中概股上市視閾下數(shù)據(jù)跨境風(fēng)險(xiǎn)的域外管轄

□ 文 王諾方

0 引言

國家互聯(lián)網(wǎng)信息辦公室發(fā)布《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見稿）》自2022年2月15日起施行，重點(diǎn)放在數(shù)據(jù)“出境”和國外上市的關(guān)鍵信息基礎(chǔ)設(shè)施（“關(guān)基”）所掌握數(shù)據(jù)“被國外政府影響、控制、惡意利用”的風(fēng)險(xiǎn)，監(jiān)管對象直指赴美上市中概股暗含的國家數(shù)據(jù)及網(wǎng)絡(luò)安全問題。數(shù)據(jù)作為企業(yè)重要發(fā)展資源，其顯著特征是以大量的個(gè)人信息和社會交往信息為積累基礎(chǔ)，形成數(shù)據(jù)分析與算法的優(yōu)勢。然而，隨著企業(yè)所攜大量數(shù)據(jù)的重要性程度加深，其赴境外上市的行為也自然關(guān)涉國家數(shù)據(jù)安全和數(shù)據(jù)跨境問題。

1 中概股數(shù)據(jù)資產(chǎn)應(yīng)用與國家安全風(fēng)險(xiǎn)

本文選取從2020年1月1日到2021年6月30日止，赴美上市的共71家中概股企業(yè)為研究對象，其中68家中概股均為在開曼或英屬維京群島注冊、以小紅籌模式境外上市的離岸公司。

首先，對數(shù)據(jù)應(yīng)用型中概股進(jìn)行篩選，包含擁有數(shù)據(jù)資源和使用數(shù)據(jù)統(tǒng)合或分析支持經(jīng)營共54家。需要強(qiáng)調(diào)的是，任何企業(yè)經(jīng)營均可能形成各類業(yè)務(wù)、財(cái)務(wù)、管理數(shù)據(jù)并加以分析運(yùn)用，但此處數(shù)據(jù)應(yīng)用型企業(yè)特指在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》規(guī)制內(nèi)，形成于大數(shù)據(jù)時(shí)代的，包含平臺用戶信息、人口信息、地理信息等關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)。同時(shí)，區(qū)分了企業(yè)技術(shù)支持與數(shù)據(jù)支持的差別，前者例如以實(shí)業(yè)產(chǎn)品/服務(wù)制造銷售、人工智能研發(fā)、服務(wù)器管理等為主營業(yè)務(wù)的企業(yè)，所掌握的數(shù)據(jù)多為商業(yè)及技術(shù)秘密，不在本文關(guān)注范圍內(nèi)，后者則為利用數(shù)據(jù)收集與積累進(jìn)行分析計(jì)算，并將之作為成果應(yīng)用于提供服務(wù)，除了需要遵守個(gè)人信息隱私保護(hù)的規(guī)制外，尚有考慮國家安全的必要性。

其中，“用戶數(shù)據(jù)”包括平臺注冊用戶的個(gè)人財(cái)務(wù)信息、訂單信息、住房信息、健康信息、醫(yī)療記錄、生物識別信息、血液樣本信息等來自個(gè)體的數(shù)據(jù)?！俺?00萬用戶數(shù)據(jù)”根據(jù)企業(yè)披露文件中截止最新時(shí)間的累積用戶數(shù)量計(jì)算?！爸匾獢?shù)據(jù)”與“其他數(shù)據(jù)”的劃分標(biāo)準(zhǔn)源于對信息安全標(biāo)準(zhǔn)化技術(shù)委員會《信息安全技術(shù)數(shù)據(jù)出境安全評估指南（征求意見稿）》對金融、人口健康、電子商務(wù)、交通運(yùn)輸業(yè)的企業(yè)所掌握的歸類為重要數(shù)據(jù)，例如保險(xiǎn)、地理、腫瘤基因數(shù)據(jù)等。在企業(yè)擁有數(shù)據(jù)資源的基礎(chǔ)上，細(xì)分依靠數(shù)據(jù)收集與分析進(jìn)行經(jīng)營的企業(yè)和數(shù)據(jù)處理成為核心技術(shù)產(chǎn)生競爭優(yōu)勢的企業(yè)，兩者的區(qū)別在于對數(shù)據(jù)要素利用程度的不同。如表1。

