“一带一路”背景下中国企业境外并购的网络安全和数据合规问题

作者：宁宣凤 吴涵 李沅珊

来源：金杜说法（ID：KWM_China）

随着“一带一路”倡议的推进，据估计，未来5年中国对沿线国家和地区的投资预计将达到1,500亿美元。[1] 可以预见，中国企业通过并购境外企业而“走出去”的需求将日益增多。在中国企业海外业务拓展的过程中，境内母公司和被并购的境外公司之间可能因为经营需要或者业务往来而需要进行大量的数据跨境传输，从而引发数据存储和数据传输的网络安全问题。

目前全球大部分国家都已经建立个人数据保护法规，根据澳大利亚著名隐私保护学者Graham Greenleaf的统计，早在2015年2月，全球制定了个人数据保护法规的国家和地区增加到109个。[2]考虑到个人数据保护立法的普遍性，“一带一路”背景下，中国企业的境外并购不免将受到当地政府部门有关网络安全和数据合规方面的审查，尤其是针对于2017年6月1日实施的《中华人民共和国网络安全法》（以下简称“《网安法》”）将对境外被并购企业收集的境外公民个人信息和重要数据安全保护的影响。

另一方面，《网安法》以及配套措施也对网络运营者包括关键信息基础设施运营者的网络建设、运营、维护和使用制定了一系列规则。这些规则可能对中国企业海外并购的目的和交易后的运营成本产生实质性影响。

基于以上，本文将重点分析：（1）《网安法》对于境外政府审查中国企业并购境外实体的影响；（2）《网安法》对于境外并购交易目的实现以及企业运营成本的影响。 [3]

《网安法》对境外政府审查中国企业境外并购交易的影响

网络安全对于公民、法人和其他组织合法权益的保护具有重要影响，同时数据作为国家、企业具有价值资源的地位也被普遍认可。[4]数据在被越来越多国家认定为“战略资源”的当下，境外政府对于中国企业境外并购主要关注的网络安全和数据合规问题至少包括：

（1）《网安法》下，境外企业收集的境外公民个人信息数据是否被要求在中国境内存储；（2）《网安法》下，境外企业收集的境外公民个人信息数据是否可能被中国政府获得。 

1. 有关境外公民个人信息数据的本地化存储问题

为了保护本国公民的合法权益，不少国家均要求网络运营者在本国境内运营中收集和产生的个人信息数据在境内存储，甚至对于成立地在本国以外的机构来说，只要其在提供产品或者服务的过程中处理了本国/本司法辖区个体的个人数据，将需适用本国/本司法辖区的网络安全和数据保护规则。例如，欧盟《一般数据保护条例》（General Data Protection Regulation，简称GDPR）最新规定，即使数据控制者在欧盟境内没有设立机构，但其在跨境提供商品或服务的过程中收集处理欧盟公民数据，则也应当适用欧盟数据保护法规。[5]

根据《网安法》第三十七条规定，我国要求关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。我国关于网络安全和数据保护的“属地原则”和以欧盟为代表的 “属人原则”可能存在冲突。依据GDPR的规定，交易后企业若在中国境内存储欧盟公民个人信息，则中国整体以及交易后企业对于数据安全的保护程度需达到足够保护的标准（adequate level of protection）。如果交易双方无法证明符合足够保护标准的要求，交易可能在其他司法辖区受到质疑。

2. 外国公民个人信息可能被中国政府获悉的风险

交易后，如果中国企业通过并购导致外国企业的控制权，境内并购方作为控制人，可以对境外公司的日常运营和战略决策产生决定性的影响，并要求境外企业将收集和产生的外国公民个人信息提供给境内并购方存储或者使用。其次，从运营结构而言，交易后境外被并购方的业务可能面临重组。境外公司收集的外国公民个人信息可能与境内并购方的网络或者关键信息基础设施对接。在上述背景下，国外司法辖区可能会关注，国家网信部门在对于中国境内网络运营者建设、运营、维护和使用网络的监督管理中，是否能获悉外国公民个人信息。

