您的位置 : 环球研究 / 环球评论 / 新闻详情
网络安全审查系列 | 之二:拟赴香港上市企业的网络安全审查应对
2022年07月05日李琤 | 孟洁 | 邓昭

在上一篇文章中,我们梳理并介绍了网络安全审查制度的演变及目前制度下企业应关注的要点。目前,境内企业赴境外上市所涉及的网络安全审查问题是社会各界关注的重点。2021年年底发布的《网络数据安全管理条例(征求意见稿)》以及2022年年初正式实施《网络安全审查办法》,一方面区分了赴“国外上市”与赴“香港上市”的不同情形;另一方面,也要求拟赴港上市的企业主体切实思考如何在实践中落实有关网络安全审查的义务、如何应对监管部门有关网络安全审查的问询,以及如何在招股书中披露自身情况。

 

本文拟在上篇文章的基础上,对拟赴境外上市企业所应当关注的网络安全审查及其他数据合规要点问题进行分析介绍。本文整体分为五部分内容:第一部分从法规层面梳理赴港股上市主体应当进行网络安全审查的依据;第二部分对有关监管部门的重点问询进行归纳与说明;第三部分将对目前已赴港股上市企业的招股书所披露的内容进行摘录和分析;第四部分将对除网络安全审查以外,拟赴港上市的企业主体应当关注的其他问题及要点作简要介绍,以提示相关主体全方位审视上市过程中的合规重点;第五部分对全文作简要总结。

 

一、港股上市应当进行网络安全审查的依据

 

结合第一篇中对网络安全审查制度演进的梳理,本篇中我们将赴港股上市企业与网络安全审查相关的法律依据再次进行梳理,具体可以参考如下:

 

国家互联网信息办公室(简称“网信办”)于2021年7月10日发布的《网络安全审查办法(修订草案征求意见稿)》(简称“《修订草案征求意见稿》”)第二条规定,关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。第六条规定,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

 

网信办于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》(简称“《网数条例(征求意见稿)》”)第十三条规定,数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能影响国家安全的;(四)其他影响或者可能影响国家安全的数据处理活动。

 

2022年2月15日实施的《网络安全审查办法》(简称“《审查办法》”)第二条规定,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。第七条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。第十六条第一款规定,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。

 

结合以上梳理可知,网信办在《网数条例(征求意见稿)》中对赴“香港上市”与“国外上市”是区分两种情形进行分别规定的,且《审查办法》在《网数条例(征求意见稿)》之后正式颁布,我们理解监管部门的态度已相对明确,即《审查办法》规定的“国外上市”应该不包括“香港上市”,企业即使被认定为掌握超过100万用户个人信息的网络平台运营者,其赴香港上市并不适用《审查办法》中有关赴“国外上市”的网络安全审查申报要求。

 

但与此同时,我们认为赴港上市的企业、已赴国外上市的企业进行网络安全审查的可能性并未完全排除。一方面,《网数条例(征求意见稿)》第十三条中将“数据处理者赴香港上市,影响或者可能影响国家安全的”列为应当由发行人主动向网络安全审查办公室申报网络安全的情形之一;另一方面,根据《审查办法》第十六条第一款,如监管部门认为相关企业所采购的网络产品和服务以及开展的数据处理活动影响或可能影响国家安全,监管部门可依职权对企业发起网络安全审查。综上,我们理解监管部门并未明确界定应当进行网络安全审查或无需进行网络安全审查的主体范围,而是对应当进行网络安全审查的主体以及情形进行了较为宏观的规定。对于拟赴港上市企业而言,掌握用户个人信息的数量并非决定其是否触发网络安全审查的法定条件,企业关注的重点仍应为赴香港上市是否“影响或可能影响国家安全”。

 

二、重点问询问题总结

 

自《修订草案征求意见稿》发布以来,网络安全审查问题即成为上市监管部门关注的重点。《网数条例(征求意见稿)》与《审查办法》的发布则进一步明确了网络安全审查的适用主体与情形。在此背景下,香港联交所对拟上市企业有关网络安全审查的问询尤其值得关注。

 

目前,香港联交所涉及网络安全审查的一般性问询可归纳为以下几方面:第一,拟上市主体过往是否出现过数据不合规的情况,包括被网信办通报的有关事宜;第二,拟上市主体是否向网信办告知港股上市计划,是否主动申报网络安全审查或具有主动申报义务;第三,有关网络安全审查的规定是否会对公司的上市产生重大不利影响。

