本期导读
采访丨熊巧
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行的进一步义务(第十一条);
适用于数据共享的要求,包括保留相关日志至少五年的要求(第十二条);
触发网络安全审查的情形,特别是数据处理者赴香港上市,影响或者可能影响国家安全时(第十三条);
隐私政策最低限度必须包含的内容(第二十条);
取得个人有效同意应满足的条件(第二十一条);
个人信息处理者对个人行使其个人信息相关权利做出回应的义务(第二十二条至第二十四条);
数据处理者处理一百万人以上个人信息的,还应当遵守《数安条例》第四章对重要数据的处理者作出的规定(第二十六条);
重要数据处理者的义务,包括网信部门备案要求(第二十九条)、培训数据安全人员的要求(第三十条)、完成并提交年度数据安全评估的要求(第三十二条)以及获得政府批准后方可共享、处理或委托处理重要数据的要求(第三十三条);
跨境数据传输要求,包括类似《个人信息保护法》中关于个人信息规定的具体数据传输要求(第三十五条)、详细数据安全义务(第三十九条)和关于个人信息和重要数据出境年度报告要求(第四十条);
规定国家设立安全网关,对在中国境内访问来源于中国境外的违反中国法律的信息加以控制(第四十一条);
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
FOFWEEKLY:数据安全管理条例与《网络安全法》、《数据安全法》、《个人信息保护法》三部法律是什么关系?因为前者不仅仅是对后者的细化,更包含有额外的规定内容,比如互联网平台的先行赔偿。
Paul: 确实,数据安全领域的规则制定并未遵循通常所采取的模式,即实施条例的范围以其所实施的相关法律的范围为限。不仅仅是《数安条例》,还有其他一些例子也是如此。监管机构也在法律实践中不断学习,并解决现有立法所未预料到的新问题。
数据处理者处理一百万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查。(第十三条)
FOFWEEKLY:可以看到国外上市和香港上市是分开规定的。国外上市,只要管理一百万人以上个人信息,就要接受网络安全审查;而香港上市,只有在影响国家安全的条件下,才会触发网络安全审查。第一个问题是,为什么分界线是一百万?
Paul: 触发网络安全审查的一百万用户个人信息的标准与《数据出境安全评估办法(征求意见稿)》中关于需要开展数据出境安全评估所规定的标准相同。这是一个很低的门槛,相关行业仍期待最终颁布的《数安条例》(以及《数据出境安全评估办法(征求意见稿)》)能将这一门槛提高。
FOFWEEKLY:如何看待国外上市和香港上市的差别对待?对投资者退出有什么意义?
Paul: 在我看来,《数安条例》区别对待国外上市和香港上市可能是为了使香港市场比美国或其他外国市场更受青睐。即使条例草案中未明确表述,但如果中国当局担心香港IPO会对国家安全造成影响,那么中国当局仍可强制要求对之进行审查。因此,我推测条例草案中的表述给当局留下了尽可能多的自由度,如果不存在实质的国家安全问题,则不会对香港上市进行网络安全审查。
FOFWEEKLY:从征求意见稿来看,数据跨境流动并非完全禁止,而是需要满足相应条件。这是否对投资者有益?
