序言
我们正处在一个数字技术重塑全球政治经济格局的时代。数据,已不再仅仅是企业运营的副产品或个人信息载体,它已成为驱动创新、优化治理、引领发展的核心战略资源。在这一变革中,数据安全与国家安全之间的边界日益融合,其关联的紧密度与复杂性前所未有。
本文旨在系统梳理中国外商投资国家安全审查制度的演进脉络与运行逻辑,并着重聚焦于数据安全维度的评估要点与企业合规应对。我们相信,深入理解数据安全在国家安全审查中的关键作用,将有助于投资者有效管理合规风险、实现稳健经营,实现商业目标和国家安全之间的平衡。
01
外商投资国家安全审查的制度背景与功能定位
1. 国家安全审查的制度背景
随着经济全球化的深入,跨国投资活动日益频繁,外资的进入对于东道国而言,既能带来诸多机遇,如推动本国的经济增长、增加就业、促进技术交流和产业升级等,也伴随着潜在的风险与挑战,特别是在涉及国防、能源、通信等关键领域,外商投资行为可能会对东道国的国家安全产生隐患或威胁。高科技领域的外资并购可能削弱东道国的技术自主权,并可能通过控制关键技术影响国家长远竞争力;能源、通信、金融领域的外资并购可能冲击东道国的基础设施、金融稳定性,并可能借助资金优势影响行业规则,危及国家经济平稳运行。更有甚者,可能利用外商投资作为工具,试图干预东道国的经济政策走向乃至政治稳定。
在上述背景下,如何在保持对外开放的同时构建有效的安全屏障,以法律手段平衡经济发展与国家安全之间的关系,成为各国政府面临的重要课题。外商投资国家安全审查制度正是在此背景下应运而生,该制度的核心功能在于识别并防范可能对东道国造成不利影响的外商投资行为,从而维护国家主权和经济安全。
2. 中国国家安全审查制度功能定位和演进脉络
我国为了适应新时代改革开放的新格局要求,在积极吸引外资的同时,也必须有效预防和化解可能出现的国家安全风险。为此,我国制定了专门针对外商投资的国家安全审查制度,不仅强调了对传统意义上的国家安全因素的关注,亦对网络安全、数据保护等新兴领域予以特别关注,力求实现外资准入便利化与国家安全保障的协同推进、互利共赢。
2011年2月3日,国务院办公厅发布《关于建立外国投资者并购境内企业安全审查制度的通知》,首次确立了“外国投资者并购境内企业安全审查制度”。2011年8月25日,商务部发布了《商务部实施外国投资者并购境内企业安全审查制度的规定》,进一步细化了外国投资者向商务部提出并购境内企业安全审查申报的流程、应提交的文件和商务部及联席会议的审查工作安排。2015年7月1日,《中华人民共和国国家安全法》正式实施,首次在法律层面明确要求建立国家安全审查和监管的制度与机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目等进行国家安全审查。2020年1月1日实施的《中华人民共和国外商投资法》再次明确外商投资安全审查制度设立的必要性。2020年12月19日,国家发展改革委与商务部联合颁布《外商投资安全审查办法》(以下简称“《安审办法》”),对外商投资审查范围、审查机制等制度进行细化和升级,我国外商投资安全审查由此进入更为系统化、常态化的监管阶段。
02
中国外商投资国家安全审查制度实施要点
1. 审查程序:从申报到作出审查决定
安全审查由外商投资安全审查工作机制(以下简称“工作机制”)统筹实施。工作机制办公室设在国家发展改革委,由国家发展改革委、商务部牵头,承担外商投资安全审查的日常工作。
安全审查的启动包括外国投资者或者境内相关当事人(以下统称“当事人”)主动申报,或是工作机制办公室依职权要求当事人进行申报。此外,有关机关、企业、社会团体、社会公众等认为外商投资影响或者可能影响国家安全的,可以向工作机制办公室提出审查建议。在实践中,工作机制办公室可以通过与其他相关部门之间的联动执法获取外商投资有关信息。例如在经营者集中申报过程中,若反垄断执法机构认为本次交易可能具有国家安全审查方面的担忧,可能会将交易相关情况转交至工作机制办公室进行审查。