表1 2020、2021年上市中概股企業(yè)數(shù)據(jù)應(yīng)用情況

可以發(fā)現(xiàn)，近兩年內(nèi)赴美上市中概股中涉及數(shù)據(jù)資產(chǎn)的比例高達(dá)79%，超百萬用戶數(shù)據(jù)的運(yùn)營比例達(dá)37%，47%的企業(yè)均使用數(shù)據(jù)資源驅(qū)動技術(shù)與經(jīng)營，其中81%的企業(yè)將數(shù)據(jù)分析與測算列為企業(yè)核心競爭優(yōu)勢之一。而且，根據(jù)企業(yè)披露，至少有87%的數(shù)據(jù)應(yīng)用型企業(yè)的數(shù)據(jù)均主要來源于境內(nèi)。如圖1。

圖1 68家中概股的各行業(yè)占比

根據(jù)披露文件中關(guān)于風(fēng)險(xiǎn)披露和法律法規(guī)列示，僅15%數(shù)據(jù)應(yīng)用型企業(yè)在披露《網(wǎng)絡(luò)安全法》的同時(shí)提示了國家對關(guān)基的監(jiān)管要求，僅有9%的企業(yè)全面揭示了關(guān)基運(yùn)營者的數(shù)據(jù)跨境風(fēng)險(xiǎn)和對境內(nèi)數(shù)據(jù)本土化的規(guī)制。如表2。

表2 數(shù)據(jù)應(yīng)用型中概股的數(shù)據(jù)風(fēng)險(xiǎn)披露情況

隨著中概股企業(yè)對數(shù)據(jù)資產(chǎn)應(yīng)用的程度不斷加深，企業(yè)經(jīng)營對大數(shù)據(jù)積累下的分析計(jì)算依賴漸強(qiáng)，數(shù)據(jù)及網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的重要性也正在凸顯。理論上，中概股境外上市并不涉及直接的數(shù)據(jù)出境行為，其主要營業(yè)地和總部仍設(shè)于境內(nèi)，收集并處理數(shù)據(jù)的行為也依靠境內(nèi)服務(wù)器進(jìn)行。但是，中概股的數(shù)據(jù)風(fēng)險(xiǎn)恰不在于數(shù)據(jù)本身的直接轉(zhuǎn)移，而在于其作為離岸注冊公司在境外上市后處于別國證券監(jiān)管之下存在的安全隱患，如在美國《澄清域外合法使用數(shù)據(jù)法案》即CLOUD法案賦予美國監(jiān)管主體的域外資產(chǎn)的審查資格的背景下，數(shù)據(jù)“本地化”的失靈。中概股迫于別國監(jiān)管壓力仍可能在數(shù)據(jù)與服務(wù)器不直接轉(zhuǎn)移的前提下，向境外披露審計(jì)底稿、經(jīng)營信息和數(shù)據(jù)資產(chǎn)。

根據(jù)2015年7月1日通過的《國家安全法》第25條，國家對關(guān)基和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)擁有主權(quán)。該概念來源于數(shù)據(jù)是國家，人、事、物在網(wǎng)絡(luò)空間中的記錄，應(yīng)受領(lǐng)土主權(quán)管轄的邏輯，系主權(quán)國家最高權(quán)力在本國數(shù)據(jù)領(lǐng)域的外化，協(xié)調(diào)數(shù)據(jù)跨境流動需求和公共利益安全管控。這使得中概股企業(yè)持有的國家級基礎(chǔ)及重要數(shù)據(jù)與國家安全、公共利益和社會穩(wěn)定息息相關(guān)，而不僅僅局限于個(gè)人作為信息產(chǎn)生主體的隱私保護(hù)要求，2021年6月10日通過的《數(shù)據(jù)安全法》更是直接將數(shù)據(jù)安全提升至國家安全層面。

