写在前面

2021年12月3日,滴滴宣布将从纽交所退市,转进香港。

在2021年11月14日征求意见的《网络数据安全管理条例(征求意见稿)》中,专门规定数据处理者赴香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查(第13条)。

而在2021年12月2日,网易云音乐以云村的名字在港交所正式挂牌。因此,网易云成为绝佳的研究样本,观察网络安全审查对赴港上市有何影响。

以下为摘录,全文请参见:https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1123/2021112300033_c.pdf

概要

于2021年7月10日,国家互联网信息办公室就《网络安全审查办法草案》公开征求意见,规定关键信息基础设施运营者采购网络产品和服务,数据处理者(连同关键信息基础设施运营者统称「运营者」)开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。根据《网络安全审查办法草案》,掌握超过1百万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。然而,《网络安全审查办法草案》并无就「国外上市」提供进一步解释或诠释。截至最后实际可行日期,《网络安全审查办法草案》尚未正式施行。根据现有中国网络安全法律,关键信息基础设施运营者拟采购网络产品和服务,可能影响国家安全的,应当进行网络安全审查。如我们的中国法律顾问告知,在《网络安全审查办法草案》下,「关键信息基础设施运营者」的实际范畴及现有监管机制尚未明确,而中国政府机关对诠释及执行该等法律可能具广泛的自由裁量权。截至本文件日期,我们并无涉及国家互联网信息办公室就网络安全审查作出的任何调查,而我们亦无就此方面接获任何询问、通知、警告或制裁。

此外,《数据安全条例草案》还从个人信息保护、重要数据安全、数据跨境安全管理、互联网平台运营者义务的角度就数据处理者利用网络开展数据处理活动进行了其他具体规定。例如,有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或匿名化处理:(1)已实现个人信息处理目的或者实现处理目的不再必要;(2)达到与用户约定或者个人信息处理规则明确的存储期限;(3)终止服务或者个人注销账号;(4)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。处理重要数据的,应符合具体要求,例如,重要数据的处理者应当明确数据安全负责人,成立数据安全管理机构,并在识别其重要数据后的十五个工作日内向设区的市级网信部门备案。

数据处理者处理一百万人以上个人信息的,还应当遵守《数据安全条例草案》对重要数据的处理者作出有关重要数据安全的规定。处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。数据处理者向境外提供在中国境内收集和产生的数据,倘若数据中包含重要数据、或倘若数据处理者为关键信息基础设施运营者或处理一百万人以上个人信息,数据处理者应当通过国家网信部门组织的数据出境安全评估。

由于《数据安全条例草案》于颇为近期颁布,《数据安全条例草案》部分要求需视乎更细化的明文规定或实行标准,我们仍正在评估《数据安全条例草案》各项规定对我们业务的适用程度。基于《数据安全条例草案》并未正式通过及视乎进一步指引,且本集团并无涉及国家互联网信息办公室按此基准作出的任何网络安全审查的调查,亦并无就此接获任何查询、通知、警告或制裁,经咨询中国法律顾问,董事认为有关条例并无对本集团业务经营及财务表现构成重大不利影响,且将不会影响本公司截至本文件日期在任何重大方面遵守法律及法规。然而,董事及中国法律顾问不能排除日后颁布的新规则或法规将会对本集团施加额外合规规定的可能性。

假设《网络安全审查办法草案》及《数据安全条例草案》未来以目前的形式生效,视乎《网络安全审查办法草案》及《数据安全条例草案》的进一步实施详情、指引及澄清,我们及中国法律顾问认为将不会对我们截至本文件日期在任何重大方面遵守法律法规或上市构成重大不利影响,原因是(i)如「业务-数据安全」所披露,我们已实施全面措施,以确保安全存储和传送数据,以及防止任何未经授权取得或使用数据;(ii)截至本文件日期,我们并无遭受任何政府机关处以有关违反数据安全法律法规的重大罚款或行政处罚;(iii)截至本文件日期,我们概无将对业务运营有重大不利影响的数据或个人信息重大泄漏或对数据保护和隐私法律法规的违反;(iv)我们已在采取措施准备遵守《数据安全条例草案》的规定;及(v)我们将继续关注中国数据安全法规的发展。倘《网络安全审查办法草案》及《数据安全条例草案》生效,我们将向相关监管机构寻求指引,以确保我们采取的措施属适当。然而,本公司中国法律顾问不排除未来颁布的新规则或法规将对本集团造成额外合规要求的可能性。

风险因素

我们的业务产生并处理大量数据,我们须遵守中国及其他司法辖区有关数据隐私及安全的法律法规。不当使用或披露数据均可能对我们的业务及前景造成重大不利影响。

1.安全漏洞及攻击

我们收集、处理并存储大量关于用户、业务伙伴及雇员的数据,包括涉及我们用户的个人及交易数据。虽然我们已采取合理措施保护有关数据,但无法保证该等措施将奏效。未经授权访问数据及系统、禁用或降低服务或破坏系统的技术不断演变,因此我们可能无法预知、阻止或防范该等技术或以其他方式实施充分的防范措施,因而不能避免未经授权访问有关数据或系统。

