網路安全數據合規

㈠ 網路安全合規涉及的監管部門主要包括國家網信部門、電信主管部門、公安部門對不是錯

是不對的，《網路安全法》第八條提出國家網信部門負責統籌協調網路安全工作和相關監督管理工作。電信主管部門、公安部門和其他有關機關依照本法和有關法律、行政法規的規定，在各自職責范圍內負責網路安全保護和監督管理工作。

2015年6月，第十二屆全國人大常委會第十五次會議初次審議了《中華人民共和國網路安全法（草案）》。 網路安全法草案於2015年7月6日至2015年8月5日在中國人大網上全文公布，並向社會公開徵求意見。
《中華人民共和國網路安全法》一共分七章七十九條。2017年6月1日，不僅僅是一年一度的兒童節，還是《中華人民共和國網路安全法》正式生效的日子。

從今日起，我國網路安全工作有了基礎性的法律框架，針對網路亦有了更多法律約束，中國信息安全行業進入新的時代。

㈡ 數據爬蟲行為如何合規

前言

由於網路數據爬取行為具有高效檢索、批量復制且成本低廉的特徵，現已成為許多企業獲取數據資源的方式。也正因如此，一旦爬取的數據設計他人權益時，企業將面臨諸多法律風險。本文將從數據爬取行為的相關概述、數據爬取相關立法規定，結合數據爬取行為近期典型案例，探討數據爬取行為的合規要點。

一、數據爬取行為概述

數據爬取行為是指利用網路爬蟲或者類似方式，根據所設定的關鍵詞、取樣對象等規則，自動地抓取萬維網信息的程序或者腳本，並對抓取結果進行大規模復制的行為。

使用爬蟲爬取數據的過程當中，能否把握合法邊界是關系企業生死存亡的問題。近些年大數據、人工智慧的廣泛使用，對各種數據的剛性需求，使數據行業遊走在「灰色邊緣」。面對網路數據安全的「強監管」態勢，做好數據合規、數據風控刻不容緩。當前我國並沒有相關法律法規對數據爬取行為進行專門規制，而是根據爬取數據的不同「質量」，主要通過《中華人民共和國著作權法》（以下簡稱「《著作權法》）、《中華人民共和國反不正當競爭法》（以下簡稱「《反不正當競爭法》」）、《中華人民共和國刑法》（以下簡稱「《刑法」》）等現有法律法規進行規制。

二、數據爬取相關法律責任梳理

（一）承擔刑事責任

1、非法侵入計算機信息系統罪

《刑法》第285條第1款規定了「非法侵入計算機信息系統罪」，違反國家規定，侵入國家事務、國防建設、尖端科學技術領域的計算機信息系統的，處三年以下有期徒刑或者拘役。

典型案例：李某等非法侵入計算機信息系統罪(2018)川3424刑初169號

本案中，被告人李某使用「爬蟲」軟體，大量爬取全國各地及涼山州公安局交警支隊車管所公告的車牌放號信息，之後使用軟體採用多線程提交、批量刷單、驗證碼自動識別等方式，突破系統安全保護措施，將爬取的車牌號提交至「交通安全服務管理平台」車輛報廢查詢系統，進行對比，並根據反饋情況自動記錄未注冊車牌號，建立全國未注冊車牌號資料庫。之後編寫客戶端查詢軟體，由李某通過QQ、淘寶、微信等方式，以300-3000元每月的價格，分省市販賣資料庫查閱許可權。

法院認為，被告人李文某為牟取私利，違法國家規定，侵入國家事務領域的計算機信息系統，被告人的行為均已構成非法侵入計算機信息系統罪。

2、非法獲取計算機信息系統數據罪

《刑法》第285條第2款規定如下，違反國家規定，侵入前款規定以外的計算機信息系統或者採用其他技術手段，獲取該計算機信息系統中存儲、處理或者傳輸的數據，或者對該計算機信息系統實施非法控制，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。同時，《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》第1條對「情節嚴重」作出了具體的規定：「非法獲取計算機信息系統數據或者非法控制計算機信息系統，具有下列情形之一的，應當認定為刑法第二百八十五條第二款規定的「情節嚴重」：（一）獲取支付結算、證券交易、期貨交易等網路金融服務的身份認證信息十組以上的；（二）獲取第（一）項以外的身份認證信息五百組以上的；（三）非法控制計算機信息系統二十台以上的；（四）違法所得五千元以上或者造成經濟損失一萬元以上的；（五）其他情節嚴重的情形。」

典型案例：李某、王某等非法獲取計算機信息系統數據、非法控制計算機系統案（2021）滬0104刑初148號

本案中，益采公司在未經淘寶（中國）軟體有限公司授權許可的情況下，經李某授意，益采公司部門負責人被告人王某、高某等人分工合作，以使用IP代理、「X-sign」簽名演算法等手段突破、繞過淘寶公司的「反爬蟲」防護機制，再通過數據抓取程序大量非法抓取淘寶公司存儲的各主播在淘寶直播時的開播地址、銷售額、觀看PV、UV等數據。至案發，益采公司整合非法獲取的數據後對外出售牟利，違法所得共計人民幣22萬余元。法院認為被告人李某、王某、高某等人構成非法獲取計算機信息系統數據罪，分別判處有期徒刑二年六個月、一年三個月不等，並處罰金。

