前言
2021年12月24日,中国证券监督管理委员会发布《关于就〈国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)〉公开征求意见的通知》[1],强调境内企业境外发行上市的,应当严格遵守国家法律法规和有关规定,建立健全保密制度,采取必要措施落实保密义务,不得泄露国家秘密,不得损害国家安全和公共利益。境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。经国务院有关主管部门依法审查认定,境外发行上市威胁或危害国家安全的,不得境外发行上市。
2022年1月4日,国家互联网信息办公室等十三部门发布《网络安全审查办法》。相较于2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》,《网络安全审查办法》2022年修订版整体调整幅度不大,判断企业是否需要主动申报网络安全审查的实质标准仍为:是否掌握了100万用户个人信息并赴国外上市、是否影响或者可能影响国家安全。我们结合《网络安全审查办法》终审稿,特更新本文(本文初版发表于2021年12月29日)。
一、我国网络安全审查制度的演进
我国网络安全审查制度可追溯至2015年颁布的《中华人民共和国国家安全法》(简称“《国家安全法》”)。其中第五十九条明确,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
全国人大常委会于2016年通过的《中华人民共和国网络安全法》(简称“《网络安全法》”)第三十五条明确,关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2020年4月13日,国家互联网信息办公室(简称“网信办”)与其他11个国务院直属部门共同发布了《网络安全审查办法》,要求关键信息基础设施运营者采购网络产品和服务,影响或可能影响国家安全的,应当进行网络安全审查,并明确废止了2017年5月2日发布的《网络产品和服务安全审查办法(试行)》(现已失效)。此前《网络产品和服务安全审查办法(试行)》将须进行网络安全审查的对象仅限定于关系国家安全的网络和信息系统采购的重要网络产品和服务。
2021年7月2日,网络安全审查办公室发布公告,对某互联网出行平台启动网络安全审查。[2]随后,网信办会同其他六部委联合进驻该平台,开展网络安全审查,以确定其是否符合《国家安全法》《网络安全法》及《网络安全审查办法》。在审查过程中,为配合审查工作,防范风险扩大,该平台被要求暂停新用户注册。同一时期,网信办还启动了对其他三个互联网平台的网络安全审查。
2021年7月10日,网信办发布了《网络安全审查办法(修订草案征求意见稿)》,并向社会公开征求意见(简称“《审查办法修订意见稿》”)。《审查办法修订意见稿》扩大了网络安全审查的范围,将所有在中国大陆境内收集、产生数据,可能影响国家安全的数据处理者纳入了审查范围,由此明确网络安全审查将同时涵盖网络安全与数据处理活动安全两方面内容。此外,《审查办法修订意见稿》第六条规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。进一步明确,对于数据处理者开展数据处理活动,影响或可能影响国家安全的,也应进行网络安全审查。审查内容主要包括两类,一类是针对核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用或出境的风险,另一类则是针对国外上市后关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。
2021年9月1日生效并实施的《中华人民共和国数据安全法》(简称“《数据安全法》”)承袭了《审查办法修订意见稿》对网络安全审查适用范围进行扩展的思路。《数据安全法》第二十四条规定,“对影响或者可能影响国家安全的数据处理活动进行国家安全审查。”因此,网络安全审查对象以生效法律规定得以确认,其不仅针对《网络安全法》下的关键信息基础设施运营者,而是包括关键信息基础设施运营者在内的开展数据处理活动的所有数据处理者。
2021年11月14日,网信办公布《网络数据安全管理条例(征求意见稿)》(简称“《数安条例意见稿》”),对《网络安全法》《数据安全法》《中华人民共和国个人信息保护法》(简称“《个人信息保护法》”)中关于数据安全管理的规定提出了细化要求。其中令人关注的条款是第十三条规定的网络安全审查义务。在如下情况下,数据处理者应当申报网络安全审查:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(2)处理一百万人以上个人信息的数据处理者赴国外上市的;(3)数据处理者赴香港上市,影响或者可能影响国家安全的;(4)其他影响或者可能影响国家安全的数据处理活动。
