“一帶一路”背景下中國企業境外并購的網絡安全和數據合規問題

寧宣鳳，吳涵，李沅珊

（北京市金杜律師事務所，北京 100020）

“一帶一路”背景下中國企業境外并購的網絡安全和數據合規問題

寧宣鳳，吳涵，李沅珊

（北京市金杜律師事務所，北京 100020）

隨著我國“一帶一路”倡議的推進，中國企業境外并購日益頻繁。文章介紹了境外政府機構審查中國企業境外并購中，重點關心的我國網絡安全和數據合規問題，梳理了當前《網絡安全法》的體系下我國政府可能獲取外國公民個人信息或重要數據的情形，同時分析了《網絡安全法》的實施對于實現中國企業境外并購目的、交易后企業運營成本的影響。最后，文章從網絡安全合規和實現交易目的的角度，分析并提出了中國企業境外并購中的實踐建議。

一帶一路； 境外并購； 網絡安全和數據合規

寧宣鳳，麥吉爾大學法學碩士，北京市金杜律師高級合伙人；

吳涵，北京大學法律博士（J.D.），北京市金杜律師事務所資深律師

李沅珊，英國格拉斯哥大學法學博士，北京市金杜律師事務所律師。

隨著“一帶一路”倡議的推進，據估計，未來5年中國對沿線國家和地區的投資預計將達到1500億美元。①新浪財經，大手筆！中國對“一帶一路”沿線國家和地區投資將達1500億美元，發布于2017年05月15日，http://fi nance.sina.com.cn/roll/2017-05-15/doc-ifyfekhi7777894.shtml。可以預見，中國企業通過并購境外企業而“走出去”的需求將日益增多。在中國企業海外業務拓展的過程中，境內母公司和被并購的境外公司之間可能因為經營需要或者業務往來需要而進行大量的數據跨境傳輸，從而引發數據存儲和數據傳輸的網絡安全問題。

目前全球大部分國家都已經建立個人數據保護法規，根據澳大利亞著名隱私保護學者Graham Greenleaf的統計，早在2015年2月，全球制定了個人數據保護法規的國家和地區增加到109個。②Graham Greenleaf, Global Data Privacy Laws 2015: 109Countries, with European Laws Now a Minority, (2015) 133, Privacy Laws & Business International Report, February 2015.考慮到個人數據保護立法的普遍性，在“一帶一路”背景下，中國企業的境外并購不免將受到當地政府部門有關網絡安全和數據合規方面的審查，尤其是針對于2017年6月1日實施的《中華人民共和國網絡安全法》（以下簡稱“《網安法》”），將審查其對境外被并購企業收集的境外公民個人信息和重要數據安全保護的影響。

另一方面，《網安法》以及配套措施也對網絡運營者包括關鍵信息基礎設施運營者的網絡建設、運營、維護和使用制定了一系列規則。這些規則可能對中國企業海外并購的目的和交易后的運營成本產生實質性影響。

基于以上背景，本文將重點分析：1.《網安法》對于境外政府審查中國企業并購境外實體的影響；2.《網安法》對于境外并購交易目的實現以及企業運營成本的影響。①《中華人民共和國網絡安全法》于2016年11月7日第十二屆全國人民代表大會常務委員會第二十四次會議通過，自2017年6月1日起施行。

一、《網安法》對境外政府審查中國企業境外并購交易的影響

網絡安全對于公民、法人和其他組織合法權益的保護具有重要影響，同時數據作為國家、企業具有價值資源的地位也被普遍認可。②有關數據對于企業的價值，請參見：經濟學人，當數據成為新時代的石油，2017年5月6日。在數據被越來越多國家認定為“戰略資源”的當下，境外政府對于中國企業境外并購主要關注的網絡安全和數據合規問題至少包括：在《網安法》下，1.境外企業收集的境外公民個人信息數據是否被要求在中國境內存儲；2.境外企業收集的境外公民個人信息數據是否可能被中國政府獲得。

