2021年12月24日,中国证券监督管理委员会发布《关于就<国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)>公开征求意见的通知》[1],强调境内企业境外发行上市的,应当严格遵守国家法律法规和有关规定,建立健全保密制度,采取必要措施落实保密责任,不得泄露国家秘密,不得损害国家安全和公共利益。境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。经国务院有关主管部门依法审查认定,境外发行上市威胁或危害国家安全的,不得境外发行上市。本文将基于国家关于境内企业境外发行上市的网络安全审查的法规要求,结合近期港股上市的具体案例,分析网络安全审查对未来境内企业境外上市的影响与对策。
一、我国网络安全审查制度的演进
我国网络安全审查制度可追溯至2015年颁布的《中华人民共和国国家安全法》(简称“《国家安全法》”)。其中第五十九条明确,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
全国人大常委会于2016年通过的《中华人民共和国网络安全法》(简称“《网络安全法》”)第三十五条明确,关键信息基础设施运营者(简称“关基运营者”)采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2020年4月13日,国家互联网信息办公室(简称“网信办”)与其他11个国务院直属部门共同发布了《网络安全审查办法》,要求关基运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,并明确废止了2017年5月2日发布的《网络产品和服务安全审查办法(试行)》(现已失效)(简称“《网安审查试行办法》”)。《网安审查试行办法》将须进行网络安全审查的对象限定于关系国家安全的网络和信息系统采购的重要网络产品和服务。
2021年7月2日,网络安全审查办公室发布公告,对某互联网出行平台启动网络安全审查。[2]随后,网信办会同其他六部委联合进驻该平台,开展网络安全审查,以确定其是否符合《国家安全法》《网络安全法》及《网络安全审查办法》。在审查过程中,该平台被要求暂停注册新用户。同一时期,网信办还启动了对其他三个互联网平台的网络安全审查。
2021年7月10日,网信办发布了《网络安全审查办法》修订草案,并向社会公开征求意见(简称“《审查办法修订意见稿》”)。《审查办法修订意见稿》扩大了网络安全审查的范围,将所有在中国大陆境内收集、产生数据,可能影响国家安全的数据处理者纳入了审查范围,由此明确网络安全审查将同时涵盖网络安全与数据处理活动安全两方面内容。此外,《审查办法修订意见稿》第六条规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。进一步明确,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,也应进行网络安全审查。审查内容主要分为两类,一类是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,另一类则是针对国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
2021年9月1日生效并实施的《中华人民共和国数据安全法》(简称“《数据安全法》”)承袭了《审查办法修订意见稿》对网络安全审查适用范围进行扩展的思路。《数据安全法》第二十四条规定,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”因此,网络安全审查对象以生效法律规定得以确认,其不仅针对《网络安全法》下的关基运营者,而是包括关基运营者在内的开展数据处理活动的所有数据处理者。
工信部于2021年9月30日发布的《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》(简称“《工信部数安办法(意见稿)》”)沿袭了《数据安全法》关于安全审查的思路,明确工信部应对影响或可能影响国家安全的工业和电信数据处理活动开展数据安全审查。因此,如果数据处理活动影响或可能影响国家安全的,则相关企业可能需要在国家数据安全工作协调机制下同时接受工信部和网信办的安全审查。
2021年11月14日,网信办公布《网络数据安全管理条例(征求意见稿)》(简称“《数安条例意见稿》”),对《网络安全法》《数据安全法》《个人信息保护法》中的规定提出了细化要求。其中令人关注的条款是第十三条规定的网络安全审查义务。在如下情况下,一般数据处理者应当申报网络安全审查:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(2)处理一百万人以上个人信息的数据处理者赴国外上市的;(3)数据处理者赴香港上市,影响或者可能影响国家安全的;(4)其他影响或者可能影响国家安全的数据处理活动。
我们将网络安全审查制度的演进过程制作为如下图示,供读者参阅:
二、对境外上市企业启动网络安全审查的条件
针对境外上市是否涉及网络安全审查,《数安条例意见稿》对此前《审查办法修订意见稿》规定的审查启动条件进行了调整和补充。
结合上表来看,《数安条例意见稿》规定的境外上市过程中的网络安全审查启动条件主要变化以及需要重点关注的要点如下:
1. 《审查办法修订意见稿》仅针对“赴国外上市”的情况,因而发布时企业普遍认为赴香港上市可以避免适用网络安全审查,但时隔4个月后,《数安条例意见稿》对此类解读进行了回应,即便是赴香港上市,存在影响或可能影响国家安全风险的,也依然需要申报网络安全审查。
2. 赴国外上市的数据处理者,涉及处理的个人信息达一百万人以上,则需要申报网络安全审查。经与《审查办法修订意见稿》比对,《数安条例意见稿》将原有的“掌握”改为了“处理”,结合《数据安全法》和《个人信息保护法》对于“处理”的定义,可明确“处理”包括“收集、存储、使用、加工、传输、提供、公开、删除”等数据生命周期的全部或者单个环节,从法律体系解释的角度上解决了原先使用“掌握”这一概念而可能导致模糊定义和各方认定不一致的风险。同时,《数安条例意见稿》将“超过100万用户个人信息”调整为“一百万人以上个人信息”,意味着处理个人信息的范围不仅限于“用户”,也包括员工信息、视频录像中的非注册用户的个人信息、B端企业联络人、操作人员的个人信息等。
3. 赴香港上市的数据处理者,一旦影响或可能影响国家安全,则需要申报网络安全审查。《数安条例意见稿》明晰了对于赴港上市企业也存在申报义务,但适用条件为当企业自我评估后认为在存在影响或可能影响国家安全的风险时,才需要进行网络安全审查。换言之,并非所有赴港上市的企业均需要申报网络安全审查。可见,“影响或可能影响国家安全”的理解成为了判断是否构成网络安全审查义务的核心要素。《数安条例意见稿》中并未对“影响或者可能影响国家安全”的认定标准作详细描述,企业可以参考《审查办法修订意见稿》第十条中列举的可能对国家安全造成风险的因素进行评估(本节第5点将进行阐述)。当然,主管机关也有依职权启动网络安全审查。
4. 除了《数安条例意见稿》第十三条规定的网络安全审查外,第三十二条还要求,赴境外上市的数据处理者,应当自行或委托第三方每年开展一次数据安全评估,并在每年1月31日将上一年度数据安全评估报告报送设区的市级网信部门。此处《数安条例意见稿》使用“境外”的表达,意味着无论赴国外上市还是赴香港上市,均需要进行数据安全评估。
我们将上市相关义务制作为如下图示,供读者参阅:
5. 《国家安全法》规定,国家安全是指国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态。《审查办法修订意见稿》第十条阐释,评估国家安全风险时,重点考虑如下因素:
(1)如拟上市企业已经被主管部门认定为关基运营者的,除下方第(2)点所述内容外,还应评估:(i)企业所采购的产品和服务在使用后是否会产生关键信息基础设施被非法控制、遭受干扰或破坏的风险;(ii)企业所采购的产品和服务供应商一旦中断提供该产品或者服务,是否会对关键信息基础设施业务的连续性造成危害;(iii)关键信息基础设施,被国外政府影响、控制、恶意利用的风险;(iv)其他可能危害关键信息基础设施安全的因素。
针对“关基运营者”的认定,国务院于2021年7月30日发布的《关键信息基础设施安全保护条例》仅给出原则性指引:关键信息是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。该条例第十条进一步规定,由行业主管部门制定具体的认定规则,并对关键信息基础设施进行认定并通知运营者。
(2)如拟上市企业目前未被认定为关基运营者的,则应评估:(i)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素是否可能导致供应中断的风险;(ii)产品和服务提供者遵守中国法律、行政法规、部门规章的情况;(iii)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险、被国外政府影响、控制、恶意利用的风险等;(iv)其他可能危害国家数据安全的因素等。据此,建议企业赴香港上市前,对网络安全和数据合规情况进行综合评估,并对企业处理数据是否存在影响国家安全的可能性提前进行自评估或者委托专业机构协助评估,综合考虑网络安全的可靠性、所在行业、数据量级、数据敏感程度、是否存在数据出境等情况,尤其重视上市过程中也须同样履行数据安全义务,防止因上市活动可能引发安全风险。
6. 鉴于《审查办法修订意见稿》《数安条例意见稿》均未对“上市”的概念做进一步的解释或澄清,从实质重于形式的监管原则理解,首次公开发行并上市(IPO)、二次上市、特殊目的公司并购(SPAC)、反向并购或借壳上市(RTO)等均可能触发网络安全审查申报义务。
需要注意的是,《审查办法修订意见稿》和《数安条例意见稿》仍然处于征求意见状态,尚未发布终审稿。根据目前生效的《数据安全法》,任何因数据处理活动影响或可能影响国家安全的网络运营者,均有义务向网信部门申报网络安全审查。就网络安全审查的具体流程而言,目前可以参考的是《审查办法修订意见稿》中的流程要求。详见下图(更多分析可详见:环球合规与风控 | 面对网络安全审查,中概股企业需做何准备?——上篇:《网络安全审查办法(修订草案征求意见稿)》修订要点解读):
三、法律后果
如应履行而未申报网络安全审查的,《数安条例意见稿》规定的处罚后果是:由有关主管部门对企业处以责令改正、给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处罚款。
《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》进一步规定,如企业属于该规定列举的不得境外发行上市的情形(包括经审查境外发行上市威胁或危害国家安全的)进行境外发行上市的,国务院证券监督管理机构、国务院有关主管部门对境内企业给予警告,并处以一百万元以上一千万元以下的罚款,情节严重的,责令暂停相关业务或者停业整顿、吊销相关业务资质许可或者吊销营业执照。对境内企业的控股股东、实际控制人、董事、监事、高级管理人员给予警告,单处或者并处五十万元以上五百万元以下的罚款。
