中概股上市视阈下数据跨境风险的域外管辖

□ 文 王诺方

0 引言

国家互联网信息办公室发布《网络安全审查办法（修订草案征求意见稿）》自2022年2月15日起施行，重点放在数据“出境”和国外上市的关键信息基础设施（“关基”）所掌握数据“被国外政府影响、控制、恶意利用”的风险，监管对象直指赴美上市中概股暗含的国家数据及网络安全问题。数据作为企业重要发展资源，其显著特征是以大量的个人信息和社会交往信息为积累基础，形成数据分析与算法的优势。然而，随着企业所携大量数据的重要性程度加深，其赴境外上市的行为也自然关涉国家数据安全和数据跨境问题。

1 中概股数据资产应用与国家安全风险

本文选取从2020年1月1日到2021年6月30日止，赴美上市的共71家中概股企业为研究对象，其中68家中概股均为在开曼或英属维京群岛注册、以小红筹模式境外上市的离岸公司。

首先，对数据应用型中概股进行筛选，包含拥有数据资源和使用数据统合或分析支持经营共54家。需要强调的是，任何企业经营均可能形成各类业务、财务、管理数据并加以分析运用，但此处数据应用型企业特指在《网络安全法》和《数据安全法》规制内，形成于大数据时代的，包含平台用户信息、人口信息、地理信息等关键信息基础设施相关。同时，区分了企业技术支持与数据支持的差别，前者例如以实业产品/服务制造销售、人工智能研发、服务器管理等为主营业务的企业，所掌握的数据多为商业及技术秘密，不在本文关注范围内，后者则为利用数据收集与积累进行分析计算，并将之作为成果应用于提供服务，除了需要遵守个人信息隐私保护的规制外，尚有考虑国家安全的必要性。

其中，“用户数据”包括平台注册用户的个人财务信息、订单信息、住房信息、健康信息、医疗记录、生物识别信息、血液样本信息等来自个体的数据。“超100万用户数据”根据企业披露文件中截止最新时间的累积用户数量计算。“重要数据”与“其他数据”的划分标准源于对信息安全标准化技术委员会《信息安全技术数据出境安全评估指南（征求意见稿）》对金融、人口健康、电子商务、交通运输业的企业所掌握的归类为重要数据，例如保险、地理、肿瘤基因数据等。在企业拥有数据资源的基础上，细分依靠数据收集与分析进行经营的企业和数据处理成为核心技术产生竞争优势的企业，两者的区别在于对数据要素利用程度的不同。如表1。

表1 2020、2021年上市中概股企业数据应用情况

可以发现，近两年内赴美上市中概股中涉及数据资产的比例高达79%，超百万用户数据的运营比例达37%，47%的企业均使用数据资源驱动技术与经营，其中81%的企业将数据分析与测算列为企业核心竞争优势之一。而且，根据企业披露，至少有87%的数据应用型企业的数据均主要来源于境内。如图1。

图1 68家中概股的各行业占比

根据披露文件中关于风险披露和法律法规列示，仅15%数据应用型企业在披露《网络安全法》的同时提示了国家对关基的监管要求，仅有9%的企业全面揭示了关基运营者的数据跨境风险和对境内数据本土化的规制。如表2。

表2 数据应用型中概股的数据风险披露情况

随着中概股企业对数据资产应用的程度不断加深，企业经营对大数据积累下的分析计算依赖渐强，数据及网络安全风险的重要性也正在凸显。理论上，中概股境外上市并不涉及直接的数据出境行为，其主要营业地和总部仍设于境内，收集并处理数据的行为也依靠境内服务器进行。但是，中概股的数据风险恰不在于数据本身的直接转移，而在于其作为离岸注册公司在境外上市后处于别国证券监管之下存在的安全隐患，如在美国《澄清域外合法使用数据法案》即CLOUD法案赋予美国监管主体的域外资产的审查资格的背景下，数据“本地化”的失灵。中概股迫于别国监管压力仍可能在数据与服务器不直接转移的前提下，向境外披露审计底稿、经营信息和数据资产。