法院認為，被告人李文某為牟取私利，違法國家規定，侵入國家事務領域的計算機信息系統，被告人的行為均已構成非法侵入計算機信息系統罪。

3、提供侵入、非法控制計算機信息系統程序、工具罪

《刑法》第285條第3款對該罪規定如下，提供專門用於侵入、非法控制計算機信息系統的程序、工具，或者明知他人實施侵入、非法控制計算機信息系統的違法犯罪行為而為其提供程序、工具，情節嚴重的，依照前款的規定處罰。《最高人民法院、最高人民檢察院關於辦理危害計算機信息系統安全刑事案件應用刑事案件應用法律若干問題的解釋》中還列舉了「具有避開或者突破計算機信息系統安全保護措施，未經授權或者超越授權獲取計算機信息系統數據的功能的」等類型的程序、工具。

典型案例：陳輝提供侵入、非法控制計算機信息系統程序、工具罪（2021）粵0115刑初5號

本案中，被告人陳輝為牟取非法利益，在本區編寫爬蟲軟體用於在浙江淘寶網路有限公司旗下的大麥網平台上搶票，並以人民幣1888元到6888元不等的價格向他人出售該軟體，非法獲利人民幣12萬余元。2019年7月11日，被告人陳輝被公安機關抓獲。經鑒定，上述爬蟲軟體具有以非常規的方式構造和發送網路請求，模擬用戶在大麥網平台手動下單和購買商品的功能；具有以非常規手段模擬用戶識別和輸入圖形驗證碼的功能，該功能可繞過大麥網平台的人機識別驗證機制，以非常規方式訪問大麥網平台的資源。

本院認為，被告人陳輝提供專門用於侵入、非法控制計算機信息系統程序、工具，情節特別嚴重，依法應予懲處。

4、 侵犯公民個人信息罪

《刑法》第253條中規定了該罪，違反國家有關規定，向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑或者拘役，並處或者單處罰金；情節特別嚴重的，處三年以上七年以下有期徒刑，並處罰金。違反國家有關規定，將在履行職責或者提供服務過程中獲得的公民個人信息，出售或者提供給他人的，依照前款的規定從重處罰。竊取或者以其他方法非法獲取公民個人信息的，依照第一款的規定處罰。

典型案例：杭州魔蠍數據 科技 有限公司、周江翔、袁冬侵犯公民個人信息罪（2020）浙0106刑初437號

本案中，被告人周江翔系魔蠍公司法定代表人、總經理，負責公司整體運營，被告人袁冬系魔蠍公司技術總監，系技術負責人，負責相關程序設計。魔蠍公司主要與各網路貸款公司、小型銀行進行合作，為網路貸款公司、銀行提供需要貸款的用戶的個人信息及多維度信用數據，方式是魔蠍公司將其開發的前端插件嵌入上述網貸平台A**中，在網貸平台用戶使用網貸平台的APP借款時，貸款用戶需要在魔蠍公司提供的前端插件上，輸入其通訊運營商、社保、公積金、淘寶、京東、學信網、徵信中心等網站的賬號、密碼，經過貸款用戶授權後，魔蠍公司的爬蟲程序代替貸款用戶登錄上述網站，進入其個人賬戶，利用各類爬蟲技術，爬取（復制）上述企、事業單位網站上貸款用戶本人賬戶內的通話記錄、社保、公積金等各類數據。

法院認為，被告單位杭州魔蠍數據 科技 有限公司以其他方法非法獲取公民個人信息，情節特別嚴重，其行為已構成侵犯公民個人信息罪。被告人周江翔、袁冬分別系對被告單位魔蠍公司侵犯公民個人信息行為直接負責的主管人員和其他直接責任人員，其行為均已構成侵犯公民個人信息罪。

5、侵犯著作權罪

根據《刑法》第217條規定，以營利為目的，有下列侵犯著作權或者與著作權有關的權利的情形之一，違法所得數額較大或者有其他嚴重情節的，處三年以下有期徒刑，並處或者單處罰金；違法所得數額巨大或者有其他特別嚴重情節的，處三年以上十年以下有期徒刑，並處罰金：（一）未經著作權人許可，復制發行、通過信息網路向公眾傳播其文字作品、音樂、美術、視聽作品、計算機軟體及法律、行政法規規定的其他作品的；（二）出版他人享有專有出版權的圖書的；（三）未經錄音錄像製作者許可，復制發行、通過信息網路向公眾傳播其製作的錄音錄像的；（四）未經表演者許可，復制發行錄有其表演的錄音錄像製品，或者通過信息網路向公眾傳播其表演的；（五）製作、出售假冒他人署名的美術作品的；（六）未經著作權人或者與著作權有關的權利人許可，故意避開或者破壞權利人為其作品、錄音錄像製品等採取的保護著作權或者與著作權有關的權利的技術措施的。

典型案例：譚某某等侵犯著作權罪（2020）京0108刑初237號

本案中，被告鼎閱公司自2018年開始，在覃某某等12名被告人負責管理或參與運營下，未經掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司等權利公司許可，利用網路爬蟲技術爬取正版電子圖書後，在其推廣運營的「鴻雁傳書」「TXT全本免費小說」等10餘個App中展示，供他人訪問並下載閱讀，並通過廣告收入、付費閱讀等方式進行牟利。根據經公安機關依法提取收集並經勘驗、檢查、鑒定的涉案侵權作品信息數據、賬戶交易明細、鑒定結論、廣告推廣協議等證據，法院查明，涉案作品侵犯掌閱 科技 股份有限公司、北京幻想縱橫網路技術有限公司享有獨家信息網路傳播權的文字作品共計4603部，侵犯中文在線數字出版集團股份有限公司享有獨家信息網路傳播權的文字作品共計469部。

