.png)
.png)
.png)
.png)
作者:刘榕
从中国网络安全审查办公室对滴滴、Boss直聘、运满满、货车帮四家美股上市企业展开网络安全审查,到《网络安全审查办法》出台规定掌握超过100万用户个人信息的网络平台运营者赴国外上市须审查。为降低风险,在中国掌握着庞大用户数据库的网络平台运营者在选择上市地时更倾向于选择香港。2022年2月25日,最大的线上运动平台Keep Inc.(简称“Keep”)在港交所递交上市申请,拟在香港主板挂牌上市。随后,原打算在美国上市的国内知名在线音频平台喜马拉雅(简称“喜马拉雅”)在2022年3月29日亦向港交所递交了上市申请。Keep和喜马拉雅均专门聘请了从事数据合规领域的中国律师对互联网信息安全及个人信息保护存在的风险进行了分析,并对相关法律法规的适用做了说明。
中国密集出台的网络信息安全和个人信息保护的法律、法规和各种标准已经成为了拟赴境外上市的互联网平台公司的悬顶之剑。为此,根据Keep和喜马拉雅上市申请草案所披露的内容,我们将拟赴境外上市的互联网平台公司在互联网信息安全及个人信息保护方面的合规准备事项归纳如下:
一、网络安全保障
因存在软件漏洞、计算机病毒、网络蠕虫、网络入侵、网络钓鱼攻击等因素导致系统中断、延迟或关闭,致使关键数据丢失或未经授权访问数据或用户数据的风险,因此互联网平台运营者应当根据《中华人民共和国网络安全法》及相关规则,制定相关的制度、采取足够的技术措施和手段、取得相应的等保证书等,以维护网络安全。
二、网络安全审查申报准备
1、因赴境外上市进行网络安全审查申报义务
根据《网络安全审查办法》第七条,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。但《网络数据安全管理条例(征求意见稿)》第十三条对赴香港上市和赴国外上市做出区分,故在影响或可能影响国家安全的情形下方进行网络安全申请,在不影响国家安全的前提下,目前赴港上市的互联网平台公司不需要进行网络安全审查。
2、关键信息基础设施运营者的网络安全审查申报义务
根据2021年9月1日生效的《关键信息基础设施安全保护条例》,关键信息基础设施指重要行业或领域的任何重要网络设施及信息系统,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务及国防科技工业,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的其他行业及部门。此外,各关键行业及部门的相关管理部门负责于各行业或部门制定合资格标准及厘定关键信息基础设施。
虽然至今尚未明确关键信息基础设施运营者的范围,但如拟上市互联网平台公司判断自身存在被认定为关键信息基础设施运营者的可能性较大,则应当根据相关法律、法规的要求履行安全保护义务,并在被认定为关键信息基础设施运营者后积极履行网络安全申请义务。
3、鉴别危害国家安全情形
如果拟上市互联网平台公司的产品和服务存在危害国家安全的可能性,也需要做网络安全审查。根据《网络安全审查办法》第十条,拟上市公司应当评估是否存在危害国家安全的情形:
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
为满足上述第(五)项的义务,除了采取数据安全的保护措施以外,建议拟在境外上市公司将在中国搜集的数据保存于中国境内。
三、做好个人信息保护准备
01:根据Keep在其上市申请文件中提到国家网信办于2021年6月11日发布通知[1]要求包括Keep在内的129个指定应用纠正在通知后的15个营业日内完成收集个人信息时违反必要性原则及2021年5月1日生效的《常见类型移动互联网应用程序必要个人信息范围规定》或必要的个人信息规则的不合规情况的整改。如不按时完成,则国家网信办可根据适用法律施加处罚或要求其中指定的应用采取进一步整改措施。为此,Keep在完善手机应用Keep 的基本功能及服务范围后及时向国家网信办提交书面报告,以显示我们已根据国家网信办通知的规定采取的整改措施。
故,根据《网络安全法》《数据安全法》《个人信息保护法》,拟赴境外上市的互联网平台公司应当注意如下个人信息保护的合规义务:
(1)限制过度收集个人信息;
(2)禁止大数据杀熟;
(3)禁止滥用人脸识别技术;
(4)严格保护敏感个人信息;
(5)未成年个人信息被列入敏感个人信息;
(6)个人信息跨境;
02:对于运营APP的互联网平台公司还要遵守《互联网用户账号名称管理规定》《儿童个人信息网络保护规定》《移动互联网应用程序信息服务管理规定》等由网信办和其他监管部门制定的规定、规则或标准,并在数据周期内对个人信息保护遵循如下原则:
(1)透明原则;
(2)目的限定原则;
(3)正当诚信原则;
(4)知情同意原则;
(5)个体参与原则;
(6)保证质量原则;
(7)安全保障原则。
03:算法推荐服务。
如互联网平台公司有通过算法向用户提供服务的业务,还应当符合2022年3月1日起生效的《互联网信息服务算法推荐管理规定》,允许用户选择轻松关闭算法推荐服务,且建立健全算法驱动推荐机制的管理制度和技术措施,并定期审核、评估、验证算法机制机理、模型、数据和应用结果。
通过喜马拉雅和Keep的案例,我们可以预见到随着中国网络安全和个人信息保护法律法规的不断完善,监管机构行政监管力度不断加大,越来越多的企业上市或收购过程中,除了聘请负责上市或者收购的律师团队,聘请专门从事数据合规领域的律师,为其提供专项数据风险调查服务亦将成为主流。
注释
[1] 见Keep上市申请文件草案第44页
https://www1.hkexnews.hk/app/sehk/2022/104254/documents/sehk22022501616_c.pdf