2 域內(nèi)外數(shù)據(jù)跨境流動規(guī)制分析

2.1 “隱私導(dǎo)向”與“市場導(dǎo)向”的規(guī)制模式

歐盟于1995年的《個(gè)人數(shù)據(jù)保護(hù)指令》（EU Directive 95/46 EC）（以下簡稱《指令》）提出了數(shù)據(jù)向第三國流動的著名認(rèn)定標(biāo)準(zhǔn)——“充分保護(hù)”原則，2018年《通用數(shù)據(jù)保護(hù)條例》（以下簡稱GDPR）將這一標(biāo)準(zhǔn)下的管轄權(quán)擴(kuò)大到向歐盟公民提供服務(wù)或在歐盟市場內(nèi)經(jīng)營的公司。這代表了對于數(shù)據(jù)跨境問題基本采取了“隱私導(dǎo)向”的規(guī)制模式。但是，中概股視閾下的數(shù)據(jù)安全問題并不僅僅來自于對個(gè)人隱私信息的擔(dān)憂，個(gè)人數(shù)據(jù)“充分保護(hù)”標(biāo)準(zhǔn)的要求可以解決數(shù)據(jù)直接跨境中的個(gè)人權(quán)益問題，卻無法回應(yīng)我國對“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”和國家數(shù)據(jù)安全的關(guān)切。

反觀美國，借2004年亞太經(jīng)合組織APEC的《隱私保護(hù)框架》初步確立了促進(jìn)跨境數(shù)據(jù)自由流動的主旨。2013年通過的《跨境隱私規(guī)則體系》引入隱私執(zhí)法機(jī)構(gòu)和問責(zé)制，形成建立在國際條約上有較強(qiáng)影響力的數(shù)據(jù)自由流動的市場自律模式。而其與歐盟間的數(shù)據(jù)跨境協(xié)定《安全港協(xié)議》和《隱私盾協(xié)議》卻二度無效。究其根本，不僅僅是因?yàn)閮烧咴跀?shù)據(jù)保護(hù)理念和體系上的差異，更因美國不斷擴(kuò)張的“國家安全”霸權(quán)，借由企業(yè)的全球化優(yōu)勢與歐盟間形成實(shí)質(zhì)單向的數(shù)據(jù)跨境流動，進(jìn)而影響歐盟的“技術(shù)主權(quán)”。

對比美國數(shù)據(jù)跨境的自由度、市場導(dǎo)向的行業(yè)自律模式和對企業(yè)組織的問責(zé)制執(zhí)法路徑，我國現(xiàn)行立法中對數(shù)據(jù)跨境呈現(xiàn)出嚴(yán)格限制。但必須澄清的是，我國并未否定數(shù)據(jù)跨境，而諸如《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》的數(shù)據(jù)本地化要求和《證券法》對外禁止提供資料要求，是在“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”概念上提出的，針對的是境外注冊并上市的大型中概股企業(yè)。換角度看，美國數(shù)據(jù)自由市場化的前提也正是其問責(zé)制和監(jiān)管管轄的強(qiáng)力和有效性，然而中概股受制于其自身的VIE結(jié)構(gòu)，實(shí)際脫離了營業(yè)地國家的法律管轄，是我國無法效仿美式做法的直接理由，也是我國目前正積極建立安全審查執(zhí)行權(quán)的直接原因。

2.2 數(shù)據(jù)主權(quán)下的國家安全審查路徑

數(shù)據(jù)出境方面，2017年和2019年的個(gè)人信息和重要數(shù)據(jù)出境安全評估二意見稿，正式提出了安全評估辦法，并以“50萬人以上個(gè)人信息”“數(shù)據(jù)量超過1000GB”“核設(shè)施、化學(xué)生物、國防軍工、人口健康等領(lǐng)域數(shù)據(jù)”“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者向境外提供”等作為觸發(fā)安全評估的條件。同時(shí)，對數(shù)據(jù)跨境可能給“國家政治、經(jīng)濟(jì)、科技、國防”安全帶來風(fēng)險(xiǎn)，影響“國家安全、社會公共利益”的情形作為跨境限制。

此次網(wǎng)絡(luò)安全審查則來自于由《網(wǎng)絡(luò)安全法》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《網(wǎng)絡(luò)安全審查辦法》形成的規(guī)制框架。根據(jù)法規(guī)，關(guān)鍵信息基礎(chǔ)設(shè)施指“一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國家安全、國計(jì)民生、公共利益”的重要網(wǎng)絡(luò)設(shè)施和信息系統(tǒng)，具體包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域。以上運(yùn)營者負(fù)有境內(nèi)收集和產(chǎn)生的個(gè)人信息等重要數(shù)據(jù)的本地化存儲和配合網(wǎng)絡(luò)安全審查的義務(wù)。其中，針對“用戶數(shù)量超100萬”的運(yùn)營者“赴國外上市”事項(xiàng)，增設(shè)網(wǎng)絡(luò)安全審查。以樣本數(shù)據(jù)分析，符合這一特征的中概股達(dá)37%，而“國外上市”表述可理解為赴港上市將不屬于此條規(guī)制范圍。如表3。

