TL;DR
网信办数据安全审查 4 个核心:(1) 触发标准—— (a) 关键信息基础设施运营者;(b) 处理 100 万 + 用户个人信息的网络平台运营者;(c) 拟海外上市;(2) 审查机构—— 中央网络安全和信息化委员会办公室(网信办)牵头 · 12 部委联合审查;(3) 2024-03 数据跨境新规—— 提供给境外 100 万人不敏感个人信息 / 1 万人敏感个人信息 → 申报数据出境安全评估;(4) 与 43 号 协同—— 海外上市备案必须先过数据安全审查。典型行业:互联网平台 / AI / 自动驾驶 / 智慧城市 / 医疗 / 教育 / 金融科技 / 物流 / 出行 / 社交。滴滴案(2021—2022)= 罚款 RMB 80.26 亿 · 标志性。2026 趋势:AI 大模型 / 自动驾驶 / 跨境 SaaS 数据出境审查持续收紧。
§ 1 · 场景客户画像(合成)
N · 上海某 AI 公司创始人 · 拟港股上市 · 2026
N 公司 = AI 大模型 + B2B SaaS · 用户数 200 万企业 + 处理百亿 token 数据。2026 拟港股上市。律师建议必走 (a) 网信办数据安全审查;(b) 证监会 43 号备案;(c) 网信办数据出境安全评估。N 问 (1) 时间表如何安排;(2) 不通过怎么办;(3) AI 训练数据是否敏感。
实务:(1) 网信办审查时间通常 3—6 个月 / 复杂 9—12 个月;(2) 不通过 = 重新整改 / 调整业务范围;(3) AI 训练数据如含 (a) 人脸 / 生物特征;(b) 健康;(c) 金融账户;(d) 行踪轨迹 = 敏感个人信息 = 严审;(4) 训练数据出境(境外 GPU 训练 / 海外模型微调)= 数据出境安全评估 trigger。
§ 2 · doctrine · 数据安全审查法律框架
2.1 三大基础法
- 《数据安全法》(2021-09-01)—— 数据分级分类 + 重要数据保护 + 数据出境安全管理
- 《个人信息保护法》(2021-11-01)—— 个人信息处理规则 + 跨境提供 + 大型平台特别义务
- 《网络安全法》(2017-06-01)—— 关键信息基础设施保护 + 网络安全等级保护
2.2 核心实施细则
- 《网络安全审查办法》(〔2021〕33 号 / 2022-02-15 生效)—— 100 万用户阈值 + 海外上市必审
- 《数据出境安全评估办法》(〔2022〕11 号)—— 数据出境安全评估
- 《促进和规范数据跨境流动规定》(2024-03-22 生效)—— 简化部分场景 + 明确豁免
2.3 2024-03 新规变化
(a) 豁免:单一控制人 + 单一目的的内部数据传输;(b) 简化:100 万人非敏感 / 1 万人敏感 阈值;(c) 自由贸易试验区负面清单管理;(d) 个人主动提供:跨境购物 / 出行 / 文件传输 / 学术合作 → 豁免数据出境安全评估。
2.4 与 43 号备案协同
43 号 § 6 § 23 = 海外上市备案负面清单包含"未通过数据安全审查"。证监会与网信办建立联合审查机制 = 数据敏感企业 43 号备案需先过数据安全审查。
§ 3 · 审查流程
- 申报—— 关键信息基础设施运营者 / 100 万 + 用户平台 / 拟海外上市 → 主动申报
- 初审—— 网信办 10 工作日内决定是否进入审查
- 普通审查—— 30 工作日内(必要时延长 15 工作日)
- 特别审查—— 60 工作日内(必要时延长)
- 结论—— (a) 通过 → 海外上市可继续;(b) 不通过 → 整改或停止;(c) 有条件通过 → 附条件
- 持续合规—— 上市后年度报告 + 重大事项再审
§ 4 · 风险卡
R1 · 滴滴案警示
滴滴 2021-06 纽交所上市 → 2021-07 网信办启动审查 → 2022-07 罚款 RMB 80.26 亿 + 美股退市。最大教训 = 必先审后上市。
R2 · AI 训练数据敏感判定
AI 训练数据如含人脸 / 生物特征 / 健康 / 金融账户 / 行踪 = 敏感个人信息。境外训练 = 数据出境安全评估 + 网信办审查。
R3 · 用户数据出境 ≠ 仅用户主动
跨境 SaaS 平台 = 用户数据自动跨境(云服务器在境外)= 数据出境 trigger。豁免必须满足 2024-03 新规具体场景。
R4 · 海外子公司访问境内数据
跨境集团内部数据访问 = 数据出境。2024-03 新规对集团内部部分豁免 · 但条件严格。
R5 · 网信办 vs 证监会 并行 = 时间风险
43 号备案 20 工作日反馈 vs 网信办审查 30—60 工作日 · 并行需协调。规划不当 = 项目延迟 6—12 个月。
§ 5 · ⚠ 灰色操作披露
⚠ 灰色 · 数据安全审查规避的 3 类企图
违反《数据安全法》§ 45 § 46 + 《网络安全法》§ 66 + 网信办〔2021〕33 号
灰色 A · "数据放境外服务器 = 不归中国管"—— 境内业务运营 = 中国管辖 + 数据出境安全评估 trigger
灰色 B · "用户数据匿名化 = 不是个人信息"—— 匿名化标准严格 · 大数据下重识别可能 · 不轻易豁免
灰色 C · "先海外上市再补审查"—— 滴滴案警示 · 罚款 + 退市 + 业务受限
① 法条:数据安全法 § 45 罚款 100—1,000 万 + § 46 严重 1,000 万 + 营业收入 5% + 网络安全法 § 66 + 网信办〔2021〕33 号
② 监管反制:网信办 + 证监会 + 公安部 + 国家安全部 联合审查 + 黑名单 + 拒绝备案 + 责令退市
③ 处罚案例:滴滴 80.26 亿 + 其他平台公开警告 + 多起海外上市项目因审查未通过而取消
不教 how-to · 揭露 + 警示:数据安全审查是红线· 不是形式。必先审后上市。
§ 6 · 真实案例引用
滴滴 · 80.26 亿罚款 · 2022-07 · 网信办最大案例
国家网信办 2022-07-21 公开通报
2021-06 滴滴未经网信办审查纽交所上市 → 2021-07 启动审查 + APP 下架 → 2022-07 罚款 RMB 80.26 亿(公司 + 高管个人罚款分别 100 万)。涉及违反 (a) 网络安全法;(b) 数据安全法;(c) 个人信息保护法 多项条款 + 16 项违法事实。启示:数据安全审查是海外上市的前置硬门槛· 不可绕开。
2024 多起海外上市备案数据敏感企业受阻 · 公开报道
证监会国际部 2024 公开数据 + 媒体报道
43 号生效后 2024 多家 AI / 互联网平台 海外上市备案因数据安全审查未通过 / 整改而延迟。详 OP3.3。
§ 7 · 下一步
同系列 · OP3