7月6日，中共中央辦公廳、國務院辦公廳公開發布《關于依法從嚴打擊證券違法活動的意見》。意見提出，加強跨境監管合作。完善數據安全、跨境數據流動、涉密信息管理等相關法律法規。

　　近日，國家網信辦連續發布了對“滴滴出行”“運滿滿”“貨車幫”“BOSS直聘”實施網絡安全審查的公告。審查期間，以上APP均已停止新用戶注冊。

　　多家互聯網企業接受網絡安全審查，廣受關注。

　　值得注意的是，這幾家被審查的企業有著共同的特點：近期赴美上市。

　　美方對赴美IPO的中國企業在數據安全出境問題方面有哪些要求？哪些規定可能會觸及我國的安全法律底線？這些問題值得關注。

　　美國法規對我構成的安全風險不容忽略

　　2020年12月，美國頒布了《外國公司問責法》，要求在美上市公司披露額外信息。包括依照美國證券交易委員會的審計標準提供審計報告，包含審計底稿。審計底稿中包括相關的原始票據，以用來交叉驗證審計報告的真實性。

　　該法規定，如果外國公司連續三年未能通過美國公眾公司會計監督委員會的審計，將被禁止在美國任何交易所上市。

　　同時，依照美國《薩賓斯-奧克利》法案，上市公司需要在審計報告中提供“內部控制”內容，通常包括網絡活動、數據庫活動、系統登入活動、賬號活動、用戶活動以及信息接入的參數和條件等等。其中值得注意的是，審計報告需要提供公司在網絡安全信息基礎的相關信息，其相應的審計底稿可能需要包括基礎設施采購的具體信息。

　　此外，美國證券交易委員會合規調查與檢查辦公室在2020年1月7日發布了最新版的《網絡安全與彈性觀察》（以下簡稱《觀察》）。

　　《觀察》沒有約束力，也不代表證券交易委員會的立場，但對上市公司而言，這是網絡安全領域的重要文件。

　　《觀察》建議上市公司在治理和風險管理、接入權力與控制、數據丟失預防機制、移動端安全、事故反應與靈活性、零售端管理、培訓與注意力這7個方面來審查自己的政策和實踐。

　　除了證券領域的網絡安全規定，美國在聯邦和州的層面還有若干數據安全方面的單行法律法規。

　　例如加州頒布了《加州消費者隱私法》（CCPA），紐約州在2019年頒布了《SHIELD  Act》。

　　在聯邦層面，美國聯邦貿易委員會在消費者隱私保護領域享有管轄權。聯邦和州的司法部可以依據相關法律進行起訴。

　　僅就法規文字來看，上述規定沒有直接要求在美公司向監管機構提交中國法律中所指的重要數據或者核心數據，如用戶數據和地圖數據，而是要求這些公司建立關于網絡安全和個人數據隱私保護方面的機制，或者提交審計報告以及披露所有和控制方面的信息。

　　但是，上述規定對我國構成的安全風險仍然不容忽略。

　　例如，如果在美上市公司被美國監管機構調查，或者被拉入訴訟，則相關公司可能被迫提供網絡安全基礎設施方面的細節和詳細信息，來證明自己符合美國相關網絡安全和數據安全的要求。

　　但是，上述信息可能屬于我國《網絡安全法》以及相關法規所保護的范圍，向美方提供這些信息可能會危害到我國的國家安全。

　　強化關鍵信息基礎設施運營者相關義務

　　我國《網絡安全法》第三十一條規定，“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他領域一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”

　　根據《國家網絡安全檢查操作指南》規定，對于平臺而言，如果注冊用戶、活躍用戶和日交易額超過一定標準的，就可以認定為“關鍵信息基礎設施”。

　　因此，對這些屬于關鍵信息基礎設施的平臺，需要依法給予重點保護。

　　如何從國家安全的角度理解重點保護？

　　對關鍵信息基礎設施的重點保護，人們通常會理解為依法保護其權利，但其實更重要的，保護平臺的目的是維護國家安全。

　　因此，重點保護的題中之義是強化關鍵信息基礎設施運營者的相關義務。

　　我國《網絡安全法》第三十五條規定，如果關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家安全審查。

　　同時，該法第三十六條規定，關鍵信息基礎設施的運營者應當按照規定與網絡產品和服務提供者簽訂安全保密協議，明確安全、保密義務與責任。

　　將這兩條結合來看，關鍵信息基礎設施的運營者對網絡產品和服務的采購可能會影響國家安全。

　　此外，關鍵信息基礎設施的運營者還負有《網絡安全法》第二十一條和第三十四條所規定的義務，包括采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；采取數據分類、重要數據備份和加密等措施。

　　這些法律義務的范圍，不僅是指完成規定動作，可能還要包括為了防范網絡侵入、數據泄密等情況而采取的保密措施。

　　數據出境的安全風險值得防范

　　另一個值得關注的，是平臺在開展跨境業務時可能產生的數據出境風險。

　　例如，平臺的國內用戶在出境之后繼續使用平臺軟件，則可能會調用國內運營時所收集的用戶姓名、銀行賬戶等支付信息。

　　這類數據的出境并沒有被完全禁止。我國《網絡安全法》第三十七條規定，因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。“

　　今年9月1日即將生效的我國《數據安全法》第三十一條規定，”其他數據處理者在中華人民共和國境內運營中收集和產生的重要數據的出境安全管理辦法，由國家網信部門會同國務院有關部門制定。“

　　但是，在重點保護的安全觀下，特別是在我國《數據安全法》進一步區分了重點數據和核心數據之后，對海外上市企業相關數據出境的安全評估問題可能更加復雜。

　　有能力出海的中國優秀企業對此應有深刻的認識，除了在企業層面加強對上市所在國法律的認知，更需要深刻理解當前形勢下我國網絡安全和數據安全的法律規定，防范可能存在的安全風險。