法院認為，鼎閱公司、直接負責的主管人員覃某某等12名被告人以營利為目的，未經著作權人許可，復制發行他人享有著作權的文字作品，情節特別嚴重，其行為均已構成侵犯著作權罪，應予懲處。

（2） 構成不正當競爭

我國《反不正當競爭法》第12條規定：「經營者利用網路從事生產經營活動，應當遵守本法的各項規定。經營者不得利用技術手段，通過影響用戶選擇或者其他方式，實施下列妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為：（一）未經其他經營者同意，在其合法提供的網路產品或者服務中，插入鏈接、強制進行目標跳轉；（二）誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網路產品或者服務；（三）惡意對其他經營者合法提供的網路產品或者服務實施不兼容；（四）其他妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為。

典型案例：深圳市騰訊計算機系統有限公司、騰訊 科技 （深圳）有限公司與被告某新媒體公司不正當競爭糾紛案

本案中，兩原告系微信公眾平台的經營者和管理者，被告某新媒體公司系某網站經營者，利用爬蟲技術抓取微信公眾平台文章等信息內容數據，並通過網站對外提供公眾號信息搜索、導航及排行等數據服務。原告訴稱，被告利用被控侵權產品，突破微信公眾平台的技術措施進行數據抓取，並進行商業化利用，妨礙平台正常運行，構成不正當競爭。被告辯稱，爬取並提供公眾號數據服務的行為不構成不正當競爭，其爬取的文章並非騰訊公司的數據，而是微信公眾號的用戶數據，且其網站獲利較少。

法院認為，被告違背誠實信用原則，擅自使用原告徵得用戶同意、依法匯集且具有商業價值的數據，並足以實質性替代其他經營者提供的部分產品或服務，損害公平競爭的市場秩序，屬於《反不正當競爭法》第十二條第二款第四項所規定的妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為，構成不正當競爭。

（3） 行政責任

我國當前關於爬蟲行為所應承擔的行政責任主要規定在《網路安全法》中，其中涉嫌違反第27條規定的：「任何個人和組織不得從事非法侵入他人網路、干擾他人網路正常功能、竊取網路數據等危害網路安全的活動；不得提供專門用於從事侵入網路、干擾網路正常功能及防護措施、竊取網路數據等危害網路安全活動的程序、工具；明知他人從事危害網路安全的活動的，不得為其提供技術支持、廣告推廣、支付結算等幫助。」，需要承擔一定的行政責任。該法第63條對違反第27條還規定了具體的行政處罰措施，包括「沒收違法所得」「拘留」「罰款」等處罰。同時，對違反27條規定受到處罰的相關人員也作出了任職限制規定。

此外，《數據安全管理辦法（徵求意見稿）》第16條對爬蟲適用作出了限流規定：「網路運營者採取自動化手段訪問收集網站數據，不得妨礙網站正常運行；此類行為嚴重影響網站運行，如自動化訪問收集流量超過網站日均流量三分之一，網站要求停止自動化訪問收集時，應當停止。」同時，第37條也規定了相應的行政責任：網路運營者違反相關規定的，由有關部門給予公開曝光、沒收違法所得、暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或吊銷營業執照等處罰。

三、數據爬取行為的合規指引

（一）嚴格規范數據爬取行為

1、如果目標網站有反爬取協議，應嚴格遵守網站設置的 Robots協議。Robots協議(也稱為爬蟲協議、機器人協議等)的全稱是「網路爬蟲排除標准」，網站通過Robots協議告訴搜索引擎哪些頁面可以抓取，哪些頁面不能抓取。該協議尊重信息提供者的意願，並維護其隱私權;保護其使用者的個人信息和隱私不被侵犯。Robots協議代表一種契約精神，互聯網企業只有遵守這一規則，才能保證網站及用戶的隱私數據不被侵犯。可以說，無論從保護網民隱私還是尊重版權內容的角度，遵守robots協議都應該是正規互聯網公司的默之舉，任何違反robots協議的行為都應該為此付出代價。

2、合理限制抓取的內容。在設置抓取策略時，應注意編碼禁止抓取視頻、音樂等可能構成作品的、明確的著作權作品數據，或者針對某些特定網站批量抓取其中的用戶生成內容；在使用、傳播抓取到的信息時，應審查所抓取的內容，如發現屬於用戶的個人信息、隱私或者他人的商業秘密的，應及時停止並刪除。對於內部系統數據，嚴格禁止侵入。

3、爬取行為不應妨礙網站的正常運行。企業應當合理控制爬取的頻率，盡可能避免過於頻繁地抓取數據，特別是如果超過了《數據安全管理辦法（徵求意見稿）》明確規定的「自動化訪問收集流量超過網站日均流量三分之一」的要求，就應當嚴格遵守網站的要求，及時停止數據抓取。

（二）爬取個人信息時恪守合法、正當、必要原則

在我國，合法、正當、必要原則散見於《消費者權益保護法》、《網路安全法》、《全國人大常委會關於加強網路信息保護的決定》、《個人信息安全規范》等法律與規范之中。網路經營者擬爬取用戶個人信息的，應當嚴格遵守上述法律法規的規定，以取得個人用戶的事前同意為原則，避免超出用戶的授權范圍爬取信息。同樣地，數據接受方也應當對以爬蟲方式獲取的他人信息進行合法性審查，了解個人信息主體是否同意共享個人信息數據。