到目前为止，为了配合《网安法》的实施，国家互联网信息办公室（以下简称“网信办”）还发布了《个人信息和重要数据出境安全评估办法（征求意见稿）》（以下简称“《安全评估办法（征求意见稿）》”）和《网络产品和服务安全审查办法（试行）》（以下简称“《审查办法》”）。[6]在目前的《网安法》及配套措施下，可能被中国政府获悉外国公民个人信息情形至少包括以下四种：个人信息和重要数据跨境传输的安全评估、对关键信息基础设施的安全风险抽查和对关系国家安全的网络和信息系统采购的重要网络产品和服务进行的网络安全审查、以及为配合政府部门履行维护网络安全或者其他公职义务的协助和支持。[7]

（1）对网络运营者数据跨境的主管部门评估

依据《网安法》第三十七条的规定，关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要，确需向境外提供的，应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估；法律、行政法规另有规定的，依照其规定。

《安全评估办法（征求意见稿）》进一步将以上《网安法》第三十七条的规制主体从关键信息基础设施的运营者扩大到了网络运营者，甚至要求其他个人和组织参照适用。对于达到《安全评估办法（征求意见稿）》第九条标准的出境数据，网络运营者应报请行业主管或监管部门组织安全评估（即主管部门评估）。在对数据出境的主管部门评估中，应重点评估的内容包括但不限于涉及个人信息和重要数据的情况，包括个人信息和重要数据的数量、范围、类型、敏感程度等。由于《个人信息和重要数据出境安全评估指南》尚未出台，基于以上数据跨境主管部门评估的规定，不能排除被并购主体收集的外国公民或政府的个人信息和重要数据在跨境数据主管部门评估中被中国政府获悉的可能性。

（2）对关键信息基础设施的安全风险抽查

《网安法》第三十九条第一项规定，国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测，必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。如果被收购的境外企业由于经营需要或者业务安排与境内网络经营者的系统对接，则可能会被认定为境内网络运营者关键信息基础设施的组成部分，则不能排除其收集的外国公民或政府的个人信息和重要数据在国家网信部门统筹的安全风险抽查中被中国政府获悉。

此外，由于目前关键信息基础设施的定义不明确，增加了对其进行安全风险抽查范围的不确定性。

首先，《网安法》对关键信息基础设施涉及的行业进行了非完全性的列举。

我国在2015年7月公布的《网络安全法（草案）》中，将涉及关键信息基础设施的行业进行了较为详尽的列举，包括：提供公共通信、广播电视传输等服务的基础信息网络，能源、交通、水利、金融等重要行业和供电、供水、供气、医疗卫生、社会保障等公共服务领域的重要信息系统，军事网络，设区的市级以上国家机关等政务网络，用户数量众多的网络服务提供者所有或管理的网络和系统。然而，目前正式颁布的《网安法》，则删除了所列举的关键信息基础设施范围，改为从遭到破坏、丧失功能或者数据泄露的严重后果为导向对关键信息基础设施进行了更为概括性的描述，即“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。” [8] 随后网信办2016年12月27日发布的《国家网络空间安全战略》中有关关键信息基础设施的定义与之类似，但行业列举范围有所扩大。[9]

有关关键信息基础设施的认定步骤，目前仅在网信办2016年6月向其地方执法机构下发的《国家网络安全检查操作指南》有所提及。根据该指南，关键信息基础设施的确定，通常包括三个步骤，一是确定关键业务，二是确定支撑关键业务的信息系统或工业控制系统，三是根据关键业务对信息系统或工业控制系统的依赖程度，以及信息系统发生网络安全事件后可能造成的损失认定关键信息基础设施。[10] 同时，指南明确指出关键信息基础设施包括三类：（1）网站类，如党政机关网站、企事业单位网站、新闻网站等；（2）平台类，如即时通信、网上购物、网上支付、搜索引擎、电子邮件、论坛、地图、音视频等网络服务平台；（3）生产业务类，如办公和业务系统、工业控制系统、大型数据中心、云计算平台、电视转播系统等。但是，该指南的发布早于《网安法》的颁布，因此不可能成为《网安法》下的配套细则。另外，根据该指南自身所载说明，其依据是《关于开展键信息基础设施网络安全检查的通知》（中办发2016 第3号），目的是指导关键信息基础设施网络安全检查工作。随着检查工作于2016年12月底结束，配合检查工作发布的指南是否依然有效有待网信办的进一步确认。目前尚不确定，预期正在制定的《关键信息基础设施识别指南》是否会参考《国家网络安全检查操作指南》中有关关键信息基础设施的范围界定和认定步骤的规定。