(一)有關境外公民個人信息數據的本地化存儲問題

為了保護本國公民的合法權益，不少國家均要求網絡運營者在本國境內運營中收集和產生的個人信息數據在境內儲存，甚至對于成立地在本國以外的機構來說，只要其在提供產品或者服務的過程中處理了本國/本司法轄區個體的個人數據，將需適用本國/本司法轄區的網絡安全和數據保護規則。例如，歐盟《一般數據保護條例》（General Data Protection Regulation，GDPR）最新規定，即使數據控制者在歐盟境內沒有設立機構，但其在跨境提供商品或服務的過程中收集處理歐盟公民數據，則也應當適用歐盟數據保護法規。③REGULATION (EU) 2016/679OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27April 2016on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation)，O.J.L119/1，第三條。

根據《網安法》第三十七條規定，我國要求關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。我國關于網絡安全和數據保護的“屬地原則”和以歐盟為代表的 “屬人原則”可能存在沖突。依據GDPR的規定，交易后企業若在中國境內存儲歐盟公民個人信息，則中國整體以及交易后企業對于數據安全的保護程度需達到足夠保護的標準（adequate level of protection）。如果交易雙方無法證明符合足夠保護標準的要求，交易可能在其他司法轄區受到質疑。

(二)外國公民個人信息可能被中國政府獲悉的風險

交易后，如果中國企業通過并購獲得對外國企業的控制權并對境外公司的日常運營和戰略決策產生決定性的影響，理論上將有權要求境外企業將收集和產生的外國公民個人信息提供給境內并購方存儲或者使用。其次，從運營結構而言，交易后境外被并購方的業務可能面臨重組。境外公司收集的外國公民個人信息可能與境內并購方的網絡或者關鍵信息基礎設施對接。在上述背景下，國外司法轄區可能會關注：國家網信部門在對于中國境內網絡運營者建設、運營、維護和使用網絡的監督管理中，是否能獲悉外國公民個人信息。

到目前為止，為了配合《網安法》的實施，國家互聯網信息辦公室（以下簡稱“網信辦”）還發布了《個人信息和重要數據出境安全評估辦法（征求意見稿）》（以下簡稱“《安全評估辦法（征求意見稿）》”）和《網絡產品和服務安全審查辦法（試行）》（以下簡稱“《審查辦法》”）。①網信辦分別于2017年4月11日發布了《數據跨境安全評估辦法》（征求意見稿），2017年5月2日發布《審查辦法》并于2017年6月1日起實施。在目前的《網安法》及配套措施下，可能被中國政府獲悉外國公民個人信息的情形至少包括以下四種：個人信息和重要數據跨境傳輸的安全評估、對關鍵信息基礎設施的安全風險抽查、對關系國家安全的網絡和信息系統采購的重要網絡產品和服務進行的網絡安全審查、以及網絡運營者為政府部門履行維護網絡安全或者其他公職義務提供協助和支持。②主管部門評估是相對于自行評估而言。《數據跨境安全評估辦法（征求意見稿）》第七條要求網絡運營者應在數據出境前，自行組織對數據出境進行安全評估。當跨境數據達到一定標準時，網絡運營者應報請行業主管或監管部門組織安全評估（即“主管部門評估”）

1.對網絡運營者數據跨境的主管部門評估

依據《網安法》第三十七條的規定，關鍵信息基礎設施的運營者在中華人民共和國境內運營中收集和產生的個人信息和重要數據應當在境內存儲。因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估；法律、行政法規另有規定的，依照其規定。