此外,《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》还规定证券公司、律师事务所未严格履行职责、督促企业遵守相关规定的,给予警告,并处以五十万元以上五百万元以下的罚款。对有关责任人员给予警告,并处以二十万元以上二百万元以下的罚款。因此,上市中介机构在就网络安全审查相关问题发表意见时,亦应慎重对待。
四、近期港股上市案例中的相关披露
(一)网易云音乐
网易云音乐(HK.09899)于2021年12月2日在香港联交所上市,其招股说明书中与网络安全审查有关的披露如下:[3]
根据上述披露,网易云音乐未进行网络安全审查,其主张的理由如下:一方面,现行有效的《网络安全法》中对于“关基运营者”认定不明;另一方面,因《审查办法修订意见稿》与《数安条例意见稿》暂未生效,即使其按照现行版本生效,鉴于其对“国外上市”与“影响或可能影响国家安全”的定义不明晰,具体影响暂未可知。
(二)商汤科技
商汤科技于2021年12月20日在港交所发布公告公开招股,预期于2021年12月30日挂牌上市[4]。商汤科技的招股说明书[5]中,与网络安全审查有关的披露如下:
基于商汤科技于招股说明书中的披露,其暂未根据《审查办法修订意见稿》或《数安条例意见稿》向监管部门申请网络安全审查。其主张的理由如下:商汤科技未被认定为关基运营者;商汤科技赴港上市不属于国外上市;现阶段《审查办法修订意见稿》与《数安条例意见稿》仍未生效,即使其按照现行版本生效,“数据处理者”、“国家安全”的定义未明确,因此商汤科技认为其被要求进行网络安全审查的可能性较低。
五、可借鉴的应对思路
在《审查办法修订意见稿》与《数安条例意见稿》生效之前,基于过往案例,发行人于招股说明书中的披露可以采纳以下思路:
- 针对现行有效的《网络安全审查办法》:发行人应判断其是否已经被监管部门确认并通知为“关基运营者”(在可行的情况下,建议征求行业主管部门的意见);如是,则发行人应评估采购网络产品和服务是否影响或者可能影响到国家安全;如认为是,则需要及时申报网络安全审查。
- 如发行人属于处理100万人以上个人信息的数据处理者赴国外上市的,则在《数安条例意见稿》按照现有条款生效后,需要进行申报网络安全审查。相对而言,如果处理100万人以上个人信息的数据处理者赴香港上市的,因目前被处理个人信息的人数并非赴香港上市企业申报网络安全审查的标准,故赴香港上市是否需要进行网络安全审查的判断重点应落在“影响或者可能影响国家安全”,因此,针对具体是否造成影响的判断可以参考本文第二节第5点中有关非关基运营者考虑的三点风险评估因素。
- 如果发行人既不是关基运营者,亦非处理个人信息达到100万人的数据处理者,一旦因其处理数据的活动或行为影响或者可能影响国家安全,则仍然需要申报网络安全审查。建议相关企业参考本文第二节第5点中有关非关基运营者考虑的三点风险评估因素进行自评估。
虽然《审查办法修订意见稿》与《数安条例意见稿》尚未生效,但其仍然具备一定参考意义,企业是否需要主动申报网络安全审查,建议可从运营者的主体性质、处理个人信息的人数,以及处理行为本身的影响等维度出发,对影响或者可能影响国家安全进行判断与风险评估。值得一提的是,上文两个港股上市案例中,无论是否申报网络安全审查,发行人均采取了数据安全及合规的相关措施,包括:保障数据的安全存储和传输、防止任何未经授权的数据获取和使用、加强网络与数据安全的内控制度、发挥管理层与董事会的监督管理职责等,以表明发行人对现有数据处理行为合法合规的做法。
六、总结与展望
随着网络安全审查制度体系的逐步落地与完善,企业上市前的数据合规实施工作、评估及审计落实情况,以及确认是否需要依法申报网络安全审查已然成为拟赴境外上市企业所需面临的新课题。《数安条例意见稿》中对“网络数据”和“数据处理活动”的定义较为宽泛,拟境外上市的企业均有可能落入《数安条例意见稿》的规制对象。因此,一方面,拟境外上市的企业需在上市前搭建较为完整的数据合规体系[6],以应对上市过程中保荐人、中介机构的询问以及监管部门的审核。另一方面,经自评估,有可能触发网络安全审查申报的企业,应当在上市材料递交前履行网络安全审查申报义务,以符合监管要求。目前网络安全审查的案例有限,网络安全审查的具体实践仍有待观察和总结。
注释:
[1] http://www.csrc.gov.cn/csrc/c101981/c1662244/content.shtml
[2] http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm
[3] https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1123/2021112300033_c.pdf。为了便于阅读,招股书中的表述与本文其他部分的表述做了统一处理。
[4] https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1220/2021122000006_c.pdf
[5] https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1207/2021120700018_c.pdf