根据2015年7月1日通过的《国家安全法》第25条，国家对关基和重要领域信息系统及数据拥有主权。该概念来源于数据是国家，人、事、物在网络空间中的记录，应受领土主权管辖的逻辑，系主权国家最高权力在本国数据领域的外化，协调数据跨境流动需求和公共利益安全管控。这使得中概股企业持有的国家级基础及重要数据与国家安全、公共利益和社会稳定息息相关，而不仅仅局限于个人作为信息产生主体的隐私保护要求，2021年6月10日通过的《数据安全法》更是直接将数据安全提升至国家安全层面。

2 域内外数据跨境流动规制分析

2.1 “隐私导向”与“市场导向”的规制模式

欧盟于1995年的《个人数据保护指令》（EU Directive 95/46 EC）（以下简称《指令》）提出了数据向第三国流动的著名认定标准——“充分保护”原则，2018年《通用数据保护条例》（以下简称GDPR）将这一标准下的管辖权扩大到向欧盟公民提供服务或在欧盟市场内经营的公司。这代表了对于数据跨境问题基本采取了“隐私导向”的规制模式。但是，中概股视阈下的数据安全问题并不仅仅来自于对个人隐私信息的担忧，个人数据“充分保护”标准的要求可以解决数据直接跨境中的个人权益问题，却无法回应我国对“关键信息基础设施运营者”和国家数据安全的关切。

反观美国，借2004年亚太经合组织APEC的《隐私保护框架》初步确立了促进跨境数据自由流动的主旨。2013年通过的《跨境隐私规则体系》引入隐私执法机构和问责制，形成建立在国际条约上有较强影响力的数据自由流动的市场自律模式。而其与欧盟间的数据跨境协定《安全港协议》和《隐私盾协议》却二度无效。究其根本，不仅仅是因为两者在数据保护理念和体系上的差异，更因美国不断扩张的“国家安全”霸权，借由企业的全球化优势与欧盟间形成实质单向的数据跨境流动，进而影响欧盟的“技术主权”。

对比美国数据跨境的自由度、市场导向的行业自律模式和对企业组织的问责制执法路径，我国现行立法中对数据跨境呈现出严格限制。但必须澄清的是，我国并未否定数据跨境，而诸如《网络安全法》《数据安全法》的数据本地化要求和《证券法》对外禁止提供资料要求，是在“关键信息基础设施运营者”概念上提出的，针对的是境外注册并上市的大型中概股企业。换角度看，美国数据自由市场化的前提也正是其问责制和监管管辖的强力和有效性，然而中概股受制于其自身的VIE结构，实际脱离了营业地国家的法律管辖，是我国无法效仿美式做法的直接理由，也是我国目前正积极建立安全审查执行权的直接原因。

2.2 数据主权下的国家安全审查路径

数据出境方面，2017年和2019年的个人信息和重要数据出境安全评估二意见稿，正式提出了安全评估办法，并以“50万人以上个人信息”“数据量超过1000GB”“核设施、化学生物、国防军工、人口健康等领域数据”“关键信息基础设施运营者向境外提供”等作为触发安全评估的条件。同时，对数据跨境可能给“国家政治、经济、科技、国防”安全带来风险，影响“国家安全、社会公共利益”的情形作为跨境限制。

此次网络安全审查则来自于由《网络安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》形成的规制框架。根据法规，关键信息基础设施指“一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益”的重要网络设施和信息系统，具体包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域。以上运营者负有境内收集和产生的个人信息等重要数据的本地化存储和配合网络安全审查的义务。其中，针对“用户数量超100万”的运营者“赴国外上市”事项，增设网络安全审查。以样本数据分析，符合这一特征的中概股达37%，而“国外上市”表述可理解为赴港上市将不属于此条规制范围。如表3。

表3 我国中概股数据跨境相关法律规定框架

如果将“良好的数据保护”“跨境数据自由流动”和“数据保护自主权”以三元悖论的架构进行分析，我国目前数据跨境监管的态度正处在保证数据保护自主权的基础上，在数据保护和自由流动之间，亦即欧盟数据跨境的充分保护和美国的自由流动之间。基于我国融数据安全、经济安全、文化安全、资源安全等一体的“综合安全观”，《数据安全法》明确了“中央国家安全领导机构”对数据安全事宜的主管地位，还明确了“总体国家安全观”的统领作用。