《安全評估辦法（征求意見稿）》進一步將以上《網安法》第三十七條的規制主體從關鍵信息基礎設施的運營者擴大到了網絡運營者，甚至要求其他個人和組織參照適用。對于達到《安全評估辦法（征求意見稿）》第九條標準的出境數據，網絡運營者應報請行業主管或監管部門組織安全評估（即主管部門評估）。在對數據出境的主管部門評估中，應重點評估的內容包括但不限于涉及個人信息和重要數據的情況，包括個人信息和重要數據的數量、范圍、類型、敏感程度等。由于《個人信息和重要數據出境安全評估指南》尚未出臺，基于以上數據跨境主管部門評估的規定，不能排除被并購主體收集的外國公民或政府的個人信息和重要數據在跨境數據主管部門評估中被中國政府獲悉的可能性。

2.對關鍵信息基礎設施的安全風險抽查

《網安法》第三十九條第一項規定，國家網信部門應當統籌協調有關部門對關鍵信息基礎設施的安全風險進行抽查檢測，必要時可以委托網絡安全服務機構對網絡存在的安全風險進行檢測評估。如果被收購的境外企業由于經營需要或者業務安排與境內網絡經營者的系統對接，則可能會被認定為境內網絡運營者關鍵信息基礎設施的組成部分，從而不能排除其收集的外國公民或政府的個人信息和重要數據在國家網信部門統籌的安全風險抽查中被中國政府獲悉。

此外，由于目前關鍵信息基礎設施的定義不明確，增加了對其進行安全風險抽查范圍的不確定性。

首先，《網安法》對關鍵信息基礎設施涉及的行業進行了非完全性的列舉。

我國在2015年7月公布的《網絡安全法（草案）》中，將涉及關鍵信息基礎設施的行業進行了較為詳盡的列舉，包括：提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、交通、水利、金融等重要行業和供電、供水、供氣、醫療衛生、社會保障等公共服務領域的重要信息系統，軍事網絡，設區的市級以上國家機關等政務網絡，用戶數量眾多的網絡服務提供者所有或管理的網絡和系統。然而，目前正式頒布的《網安法》，則刪除了所列舉的關鍵信息基礎設施范圍，改為從遭到破壞、喪失功能或者數據泄露的嚴重后果為導向對關鍵信息基礎設施進行了更為概括性的描述，即“國家對公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務等重要行業和領域，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的關鍵信息基礎設施，在網絡安全等級保護制度的基礎上，實行重點保護。”③《網安法》，第三十一條。隨后網信辦2016年12月27日發布的《國家網絡空間安全戰略》中有關關鍵信息基礎設施的定義與之類似，但行業列舉范圍有所擴大。①依據《國家網絡空間安全戰略》第四點第（三）項，國家關鍵信息基礎設施是指關系國家安全、國計民生，一旦數據泄露、遭到破壞或者喪失功能可能嚴重危害國家安全、公共利益的信息設施，包括但不限于提供公共通信、廣播電視傳輸等服務的基礎信息網絡，能源、金融、交通、教育、科研、水利、工業制造、醫療衛生、社會保障、公用事業等領域和國家機關的重要信息系統，重要互聯網應用系統等。有關關鍵信息基礎設施的范圍，目前還可參見2017年7月10日，國家互聯網信息辦公室發布的關于《關鍵信息基礎設施安全保護條例（征求意見稿）》。

有關關鍵信息基礎設施的認定步驟，目前僅在網信辦2016年6月向其地方執法機構下發的《國家網絡安全檢查操作指南》有所提及。根據該指南，關鍵信息基礎設施的確定，通常包括三個步驟，一是確定關鍵業務，二是確定支撐關鍵業務的信息系統或工業控制系統，三是根據關鍵業務對信息系統或工業控制系統的依賴程度，以及信息系統發生網絡安全事件后可能造成的損失認定關鍵信息基礎設施。②《關于開展鍵信息基礎設施網絡安全檢查的通知》，第3.2部分。同時，指南明確指出關鍵信息基礎設施包括三類：1.網站類，如黨政機關網站、企事業單位網站、新聞網站等；2.平臺類，如即時通信、網上購物、網上支付、搜索引擎、電子郵件、論壇、地圖、音視頻等網絡服務平臺；3.生產業務類，如辦公和業務系統、工業控制系統、大型數據中心、云計算平臺、電視轉播系統等。但是，該指南的發布早于《網安法》的頒布，因此不可能成為《網安法》下的配套細則。另外，根據該指南自身所載說明，其依據是《關于開展鍵信息基礎設施網絡安全檢查的通知》（中辦發2016第3號），目的是指導關鍵信息基礎設施網絡安全檢查工作。隨著檢查工作于2016年12月底結束，配合檢查工作發布的指南是否依然有效有待網信辦的進一步確認。目前尚不確定，預期正在制定的《關鍵信息基礎設施識別指南》是否會參考《國家網絡安全檢查操作指南》中有關關鍵信息基礎設施的范圍界定和認定步驟的規定。