 

对此,拟赴港上市主体公司可注意以下答复要点:

 

第一,针对是否曾出现数据不合规并被通报的情况。

 

拟上市主体应如实回答具体情况,如是否就网络安全审查收到任何通知、警告、问询。目前,网信办依职权主动启动网络安全审查的案例较少,但包括国家工信部在内的有关监管机构则会依据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律法规对相关移动互联网应用程序(简称“App”)的不合规情况进行通报并要求整改,若逾期不整改,则App运营主体将面临下架等处置措施。因此,拟上市主体除应关注监管机构是否依职权发出网络安全审查的有关通知外,还应重点关注自身业务及产品在网络安全、数据安全与个人信息保护方面的合规落实情况。

 

第二,针对拟上市主体对网信办有关网络安全审查的告知与申报。

 

拟上市主体应明确自身是否属于应主动申报网络安全审查的范围,论述公司不属于赴“国外上市”的情形。同时,对自身是否属于关键信息基础设施运营者作出回复。此外,拟上市主体可向当地省级网信部门申请开具合规函,以此告知网信部门上市计划并取得合规意见。

 

第三,针对网络安全审查的规定是否会对公司造成重大不利影响。

 

拟上市主体应结合公司收集并处理的数据类型和性质,论证在目前监管要求下,尚不存在数据处理及网络安全方面不符合法律法规要求的情况。同时,拟上市主体也应注意判断,若其所涉及的正处于征求意见阶段的法律法规有所更新,或相关的监管要求有进一步发展时,其可能触发网络安全审查的可能性以及是否需要履行其他合规义务。例如,一旦《网数条例(征求意见稿)》正式生效,则公司是否可以确保落实所有相关义务以确保符合要求。

 

三、赴港上市案例中有关网络安全审查的披露

 

(一)对“影响或者可能影响国家安全”的披露

 

通过对目前已公开的2022年后赴港上市企业的招股书的梳理,我们发现在“风险因素”章节,企业除了说明自身不属于赴“国外上市”的情形外,大多披露了目前监管下“影响或者可能影响国家安全”标准的不确定性。典型的表述如下:

 

 

(二)对自身业务及未来可能调整合规措施的披露

 

针对目前《审查办法》与其他规范性文件暂无详细说明“影响或者可能影响国家安全”的标准,部分已赴港上市企业通过在招股书中披露过往合规历史、自身业务的数据保护措施以及倘若法律法规发生调整情形下企业的应对措施等内容,说明自身暂不存在因“影响或者可能影响国家安全”而需进行网络安全审查。典型的表述如下:

 

 

(三)对《审查办法》第十条的论证

 

《审查办法》第十条是网络安全审查制度运行的重要条款,其对于网络安全审查中重点评估的国家安全风险因素进行了说明。针对上述有关“影响或者可能影响国家安全”的标准,可通过对《审查办法》第十条逐条论证的方式予以说明。例如,已于2022年成功赴香港上市的知乎(HK.02390)在招股书中论证了其认为自身未参与任何可能导致国家安全风险活动:

 

 

 

通过知乎的招股书可以发现,即便赴港上市无需主动申报网络安全审查,拟上市主体也应当针对《审查办法》第十条所述的七种情形(影响或者可能影响国家安全的风险因素)逐条论述,以最大程度说明企业自身的上市行为及上市前后的业务运作均不涉及“影响或者可能影响国家安全”。

 

四、拟赴港上市企业的其他数据合规要点

 

根据监管实践,对于拟赴香港上市的企业主体而言,除关注可能面临网络安全审查的风险外,还应关注以下要点,尽早打造符合企业自身情况的合规计划。

 

(一)完善数据安全与内控管理体系

 

对于拟赴港上市的企业主体而言,建立健全数据安全与内控管理体系是监管机构的关注重点。例如,上市审查机构在数据内控体系方面的部分问询示例如下:(1)请发行人说明数据获取、使用、处理等内部控制制度及执行情况;(2)发行人是否就业务所涉及的个人隐私信息、数据等建立了完整的制度,有效确保所管理信息的合规使用;(3)发行人是否建立完善的防泄漏和保障网络安全的内部管理制度,制度是否有效。

 

