近年来, 全球科技竞争与地缘博弈的加剧, 使得中国企业境外上市涉及的网络安全和数据合规问题被越发重视, 在我们梳理的近两年来百余家中国企业境外上市的证监会备案反馈中, 网络安全和数据合规问题均为高频问题, 对于涉及互联网或大量C端用户数据的行业, 则几乎是监管的必问问题。
从2020年《网络安全审查办法》将关键信息基础设施运营者(CIIO)纳入审查范围, 到2023年《境内企业境外发行证券和上市管理试行办法》确立备案制下的网络安全、数据安全审查义务, 再到2025年《网络数据安全管理条例》构建覆盖数据全生命周期的分类、分级保护体系, 监管机构逐步搭建了一张贯穿企业上市前备案、上市中审查、上市后监管的全链条数据合规网络。
对于拟境外上市的企业而言, 这一监管演进并非简单的程序性要求, 由于数据就像血液流淌在企业经营的每一个角落, 一旦这方面留下合规隐患, 往往牵一发而动全身, 轻则延滞企业境外上市进程, 重则可能像某些互联网平台企业一样锁死企业未来资本运作空间, 因此其重要性已无需赘言。
更值得关注的是, 当下, 监管逻辑已从“被动响应”转向“主动防控”——2025年生效的《网络数据安全管理条例》不仅要求企业建立覆盖数据采集、存储、使用的全流程防护体系, 更赋予监管部门对企业境外上市后数据活动的动态监控权。这意味着, 企业需在上市前完成数据资产盘点、供应链安全评估、数据跨境传输路径设计等系统性工程, 传统“上市时应付、上市后补救”的思路将会为企业埋下隐患。
本系列文章分为三篇:
(一)企业境外上市的网络安全和数据合规监管体系及其演变;
(二)企业境外上市的网络安全审查及数据出境合规;
(三)企业境外上市之个人信息保护、APP合规与内控体系建设。
本篇作为第一篇, 旨在系统性地梳理企业境外上市的网络安全和数据合规监管架构, 同时总结其演变历程, 以期为本系列文章起到提纲挈领之用。
一、网络安全与数据合规体系一览
针对企业境外上市过程中涉及的网络安全和数据合规事项, 我们结合项目实践, 将主要法律、法规和规范性文件等梳理如下:
除上述主要规定外, 还有部分推荐性的国家标准和协会指南, 这些标准或指南虽不具有强制约束力, 但在实践操作中能很好地弥补相关专业概念的定义空白, 具有很强的实务参考意义, 主要包括:
- 《信息安全技术-个人信息安全规范》(GB/T 35273-2020)
- 《信息安全技术-移动互联网应用程序(App)收集个人信息基本要求》(GB/T 41391-2022)
- 《App违法违规收集使用个人信息自评估指南》
- 《网络安全标准实践指南-移动互联网应用程序(App)收集使用个人信息自评估指南》
- 《移动互联网应用程序(App)个人信息保护常见问题及处置指南》
- 《互联网个人信息安全保护指南》
- 《信息安全技术-网络安全等级保护定级指南》(GB/T 22240-2020)
- 《信息安全技术-网络安全等级保护基本要求》(GB/T 22239-2019)
- 《数据安全技术数据分类分级规则》(GB/T 43697-2024)
- 《网络安全标准实践指南—网络数据分类分级指引》等。
二、监管规则的建立与演变
(一)制度奠基阶段(2020-2022):安全审查框架初建
尽管《中华人民共和国网络安全法》、《中华人民共和国数据安全法》两部关于网络和数据安全的基本法律已于2017年及2019年相继问世, 但彼时并未立即出台相应的配套规章。直到2020年4月, 国家网信办等12部门联合发布《网络安全审查办法》(2020年版), 将网络安全审查的具体规范予以明确, 首次将关键信息基础设施运营者(CIIO)采购网络产品和服务纳入审查范围, 要求预判国家安全风险。《网络安全审查办法》于2022年2月被进一步修订后, 新增网络平台运营者数据处理活动的审查情形, 明确掌握超100万用户个人信息的企业赴国外上市需申报安全审查, 标志着数据安全成为境外上市监管的核心要素之一。实际操作中, 此阶段监管聚焦于基础设施和头部平台, 并未覆盖中小型企业的境外上市场景。
(二)体系完善阶段(2023-2024):备案制与分类监管
2023年3月, 证监会发布《境内企业境外发行证券和上市管理试行办法》, 确立境外上市备案制, 同时明确涉及网络安全、数据安全等领域的需履行安全审查程序。2024年3月, 《促进和规范数据跨境流动规定》出台, 细化数据出境豁免情形(如国际贸易、学术合作等场景), 并建立自贸区负面清单机制, 允许特定区域企业豁免部分安全评估义务。此阶段政策通过“备案+审查”双轨制, 平衡开放与安全, 但执行中仍存在一系列标准和定义不清晰的问题。
(三)全面强化阶段(2025):数据主权与动态监管
2025年1月施行的《网络数据安全管理条例》成为网络数据安全监管的一大里程碑, 主要体现在以下三个方面:
1、分类分级保护:将数据分为一般数据、重要数据、核心数据三级, 要求企业识别、申报重要数据, 重要数据处理者需设立安全负责人机构;
2、跨境流动机制:明确个人信息出境的允许情形, 包括“通过国家网信部门组织的数据出境安全评估、按照国家网信部门的规定经专业机构进行个人信息保护认证、符合国家网信部门制定的关于个人信息出境标准合同的规定”等。
3、动态监管权:赋予网信部门对境外上市后数据活动的持续监督权, 要求重要数据处理者定期向省级以上有关主管部门提交风险评估报告。该条例与《境内企业境外发行证券和上市管理试行办法》形成闭环, 实现从上市前备案到上市后合规的全周期监管。
三、结语
境内企业境外上市涉及的网络安全和数据监管体系历经五年迭代, 从单一安全审查发展为涵盖备案、数据分类监管、数据跨境流动监管的全链条体系。未来, 随着更多配套细则的出台, 我们相信监管将更趋技术化和常态化, 企业在境外上市过程中, 需从“合规+技术+战略”的三维角度搭建网络和数据安全体系, 即“明确法律合规红线”、“贴合企业技术特征”、“战略高度前瞻布局”, 方能一改在境外上市过程中的被动应对状态, 以更低成本、更加高效、更具确定性的方式处理网络安全和数据合规领域问题。
来源:通力律师
作者:
- 张征轶,通力律师事务所合伙人;邮箱:zhengyi.zhang@llinkslaw.com、电话:+86 139 1662 7625
- 朱晓阳,通力律师事务所合伙人;邮箱:nigel.zhu@llinkslaw.com、电话:+86 180 1764 2887
- 韩政,通力律师事务所业务合伙人;邮箱:ryan.han@llinkslaw.com、电话:+86 150 2159 4712
声明:本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。