盡管《網安法》對于關鍵信息基礎設施的范圍有不完全列舉，關鍵信息基礎設施認定的步驟仍不明確，在《關鍵信息基礎設施識別指南》尚未出臺的情況下，識別關鍵信息基礎設施仍有很大的不確定性。有學者認為，大部分行政管理部門受行政教條、“條塊”管理的影響，實踐中易將本部門所管轄重要行業確定為關鍵信息基礎設施保護范圍，③顧偉，美國關鍵信息基礎設施保護與中國等級保護制度的比較研究及啟示，電子政務，2015年第7期（總第151期），第97頁。從而給關鍵信息技術設施的管理帶來了不確定性。而國外實行關鍵信息基礎設施保護的國家，如美國，則是通過行政法律文件明確保護范圍與重點。從克林頓政府時期的八類關鍵基礎設施，到小布什政府時期的十八類，以及奧巴馬政府時期的十六類，美國關鍵基礎設施都有明確的法定范疇。④同上。

其次，目前《網安法》并未明確與關鍵信息基礎設施的系統對接是否可能會被認定為關鍵信息基礎設施的一部分。

由于《網安法》對于關鍵信息基礎設施范圍界定的不確定性，即使境外被并購方在交易后仍然保持獨立運營，其與境內并購方的關鍵信息基礎設施可能不可避免的基于運營管理或者業務需要而系統對接，因此不排除有被認定為關鍵信息基礎設施組成部分的可能性。典型的情況是，境內收購方企業在交易后為境外被收購方提供云儲存或者計算服務。如果境內收購方企業的云服務平臺被認定為關鍵信息基礎設施，將業務系統與云服務平臺對接的被收購方的自身業務網絡是否被認定為關鍵信息基礎設施組成部分尚待明確。

除了業務平臺的對接，在實踐中，境外被收購方的郵件系統或財務運營網絡可能與境內收購方的關鍵信息基礎設施實現對接，從而境外被收購方的郵件系統或財務運營網絡是否會被認定為境內收購方的關鍵信息基礎設施組成部分也有待明確。

3.對重要網絡產品和服務進行的網絡安全審查

依據《審查辦法》的第二條，關系國家安全的網絡和信息系統采購的重要網絡產品和服務，應當經過網絡安全審查。在進行網絡安全審查的過程中，將重點審查網絡產品和服務的安全性、可控性，其中包括產品和服務提供者利用提供產品和服務的便利條件非法收集、存儲、處理、使用用戶相關信息的風險。①《審查辦法》，第四條第（三）項。因此，不能排除境外企業收集的外國公民個人信息在傳輸至境內的過程中，被收購主體使用的網絡產品和服務提供者收集，并由網信辦同有關部門成立的網絡安全審查委員會在組織實施對重要網絡產品和服務進行的網絡安全審查過程中獲悉。

4.為配合政府部門履行網絡安全或者其他公職義務提供協助和支持

如上所述，境外被收購主體系統中收集的外國公民個人信息數據如果與境內收購方的網絡、關鍵信息基礎設施對接，可能依據《網安法》的規定受到一系列的監管。而網絡運營者對網信部門和有關部門依法實施的監督檢查，應當予以配合。②《網安法》，第四十九條。由于具體監管實施細則尚未發布，不排除網絡運營者在監督檢查中被要求披露收集的個人信息和重要數據的可能。