尽管《网安法》对于关键信息基础设施的范围有不完全列举，关键信息基础设施认定的步骤仍不明确，在《关键信息基础设施识别指南》尚未出台的情况下，识别关键信息基础设施仍有很大的不确定性。有学者认为，大部分行政管理部门受行政教条、“条块”管理的影响，实践中易将本部门所管辖重要行业确定为关键信息基础设施保护范围， [11] 从而给关键信息技术设施的管理带来了不确定性。而国外实行关键信息基础设施保护的国家，如美国，则是通过行政法律文件明确保护范围与重点。从克林顿政府时期的八类关键基础设施，到小布什政府时期的十八类，以及奥巴马政府时期的十六类，美国关键基础设施都有明确的法定范畴。 [12]

其次，目前《网安法》并未明确与关键信息基础设施的系统对接是否可能会被认定为关键信息基础设施的一部分。

由于《网安法》对于关键信息基础设施范围界定的不确定性，即使境外被并购方在交易后仍然保持独立运营，其与境内并购方的关键信息基础设施可能不可避免的基于运营管理或者业务需要而系统对接，因此不排除有被认定为关键信息基础设施组成部分的可能性。典型的情况是，境内收购方企业在交易后为境外被收购方提供云储存或者计算服务。如果境内收购方企业的云服务平台被认定为关键信息基础设施，将业务系统与云服务平台对接的被收购方的自身业务网络是否被认定为关键信息基础设施组成部分尚待明确。

除了业务平台的对接，实践中，境外被收购方的邮件系统或财务运营网络可能与境内收购方的关键信息基础设施实现对接，从而境外被收购方的邮件系统或财务运营网络是否会被认定为境内收购方的关键信息基础设施组成部分也有待明确。

（3）对重要网络产品和服务进行的网络安全审查

依据《审查办法》的第二条，关系国家安全的网络和信息系统采购的重要网络产品和服务，应当经过网络安全审查。在进行网络安全审查的过程中，将重点审查网络产品和服务的安全性、可控性，其中包括产品和服务提供者利用提供产品和服务的便利条件非法收集、存储、处理、使用用户相关信息的风险。[13] 因此，不能排除境外企业收集的外国公民个人信息在传输至境内的过程中被收购主体使用的网络产品和服务提供者收集，并由网信办会同有关部门成立的网络安全审查委员会在组织实施对重要网络产品和服务进行的网络安全审查过程中获悉。

（4）配合政府部门履行网络安全或者其他公职义务的协助和支持

如上所述，境外被收购主体系统中收集的外国公民个人信息数据如果与境内收购方的网络、关键信息基础设施对接，可能依据《网安法》的规定受到一系列的监管。而网络运营者对网信部门和有关部门依法实施的监督检查，应当予以配合。 [14]由于具体监管实施细则尚未发布，不排除网络运营者在监督检查中被要求披露收集的个人信息和重要数据的可能。 

此外，根据《网安法》第二十八条，网络运营者应当为公安机关、国家安全机关依法维护国家安全和侦查犯罪的活动提供技术支持和协助。实践中不排除境外被收购主体收集的外国公民个人信息数据在上述活动中向政府披露。