2022年1月4日,网信办在内的十三部委联合修订了《网络安全审查办法》(简称“《审查办法2022修订》”),该办法自2022年2月15日起施行,并废止了2020年4月13日公布的《网络安全审查办法》。
我们将网络安全审查制度的演进过程制作为如下图示,供读者参阅:
二、对境外上市企业启动网络安全审查的条件
针对境外上市是否涉及网络安全审查,《数安条例意见稿》对此前《审查办法修订意见稿》规定的审查启动条件进行了调整和补充,而《审查办法2022修订》基本沿用了《审查办法修订意见稿》的规定,具体比较如下:
根据《审查办法2022修订》,企业境外上市过程中的网络安全审查启动条件要点如下:
1. 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。《审查办法2022修订》新增了“网络平台运营者”这一概念,但并未对其进行明确定义,可参考《数安条例意见稿》对于“互联网平台运营者”的定义,“互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”。假如《数安条例意见稿》最终出台时对现有条款不再调整,那么其所规制的数据处理者范围较《审查办法2022修订》中规定的网络平台运营者实则更大。但从申报条件来说,依然要重点关注“掌握”和“超过100万用户个人信息”这两个标准,对于传统企业,例如钢铁、食品等,在数字经济时代也迈向了数字化平台转型步伐,是否需要申报网络安全审查,依然取决于是否“掌握”及“超过100万用户个人信息”。
2. 《审查办法2022修订》未提及赴香港上市是否承担网络安全审查申报义务,未提及《数安条例意见稿》中赴香港上市的相关要求。虽然从效力位阶上看,《数安条例意见稿》将由国务院发布,生效后属于行政法规,而《审查办法2022修订》生效后仅为部门规章,但是,从发布时间来看,《审查办法2022修订》现已发布,《数安条例意见稿》的意见反馈截止时间为2021年12月13日,二者均由网信办会同相关部门研究起草。因此,就香港上市是否需要申报网络安全审查的问题,我们认为后续《数安条例意见稿》较大概率会保持和《审查办法2022修订》的统一。根据《审查办法2022修订》,拟香港上市企业(即便掌握超过100万用户个人信息的网络平台运营者)通常并无网络安全审查主动申报义务,但企业仍应排查其是否落入《审查办法2022修订》第二条需要进行网络安全审查的范畴。
3. 《审查办法2022修订》第二条规定,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。结合《审查办法2022修订》第十条,评估国家安全风险时,重点考虑如下因素:
(1)如拟上市企业目前未被认定为关键信息基础设施运营者的(简称“非关键信息基础设施运营者”),则应评估:(i)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及是否因政治、外交、贸易等因素导致供应链可能中断的风险;(ii)产品和服务提供者遵守中国法律、行政法规、部门规章的情况;(iii)核心数据、重要数据或大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险、被国外政府影响、控制、恶意利用的风险等;(iv)其他可能危害网络安全和数据安全的因素等。据此,建议企业赴香港上市前,对网络安全和数据合规情况进行综合评估,并对企业处理数据是否存在影响国家安全的可能性提前进行自评估或者委托专业机构协助评估,综合考虑网络安全的可靠性、所在行业、数据量级、数据敏感程度、是否存在数据出境等情况,尤其重视上市过程中也须同等履行数据安全义务,防止因上市活动可能引发的安全风险。
(2)如拟上市企业已经被主管部门认定为关键信息基础设施运营者的,除上方第(1)点所述内容外,还应评估:(i)企业所采购的产品和服务在使用后是否会产生关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(ii)产品和服务供应一旦中断,是否会对关键信息基础设施业务的连续性造成危害;(iii)上市是否存在关键信息基础设施被国外政府影响、控制、恶意利用的风险,以及网络信息安全风险;(iv)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
针对“关键信息基础设施运营者”的认定,国务院于2021年7月30日发布的《关键信息基础设施安全保护条例》仅给出原则性指引:关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。该条例第九条、第十条进一步规定,由行业主管部门制定具体的认定规则,并对关键信息基础设施进行认定并通知运营者。