（三）爬取商業數據時謹防構成不正當競爭

在數字內容領域，數據是內容產業的核心競爭資源，內容平台經過匯總分析處理後的數據往往具有極高的經濟價值，因此非法爬取行為在某些具體應用場景下會被認定為構成不正當競爭。尤其是對於雙方商業模式相同或近似、獲取對方的信息會對對方造成直接損害的，企業應重點予以防範。如果存在此種情形，則應當謹慎使用爬取獲取被爬取網站的數據。

四、結語

隨著大數據時代的來臨以及數字技術的蓬勃發展，數據的價值日益凸顯，部分企業通過數據爬取技術更加高效地獲取和深度地利用相關數據，從而彌補企業自身數據不足的現狀，支撐企業的商業化發展。對於這些企業而言，「網路爬蟲如何爬取信息數據才是合法的？」「爬取數據時如何做到合規？」是亟待解決的一大難題。作為法律工作者，應當從法律的專業角度給企業提供強有力的合規指引，為促進高新技術企業的發展，進而全面提升國家 科技 創新能力做出應有的貢獻。

㈢ 專家：車企網路和數據安全將照「章」操作

中新經緯4月2日電 (孫慶陽)近期，工信部印發《車聯網網路安全和數據安全標准體系建設指南》(下稱《指南》)，明確了中國車聯網網路安全和數據安全標准體系的發展時間表，以及階段性任務。

當下，聯網數據被過度採集和濫用、數據被竊取和篡改造成安全事件頻發。大數據安全即掌握核心技術又關系國計民生，車聯網網路安全如何從中突圍，最終實現高質量發展？

消費者對車聯網信息安全仍存顧慮

自2021年9月中國第一部《數據安全法》正式出台以來，車聯網數據安全領域已逐漸出現業務落地場景，整個車聯網數據安全行業處於快速起步時期。但隨著智能網聯技術發展， 汽車 智能化正成為「移動智能終端」。當下，越來越多的 汽車 企業在後台收集並使用這些海量用戶數據，這也對個人隱私帶來了潛在的風險。

對此，全國乘用車市場信息聯席會秘書長崔東樹也給出了「整體信心一般」的類似觀點，他表示，隱私信息「安全感」的缺失主要是有些功能需要許可權，進而被濫用，用戶卻無法專業判斷。

補足標准才能推動新技術發展

《指南》將車聯網網路安全和數據安全標准體系劃分為六大部分共20類標准，幾乎涵蓋網安領域所有細分小項，其中重點涉及到的安全領域包括為數字證書、密碼應用、物聯網安全、通信安全、身份認證、數據安全等。

崔東樹對中新經緯研究院表示，標准應對了智能化、網聯化發展新趨勢，加速測試應用的環境保障和法規支持，有利於智能網聯 汽車 的發展。

《指南》提出到2023年底，初步構建起車聯網網路安全和數據安全標准體系，完成50項以上急需標準的研製；到2025年，形成較為完善的車聯網網路安全和數據安全標准體系，完成100項以上標準的研製。

「以建立安全標準的方式，來維護車聯網網路安全和數據安全」，盤和林總結出《指南》的三方面亮點：一是堅持需求導向，產學研用融合，共同來推動網路安全和數據安全標準的建立；二是堅持市場主體企事業單位的參與，讓車聯網企業參與到標准制定上來，而非一刀切的推進；三是重點、急用先行，在標准制定上區分輕重緩急，而非所有標准一起推進，有側重的推出一部分標准以推動車聯網快速發展。

盤和林進一步強調，車聯網、自動駕駛系統研發企業將獲益，當前中國自動駕駛企業蓬勃發展，但距離自動駕駛技術應用場景落地尚有距離，其主要原因是當前缺乏自動駕駛普及的軟環境，而網路安全和數據安全標準是自動駕駛、車聯網落地的重要一環，只有補足了標准，才能推動新技術的發展。

前瞻產業研究院指出，中國車聯網市場規模有望在2026年達到8千億元人民幣，2021-2026年平均復合增長率將達到30.36%。另據中汽協預測，2025年中國 汽車 銷量或將達到3000萬，新增智能網聯 汽車 的銷量約為900萬。

車企數據安全管理需合法合規

值得注意的是，與2021年6月發布的《車聯網(智能網聯 汽車 )網路安全標准體系建設指南》(徵求意見稿)相比，「數據安全」在《指南》中被提升到了與網路安全同等重要的地位。但近年來有關智能 汽車 數據安全糾紛屢現。2021年上海車展期間特斯拉女車主維權事件，特斯拉的數據保存與使用安全風險曾引起激烈討論。

企業意圖利用數據「金礦」，來改善產品性能，進而提升用戶體驗。但用戶在讓渡隱私與獲得便利性的同時，企業卻屢現數據處理問題。針對此類情況，盤和林給出建議：首先要透明。「採用哪些數據，哪些敏感，存放在哪，平台有哪些信息保護規則？」都需要告知消費者，未經同意則不得隨意收集相關數據；其次要監管。數據使用規則需要遞交監管備案，而監管也要驗證企業的數據安全措施是否到位；再次要標准。數據使用、儲存、處理等，都要建立安全標准，不符合標準的企業不得使用用戶信息數據；最後要技術。比如通過隱名化和匿名化來打包數據，比如完善數據安全技術，比如利用分布式數據存儲。

那麼， 汽車 廠商該如何完善數據安全管理？盤和林表示，可以通過組建數據信息安全管理部門來應對數據安全和網路安全，亦可考慮通過合格第三方，將數據存放和管理的責任進行外包，「專業的人做專業的事」。同時也要增加相關方面的人才儲備，建設安全團隊。