3 中概股数据跨境风险规制路径

3.1 中概股域外管辖权基础

传统国际法将属地管辖作为原则，属人管辖权、保护管辖权和普遍管辖权均归为“域外管辖权”。欧盟便是在保护、属人、属地管辖权混合的法理基础上确立了数据跨境规制的域外管辖权，GDPR规定对在其境内的数据主体的个人数据处理行为都需要受到该法管辖，即遵循“效果原则”对任何处理欧盟居民信息并提供服务的企业施加个人数据保护法律责任。同样的，美国CLOUD法案授权美国监管、执法、司法部门通过国内法律程序调取美国公司储存在境外的数据。以上均为国际上数据立法中业已确立的域外管辖权，为的是在数据治理上确保不输于别国的话语权。

我国对中概股数据跨境风险问题在国家安全审查的基础上，可能的构建路径是以《证券法》第2条第4款和第224条为基础的保护管辖。《证券法》规定国家对“扰乱境内市场秩序，损害境内投资者合法权益”的境外证券发行和交易活动具有管辖权，结合条款文义亦包含境外发行人股票、存托凭证在境外市场的上市、发行行为。尽管中概股对数据资产的使用处理不在证券法的管辖范围内，但其赴国外的上市行为却应当属于《证券法》规范的证券市场活动。在境内市场秩序或投资者利益的“实质性”影响认定上，由于中概股企业大量经营业务均在境内进行，其在境外的信息披露与受到的审查均将直接影响到境内业务的开展，《证券法》亦未将市场秩序限制于证券市场，仍存在合理解释的空间。

3.2 域外管辖的行使标准

结合中概股企业的数据持有特征，需要在细节制定时特别注意该类组织的商业性质、经营模式和发展方向。证券法对中概股的管辖权的介入标准可借由安全审查进行，但是如此一来，以静态的数据持有量、所持数据重要性和企业社会身份的关键程度来划归的关键信息基础设施运营者也将是静态的。然而，随着企业业务的扩张和发展，其重要程度亦在变化。只有搭建柔性灵活的安全审查触发标准，才足以充分关注到企业成为关基运营者具有过程性。

一方面，《网络安全审查办法》修订征求意见稿中新增要求“超过100万用户个人信息”的持有企业赴国外上市需要进行审查，以上市前过百万用户作为触发审查的临界点。不禁让人疑惑在上市前未到百万，却在上市后进一步发展拥有百万用户的企业是否最终应该与前者具有一样的重要性判断。因此，用户数量仅应作为安全审查必要性的考虑因素之一，最起码需要从企业自有的业务模式和经营目标预测其发展近况，对其所经营的内容进行实质审查。

另一方面，用户数量的计算宜以企业开展业务收集数据时的来源方，信息主体数量为准。不以“客户”和“最终用户”进行是否穿透的划分，有助于标准统一，否则往往会产生在少量直接客户和大量最终用户数据接触间难以抉择和评判的困境。行业划分上，现有关基运营者的界定尚较笼统，初步判断样本中概股中约有70%符合关基的行业判断。未来是否需要以及如何限缩定义建议通过制定《数据安全法》中“重要数据”标准或行业内部识别细则处理。

而非关基运营的数据处理者，同样需要细化数据处理行为的国家安全审查，以对边界线处的企业有所重视。例如对以大数据分析挖掘为核心业务技术的企业加强监管，其随着数据量的累积，亦可能成为潜在的关基运营者。小红筹模式企业应统一纳入基本审查范围，并以实际控制人的国别身份和国内实体在总资产、营业收入等所占比例判断。同时，除了区分关基与非关基并施加不同的监管力度外，对于国家级核心或重要数据列为外商投资负面清单也是可行的举措之一。

4 结束语

中概股的监管空隙由来已久，其中既有国家政策鼓励企业创新和全球化发展的主动放权，也有监管资源无暇顾及导致对境外上市中国背景公司监管不足的被动搁置。准确了解中概股企业的发展新况是有效监管的前提，随着数据资源在全球经营企业中的重要性日渐显著，确立符合我国国情的跨境风险管理与规范是现阶段数据安全立法的首要任务。当下相关法规相继出台，更不可忽视其规则制定的细致性，并坚实其执法权来源的基础理论。