企業境外上市中的網絡安全和數據合規問題(壹)——網絡安全和數據合規監管體系及其演變

2025-07-17 11:08:32

作者: 通力律師事務所 張征軼 | 朱曉陽 | 韓政

近年來, 全球科技競爭與地緣博弈的加劇, 使得中國企業境外上市涉及的網絡安全和數據合規問題被越發重視, 在我們梳理的近兩年來百余家中國企業境外上市的證監會備案反饋中, 網絡安全和數據合規問題均為高頻問題, 對於涉及互聯網或大量C端用戶數據的行業, 則幾乎是監管的必問問題。

從2020年《網絡安全審查辦法》將關鍵信息基礎設施運營者(CIIO)納入審查範圍, 到2023年《境內企業境外發行證券和上市管理試行辦法》確立備案制下的網絡安全、數據安全審查義務, 再到2025年《網絡數據安全管理條例》構建覆蓋數據全生命周期的分類、分級保護體系, 監管機構逐步搭建了壹張貫穿企業上市前備案、上市中審查、上市後監管的全鏈條數據合規網絡。

對於擬境外上市的企業而言, 這壹監管演進並非簡單的程序性要求, 由於數據就像血液流淌在企業經營的每壹個角落, 壹旦這方面留下合規隱患, 往往牽壹發而動全身, 輕則延滯企業境外上市進程, 重則可能像某些互聯網平臺企業壹樣鎖死企業未來資本運作空間, 因此其重要性已無需贅言。

更值得關註的是, 當下, 監管邏輯已從“被動響應”轉向“主動防控”——2025年生效的《網絡數據安全管理條例》不僅要求企業建立覆蓋數據采集、存儲、使用的全流程防護體系, 更賦予監管部門對企業境外上市後數據活動的動態監控權。這意味著, 企業需在上市前完成數據資產盤點、供應鏈安全評估、數據跨境傳輸路徑設計等系統性工程, 傳統“上市時應付、上市後補救”的思路將會為企業埋下隱患。

通力基於在企業境外上市及數據合規領域的綜合實力, 組建了專門的“企業境外上市數據合規小組”為企業境外上市提供專業、精細的網絡安全和數據合規服務, 具體包括: (1)負責網絡安全和數據合規方面的全面盡調; (2)分析和論證企業網絡安全和數據合規審批備案的適用情況; (3)梳理企業網絡安全與數據方面的合規瑕疵並提供整改方案; (4)協助擬上市企業進行監管預溝通; (5)協助答復中國證監會提出的與網絡安全及數據合規相關反饋問題; (6)協助答復香港聯交所或其他境外證券監管部門提出的與網絡安全及數據合規相關的問詢等。

在企業境外上市項目中, 通力“企業境外上市數據合規小組”積累了大量的實務經驗, 其中涉及的問題包括但不限於: 關鍵信息基礎設施運營者(CIIO)的主動與被動認定、數據出境安全評估豁免情形的認定、APP或企業網站嵌入第三方SDK/代碼/插件的合規問題等。我們希望通過本系列文章, 分享我們在這些方面的專業積累。

本系列文章分為三篇: (壹)企業境外上市的網絡安全和數據合規監管體系及其演變; (二)企業境外上市的網絡安全審查及數據出境合規; (三)企業境外上市之個人信息保護、APP合規與內控體系建設。本篇作為第壹篇, 旨在系統性地梳理企業境外上市的網絡安全和數據合規監管架構, 同時總結其演變歷程, 以期為本系列文章起到提綱挈領之用。

壹

網絡安全與數據合規體系壹覽

針對企業境外上市過程中涉及的網絡安全和數據合規事項, 我們結合項目實踐, 將主要法律、法規和規範性文件等梳理如下:

除上述主要規定外, 還有部分推薦性的國家標準和協會指南, 這些標準或指南雖不具有強制約束力, 但在實踐操作中能很好地彌補相關專業概念的定義空白, 具有很強的實務參考意義, 主要包括:

《信息安全技術-個人信息安全規範》(GB/T 35273-2020)

《信息安全技術-移動互聯網應用程序(App)收集個人信息基本要求》(GB/T 41391-2022)

《App違法違規收集使用個人信息自評估指南》

《網絡安全標準實踐指南-移動互聯網應用程序(App)收集使用個人信息自評估指南》

《移動互聯網應用程序(App)個人信息保護常見問題及處置指南》

《互聯網個人信息安全保護指南》

《信息安全技術-網絡安全等級保護定級指南》(GB/T 22240-2020)

《信息安全技術-網絡安全等級保護基本要求》(GB/T 22239-2019)

《數據安全技術數據分類分級規則》(GB/T 43697-2024)

10.

《網絡安全標準實踐指南—網絡數據分類分級指引》等。

二

監管規則的建立與演變

(壹) 制度奠基階段(2020-2022): 安全審查框架初建

盡管《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》兩部關於網絡和數據安全的基本法律已於2017年及2019年相繼問世, 但彼時並未立即出臺相應的配套規章。直到2020年4月, 國家網信辦等12部門聯合發布《網絡安全審查辦法》(2020年版), 將網絡安全審查的具體規範予以明確, 首次將關鍵信息基礎設施運營者(CIIO)采購網絡產品和服務納入審查範圍, 要求預判國家安全風險。《網絡安全審查辦法》於2022年2月被進壹步修訂後, 新增網絡平臺運營者數據處理活動的審查情形, 明確掌握超100萬用戶個人信息的企業赴國外上市需申報安全審查, 標誌著數據安全成為境外上市監管的核心要素之壹。實際操作中, 此階段監管聚焦於基礎設施和頭部平臺, 並未覆蓋中小型企業的境外上市場景。

(二) 體系完善階段(2023-2024): 備案制與分類監管

2023年3月, 證監會發布《境內企業境外發行證券和上市管理試行辦法》, 確立境外上市備案制, 同時明確涉及網絡安全、數據安全等領域的需履行安全審查程序。2024年3月, 《促進和規範數據跨境流動規定》出臺, 細化數據出境豁免情形(如國際貿易、學術合作等場景), 並建立自貿區負面清單機制, 允許特定區域企業豁免部分安全評估義務。此階段政策通過“備案+審查”雙軌制, 平衡開放與安全, 但執行中仍存在壹系列標準和定義不清晰的問題。

(三) 全面強化階段(2025): 數據主權與動態監管

2025年1月施行的《網絡數據安全管理條例》成為網絡數據安全監管的壹大裏程碑, 主要體現在以下三個方面:

分類分級保護: 將數據分為壹般數據、重要數據、核心數據三級, 要求企業識別、申報重要數據, 重要數據處理者需設立安全負責人機構;

跨境流動機制: 明確個人信息出境的允許情形, 包括“通過國家網信部門組織的數據出境安全評估、按照國家網信部門的規定經專業機構進行個人信息保護認證、符合國家網信部門制定的關於個人信息出境標準合同的規定”等。

動態監管權: 賦予網信部門對境外上市後數據活動的持續監督權, 要求重要數據處理者定期向省級以上有關主管部門提交風險評估報告。該條例與《境內企業境外發行證券和上市管理試行辦法》形成閉環, 實現從上市前備案到上市後合規的全周期監管。

三

結語

境內企業境外上市涉及的網絡安全和數據監管體系歷經五年叠代, 從單壹安全審查發展為涵蓋備案、數據分類監管、數據跨境流動監管的全鏈條體系。未來, 隨著更多配套細則的出臺, 我們相信監管將更趨技術化和常態化, 企業在境外上市過程中, 需從“合規+技術+戰略”的三維角度搭建網絡和數據安全體系, 即“明確法律合規紅線”、“貼合企業技術特征”、“戰略高度前瞻布局”, 方能壹改在境外上市過程中的被動應對狀態, 以更低成本、更加高效、更具確定性的方式處理網絡安全和數據合規領域問題。

作者