南開大學競爭法研究中心主任、法學院教授陳兵則表示， 汽車 廠商需要積極跟進國內外車聯網數據安全、數據出境方面的標准、法律及監管規范的最新要求，在堅決維護國家安全和用戶安全的基礎上合法合規經營。同樣，演算法治理作為整個數字經濟整體治理與系統治理的關鍵環節，不僅涉及到市場治理，還涉及到 社會 治理與國家總體安全。

中國隨著《數據安全法》《網路安全法》《關鍵信息基礎設施安全保護條例》等法律法規的出台，從持續開展違法違規收集使用個人信息專項治理，到國家安全機關等協同配合做好網路安全防範工作，各地各部門不斷加大對相關違法犯罪活動的整治打擊力度。如今的網路安全，不僅關乎個人和企業安全，也關乎國家安全。「築牢數字安全屏障」已成為國家發展的重要議題。(中新經緯APP)

㈣ 網路安全是指在法律合規下保護產品

網路安全是指在法律合規下保護產品、解決方案和服務的可用性、完整性、機密性、可追溯性和抗攻擊性
網路安全是一門涉及計算機技術、網路技術、通信技術、應用密碼學技術、管理技術等多領域的綜合性學科。重點解決分布式計算環境(主要是互聯網環境)中，網路設施與網路信息資源設計、實現和使用過程的安全性問題，以保障網路數據的傳輸安全、網路用戶與系統資源和信息資源的訪問安全以及網路應用系統與網路基礎設施的運行安全。

㈤ 合規創造價值：新經濟領域（擬）上市企業的若干合規要點分析

走出去智庫觀察

近來，滴滴被查引發了人們對上市企業跨境數據合規的的熱議。今年上半年，國內互聯網企業扎堆奔赴美股，但因跨境數據安全問題引發的系列影響，使這些企業不得不重新審視相關合規問題。

走出去智庫（CGGT）特約法律專家、中倫律師事務所顧問賈申認為，從近期監管趨勢來看，跨境數據傳輸是新經濟企業上市應特別關注的合規點。根據《網路安全法》和《數據安全法》規定，包括公共通信、信息服務、金融業和其他重要行業、領域的關鍵信息基礎設施的運營者，應將境內運營期間收集和生成的個人信息和重要數據儲存在境內，如需向境外傳輸，則應按相關規定進行安全性評估。

新經濟領域（擬）上市企業如何做好跨境數據合規？今天，走出去智庫（CGGT）刊發中倫律師事務所蔣蕙匡、賈申、李夢涵、於佳永、羅儀涵的文章，供關注跨境數據合規的讀者參考。

要 點

CGGT，CHINA GOING GLOBAL THINKTANK

1、對於赴境外上市的公司而言，VIE架構是一種常見的公司架構，建議企業在搭建VIE架構和實際運營業務過程中，充分考慮業務類型和交易結構，系統、人員、設備設置，以及資金和數據流向，輔以完備的內部規章、協議、信息披露制度和授權安排，以充分遵循數據合規要求。

2、新經濟領域的企業還應特別關注數據合規與反壟斷合規的交叉領域。《平台經濟指南》明確提及了經營者利用數據或演算法排除、限制競爭的多種行為模式。

3、行業性監管政策的變化頻繁，特別是在關系國計民生的重要領域，相關部門已明確透出強力監管的信號。以教育和交通行業為例，相關領域的平台企業應當密切關注行業性監管政策之下的合規要求。

正 文

CGGT，CHINA GOING GLOBAL THINKTANK

作者簡介

蔣蕙匡 律師

北京辦公室 合夥人

業務領域： 反壟斷和競爭法, 跨境投資並購, 合規和反腐敗

特色行業類別： 能源與自然資源, 通訊與技術, 健康 與生命科學

賈申

北京辦公室 顧問

業務領域： 反壟斷和競爭法, 貿易合規和救濟, 訴訟仲裁

李夢涵

北京辦公室 合規與政府監管部

於佳永

北京辦公室 合規與政府監管部

羅儀涵

北京辦公室 合規與政府監管部

2021年7月6日，中共中央辦公廳、國務院辦公廳發布《關於依法從嚴打擊證券違法活動的意見》（「《意見》」），其中「完善數據安全、跨境數據流動、涉密信息管理等相關法律法規」，「切實採取措施做好中概股公司風險及突發情況應對」等意見，清晰指示了當前資本市場的又一個重要合規方向，充分體現了我國對上市公司監管的決心與力度。近期，中國網路安全審查辦公室（「網信辦」）接連對數家赴美上市的平台企業開展網路安全審查，並於2021年7月10日發布了《網路安全審查辦法（修訂草案徵求意見稿）》，引發了公眾和業界對中國跨境數據安全監管和中概股公司跨境證券監管政策的強烈關注和廣泛討論。（相關解讀： 激活網路安全審查制度 築牢數據安全防火牆——《網路安全審查辦法（修訂草案徵求意見稿）》評析 ）2021年7月30日，美國證券交易委員會（SEC）主席Gary Gensler發表聲明稱，SEC將修改有關涉及中國企業境外上市的信息披露規則，增加特定的信息披露要求（包括說明VIE公司與發行人之間的財務關系、赴美上市是否獲得政府批准等），以更好地保護投資人的利益。

近年，各行業領域涉及境內外上市企業的司法、行政執法案件層出不窮，相關企業上市招股書中針對政府監管的風險提示說明和清單漸長，中概股合規問題同時引起了中美兩國監管的高度重視，提高合規水平和完善合規制度對於（擬）上市企業的重要性愈加凸顯。在此背景下，本文結合既往經驗和觀察，將從 網路安全與數據合規、反壟斷、反不正當競爭、行業性監管政策 等方面，分析互聯網平台等新經濟領域（擬）上市企業的合規要點，以期為相關企業的合規建設和合規應對提供參考。