综上所述，由于《网安法》和其他国家关于个人信息和数据保护规定的冲突，以及境外公民个人信息可能依据《网安法》被我国政府知悉，而在《网安法》尚未实施以及其实施细则尚未完全到位的情况下，海外并购可能会因为网络安全和数据保护的合规问题受到其他司法辖区的质疑。

《网安法》对于境外并购目的和交易后运营成本的影响

对于中国企业境外并购而言，其目的多为实现境外业务的整合和拓展。为了整合和拓展业务，境外被并购主体收集和产生的数据可能被传回境内总部进行处理和分析，并进一步传回境外被并购主体指导商业行为，因此数据的跨境传输可能成为中国企业“走出国门”后的常态。

然而，《网安法》以及《安全评估办法（征求意见稿）》对网络运营者的数据跨境提出了安全评估的前置条件，可能增加了中国企业境外并购后的经营成本，并且影响境外并购的目的。

第一，对于数据跨境需普遍征得个人信息主体同意的要求

依据《安全评估办法（征求意见稿）》第四条的规定，个人信息出境，应向个人信息主体说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区，并经其同意。然而，在实际的数据跨境过程中，具体的个人信息主体可能难以被识别且难以被复原。即使在此种情况下，数据出境也需获得相关个人主体同意，可能对数据跨境造成实质性的障碍。在之后的《数据出境安全评估办法》修改稿中，是否会列举数据跨境征得个人信息主体同意的例外情况值得我们关注。

第二，主管部门评估的适用标准和审查时限

《安全评估办法（征求意见稿）》设定的主管部门评估标准依然存在不确定性。除了以上所述《安全评估办法（征求意见稿）》对于本地数据存储和数据跨境传输规制主体的范围有所扩大，数据跨境主管部门评估的适用标准也可能存在门槛过低的问题。

一方面，依据《安全评估办法（征求意见稿）》要求，出境数据存在以下情况之一的，网络运营者应报请行业主管或监管部门组织安全评估：（一）含有或累计含有50万人以上的个人信息；（二）数据量超过1000GB。对于社交网络行业的数据跨境传输很容易满足第（一）项“含有或累计含有50万人以上的个人信息”的要求，而对于电影数码等行业的数据跨境传输很容易满足第（二）项“数据量超过1000GB”的要求 [15] 。因此，目前数据跨境主管部门评估的适用标准可能门槛过低，导致网络运营者需投入成本为日常运营的跨境传输申请主管部门评估。

另一方面，《安全评估办法（征求意见稿）》规定了主管部门评估的基本时限，要求行业主管或监管部门组织的安全评估，应当于六十个工作日内完成。由于评估过程中数据跨境传输是否需要停止并未明确规定，尤其是对于数据处理和传输有时效性要求的互联网企业，其日常业务运营可能因为最长可达六十天的主管部门评估而受到阻碍。

第三，每年至少进行一次安全评估和重新进行安全评估的安排

除了安全评估，网络运营者网络运营者应根据业务发展和网络运营情况，每年对数据出境至少进行一次安全评估，及时将评估情况报行业主管或监管部门。安全评估的硬性要求将增加并购境外企业后的运营成本。

此外，当数据接收方出现变更，数据出境目的、范围、数量、类型等发生较大变化，数据接收方或出境数据发生重大安全事件时，应及时重新进行安全评估。[16] 根据要求，未来并购境外企业后，数据传输可能需要采用数据归类，分类统筹，定点管理等方式来避免因为重新评估带来的合规、评估时间等方面的成本。

第四，禁止数据跨境的情形

《安全评估办法（征求意见稿）》规定，存在以下情况之一的，数据不得出境：（一）个人信息出境未经个人信息主体同意，或可能侵害个人利益；（二）数据出境给国家政治、经济、科技、国防等安全带来风险，可能影响国家安全、损害社会公共利益；（三）其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的。 [17]

