问渠那得清如许——企业交易场景下的数据合规要求进一步加强

作者：

李瑞 贾申 李梦涵 徐晨

2021年11月14日，国家互联网信息办公室发布《网络数据安全管理条例（征求意见稿）》（下称“《数安条例》”）并公开向社会征求意见。《数安条例》沿袭了《网络安全法》《数据安全法》和《个人信息保护法》三大基石中的原则与要求，进一步细化了数据合规义务的实施路径，梳理并/或增设了企业在合并重组、解散破产、境外上市等各类交易场景下的数据合规流程。尽管《数安条例》尚未正式生效，我们仍强烈建议相关企业据此关注把控日常经营和交易两大条线下的数据合规风险。

对于《数安条例》强化后的企业日常经营条线的合规义务地图，我们将另行撰文进行梳理。本文将聚焦于交易视角，专项解读《数安条例》为企业设置的若干项与交易有关的合规义务和合规流程，就企业应如何管理其全生命周期中交易场景下的数据合规流程提出建议。

一

企业发展全生命周期的数据合规监管流程要求解析

以企业发展的全生命周期为线索，《数安条例》对企业发展过程中的以下几个重要阶段（1）设立（仅限大型互联网平台在境外设立特定运营机构）；（2）合并、重组、分立；（3）上市；和（4）解散和/或破产清算，分别新设/强化了数据合规监管流程要求，我们在下图中进行了梳理（见图一）。

图一：企业全生命周期数据合规监管应对要求

1、设立（仅限大型互联网平台在境外设立特定运营机构）

《数安条例》并未对所有企业的设立规定特别的合规流程，但对于用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的大型互联网平台运营者，《数安条例》对其在境外设立总部或者运营中心、研发中心，提出了额外的外部合规义务，即向国家网信部门和主管部门报告。大型互联网平台在数字经济下扮演着十分重要的角色，掌握海量用户数据。其“出海”开展业务将不可避免地涉及数据及技术的跨境传输、司法协助等问题，在极端情况下曾出现过被东道国政府强制要求剥离业务等情况，因而立法者设置此项报告义务的初衷是可以理解的。报告义务并非任何形式或实质性审查，仅为报备，这一方面体现出中国监管部门并不想阻碍中国大型互联网平台企业“走出去”，另一方面也体现出监管部门希望加强对经济动态的了解和知情。事实上，《数安条例》的多处规定都体现了监管部门的这一诉求。

2、企业的合并、重组、分立

《数安条例》第14条提出，数据处理者在合并、重组和分立等情况下涉及重要数据和一百万人以上个人信息的，需向设区的市级主管部门报告。合并、重组或分立是企业发展到一定规模后，进行改制重组、开展合理税收筹划、或者准备上市融资时极其常见的步骤。这一规定落实后，满足条件的公司如开展业务重组、红筹搭建、拆搭VIE结构等上市前常见举措都将需要在主管部门处“挂号”。

值得注意的是，涉及重要数据和一百万人以上个人信息的触发条件与企业国外上市触发网络安全审查的条件存在实质性重合。这一条款实施后将拓宽监管部门的信息渠道，使得监管部门将能够提前了解符合条件的企业的上市意向。可以合理认为，监管部门提出此项报告义务，目的之一是杜绝再发生“先上车后补票”式的上市案例。从这个目的出发，我们认为实践中对这一条解读和把握标准可能会偏严，需要企业谨慎对待。例如，尽管14条原文是涉及重要数据“和”一百万人以上个人信息的合并、重组和分立才会触发报告义务，但实践中不排除“重要数据”和“一百万人以上个人信息”两个标准满足其一即触发报告义务的可能性。此外，尽管根据14条的字面文义，“重要数据和一百万人以上信息”这一标准修饰的是“合并、重组和分立”这一行为（换言之应被解读为合并、重组和分立中涉及到了对重要数据和一百万人以上信息的处理），但也不能排除实践中被解读为一旦数据处理者本身处理重要数据和一百万人以上个人信息，那么其合并、重组和分立行为不论是否涉及数据转移都需报备的可能性。具体情况还有待在实践中验证。

3、针对企业上市形成前、中、后期全链条、全地域监管

《数安条例》一旦落地，针对企业上市的全地域、全链条监管体系将成型。我们总结了全链条图（见图二）供企业参考。

图二：企业上市前、中、后期全链条数据合规监管应对要求

自国家互联网信息办公室于2021年7月发布《网络安全审查办法（修订草案征求意见稿）》（下称“网安审查草案”）以来，网络安全审查这一合规流程一直受到广泛关注。网安审查草案中未明确赴港上市是否会落入申报范围，而《数安条例》第13条在此基础上填补了空白，明确赴香港上市如影响或可能影响国家安全的，也需要申报网络安全审查。然而，“影响或可能影响国家安全”的措辞存在一定模糊空间，实践中的认定也可能会很宽泛，具体认定标准还有待监管部门进一步澄清。