合規點一：網路安全與數據合規

我國已出台的《網路安全法》《數據安全法》及即將出台的《個人信息保護法》構成了網路安全及數據安全合規領域的「三駕馬車」。新經濟領域的上市公司和擬上市公司通常掌握大量的各維度數據，應特別關注網路安全與數據合規的相關要求。

從近期監管趨勢來看，跨境數據傳輸是企業上市應特別關注的合規點。根據《網路安全法》和《數據安全法》規定，包括公共通信、信息服務、金融業和其他重要行業、領域的關鍵信息基礎設施的運營者，應將境內運營期間收集和生成的個人信息和重要數據儲存在境內，如需向境外傳輸，則應按相關規定進行安全性評估。但是，對於如何進行此類安全評估，目前尚未出台正式的法規或指南。這可能對擁有多個數據中心、可能需要在不同國家地區之間傳輸某些個人數據的互聯網公司造成影響，相關企業應密切關注這一領域的立法與執法動態。此外，《數據安全法》已明確提出要建立數據分級分類保護制度和國家核心數據管理制度：一方面，對於關系國家安全、國民經濟命脈、重要民生、重大公共利益的國家核心數據實行更加嚴格的管理制度；另一方面，相關地區和部門將進一步制定本地區、本部門以及相關行業、領域的重要數據具體目錄，對列入目錄的數據進行重點保護。未來更詳細的數據分級制度出台後，企業應依法依規做好數據分類工作，並嚴格採取相應的數據管理和保護措施。

在個人信息保護方面，無論相關企業是境外上市或是境內上市，數據合規問題均易引發媒體公眾的高度關注，也會受到監管部門的重點問詢，包括數據來源合法合規問題、數據使用合法合規問題、數據相關的業務經營問題等。

例如，對於掌握大量用戶數據的互聯網平台企業而言，應特別關注數據來源的合規性：

獲取用戶數據信息的來源、獲取途徑、授權方式及協議，授權是否明確且合法有效，收集用戶信息時是否明確告知收集信息的范圍及使用用途；

獲取個人數據是否對用戶有明確提示、收集的數據是否限制在必要范圍內、是否僅概括性提示收集用戶信息、是否超出用戶授權范圍使用數據、或存在未經其他平台的授權直接收取數據的行為；

通過APP以《用戶協議》、《隱私政策》等協議約定獲得用戶授權過程中，收集個人用戶信息、向個人用戶推送廣告等有無明確告知用戶收集、使用信息的目的、方式和范圍。

合規點二：反壟斷合規

反壟斷合規作為熱點領域，對於企業上市前後合規建設的重要性正逐漸凸顯。今年以來，關於國內互聯網巨頭的各類反壟斷處罰決定或傳聞對於企業股價及市場均造成了一定的影響。例如，2021年4月10日，國家市場監督管理總局（「總局」）對某電商平台濫用市場支配地位「二選一」的壟斷行為做出行政處罰決定，對其處以2019年度中國境內銷售額4%的罰款，共計182.28億元，成為迄今中國反壟斷執法機關開出的最高額罰單。（相關解讀：從史上最高罰單看企業反壟斷合規的重要性）同時，總局向該平台發出行政指導書，並於此後要求34家互聯網平台企業做出《依法合規經營承諾》。一系列執法和行政指導舉措均體現了企業在反壟斷領域全面合規的重要性。

我們建議，新經濟領域的平台企業（包括採取/擬採取VIE架構在境外上市的企業）應特別關注經營者集中反壟斷申報的合規要求。國務院反壟斷委員會發布的《關於平台經濟領域的反壟斷指南》（「《平台經濟指南》」）第十八條規定，「涉及協議控制架構的經營者集中，屬於經營者集中反壟斷審查范圍」，明確了VIE架構的企業開展經營者集中時，如營業額標准達標應觸發反壟斷申報義務。2020年以來，總局已陸續查處公布了超過40起涉及VIE架構的未依法申報經營者集中的行政處罰案件，眾多國內知名互聯網公司均有相關案例。特別值得關注的是，近期在平台經濟領域的經營者集中審查和未依法申報審查方面，已出現了禁止集中交易和要求經營者針對應報未報交易採取必要措施恢復市場競爭狀態的決定：

2021年7月10日，總局發布了禁止兩 游戲 直播平台合並的反壟斷審查決定，並詳細說明了認定此項集中具有排除、限制競爭效果的理由。該案是我國平台經濟領域禁止經營者集中第一案，也是第一起僅涉國內企業的禁止經營者集中案件。

2021年7月24日，總局對某互聯網平台違法實施經營者集中案作出行政處罰決定，要求相關經營者採取必要措施恢復市場競爭狀態，包括責令該平台採取解除獨家版權等措施，降低市場進入壁壘，重塑相關市場競爭秩序。

此外，我們建議，新經濟領域的企業還應特別關注數據合規與反壟斷合規的交叉領域。《平台經濟指南》明確提及了經營者利用數據或演算法排除、限制競爭的多種行為模式。（相關解讀：平台經濟領域反壟斷正當時？——相關指南意見稿亮點解讀）如：