为提升交易的可预期性,在正式递交国家安全申报前,当事人可以向工作机制办公室进行咨询,以获取本次交易是否触发国家安全审查的初步判断。在咨询过程中,当事人需要明确提供交易的基本信息,收购方、被收购方的情况以及交易结构等。通过这一阶段的预沟通,工作机制办公室可初步判断交易是否需要进行安全审查。若认为交易符合安全审查申报标准,当事人需提交完整的申报材料,由此正式进入安全审查申报程序。
值得注意的是,外商投资安全审查程序的正式启动及审查时间表以工作机制办公室确认当事人提交的申报材料符合要求为起算点。这意味着,若首次提交材料不完善的,当事人需根据工作机制办公室的意见补充,直至材料的完整性被认可。此外,《安审办法》中还规定了“停钟”制度,即在审查程序正式启动前后,当事人补充提供材料的时间也不计入法定审查期限。
2. 审查范围:需申报的交易类型与标准
根据《安审办法》对外商投资的定义[1],外商投资包括以下类型:外国投资者单独或者与其他投资者共同在中国境内投资新项目或者设立企业;外国投资者通过并购方式取得中国境内企业的股权或资产;外国投资者通过其他方式在中国境内投资。从上述的规定来看,几乎所有常见的外商投资交易类型均涵盖在《安审办法》中,未具体列明的交易场景也通过兜底条款进行覆盖。
进一步地,《安审办法》主要按照行业划分了两类需要进行申报的外商投资类型[2],一类是对于涉及军工、军事设施等国防安全领域的投资,无论外国投资者的投资比例或者是否取得控制权,均强制性要求申报;而对于第二类涉及基础设施、能源资源、关键技术等关系国家安全的重要领域,则需要以取得“实际控制权”为申报触发条件,即当外国投资者通过股权、协议安排或特殊权利约定等方式取得所投资企业“实际控制权”时须进行申报。
表1:需要进行申报的外商投资类型
《安审办法》对于“实际控制权”采用了较为广泛的定义,包括外国投资者持有所投资企业50%以上股权;外国投资者持有所投资企业股权不足50%时,对所投资企业的董事会、股东会或者股东大会的决议产生重大影响;其他导致对所投企业经营决策、人事、财务、技术等产生重大影响的情形。
对于所涉行业而言,《安审办法》仅止步于列出关系国家安全的 “重要领域”,并设置 “其他重要领域”的兜底条款,并未明确这些重要领域的具体判断标准,亦未发布具体的行业清单以供参考,这种判断上的弹性与不确定性又因审查过程及结果的不公开性而进一步放大——缺乏参考先例,这也使得实践中对 “重要领域” 的界定与解读成为核心难点。
从另一角度切入,结合近年来中国在网络安全与数据治理领域密集出台的《网络安全法》《数据安全法》《个人信息保护法》等法律法规,数据安全已明确上升至国家安全的战略高度。基于此,在对 “重要领域” 进行认定评估时,目标企业是否处理大规模个人信息或重要数据,其经营活动是否可能影响关键信息基础设施的安全性及稳定性,以及数据跨境流动是否存在潜在风险,已逐步成为关键估因素和维度。在实践操作中,涉数据密集型行业(如金融科技、云计算、出行平台、医疗健康等)或掌握重要数据的投资项目,其外资投资进入及股权变动事项,更易纳入国家安全审查的关注范围。
03
数据安全评估逐步成为国家安全审查的重要维度
2015年4月8日,国务院办公厅发布《自由贸易试验区外商投资国家安全审查试行办法》,首次将国家网络安全明确列入外商投资安全审查的范畴。而数据安全作为网络空间安全的核心支柱之一,《数据安全法》第二十四条规定的“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,该条款亦同步印证了国家对数据安全领域可能导致的国家安全的高度重视,以及对此类风险予以明确规制的立场。
在探讨数据安全在外商投资国家安全审查中的具体影响前,需先厘清网络安全审查制度的核心内涵与适用逻辑,因其存在紧密的衔接。2023年2月,中国证监会发布《境内企业境外发行证券和上市管理试行办法》,其第七条和第九条分别提出了企业境外发行上市过程中的数据合规要求,包括但不限于履行个人信息、重要数据出境合规义务,涉及安全审查时依法履行相关安全审查程序。在数据合规领域,前述安全审查程序通常是指通过我国《网络安全审查办法》确立的网络安全审查,其适用条件为:掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。同时,根据《网络安全审查办法》第十条,网络安全审查重点评估的国家安全风险因素包括:
a)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
b)产品和服务供应中断对关键信息基础设施业务连续性的危害;
c)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
d)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
e)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
f)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;以及
g)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
尽管现行国家安全审查制度未单独列明数据安全专项审查因素,但鉴于网络安全审查与外商投资安全审查的核心目标均为防范“影响或者可能影响国家安全”的风险,网络安全审查制度中关于数据安全的评估逻辑,可作为外商投资安全审查明晰数据安全风险点的重要参照。
根据现行数据及个人信息保护法律法规,结合我们的既有项目经验,涉及外商投资活动的中国企业建议重点关注以下数据安全因素:
是否收集和处理大量个人信息
《网络安全审查办法》设定的“100万用户个人信息”门槛,不仅是网络平台运营者赴境外上市主动申报审查的法定标准,也与多项个人信息保护专项合规要求的触发条件相衔接。例如,2025年7月国家网信办发布的《关于开展个人信息保护负责人报送工作的公告》,明确要求处理个人信息达到100万人的主体报送个人信息保护负责人;《人工智能拟人化互动服务管理暂行办法(征求意见稿)》第二十一条亦规定,注册用户达100万以上的服务提供者,需按规定开展安全评估并向属地省级网信部门提交报告。
但需特别提示,国家安全审查实践中,监管部门对企业处理个人信息的关注门槛可能显著低于100万。此前已有案例证明,某中国企业在与外资开展交易前,主动就国家安全审查事宜与国家发展改革委沟通,尽管目标企业主营业务未直接落入《安审办法》第四条规定的国家安全重要领域,但因其经营过程中收集了数十万级(未达100万)自然人个人信息,主管部门仍对其个人信息收集、处理、存储的合规性予以高度关注,并要求该交易依法申报国家安全审查。
此外,对于以供应链服务等ToB业务为主的企业,即便不直接面向社会公众提供服务,若在业务中处理、存储企业客户提供的个人信息(如数据中心受托存储客户数据等场景),亦不可低估合规风险。从监管视角来看,只要企业存在处理大量个人信息乃至敏感个人信息的可能性,就有可能因数据掌控能力被纳入“重要信息技术和互联网产品与服务”范畴,进而触发外商投资安全审查。
是否涉及重要数据
我国自《数据安全法》确立了包含重要数据在内的数据分级分类保护制度,并首次通过行政法规级别的《网络数据安全管理条例》明确了重要数据的具体内涵,即“指特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据”。[3]由重要数据的前述定义可知,因其泄露或非法利用可能直接危害国家安全,掌握重要数据的目标企业引入外商投资活动落入国际安全审查的范畴可谓是“题中应有之义”,这也与网络安全审查的逻辑相吻合。
根据现行法律法规与实践经验,判断企业是否掌握重要数据的标准主要分为两类:一是企业所属行业、领域或地区已出台对应的重要数据目录;二是由主管部门向企业作出明确告知。实践中,汽车领域、金融领域、电信领域等多个领域已通过部门规章、国家标准、行业标准等形式确立本行业领域内重要数据目录,北京自贸区、上海自贸区、海南自由贸易港等多地也已发布本地区数据跨境流动的负面清单,范围涵盖战略物资、大宗商品、自然资源、国防科技、卫生健康、互联网和电子商务等多种类型,为企业初步判断提供了明确指引。
是否涉及数据跨境活动
自《数据出境安全评估办法》《个人信息出境标准合同备案办法》及《促进和规范数据跨境流动规定》等相关规定构建起我国的数据出境监管体系后,数据跨境合规始终是网信办、公安部等监管部门的关注重点。