除填补赴港上市的空白以外，《数安条例》与网安审查草案相比，对于判断赴国外上市是否需要申报网络安全审查的标准似乎也有所调整。在网安审查草案中，赴国外上市触发网络安全审查的标准是“掌握超过100万用户个人信息”，其一方面使用的是并无法律明确定义的“掌握”一词，另一方面，也将一百万人的数量门槛仅限于用户的个人信息。而在《数安条例》中，有关标准调整为“处理一百万以人上个人信息的数据处理者”，一方面使用了与《个保法》对应的“处理”一词，另一方面也不再将一百万人的数量标准仅限于用户信息，这在某种程度上扩大了这一标准的适用范围，应当引起相关企业的注意。

尽管《数安条例》并未提及，但就境内上市而言，即便并不触发网络安全审查，拟上市企业也需要满足数据合规要求方可成功上市，并且近年来在上市过程中证监会经常会提出关于数据合规的问询。以AI企业旷视科技在为例，上海证券交易所于2021年3月受理其上市申请，并于同年4月下发问询函，要求旷视科技就数据处理环节的具体情况、与供应商之间的所签订合约的数据合规条款等问题做出澄清与回复。据我们了解，实践中已经出现拟上市企业因数据合规问题而在境内上市申请中被否的案例。

此外，《数安条例》也新增规定，企业完成境外上市之后，每年还应自行或委托第三方机构开展数据安全评估，在1月31日前将上一年评估报告上报至设区的市级网信部门，并将报告保存至少三年。此项要求不管是赴香港还是国外上市的企业，不论其是否触发网络安全审查都应遵守。虽然条文并未明确，但我们认为已经挂牌的数据处理者很有可能也会被要求按此条规定进行年度评估并提交报告。综上所述，有关监管机制一旦落地，企业在各法域上市、以及上市的前中后各阶段均将需要满足数据合规要求。

4、增设数据处理者解散或宣告破产时的合规义务

针对企业解散或宣告破产的情形，《数安条例》规定，数据处理者解散或宣告破产的，需要履行向主管部门报告的义务，此外，还应按照相关要求移交或删除数据。结合前文中归纳的针对企业的设立、合并、重组、分立、上市等交易条线的合规要求，可以说，《数安条例》已经针对企业的全生命周期建立起了全面的合规体系。

二

合规建议

《数安条例》提出的日常合规和交易两大条线的监管思路不仅对于开展数据业务的企业来说影响巨大，对于开展投资并购和上市业务的投行、基金等专业中介机构而言也至关重要。在目前的数据合规监管趋势下，各方应积极拥抱监管环境，提前做出部署与安排，尤其是在进行交易的前、中、后期都应做出周全考量，全面把控数据合规要求：

• 在开展交易项目之前或项目前期，由于某些交易的敏感性，企业及中介机构在考虑交易可行性、设计交易架构时需对目标公司/资产的业务进行详细梳理，审慎评估其是否落入监管流程覆盖的范围；

• 在推进交易进程时，投资人应通过尽职调查和交易文件的设计确保目标资产已经满足相应的要求，并特别关注交易是否可能触发网络安全审查等合规流程，必要时可敦促目标公司与相关监管部门主动沟通，一方面满足潜在的报告义务，另一方面在是否触发数据合规流程方面尽量降低监管方面的不确定性。对于有较高时间要求的交易项目，梳理、排查可能触发的数据合规监管问题，充分考虑数据合规流程可能带来的不确定并做出相应的安排至关重要。根据网安审查草案，网络安全审查的一般程序需70个工作日（即约3个半月），特别审查程序可达180日（即6个月）以上。一旦拟上市企业落入网络安全审查的范围内，审查时间表及其结果的不确定性将可能对于交易进程带来较大影响，因而在设计交易架构和时间表时需要充分纳入考虑。

• 在上市后和/或进行投后管理时，企业应建立完善的数据合规管理架构，确保能够落实和履行日常经营中的数据合规义务，最大程度降低合规风险。此外，基于目前网络安全与数据合规领域的强监管趋势，我们建议投资人与企业密切关注国家数据合规立法动态的发展，及时响应最新的合规要求，不断更新数据合规义务地图，提高企业合规水平。

The End

 作者简介

李瑞  律师

北京办公室  合伙人

业务领域：跨境投资并购, 反垄断和竞争法, 网络安全和数据保护

特色行业类别：文化娱乐产业

贾申

北京办公室  顾问

业务领域：反垄断和竞争法, 贸易合规和救济, 诉讼仲裁

李梦涵

北京办公室  合规与政府监管部

徐晨

北京办公室  合规与政府监管部

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。