此外，根據《網安法》第二十八條，網絡運營者應當為公安機關、國家安全機關依法維護國家安全和偵查犯罪的活動提供技術支持和協助。實踐中不排除境外被收購主體收集的外國公民個人信息數據在上述活動中向政府披露。

綜上所述，由于《網安法》和其他國家關于個人信息和數據保護規定的沖突，以及境外公民個人信息可能依據《網安法》被我國政府知悉，而在《網安法》實施細則尚未完全到位的情況下，海外并購可能會因為網絡安全和數據保護的合規問題受到其他司法轄區的質疑。

二、《網安法》對于境外并購目的和交易后運營成本的影響

對于中國企業境外并購而言，其目的多為實現境外業務的整合和拓展。為了整合和拓展業務，境外被并購主體收集和產生的數據可能被傳回境內總部進行處理和分析，并進一步傳回境外被并購主體指導商業行為，因此數據的跨境傳輸可能成為中國企業“走出國門”后的常態。

然而，《網安法》以及《安全評估辦法（征求意見稿）》對網絡運營者的數據跨境提出了安全評估的前置條件，可能增加了中國企業境外并購后的經營成本，并且影響境外并購的目的。

第一、對于數據跨境需普遍征得個人信息主體同意的要求

依據《安全評估辦法（征求意見稿）》第四條的規定，個人信息出境，應向個人信息主體說明數據出境的目的、范圍、內容、接收方及接收方所在的國家或地區，并經其同意。然而，在實際的數據跨境過程中，具體的個人信息主體可能難以被識別且被復原。即使在此種情況下，數據出境也需獲得相關個人主體同意，可能對數據跨境造成實質性的障礙。在之后的《數據出境安全評估辦法》修改稿中，是否會列舉數據跨境征得個人信息主體同意的例外情況值得我們關注。

第二、主管部門評估的適用標準和審查時限

《安全評估辦法（征求意見稿）》設定的主管部門評估標準依然存在不確定性。除了以上所述《安全評估辦法（征求意見稿）》對于本地數據存儲和數據跨境傳輸規制主體的范圍有所擴大，數據跨境主管部門評估的適用標準也可能存在門檻過低的問題。

一方面，依據《安全評估辦法（征求意見稿）》要求，出境數據存在以下情況之一的，網絡運營者應報請行業主管或監管部門組織安全評估：（一）含有或累計含有50萬人以上的個人信息；（二）數據量超過1000GB。對于社交網絡行業的數據跨境傳輸很容易滿足第（一）項“含有或累計含有50萬人以上的個人信息”的要求，而對于電影數碼等行業的數據跨境傳輸很容易滿足第（二）項“數據量超過1000GB”的要求。因此，目前數據跨境主管部門評估的適用標準可能門檻過低，導致網絡運營者需投入成本為日常運營的跨境傳輸申請主管部門評估。

另一方面，《安全評估辦法（征求意見稿）》規定了主管部門評估的基本時限，要求行業主管或監管部門組織的安全評估，應當于六十個工作日內完成。由于評估過程中數據跨境傳輸是否需要停止并未明確規定，尤其是對于數據處理和傳輸有時效性要求的互聯網企業，其日常業務運營可能因為最長可達六十天的主管部門評估而受到阻礙。

第三、每年至少進行一次安全評估和重新進行安全評估的安排

除了安全評估，網絡運營者網絡運營者應根據業務發展和網絡運營情況，每年對數據出境至少進行一次安全評估，及時將評估情況報行業主管或監管部門。安全評估的硬性要求將增加并購境外企業后的運營成本。