表3 我國中概股數(shù)據(jù)跨境相關(guān)法律規(guī)定框架

如果將“良好的數(shù)據(jù)保護(hù)”“跨境數(shù)據(jù)自由流動”和“數(shù)據(jù)保護(hù)自主權(quán)”以三元悖論的架構(gòu)進(jìn)行分析，我國目前數(shù)據(jù)跨境監(jiān)管的態(tài)度正處在保證數(shù)據(jù)保護(hù)自主權(quán)的基礎(chǔ)上，在數(shù)據(jù)保護(hù)和自由流動之間，亦即歐盟數(shù)據(jù)跨境的充分保護(hù)和美國的自由流動之間。基于我國融數(shù)據(jù)安全、經(jīng)濟(jì)安全、文化安全、資源安全等一體的“綜合安全觀”，《數(shù)據(jù)安全法》明確了“中央國家安全領(lǐng)導(dǎo)機(jī)構(gòu)”對數(shù)據(jù)安全事宜的主管地位，還明確了“總體國家安全觀”的統(tǒng)領(lǐng)作用。

3 中概股數(shù)據(jù)跨境風(fēng)險(xiǎn)規(guī)制路徑

3.1 中概股域外管轄權(quán)基礎(chǔ)

傳統(tǒng)國際法將屬地管轄作為原則，屬人管轄權(quán)、保護(hù)管轄權(quán)和普遍管轄權(quán)均歸為“域外管轄權(quán)”。歐盟便是在保護(hù)、屬人、屬地管轄權(quán)混合的法理基礎(chǔ)上確立了數(shù)據(jù)跨境規(guī)制的域外管轄權(quán)，GDPR規(guī)定對在其境內(nèi)的數(shù)據(jù)主體的個(gè)人數(shù)據(jù)處理行為都需要受到該法管轄，即遵循“效果原則”對任何處理歐盟居民信息并提供服務(wù)的企業(yè)施加個(gè)人數(shù)據(jù)保護(hù)法律責(zé)任。同樣的，美國CLOUD法案授權(quán)美國監(jiān)管、執(zhí)法、司法部門通過國內(nèi)法律程序調(diào)取美國公司儲存在境外的數(shù)據(jù)。以上均為國際上數(shù)據(jù)立法中業(yè)已確立的域外管轄權(quán)，為的是在數(shù)據(jù)治理上確保不輸于別國的話語權(quán)。

我國對中概股數(shù)據(jù)跨境風(fēng)險(xiǎn)問題在國家安全審查的基礎(chǔ)上，可能的構(gòu)建路徑是以《證券法》第2條第4款和第224條為基礎(chǔ)的保護(hù)管轄?！蹲C券法》規(guī)定國家對“擾亂境內(nèi)市場秩序，損害境內(nèi)投資者合法權(quán)益”的境外證券發(fā)行和交易活動具有管轄權(quán)，結(jié)合條款文義亦包含境外發(fā)行人股票、存托憑證在境外市場的上市、發(fā)行行為。盡管中概股對數(shù)據(jù)資產(chǎn)的使用處理不在證券法的管轄范圍內(nèi)，但其赴國外的上市行為卻應(yīng)當(dāng)屬于《證券法》規(guī)范的證券市場活動。在境內(nèi)市場秩序或投資者利益的“實(shí)質(zhì)性”影響認(rèn)定上，由于中概股企業(yè)大量經(jīng)營業(yè)務(wù)均在境內(nèi)進(jìn)行，其在境外的信息披露與受到的審查均將直接影響到境內(nèi)業(yè)務(wù)的開展，《證券法》亦未將市場秩序限制于證券市場，仍存在合理解釋的空間。

3.2 域外管轄的行使標(biāo)準(zhǔn)