壟斷協議與演算法共謀：如經營者通過數據、演算法、平台規則或者其他方式實質上達成協調一致的行為；

濫用市場支配地位限定交易：經營者通過平台規則、數據、演算法、技術等方面的實際設置限制或者障礙的方式限定交易；

濫用市場支配地位實施差別待遇：基於大數據和演算法，根據交易相對人的支付能力、消費偏好、使用習慣等，實行差異性交易價格或者其他交易條件；

此外，平台經營者掌握的數據情況對於認定經營者市場支配地位具有重要意義，《平台經濟指南》明確提及，判斷相關平台是否構成其他經營者進入相關市場的「必需設施」時，需要綜合考慮該平台佔有數據的情況和其他情況。

在當前監管形勢下，反壟斷合規的重要性已無需贅言，相關企業應持續關注反壟斷領域的監管動態，不斷提升自身的反壟斷合規水平。

合規點三：反不正當競爭合規

反不正當競爭合規是另一合規熱點。互聯網時代，信息傳播的高頻性縮短了時間差，競爭對手舉報、消費者投訴舉報、職業打假人的投訴舉報、相關部門的強力監管等都會給企業帶來相當大的壓力，企業若無妥善的預案與風險管理，不僅可能面臨當下的經營困境，也會給未來的上市之路帶來巨大阻礙。以某陌生交友APP上市遇阻為例，其原本計劃於6月24日上市，卻於近日宣布暫停美股IPO流程，市場普遍認為，緊急暫停IPO或與其此前深陷與某競品APP的不正當競爭案件不無關系。

互聯網領域不正當競爭行為主要包括兩大類：一類是傳統不正當競爭行為在互聯網領域的延伸，例如利用互聯網實施混淆仿冒、虛假宣傳、商業詆毀等不正當競爭行為，另一類屬於互聯網領域特有的，利用技術手段實施的不正當競爭行為。例如典型的不正當競爭行為「虛假宣傳」，對其相關的規定散見於《廣告法》、《互聯網廣告管理暫行辦法》、《反不正當競爭法》及相關法規和規范性文件中。在日常運營及籌備上市的過程中，企業往往對如何保證宣傳的真實性，規避「虛假宣傳」的可能范圍缺乏專業的認知，存在一些不完全引用、片面宣傳、歧義性語言而遭受處罰的情況。此時企業應當需要藉助專業團隊，對風險進行預估，同時結合不同地域執法人員執法偏向、發布區域、覆蓋人群等諸多因素進行預判。

自2020年起，眾多互聯網公司均陷入監管部門的反不正當競爭調查。2021年2月8日，總局發布針對某品牌特賣平台的行政處罰決定，認定該平台擾亂公平競爭市場秩序，處以300萬元罰款。這一案例充分說明，互聯網商業模式的迭代和發展已催生更多不同類型的不正當競爭行為，數據的採集和應用方式的多樣化也使得競爭行為更加隱蔽和復雜。隨著執法態勢的日趨嚴格，互聯網行業經營者更應當採取合理、恰當的合規思路去進行合規體系的構建。

合規點四：行業性監管政策變化與合規

今年以來，行業性監管政策的變化頻繁，特別是在關系國計民生的重要領域，相關部門已明確透出強力監管的信號。以教育和交通行業為例，相關領域的平台企業應當密切關注行業性監管政策之下的合規要求。

近期，交通領域的企業受到監管部門的密切關注。2021年7月30日，交通運輸新業態協同監管部際聯席會議召開2021年第二次全體會議，審議《關於加強交通運輸新業態從業人員權益保障工作的意見》，並提出要優化監管框架，加快實現事前事中事後全鏈條監管，特別加強反壟斷監管和反不正當競爭，依法查處網約車和貨運平台壟斷、排除和限制競爭、擾亂市場秩序、侵害司機合法權益等違法行為。此外，前述網信辦對某出行服務平台發起的網路安全審查也充分說明，交通運輸企業（特別是互聯網新經濟平台企業）應特別關注行業性監管政策的重點。交通行業的特殊性之一在於，相關互聯網平台企業在經營過程中必然會掌握大量貨運、城市交通、用戶及司機的相關數據，應特別關注數據安全相關的合規要求。例如，交通運輸行業的大量數據可能被納入重要數據目錄，而《數據安全法》對於重要數據的處理活動已明確提出若干數據安全保護義務，包括：

重要數據的處理者應當明確數據安全負責人和管理機構；

重要數據的處理者應當按照規定對其數據處理活動定期開展風險評估，並向有關主管部門報送風險評估報告；

對影響或者可能影響國家安全的數據處理活動進行網路安全審查；

關鍵信息基礎設施的運營者在我國境內運營中收集和產生的重要數據的出境安全管理應遵守相關法律法規的規定。

同樣，教育行業也屬於民生領域的重點監管行業。今年以來，各大在線教育平台均面臨著總局、教育部等多個部門的強力監管：

5月初，總局組織地方市場監管部門組建專案組，對15家校外培訓機構進行重點檢查後發現其分別存在虛假宣傳或價格欺詐違法行為，對其分別予以頂格罰款，合計已超過3600萬元。

6月15日，教育部公布《關於成立校外教育培訓監管司的通知》，宣布成立校外教育培訓監管司，將承擔面向中小學生（含幼兒園兒童）的校外教育培訓管理、黨建指導與政策擬定。