2025 年,某奢侈品企业因未通过数据出境安全评估、未订立个人信息出境标准合同,亦未完成个人信息保护认证,违规向境外总部传输用户个人信息,被公安网安部门依法处罚;此后,上海网信办亦对某酒店管理企业、某物业管理企业违规跨境传输个人信息的行为作出行政处罚并予以通报。[4]当前,数据作为新型生产要素的价值与作用持续凸显,市场主体的数据跨境流动需求随之快速增长,而数据跨境管理直接关乎国家安全。国家安全相关部门已多次发文[5],明确提示关注数据出境安全风险,上述执法案例与监管举措,均印证了数据跨境合规流动对维护国家安全的重要意义与关键作用。
是否为关键信息基础设施运营者提供产品或服务
关键信息基础设施作为一旦遭到破坏、丧失功能或者数据泄露可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统,[6]即使目标企业并非关键信息基础设施运营者,而仅为其提供产品或服务,也可能因其产品或服务对关键信息基础设施的安全性、稳定性的影响而直接对国家安全产生连带影响。
基于此,《关键信息基础设施保护安全保护条例》第十九条也提出了“运营者应当优先采购安全可信的网络产品和服务;采购网络产品和服务可能影响国家安全的,应当按照国家网络安全规定通过安全审查”的要求,并基于《网络安全审查办法》实际规范了相应安全审查的流程和要求。然而,关键信息基础设施运营者并非此触发条件唯一可能受到审查的主体,事实上,为其提供产品或服务的供应商也可能面临中央网信办启动的网络安全审查。例如,2023年3月,网信办对美光公司在华销售产品启动网络安全审查;同年5月,网信办认为“美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全……我国内关键信息基础设施运营者应停止采购美光公司产品”。尽管前述审查的核心为产品本身的安全性而非产品提供方的外资属性,但不难看出,在目标企业为关键信息基础设施运营者提供产品或服务的情况下,其服务本身也易成为触发国家安全审查的关键点。
04
审查流程和违规后果
1. 审查流程介绍
外商投资安全审查分为一般审查与特别审查两阶段。一般审查在决定审查之日起30个工作日内完成,但认为影响或可能影响国家安全的将启动特别审查,后者自启动之日起60个工作日完成,必要时可进一步延长。在审查期间,当事人不得实施投资。
2. 违规后果
《安审办法》规定了三种审查结果,若申报的外商投资经审查后认为不影响国家安全的,将获得通过安全审查的决定,当事人可以实施投资;若影响国家安全的,将取得禁止投资的决定;若附条件通过安全审查的,当事人应当按照附加条件实施投资。若被禁止投资的,当事人则不得实施投资,已经实施的,应当限期处分股权或者资产以及采取其他必要措施,恢复到投资实施前的状态,以消除对国家安全的影响。
未依法申报的法律后果同样具有强制约束力,对符合申报范围内的外商投资,当事人未依照《安审办法》的规定申报即实施投资的,由工作机制办公室责令限期申报;拒不申报的,责令限期处分股权或者资产以及采取其他必要措施,恢复到投资实施前的状态。
05
合规提示和建议
外商投资国家安全审查的透明度相对有限,执法机构享有较大的自由裁量权,加之审查周期缺乏明确预期,使得国家安全审查成为外国投资者参与在华投资项目的一项潜在考量点。
1. 针对目标公司:数据安全专项合规提示
(1)全面完整的梳理数据资产情况
在国家安全审查框架下,数据安全已从传统的技术合规问题,演变为可能直接决定交易能否通过的核心议题。以《网络安全法》《数据安全法》《个人信息保护法》及《网络安全数据管理条例》为基础,以各地区、各行业发布的重要数据识别规则或目录为抓手,提前梳理企业收集和处理个人信息情况、评估是否涉及重要数据处理及数据跨境,关注是否向关键信息基础设施运营者提供产品或服务。在梳理事实的基础上,核实其数据分类分级制度、安全防护措施、与第三方(如云服务商、数据分析合作方)的数据共享协议、数据出境安全保障机制的合法性与有效性,评估其现有合规体系是否能有效隔离国家安全风险。
(2)建立常态化的数据影响评估机制
