管轄，是我國(guó)無法效仿美式做法的直接理由，也是我國(guó)目前正積極建立安全審查執(zhí)行權(quán)的直接原因。

2.2 數(shù)據(jù)主權(quán)下的國(guó)家安全審查路徑

數(shù)據(jù)出境方面，2017年和2019年的個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估二意見稿，正式提出了安全評(píng)估辦法，并以“50萬(wàn)人以上個(gè)人信息”“數(shù)據(jù)量超過1000GB”“核設(shè)施、化學(xué)生物、國(guó)防軍工、人口健康等領(lǐng)域數(shù)據(jù)”“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供”等作為觸發(fā)安全評(píng)估的條件。同時(shí)，對(duì)數(shù)據(jù)跨境可能給“國(guó)家政治、經(jīng)濟(jì)、科技、國(guó)防”安全帶來風(fēng)險(xiǎn)，影響“國(guó)家安全、社會(huì)公共利益”的情形作為跨境限制。

此次網(wǎng)絡(luò)安全審查則來自于由《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》形成的規(guī)制框架。根據(jù)法規(guī)，關(guān)鍵信息基礎(chǔ)設(shè)施指“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益”的重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，具體包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域。以上運(yùn)營(yíng)者負(fù)有境內(nèi)收集和產(chǎn)生的個(gè)人信息等重要數(shù)據(jù)的本地化存儲(chǔ)和配合網(wǎng)絡(luò)安全審查的義務(wù)。其中，針對(duì)“用戶數(shù)量超100萬(wàn)”的運(yùn)營(yíng)者“赴國(guó)外上市”事項(xiàng)，增設(shè)網(wǎng)絡(luò)安全審查。以樣本數(shù)據(jù)分析，符合這一特征的中概股達(dá)37%，而“國(guó)外上市”表述可理解為赴港上市將不屬于此條規(guī)制范圍。如表3。

表3 我國(guó)中概股數(shù)據(jù)跨境相關(guān)法律規(guī)定框架

如果將“良好的數(shù)據(jù)保護(hù)”“跨境數(shù)據(jù)自由流動(dòng)”和“數(shù)據(jù)保護(hù)自主權(quán)”以三元悖論的架構(gòu)進(jìn)行分析，我國(guó)目前數(shù)據(jù)跨境監(jiān)管的態(tài)度正處在保證數(shù)據(jù)保護(hù)自主權(quán)的基礎(chǔ)上，在數(shù)據(jù)保護(hù)和自由流動(dòng)之間，亦即歐盟數(shù)據(jù)跨境的充分保護(hù)和美國(guó)的自由流動(dòng)之間?；谖覈?guó)融數(shù)據(jù)安全、經(jīng)濟(jì)安全、文化安全、資源安全等一體的“綜合安全觀”，《數(shù)據(jù)安全法》明確了“中央國(guó)家安全領(lǐng)導(dǎo)機(jī)構(gòu)”對(duì)數(shù)據(jù)安全事宜的主管地位，還明確了“總體國(guó)家安全觀”的統(tǒng)領(lǐng)作用。

3 中概股數(shù)據(jù)跨境風(fēng)險(xiǎn)規(guī)制路徑

3.1 中概股域外管轄權(quán)基礎(chǔ)

傳統(tǒng)國(guó)際法將屬地管轄作為原則，屬人管轄權(quán)、保護(hù)管轄權(quán)和普遍管轄權(quán)均歸為“域外管轄權(quán)”。歐盟便是在保護(hù)、屬人、屬地管轄權(quán)混合的法理基礎(chǔ)上確立了數(shù)據(jù)跨境規(guī)制的域外管轄權(quán)，GDPR規(guī)定對(duì)在其境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理行為都需要受到該法管轄，即遵循“效果原則”對(duì)任何處理歐盟居民信息并提供服務(wù)的企業(yè)施加個(gè)人數(shù)據(jù)保護(hù)法律責(zé)任。同樣的，美國(guó)CLOUD法案授權(quán)美國(guó)監(jiān)管、執(zhí)法、司法部門通過國(guó)內(nèi)法律程序調(diào)取美國(guó)公司儲(chǔ)存在境外的數(shù)據(jù)。以上均為國(guó)際上數(shù)據(jù)立法中業(yè)已確立的域外管轄權(quán)，為的是在數(shù)據(jù)治理上確保不輸于別國(guó)的話語(yǔ)權(quán)。

我國(guó)對(duì)中概股數(shù)據(jù)跨境風(fēng)險(xiǎn)問題在國(guó)家安全審查的基礎(chǔ)上，可能的構(gòu)建路徑是以《證券法》第2條第4款和第224條為基礎(chǔ)的保護(hù)管轄?！蹲C券法》規(guī)定國(guó)家對(duì)“擾亂境內(nèi)市場(chǎng)秩序，損害境內(nèi)投資者合法權(quán)益”的境外證券發(fā)行和交易活動(dòng)具有管轄權(quán)，結(jié)合條款文義亦包含境外發(fā)行人股票、存托憑證在境外市場(chǎng)的上市、發(fā)行行為。盡管中概股對(duì)數(shù)據(jù)資產(chǎn)的使用處理不在證券法的管轄范圍內(nèi)，但其赴國(guó)外的上市行為卻應(yīng)當(dāng)屬于《證券法》規(guī)范的證券市場(chǎng)活動(dòng)。在境內(nèi)市場(chǎng)秩序或投資者利益的“實(shí)質(zhì)性”影響認(rèn)定上，由于中概股企業(yè)大量經(jīng)營(yíng)業(yè)務(wù)均在境內(nèi)進(jìn)行，其在境外的信息披露與受到的審查均將直接影響到境內(nèi)業(yè)務(wù)的開展，《證券法》亦未將市場(chǎng)秩序限制于證券市場(chǎng)，仍存在合理解釋的空間。