近日，中共中央辦公廳、國務院辦公廳印發了《關於進一步減輕義務教育階段學生作業負擔和校外培訓負擔的意見》，對於教育行業的互聯網平台公司提出了更高的合規要求。

在行業重壓之下，在線教育平台和各校外培訓機構更應做好業務許可備案、機構備案審查、合規宣傳，在師資合格、信息安全、收費監管等方面充分遵守法律法規的相關要求。

此外，《首次公開發行股票並上市管理辦法》（2020修正）第十八條要求申報期內發行人不得存在重大違法行為。原則上，凡被相關行政機關給予一定金額以上行政處罰的行為，都可能被視為重大違法行為（即「最近36個月內違反工商、稅收、土地、環保、海關以及其他法律、行政法規，受到行政處罰，且情節嚴重」），除非處罰實施機關認定該行為不屬於重大違法行為並依法做出合理說明。因此，企業和中介機構還應審慎把握「重大違法行為」的審核尺度，例如，對於平台企業而言，網路安全與數據合規、反壟斷、反不正當競爭等方面的重大行政處罰，並未被完全排除在「重大違法行為」的范疇之外，這也啟示，相關企業在啟動上市計劃之前應充分重視各方面的合規建設和體系完善。

如前所述，《意見》特別強調對證券違法犯罪案件「堅持零容忍要求」，這呼應了2019年修訂的《證券法》及2020年出台的《刑法修正案（十一）》，體現全面推行注冊制改革下的強監管趨勢。《意見》第二十條還著重強調，加強中概股監管，要求切實採取措施做好中概股公司風險及突發情況應對，推進相關監管制度體系建設。相關企業應重視監管政策的動態變化，無論是境內上市還是境外上市，互聯網平台等新經濟領域（擬）上市企業都應強化合規建設與違規風險防範，以合規創造價值。

注釋：

[1] 參見：中共中央辦公廳 國務院辦公廳印發《關於依法從嚴打擊證券違法活動的意見》，訪問地址：https://www.spp.gov.cn/zdgz/202107/t20210706_523196.shtml。

[2] 參見：《網路安全審查辦公室關於對「滴滴出行」啟動網路安全審查的公告》，訪問地址：http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm；《網路安全審查辦公室關於對「運滿滿」「貨車幫」「BOSS直聘」啟動網路安全審查的公告》，訪問地址：http://www.cac.gov.cn/2021-07/05/c_1627071328950274.htm

[3] 參見：Statement on Investor Protection Related to Recent Developments in China,訪問地址：https://www.sec.gov/news/public-statement/gensler-2021-07-30

[4] 參見《網路安全法》第三十七條及《數據安全法》第三十一條。

[5] 參見《數據安全法》第二十一條。

[6] 參見：《市場監管總局依法對某電商平台在中國境內網路零售平台服務市場實施"二選一"壟斷行為作出行政處罰》，訪問地址：http://www.samr.gov.cn/xw/zj/202104/t20210410_327702.html。

[7] 參見：《市場監管總局依法禁止A公司與B有限公司合並》，訪問地址：http://www.samr.gov.cn/xw/zj/202107/t20210710_332525.html。

[8] 參見：《市場監管總局依法對某控股有限公司作出責令解除網路音樂獨家版權等處罰》，訪問地址：http://www.samr.gov.cn/xw/zj/202107/t20210724_333016.html。

[9] 根據上海市高級人民法院官網信息，U公司訴S公司其他不正當競爭糾紛在2021年4月21日立案，U公司要求賠償2693萬元，並向法院申請了財產保全。5月11日，S公司向美國證券交易委員會提交招股書，申請在納斯達克上市，5月21日，法院凍結S公司2693萬元，並在月底確定案件開庭時間為6月29日。

[10] 《反不正當競爭法》新增了「互聯網專條」（第十二條），要求經營者不得利用技術手段，通過影響用戶選擇或者其他方式，實施下列妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為：（一）未經其他經營者同意，在其合法提供的網路產品或者服務中，插入鏈接、強制進行目標跳轉；（二）誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網路產品或者服務；（三）惡意對其他經營者合法提供的網路產品或者服務實施不兼容；（四）其他妨礙、破壞其他經營者合法提供的網路產品或者服務正常運行的行為。

[11] 參見：市場監管總局發布對某品牌特賣公司不正當競爭案行政處罰決定書，訪問地址：http://gkml.samr.gov.cn/nsjg/jjjzj/202102/t20210210_326097.html。其不正當競爭行為包括：開發並使用巡檢系統以獲取同時在本公司和其他公司上架銷售的品牌經營者信息，利用供應商平台系統、智能化組網引擎、運營中台等提供的技術手段，通過影響用戶選擇，及限流、屏蔽、商品下架等方式，減少品牌經營者的消費注意、流量和交易機會，限製品牌經營者的銷售渠道，妨礙、破壞了品牌經營者及其他經營者合法提供的網路產品和服務正常運行。

[12] 參見：《交通運輸新業態協同監管部際聯席會議召開2021年第二次全體會議》，訪問地址：https://www.mot.gov.cn/jiaotongyaowen/202107/t20210730_3613683.html。

[13] 參見：《市場監管總局就強化校外培訓機構市場監管有關情況舉行專題新聞發布會》，訪問地址：http://www.samr.gov.cn/xw/xwfbt/202106/t20210601_330032.html。

[14] 參見：《教育部辦公廳關於成立校外教育培訓監管司的通知》，訪問地址：http://www.moe.gov.cn/srcsite/A04/s7051/202106/t20210615_538134.html。

[15] 參見：中共中央辦公廳 國務院辦公廳印發《關於進一步減輕義務教育階段學生作業負擔和校外培訓負擔的意見》，訪問地址：http://www.moe.gov.cn/jyb_xxgk/moe_1777/moe_1778/202107/t20210724_546576.html。

來源: 中倫視界