建议企业建立以国家安全为导向的数据安全影响评估机制,构建内部评估模型。重点分析通过本次交易在法律、技术及实际操作层面对目标公司数据资产的访问、控制、获取、转移及利用的可能性与影响范围,力求在交易前期充分评估可行性与潜在风险。
(3)交易结构设计灵活化
在交易文件中设立数据安全“防火墙”。建立外商投资企业在数据管理、信息系统访问等方面受到限制的方案。若评估相关交易可能具有数据安全风险时,提前在交易协议中明确,若审查机关提出关于数据安全的结构性救济要求(如剥离特定数据业务、引入中方可信第三方管理数据),交易各方协作执行措施,并约定相关成本分担与责任机制。
2. 针对外国投资者:交易流程建议
(1)开展投资前全面风险评估
建立健全风险评估机制,在投资前对潜在投资项目的合规性、敏感性进行研判,识别可能触发审查的关键领域(如数据安全、关键技术等),关注和评估国家安全制度对交易的潜在影响。同时应持续关注投资国政策动态,特别是外资准入与国家安全审查相关法规的调整,确保投资全程符合法律与监管要求。
(2)加强与投资国政府机构、相关行业协会沟通
在投资过程中应注重与政府机构、行业协会等利益相关方的沟通与合作,建立良好的公共关系。通过积极参与当地经济建设、履行社会责任、推动技术转移和就业创造,增强各方对外资的信任与合作基础。
结语
中国的外商投资国家安全审查制度并非限制开放,而是通过“精准识别、分类管理”实现风险防控与市场准入的动态平衡。在这一过程中,数据安全作为国家安全的重要一环,已在审查实践中逐渐成为其关键评估维度与决策依据。通过对敏感领域的外商投资交易进行风险评估和审查,有效防范外资对国家安全核心领域的渗透,也通过“无国别原则”保障了国内外企业的公平竞争环境。
尽管该审查机制客观上构成外资准入的一项合规性考量因素,但其制度设计的初衷并非设置市场壁垒,而是在扩大对外开放与维护国家安全之间寻求精准适配的平衡点,因而建议投资者对其规则内涵与实操要求进行系统研判和审慎应对。
向下滑动阅览
脚注:
[1] 《外商投资安全审查办法》第二条。
[2] 《外商投资安全审查办法》第四条。
[3] 《网络数据安全管理条例》第六十二条。
[4] 网信上海:《亮剑浦江|强化网络数据安全 上海发布2025年执法典型案例》,https://mp.weixin.qq.com/s/W_EDyn0NIltRWO72L7dVyA, 2026年1月28日访问。
[5] 例如,2024年12月27日,国家安全部微信公众号发布《数据出境要注意安全》;2026年1月27日,国家安全部微信公众号发布《警惕这类数据跨国泄露》。
[6] 《关键信息基础设施安全保护条例》第二条规定,本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
业务领域:反垄断与反不正当竞争,以及网络安全与数据合规
在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
业务领域:网络安全、数据合规与治理
吴律师主要协助企业在数字经济转型期发挥数据驱动力,实现数字化转型、数据商业化及智能化应用。具体包括协助客户制定修改隐私政策、算法可解释性声明,制定跨境数据传输计划,制定数据商业化合规方案,搭建算法治理体系,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系等。吴律师擅长从中国合规的角度为跨国企业在中国的分支机构提供网络安全、数据治理及智能合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国(CCPA)等跨司法辖区要求的网络安全、数据合规及智能化监管体系。项目覆盖金融、保险、健康医疗、人工智能、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
张天杰
顾问
合规业务部
裴梦然
主办律师
合规业务部
刘畅
律师
合规业务部
封面图源:画作·林子豪
声明:本文来自金杜研究,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
