孙鹏程：企业在国外上市必然带来数据跨境的问题

7月10日，国家互联网信息办公室发布关于《网络安全审查办法（修订草案征求意见稿）》（以下简称《意见》）公开征求意见的通知。其中明确提出，掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

（注：图为电子商务研究中心特约研究员、大成律师事务所合伙人孙鹏程律师）

对此，电子商务研究中心特约研究员、大成律师事务所合伙人孙鹏程律师表示：

《网络安全审查办法》征求意见稿的核心是把数安法的数据安全审查制度进行落地。此前网络安全审查主要关注的是供应链安全，这次增加了数据处理活动，也就是数据安全法中提到的数据安全审查制度，明确了网络安全审查包含了数据安全审查的内容。

个人信息保护法二次审议稿中规定，“关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。”如今征求意见稿“100万用户个人信息”这个标准综合考虑了中国互联网产业发展的实际情况、批量个人信息泄露后对国家安全、公共利益带来的影响而确定的。这一标准也是第一次在部门规章层面明文出现。

在网络安全审查重点评估主要考虑的因素方面，增加了数据处理活动以及国外上市可能带来的国家安全⻛险，包括“核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的⻛险；国外上市后关键信息基础设施，核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的⻛险。”企业在国外上市必然带来数据跨境的问题。当然，并不是说只要有数据跨境流动就会带来安全风险，但如果企业在经营过程中会收集产生大量国家核心数据、重要数据和批量个人信息，然后在国外上市，同时可能受到国外法律的监管时，那么数据的出境安全风险就必须慎重对待。