4. 网络安全审查可以由网络安全审查办公室依职权发起。网络安全审查办公室有权对其认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动开展网络安全审查,网络安全审查办公室将委托中国网络安全审查技术与认证中心承担具体工作,由中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接受申报材料和进行形式审查等工作。网络安全审查办公室、网络安全审查工作机制成员单位和/或中央网络安全和信息化委员会依照《审查办法2022修订》的规定进行审查。
5. 《数安条例意见稿》除了第十三条规定的网络安全审查外,第三十二条还要求,赴境外上市的数据处理者,应当自行或委托第三方每年开展一次数据安全评估,并在每年1月31日将上一年度数据安全评估报告报送设区的市级网信部门。此处《数安条例意见稿》使用“境外”的表达,意味着无论赴国外上市还是赴香港上市,均需要进行数据安全评估。值得注意的是,《审查办法2022修订》增加了第二十二条第二款,提出“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。”这意味着,网络安全审查并不完全等同于数据安全审查。
我们将不同上市场景发行人的网络安全审查义务图示如下:
三、网络安全审查流程和时间
网络平台运营者赴国外上市的网络安全审查(如需)的流程如下:
- 网络平台运营者应当在向国外证券监管机构提出上市申请之前,申报网络安全审查。
- 网络安全审查办公室应当自收到符合《审查办法2022修订》第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。
- 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
- 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。
- 网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理。
- 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
具体流程图示如下:
企业申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。
四、法律后果
对于违反《审查办法2022修订》的行为,《审查办法2022修订》仅规定依照《网络安全法》《数据安全法》的规定处理。相关的法律后果包括:
- 关键信息基础设施运营者违反本法第三十五条[3]规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(《网络安全法》第六十五条)。
- 关键信息基础设施运营者违反本法第三十七条[4]规定,在境外存储网络数据,或者向境外提供网络数据的,由有关主管部门责令改正,给予警告,没收违法所得,处五万元以上五十万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款(《网络安全法》第六十六条)。
- 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任(《数据安全法》第四十五条第二款)。
- 如应履行而未申报网络安全审查的,《数安条例意见稿》规定的处罚后果是:由有关主管部门对企业处以责令改正、给予警告、罚款、责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处罚款。
《审查办法2022修订》第十六条第二款进一步明确,为防范风险,当事人应当在审查期间按照审查要求采取预防和消减风险的措施。结合2021年7月网络安全审查办公室发起的审查情况来看,预防和消减风险的措施可能包括配合审查进行产品下架、停止新用户注册等。
《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》进一步规定,如企业属于该规定列举的不得境外发行上市的情形(包括经审查境外发行上市威胁或危害国家安全的)进行境外发行上市的,国务院证券监督管理机构、国务院有关主管部门对境内企业给予警告,并处以一百万元以上一千万元以下的罚款,情节严重的,责令暂停相关业务或者停业整顿、吊销相关业务资质许可或者吊销营业执照。对境内企业的控股股东、实际控制人、董事、监事、高级管理人员给予警告,单处或者并处五十万元以上五百万元以下的罚款。
此外,《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》还规定证券公司、律师事务所未严格履行职责、督促企业遵守相关规定的,给予警告,并处以五十万元以上五百万元以下的罚款。对有关责任人员给予警告,并处以二十万元以上二百万元以下的罚款。因此,上市中介机构在就网络安全审查相关问题发表意见时,亦应慎重对待。
五、近期港股上市案例中的相关披露
(一)网易云音乐
网易云音乐(HK.09899)于2021年12月2日在香港联交所上市,其招股说明书中与网络安全审查有关的披露如下:[5]