此外，當數據接收方出現變更，數據出境目的、范圍、數量、類型等發生較大變化，數據接收方或出境數據發生重大安全事件時，應及時重新進行安全評估。①《數據出境安全評估辦法（征求意見稿）》，第十二條。根據要求，未來并購境外企業后，數據傳輸可能需要采用數據歸類，分類統籌，定點管理等方式來避免因為重新評估帶來的合規、評估時間等方面的成本。

第四、禁止數據跨境的情形

《安全評估辦法（征求意見稿）》規定，存在以下情況之一的，數據不得出境：1.個人信息出境未經個人信息主體同意，或可能侵害個人利益；2.數據出境給國家政治、經濟、科技、國防等安全帶來風險，可能影響國家安全、損害社會公共利益；3.其他經國家網信部門、公安部門、安全部門等有關部門認定不能出境的。②《網安法》，第十一條。

然而，從文本本身看來，這三類數據的認定標準仍較為寬泛。首先，就“個人信息”而言，在出境環節強調法定的知情同意原則確有必要，但現實中將難以準確判斷何種數據出境行為具不具有“侵害個人利益”的可能；其次，以“可能影響國家安全、損害社會公共利益”為標準或在兜底條款中引入“有關部門”的自由裁量權，將會在一定程度上增加了判斷標準的不確定性，同時也可能影響本條的可操作性，讓網絡運營者難以合理預期禁止數據跨境的情形。

綜上所述，中國境內企業并購境外企業需要考慮到數據跨境傳輸的要求，評估其可能帶來的關于合規、評估時間等方面的成本。此外，由于數據跨境傳輸的限制，中國境內企業還需要考慮交易后數據跨境的統籌安排。

三、關于企業合規的建議

在《網安法》配套細則尚未完全出臺的情況下，對于關鍵信息基礎設施的范圍認定等問題尚不確定，為了減少交易來自其他司法轄區審查機構的質疑，也為了準確評估海外并購目的和成本，中國企業一方面需要考慮采取有效措施，例如與被并購的境外企業之間建立防火墻等多種方式，打消其他司法轄區審查機構的疑慮，促使交易順利進行；同時也需要考慮目前《網安法》對于數據跨境傳輸等方面的要求可能對實現交易目的和成本交易后企業運營成本的影響，從企業內部數據流轉、平臺管理等方面進行提前準備。

另外《網安法》的配套實施細則包括諸多行業的技術標準正陸續發布，對于《網安法》的落地具有重要意義。企業需密切關注這些實施細則的發布，并主動與行業監管機構以及細則發布機構溝通，從而了解符合《網安法》規定的最佳行業操作指南。特別對于可能被認定為關鍵信息基礎設施的運營者，或者將被關鍵信息基礎設施的運營者并購的企業，需關注相關法律法規及政策的發展，尤其是本文中提到的問題在之后的實施細則中是否已得到進一步解決或說明，從而確保交易后企業日常運營中的合規性。

（責任編輯：鐘宇歡）

Cybersecurity and Data Compliance of Outbound M&A for Chinese Enterprises in the Context of “One Belt One Road” Initiative

NING Xuan-feng, WU Han, LI Yuan-shan

Along with the development of "One Belt One Road" initiative, outbound M&A activities by Chinese enterprises have become increasingly frequent. This article summarizes key concerns of the foreign governments from the perspective of cybersecurity and data compliance in their review process of these M&A transactions. It also provides scenarios where Chinese government may get access to personal information or important data of foreign nationals in the context of China’s Cybersecurity Law. Meanwhile, the article also analyzes the impact of the Cybersecurity Law on the realization of the transactional purpose of Chinese enterprises’ outbound M&A activities, and the post-transaction operational costs incurred on the Chinese enterprises. Finally, the article provides some practical advice for Chinese enterprises on how to strike a balance between cybersecurity compliance and the transactional purpose in the outbound M&A activities.

"One Belt One Road" Initiative, outbound M&A, cybersecurity and data compliance

F49

：A

：1001-4225（2017）07-0112-07

注：本文屬非職務作品，對報告的相關評價不代表作者所在機構的意見。