然而，从文本本身看来，这三类数据的认定标准仍较为宽泛。首先，就“个人信息”而言，在出境环节强调法定的知情同意原则确有必要，但现实中将难以准确判断何种数据出境行为具有或不具有“侵害个人利益”的可能；其次，以“可能影响国家安全、损害社会公共利益”为标准或在兜底条款中引入“有关部门”的自由裁量权，将会在一定程度上增加了判断标准的不确定性，同时也可能影响本条的可操作性，让网络运营者难以合理预期禁止数据跨境的情形。

综上所述，中国境内企业并购境外企业需要考虑到数据跨境传输的要求，评估其可能带来的关于合规、评估时间等方面的成本。此外，由于数据跨境传输的限制，中国境内企业还需要考虑交易后数据跨境的统筹安排。

企业合规建议

在《网安法》配套细则尚未完全出台的情况下，对于关键信息基础设施的范围认定等问题尚不确定，为了减少交易来自其他司法辖区审查机构的质疑，也为了准确评估海外并购目的和成本，中国企业一方面需要考虑采取有效措施，例如与被并购的境外企业之间建立防火墙等多种方式，打消其他司法辖区审查机构的疑虑，促使交易顺利进行；同时也需要考虑目前《网安法》的要求对于数据跨境传输等问题可能对交易目的和成本影响，对于企业内部数据流转、平台管理等方面进行提前准备。

《网安法》的配套实施细则包括诸多行业的技术标准会在6月1日前后发布。配套实施细则对于《网安法》的落地具有重要意义，企业需密切关注这些实施细则的发布，并主动与行业监管机构以及细则发布机构沟通，从而了解符合《网安法》规定的最佳行业操作指南。尤其对于可能被认定为关键信息基础设施的运营者，或者将被关键信息基础设施的运营者并购的企业，需关注相关法律法规及政策的发展，尤其是本文中提到的问题在之后的实施细则中是否已得到进一步解决或说明，从而确保交易后企业日常运营中的合规性。

1 新浪财经，大手笔！中国对“一带一路”沿线国家和地区投资将达1500亿美元，发布于2017年05月15日，http://finance.sina.com.cn/roll/2017-05-15/doc-ifyfekhi7777894.shtml。

2 Graham Greenleaf, Global Data Privacy Laws 2015: 109 Countries, with European Laws Now a Minority, (2015) 133, Privacy Laws & Business International Report, February 2015. 

3 《中华人民共和国网络安全法》于2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过，自2017年6月1日起施行。

4 有关数据对于企业的价值，请参见：经济学人，当数据成为新时代的石油，2017年5月6日。

5 REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)，O.J.L119/1，第三条。

6 网信办分别于2017年4月11日发布了《数据跨境安全评估办法》（征求意见稿），2017年5月2日发布《审查办法》并将于2017年6月1日起实施。

7 主管部门评估是相对于自行评估而言。《数据跨境安全评估办法（征求意见稿）》第七条要求网络运营者应在数据出境前，自行组织对数据出境进行安全评估。当跨境数据达到一定标准时，网络运营者应报请行业主管或监管部门组织安全评估（即“主管部门评估”）

8 《网安法》，第三十一条。

9 依据《国家网络空间安全战略》第四点第（三）项，国家关键信息基础设施是指关系国家安全、国计民生，一旦数据泄露、遭到破坏或者丧失功能可能严重危害国家安全、公共利益的信息设施，包括但不限于提供公共通信、广播电视传输等服务的基础信息网络，能源、金融、交通、教育、科研、水利、工业制造、医疗卫生、社会保障、公用事业等领域和国家机关的重要信息系统，重要互联网应用系统等。

10 《关于开展键信息基础设施网络安全检查的通知》，第3.2部分。

11 顾伟，美国关键信息基础设施保护与中国等级保护制度的比较研究及启示，电子政务，2015年第7期（总第151期），第97页。

12 同上。

13 《审查办法》，第四条第（三）项。

14 《网安法》，第四十九条。

15 据了解，数据量的要求有可能在最终办法中删除。

16 《数据出境安全评估办法（征求意见稿）》，第十二条。

17 《网安法》，第十一条。