Paul: 很难想象所有数据跨境流动都被禁止的情况。需要解决的问题是,对于那些触发网信办安全评估要求的跨境数据传输而言,评估流程是否足够清晰、行政基础设施是否充足,以及在符合有关监管标准的情形下,公司对其通过审查以及持续进行数据跨境流动是否可以有合理的预期。
此外,放在更广泛的募投管退周期来看,投资者还需要:
增强交易文件中的合同保护,包括与网络安全和数据保护违法行为有关的声明/保证、赔偿、责任限制除外情况等条款。
交割后目标实体的经营要强化监管、加强合规,解决尽职调查中发现的问题。这可能会导致运营/管理成本增加、额外保险等,在确定交易价值和投后战略时,应将其考虑在内。
退出方案需考虑的其他因素,例如海外(包括香港)IPO的数据安全评估。
监管文件为中国市场的投资者划定了投资决策的底线,这在增加一定合规成本的同时,更多的是增强对投资者利益、个人用户合法权益以及国家安全和公关利益的保护。私募股权(PE)投资就像是企业诞生的摇篮,肩负着重大的责任,FOFWEEKLY也希望PE行业在跑得更快的同时,走得更稳。
参考资料:
http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
*本文仅代表作者个人观点。
本期导读
采访丨熊巧
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行的进一步义务(第十一条);
适用于数据共享的要求,包括保留相关日志至少五年的要求(第十二条);
触发网络安全审查的情形,特别是数据处理者赴香港上市,影响或者可能影响国家安全时(第十三条);
隐私政策最低限度必须包含的内容(第二十条);
取得个人有效同意应满足的条件(第二十一条);
个人信息处理者对个人行使其个人信息相关权利做出回应的义务(第二十二条至第二十四条);
数据处理者处理一百万人以上个人信息的,还应当遵守《数安条例》第四章对重要数据的处理者作出的规定(第二十六条);
重要数据处理者的义务,包括网信部门备案要求(第二十九条)、培训数据安全人员的要求(第三十条)、完成并提交年度数据安全评估的要求(第三十二条)以及获得政府批准后方可共享、处理或委托处理重要数据的要求(第三十三条);
跨境数据传输要求,包括类似《个人信息保护法》中关于个人信息规定的具体数据传输要求(第三十五条)、详细数据安全义务(第三十九条)和关于个人信息和重要数据出境年度报告要求(第四十条);
规定国家设立安全网关,对在中国境内访问来源于中国境外的违反中国法律的信息加以控制(第四十一条);
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
FOFWEEKLY:数据安全管理条例与《网络安全法》、《数据安全法》、《个人信息保护法》三部法律是什么关系?因为前者不仅仅是对后者的细化,更包含有额外的规定内容,比如互联网平台的先行赔偿。
Paul: 确实,数据安全领域的规则制定并未遵循通常所采取的模式,即实施条例的范围以其所实施的相关法律的范围为限。不仅仅是《数安条例》,还有其他一些例子也是如此。监管机构也在法律实践中不断学习,并解决现有立法所未预料到的新问题。
数据处理者处理一百万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的,应当按照国家有关规定,申报网络安全审查。(第十三条)
FOFWEEKLY:可以看到国外上市和香港上市是分开规定的。国外上市,只要管理一百万人以上个人信息,就要接受网络安全审查;而香港上市,只有在影响国家安全的条件下,才会触发网络安全审查。第一个问题是,为什么分界线是一百万?
Paul: 触发网络安全审查的一百万用户个人信息的标准与《数据出境安全评估办法(征求意见稿)》中关于需要开展数据出境安全评估所规定的标准相同。这是一个很低的门槛,相关行业仍期待最终颁布的《数安条例》(以及《数据出境安全评估办法(征求意见稿)》)能将这一门槛提高。
FOFWEEKLY:如何看待国外上市和香港上市的差别对待?对投资者退出有什么意义?
Paul: 在我看来,《数安条例》区别对待国外上市和香港上市可能是为了使香港市场比美国或其他外国市场更受青睐。即使条例草案中未明确表述,但如果中国当局担心香港IPO会对国家安全造成影响,那么中国当局仍可强制要求对之进行审查。因此,我推测条例草案中的表述给当局留下了尽可能多的自由度,如果不存在实质的国家安全问题,则不会对香港上市进行网络安全审查。
FOFWEEKLY:从征求意见稿来看,数据跨境流动并非完全禁止,而是需要满足相应条件。这是否对投资者有益?
Paul: 很难想象所有数据跨境流动都被禁止的情况。需要解决的问题是,对于那些触发网信办安全评估要求的跨境数据传输而言,评估流程是否足够清晰、行政基础设施是否充足,以及在符合有关监管标准的情形下,公司对其通过审查以及持续进行数据跨境流动是否可以有合理的预期。
此外,放在更广泛的募投管退周期来看,投资者还需要:
增强交易文件中的合同保护,包括与网络安全和数据保护违法行为有关的声明/保证、赔偿、责任限制除外情况等条款。
交割后目标实体的经营要强化监管、加强合规,解决尽职调查中发现的问题。这可能会导致运营/管理成本增加、额外保险等,在确定交易价值和投后战略时,应将其考虑在内。
退出方案需考虑的其他因素,例如海外(包括香港)IPO的数据安全评估。
监管文件为中国市场的投资者划定了投资决策的底线,这在增加一定合规成本的同时,更多的是增强对投资者利益、个人用户合法权益以及国家安全和公关利益的保护。私募股权(PE)投资就像是企业诞生的摇篮,肩负着重大的责任,FOFWEEKLY也希望PE行业在跑得更快的同时,走得更稳。
参考资料:
http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
*本文仅代表作者个人观点。