根据上述披露,网易云音乐未进行网络安全审查,其主张的理由如下:一方面,现行有效的《网络安全法》中对于“关键信息基础设施运营者”认定不明;另一方面,因《审查办法修订意见稿》与《数安条例意见稿》暂未生效,即使其按照现行版本生效,鉴于其对“国外上市”与“影响或可能影响国家安全”的定义不明晰,具体影响暂未可知。
(二)商汤科技
商汤科技(HK.00020)于2021年12月30日在香港联交所上市,其招股说明书中与网络安全审查有关的披露如下:[6]
基于商汤科技于招股说明书中的披露,其暂未根据《审查办法修订意见稿》或《数安条例意见稿》向监管部门申请网络安全审查。其主张的理由如下:商汤科技未被认定为关键信息基础设施运营者;商汤科技赴港上市不属于国外上市;现阶段《审查办法修订意见稿》与《数安条例意见稿》仍未生效,即使其按照现行版本生效,“数据处理者”、“国家安全”的定义未明确,因此商汤科技认为其被要求进行网络安全审查的可能性较低。
虽然上述两家公司于香港上市时,《审查办法2022修订》尚未颁布,但鉴于《审查办法2022修订》未对《审查办法修订意见稿》中需进行网络安全审查主体的判断标准作出实质性更改,因此以上两个案例仍具有一定的参考意义。
六、可借鉴的应对思路
基于《审查办法2022修订》的规定,结合过往案例中发行人于招股说明书中的披露,在香港联交所上市的发行人在招股书中的披露可以采纳以下思路:
- 发行人应判断其是否属于网络平台运营者,或是否已经被监管部门确认并通知为“关键信息基础设施运营者”(在可行的情况下,建议征求行业主管部门的意见);如是,则发行人应评估其采购网络产品和服务的行为或者开展数据处理活动的行为是否影响或者可能影响到国家安全;如认为是,则需要及时申报网络安全审查。
- 在《审查办法2022修订》2022年2月15日实施后,如发行人属于掌握超过100万用户个人信息的网络平台运营者赴国外上市的,则必须申报网络安全审查。但是掌握个人信息的数量并非赴香港上市企业申报网络安全审查的标准,因此赴香港上市是否需要进行网络安全审查的判断重点应落在“影响或者可能影响国家安全”,企业赴香港上市判断是否“影响或者可能影响国家安全”,可以参考本文第二节有关“非关键信息基础设施运营者”考虑的评估因素。
- 如果发行人不属于影响或者可能影响国家安全的关键信息基础设施运营者或网络平台运营者,一旦因其处理数据的活动或行为影响或者可能影响国家安全,则仍然需要申报网络安全审查。建议相关企业参考本文有关“非关键信息基础设施运营者”考虑的评估因素。
虽然《审查办法2022修订》刚刚发布,我们依然期待《数安条例意见稿》终审稿可以早日出台,两者构成完整规则以指导实践。企业是否需要主动申报网络安全审查,建议可从运营者的主体性质、处理个人信息的人数,以及处理行为本身的影响等维度出发,对影响或者可能影响国家安全进行判断与风险评估。值得一提的是,上文两个港股上市案例中,无论是否申报网络安全审查,发行人均采取了数据安全及合规的相关措施,包括:保障数据的安全存储和传输、防止任何未经授权的数据获取和使用、加强网络与数据安全的内控制度、发挥管理层与董事会的监督管理职责等,以表明发行人对现有数据处理行为合法合规的做法。
七、总结与展望
随着网络安全审查制度体系的逐步落地与完善,企业上市前的数据合规实施工作、评估及审计落实情况,以及确认是否需要依法申报网络安全审查已然成为拟赴境外上市企业所需面临的新课题。一方面,拟境外上市的企业需在上市前搭建较为完整的数据合规体系[7],以应对上市过程中保荐人、中介机构的询问以及监管部门的审核。另一方面,经自评估,有可能触发网络安全审查申报的企业,应当在上市材料递交前履行网络安全审查申报义务,以符合监管要求。目前网络安全审查的案例有限,网络安全审查的具体实践仍有待观察和总结。
注释:
[1] http://www.csrc.gov.cn/csrc/c101981/c1662244/content.shtml
[2] http://www.cac.gov.cn/2021-07/02/c_1626811521011934.htm
[3] 《网络安全法》第三十五条:关基运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
[4] 《网络安全法》第三十七条:关基运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
[5] https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1123/2021112300033_c.pdf。为了便于阅读,招股书中的表述与本文其他部分的表述做了统一处理。
[6] https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1207/2021120700018_c.pdf。为了便于阅读,招股书中的表述与本文其他部分的表述做了统一处理。