3.2 域外管轄的行使標(biāo)準(zhǔn)

結(jié)合中概股企業(yè)的數(shù)據(jù)持有特征，需要在細(xì)節(jié)制定時(shí)特別注意該類組織的商業(yè)性質(zhì)、經(jīng)營(yíng)模式和發(fā)展方向。證券法對(duì)中概股的管轄權(quán)的介入標(biāo)準(zhǔn)可借由安全審查進(jìn)行，但是如此一來，以靜態(tài)的數(shù)據(jù)持有量、所持?jǐn)?shù)據(jù)重要性和企業(yè)社會(huì)身份的關(guān)鍵程度來劃歸的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者也將是靜態(tài)的。然而，隨著企業(yè)業(yè)務(wù)的擴(kuò)張和發(fā)展，其重要程度亦在變化。只有搭建柔性靈活的安全審查觸發(fā)標(biāo)準(zhǔn)，才足以充分關(guān)注到企業(yè)成為關(guān)基運(yùn)營(yíng)者具有過程性。

一方面，《網(wǎng)絡(luò)安全審查辦法》修訂征求意見稿中新增要求“超過100萬(wàn)用戶個(gè)人信息”的持有企業(yè)赴國(guó)外上市需要進(jìn)行審查，以上市前過百萬(wàn)用戶作為觸發(fā)審查的臨界點(diǎn)。不禁讓人疑惑在上市前未到百萬(wàn)，卻在上市后進(jìn)一步發(fā)展擁有百萬(wàn)用戶的企業(yè)是否最終應(yīng)該與前者具有一樣的重要性判斷。因此，用戶數(shù)量?jī)H應(yīng)作為安全審查必要性的考慮因素之一，最起碼需要從企業(yè)自有的業(yè)務(wù)模式和經(jīng)營(yíng)目標(biāo)預(yù)測(cè)其發(fā)展近況，對(duì)其所經(jīng)營(yíng)的內(nèi)容進(jìn)行實(shí)質(zhì)審查。

另一方面，用戶數(shù)量的計(jì)算宜以企業(yè)開展業(yè)務(wù)收集數(shù)據(jù)時(shí)的來源方，信息主體數(shù)量為準(zhǔn)。不以“客戶”和“最終用戶”進(jìn)行是否穿透的劃分，有助于標(biāo)準(zhǔn)統(tǒng)一，否則往往會(huì)產(chǎn)生在少量直接客戶和大量最終用戶數(shù)據(jù)接觸間難以抉擇和評(píng)判的困境。行業(yè)劃分上，現(xiàn)有關(guān)基運(yùn)營(yíng)者的界定尚較籠統(tǒng)，初步判斷樣本中概股中約有70%符合關(guān)基的行業(yè)判斷。未來是否需要以及如何限縮定義建議通過制定《數(shù)據(jù)安全法》中“重要數(shù)據(jù)”標(biāo)準(zhǔn)或行業(yè)內(nèi)部識(shí)別細(xì)則處理。

而非關(guān)基運(yùn)營(yíng)的數(shù)據(jù)處理者，同樣需要細(xì)化數(shù)據(jù)處理行為的國(guó)家安全審查，以對(duì)邊界線處的企業(yè)有所重視。例如對(duì)以大數(shù)據(jù)分析挖掘?yàn)楹诵臉I(yè)務(wù)技術(shù)的企業(yè)加強(qiáng)監(jiān)管，其隨著數(shù)據(jù)量的累積，亦可能成為潛在的關(guān)基運(yùn)營(yíng)者。小紅籌模式企業(yè)應(yīng)統(tǒng)一納入基本審查范圍，并以實(shí)際控制人的國(guó)別身份和國(guó)內(nèi)實(shí)體在總資產(chǎn)、營(yíng)業(yè)收入等所占比例判斷。同時(shí)，除了區(qū)分關(guān)基與非關(guān)基并施加不同的監(jiān)管力度外，對(duì)于國(guó)家級(jí)核心或重要數(shù)據(jù)列為外商投資負(fù)面清單也是可行的舉措之一。

4 結(jié)束語(yǔ)

中概股的監(jiān)管空隙由來已久，其中既有國(guó)家政策鼓勵(lì)企業(yè)創(chuàng)新和全球化發(fā)展的主動(dòng)放權(quán)，也有監(jiān)管資源無暇顧及導(dǎo)致對(duì)境外上市中國(guó)背景公司監(jiān)管不足的被動(dòng)擱置。準(zhǔn)確了解中概股企業(yè)的發(fā)展新況是有效監(jiān)管的前提，隨著數(shù)據(jù)資源在全球經(jīng)營(yíng)企業(yè)中的重要性日漸顯著，確立符合我國(guó)國(guó)情的跨境風(fēng)險(xiǎn)管理與規(guī)范是現(xiàn)階段數(shù)據(jù)安全立法的首要任務(wù)。當(dāng)下相關(guān)法規(guī)相繼出臺(tái)，更不可忽視其規(guī)則制定的細(xì)致性，并堅(jiān)實(shí)其執(zhí)法權(quán)來源的基礎(chǔ)理論。