我们的服务可能容易受到安全漏洞及攻击的损害,这可能导致系统中断、延迟或关闭,造成关键数据丢失或未经授权访问我们的数据或用户数据。我们经常遭受不同程度的网络攻击,包括入侵或试图入侵我们的用户账户以及将用户流量引向其他互联网平台。我们用于促进与其他互联网平台互动的任何功能都有可能扩大黑客对我们用户账户的访问范围。尽管难以确定任何特定的中断或攻击可能直接造成的损害(如有),但倘若我们未能保持产品和技术基础设施的性能、可靠性、安全性和可用性以令用户满意,这可能会损害我们的声誉及损害保留现有用户并吸引新用户的能力。尽管我们已建成系统与程序,旨在保护我们的数据及用户数据、避免数据丢失、在我们平台禁用不良账户和活动、防止或发现安全漏洞,但我们无法向阁下保证有关措施将能提供必要的安全。我们可能产生大量成本用于防范网络攻击,倘我们的系统或第三方的系统出现实际或疑似安全漏洞,则可能需要我们耗用大量资源以弥补安全漏洞,并解决与漏洞有关的事项,包括通知用户或监管部门。

2.数据安全及隐私以及网络安全的监管规定

(1)收集、使用和存储个人信息

我们须遵守与数据安全和隐私有关的各种法律和其他义务,其中包括于2021年11月1日生效的《个人信息保护法》,其强调处理者的义务及责任对个人信息保护的重要性。该等法律及法规包括对个人信息的收集、使用和存储的限制,以及采取措施防止个人数据被泄漏、盗取或篡改的规定。互联网服务提供商如欲收集或使用个人信息,只能收集其提供服务所必需的个人信息。此外,互联网服务提供商必须向用户明确告知收集或使用个人信息的目的、方式和范围,且必须征得被收集或使用个人信息的用户的同意。互联网服务提供商亦须制定及发布用户个人信息收集、使用规则,对所收集信息严格保密,采用技术及其他措施维护信息安全。

网络运营者收集、存储、使用、转移、披露不满十四周岁儿童个人信息的,应当设置专门的儿童个人信息保护规则和用户协议,以显著、清晰的方式告知儿童监护人,并应当征得儿童监护人的同意。有关详细资料请参阅「法规-有关互联网隐私的法规」。

(2)数据安全及网络安全审查

全国人大常委会于2021年6月10日发布《数据安全法》,规范中国的数据处理活动和安全监管,该法已于2021年9月1日生效。根据《数据安全法》,国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。任何组织或者个人数据处理活动违反《数据安全法》,视具体情况承担相应的民事、行政或刑事责任。此外,随着《7月6日意见》的颁布,中概股公司在数据安全、跨境数据流动及涉密信息管理等方面的合规受到中国监管机关的严格审查。预计此类法律法规将发生进一步变化,这可能要求增加信息安全责任和加强跨境信息管理机制及程序。于2021年7月10日,国家互联网信息办公室就《网络安全审查办法草案》公开征求意见,该草案规定运营者开展数据处理活动,影响或可能影响国家安全的,应当进行网络安全审查。根据《网络安全审查办法草案》,掌握超过1百万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。此外,于2021年11月14日,国家互联网信息办公室就《数据安全条例草案》公开征求意见,当中要求数据处理者于其日常营运遵守若干规定,并进一步列明若干情况下数据处理者应申报网络安全审查,包括数据处理者赴香港上市,影响或者可能影响国安全的。然而,《网络安全审查办法草案》及《数据安全条例草案》均无就「国外上市」或「影响或可能影响国家安全」提供任何进一步解释或诠释。截至最后实际可行日期,《网络安全审查办法草案》及《数据安全条例草案》均未正式通过。我们无法保证我们在日后的融资活动中会否受网络安全审查的限制,抑或日后新颁布的规则或法规会否对我们构成额外合规要求。

于2021年10月29日,国家互联网信息办公室就《数据出境安全评估办法(征求意见稿)》公开征求意见。该法规规定任何数据处理者向境外提供在中国境内运营中收集和产生的重要数据或应当进行安全评估的个人信息,应当进行安全评估。截至最后实际可行日期,《数据出境安全评估办法(征求意见稿)》并未正式通过。有关详情,请参阅「法规-有关信息安全的法规」。

我们可能须受有关数据安全及隐私的法律法规所规限,包括收集、使用及存储中国以外司法辖区的个人信息。倘我们或我们的合作伙伴未能或被视为未能维护用户数据的安全或遵守适用的中国或外国隐私、数据安全及个人信息保护法律、法规、政策、合约条文、行业标准及其他规定,可能引致民事或监管责任,包括政府或数据保护部门的强制行动及调查、罚款、处罚、以某一方式责令我们停止运营、诉讼或负面报道,并可能需要我们投入大量资源为指控和申索进行抗辩。此外,对于我们未能充分保护用户数据或因其他原因违反了适用的隐私及数据安全法律、法规、政策、合约条文、行业标准或其他规定的申索或诉讼,可能会损害我们的声誉并失去用户或合作伙伴对我们的信心,或会令我们失去用户、广告商、内容提供商、其他业务伙伴及收入,进而可能对我们的业务、财务状况及经营业绩造成重大不利影响,并可能令我们的股价大幅下跌。

声明:本文来自送法上网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。