結(jié)合中概股企業(yè)的數(shù)據(jù)持有特征，需要在細(xì)節(jié)制定時(shí)特別注意該類組織的商業(yè)性質(zhì)、經(jīng)營模式和發(fā)展方向。證券法對中概股的管轄權(quán)的介入標(biāo)準(zhǔn)可借由安全審查進(jìn)行，但是如此一來，以靜態(tài)的數(shù)據(jù)持有量、所持?jǐn)?shù)據(jù)重要性和企業(yè)社會身份的關(guān)鍵程度來劃歸的關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者也將是靜態(tài)的。然而，隨著企業(yè)業(yè)務(wù)的擴(kuò)張和發(fā)展，其重要程度亦在變化。只有搭建柔性靈活的安全審查觸發(fā)標(biāo)準(zhǔn)，才足以充分關(guān)注到企業(yè)成為關(guān)基運(yùn)營者具有過程性。

一方面，《網(wǎng)絡(luò)安全審查辦法》修訂征求意見稿中新增要求“超過100萬用戶個(gè)人信息”的持有企業(yè)赴國外上市需要進(jìn)行審查，以上市前過百萬用戶作為觸發(fā)審查的臨界點(diǎn)。不禁讓人疑惑在上市前未到百萬，卻在上市后進(jìn)一步發(fā)展擁有百萬用戶的企業(yè)是否最終應(yīng)該與前者具有一樣的重要性判斷。因此，用戶數(shù)量僅應(yīng)作為安全審查必要性的考慮因素之一，最起碼需要從企業(yè)自有的業(yè)務(wù)模式和經(jīng)營目標(biāo)預(yù)測其發(fā)展近況，對其所經(jīng)營的內(nèi)容進(jìn)行實(shí)質(zhì)審查。

另一方面，用戶數(shù)量的計(jì)算宜以企業(yè)開展業(yè)務(wù)收集數(shù)據(jù)時(shí)的來源方，信息主體數(shù)量為準(zhǔn)。不以“客戶”和“最終用戶”進(jìn)行是否穿透的劃分，有助于標(biāo)準(zhǔn)統(tǒng)一，否則往往會產(chǎn)生在少量直接客戶和大量最終用戶數(shù)據(jù)接觸間難以抉擇和評判的困境。行業(yè)劃分上，現(xiàn)有關(guān)基運(yùn)營者的界定尚較籠統(tǒng)，初步判斷樣本中概股中約有70%符合關(guān)基的行業(yè)判斷。未來是否需要以及如何限縮定義建議通過制定《數(shù)據(jù)安全法》中“重要數(shù)據(jù)”標(biāo)準(zhǔn)或行業(yè)內(nèi)部識別細(xì)則處理。

而非關(guān)基運(yùn)營的數(shù)據(jù)處理者，同樣需要細(xì)化數(shù)據(jù)處理行為的國家安全審查，以對邊界線處的企業(yè)有所重視。例如對以大數(shù)據(jù)分析挖掘?yàn)楹诵臉I(yè)務(wù)技術(shù)的企業(yè)加強(qiáng)監(jiān)管，其隨著數(shù)據(jù)量的累積，亦可能成為潛在的關(guān)基運(yùn)營者。小紅籌模式企業(yè)應(yīng)統(tǒng)一納入基本審查范圍，并以實(shí)際控制人的國別身份和國內(nèi)實(shí)體在總資產(chǎn)、營業(yè)收入等所占比例判斷。同時(shí)，除了區(qū)分關(guān)基與非關(guān)基并施加不同的監(jiān)管力度外，對于國家級核心或重要數(shù)據(jù)列為外商投資負(fù)面清單也是可行的舉措之一。

4 結(jié)束語

中概股的監(jiān)管空隙由來已久，其中既有國家政策鼓勵(lì)企業(yè)創(chuàng)新和全球化發(fā)展的主動放權(quán)，也有監(jiān)管資源無暇顧及導(dǎo)致對境外上市中國背景公司監(jiān)管不足的被動擱置。準(zhǔn)確了解中概股企業(yè)的發(fā)展新況是有效監(jiān)管的前提，隨著數(shù)據(jù)資源在全球經(jīng)營企業(yè)中的重要性日漸顯著，確立符合我國國情的跨境風(fēng)險(xiǎn)管理與規(guī)范是現(xiàn)階段數(shù)據(jù)安全立法的首要任務(wù)。當(dāng)下相關(guān)法規(guī)相繼出臺，更不可忽視其規(guī)則制定的細(xì)致性，并堅(jiān)實(shí)其執(zhí)法權(quán)來源的基礎(chǔ)理論。