有鉴于此,拟赴港上市企业主体应当建立包括但不限于以下网络安全、数据安全与个人信息保护的有关制度,同时完善自身内控体系:数据保护组织架构及职责管理制度、网络安全、数据安全、个人信息安全事件应急响应制度、数据处理权限管控制度、数据分类分级保护制度、数据(包括个人信息)共享(包括向第三方提供、从第三方获取)管理制度、数据(包括个人信息)出境管理制度、数据(包括个人信息)审计制度、重要数据保护制度、个人信息保护管理制度、个人信息安全影响评估制度等。

 

(二)将制度落实到具体的业务流程

 

除建立健全有关制度外,监管机构及上市审查机构均对制度的具体落实情况给予了重视,例如对部分发行人上市申请的审查问询中直接问及“内部控制制度执行情况”以及“公司是否建立数据保护影响评估流程,并将该评估流程引入任何新的业务流程或系统。”

 

随着公司业务的逐渐信息化,几乎所有公司的相关业务均涉及网络和数据的处理。以往的传统公司,例如酒类、奶粉、成衣类,也已纷纷推出自己的App、小程序来适应当前人们的购物习惯。而针对科技公司而言,其处理的个人数据量级往往更大、处理的字段、目的与方式更具备多样性,则可能需要额外考虑所掌握的数据量级上是否会触发认定为重要数据、字段类型上需要额外考虑是否会涉及敏感个人信息、生物识别信息等、处理个人信息的目的是否涉及自动化决策、算法等具有额外规定的情况。此外,对于拟赴港上市的企业应当注意在实际运营中落实公司制定的数据安全及内控制度,并根据各业务线具体情况推行制度落地。

 

同时,拟赴港上市企业应当格外重视法律法规所规定的有关制度落实的合规要求,此点也为各业务线落实数据合规制度的重中之重。例如,在涉及《个人信息保护法》所规定的相应情形时(如处理敏感个人信息、向第三方处理者提供个人信息),切实地推进个人信息保护影响评估,落实法律规定及自身制度要求。又如,按照《个人信息保护法》与审计制度要求,定期对企业各业务线的个人信息处理活动根据法律、行政法规的要求进行合规审计。

 

(三)关注国内外形势以及相关监管政策变化

 

近年来,有关网络安全、数据安全与个人信息保护的各层级规范性文件频繁发布,拟赴港上市企业在关注自身合规建设的同时,应当关注监管部门对境内外资本市场的政策动向与执法动态。例如,除应当关注自身是否涉及申报网络安全审查,还应当注意业务资质及业务合规性方面是否存在明显瑕疵;对于明显瑕疵,其可能构成相关行业主管部门提供“认可”意见的障碍,因而公司的“披露”并无法彻底解决问题,并可能进而导致公司无法完成境外上市备案。又如,在App的个人信息处理方面,除了需要继续关注“App”的监管要求与合规措施外,根据监管部门已经发布的通报案例以及近期几份监管文件中对“移动互联网应用程序”属性的确认来看,“小程序”也已经受到监管的高度关注。因此,建议相关运营主体也应当参照App监管要求落实小程序个人信息保护合规,以避免在上市前或上市过程中出现因小程序违法违规收集个人信息而被监管机构通报的事件。

 

同时,拟赴香港上市的企业也应当关注香港的相关法律规则。例如,香港联交所指引信《有关在上市文件中披露不合规事项的指引》(HKEX-GL63-13)将不合规事件分为三类,即“重大不合规事件”、“系统性不合规事件”以及“非重要的不合规事件”,拟上市企业应当根据事件的具体分类采取“披露”或“修正”等应对措施。总之,及时关注我国与拟上市地监管机构的监管动态有利于企业评估潜在风险并作出更好的选择。

 

(四)加强与监管机构的良性沟通

 

对于拟赴港上市的企业而言,除关注公开的监管动态与执法案例外,针对自身商业模式开展与监管机构的良性沟通也是明确监管具体要求的重要手段。目前,上市审查机构在审查拟上市公司涉及数据的业务经营风险方面,主要会关注数据使用权益、数据商业化模式的合规性,包括公司数据资产权益边界界定的合法合规性,是否涉及侵犯公民个人信息犯罪,是否协助或变相协助客户侵犯第三方商业秘密或个人信息安全等。

 

同时,企业应当就所处的行业领域与相关主管部门的监管机构保持沟通,针对不明确的重点难点问题及社会热点问题,主动及时沟通以消除不确定性带来的隐患。例如,汽车行业可能涉及地理位置数据、医药行业涉及人类遗传资源数据、金融行业涉及经济类数据、能源行业涉及国家资源与产能数据。相关领域的企业主体应当注意与网信部门、该企业行业主管部门、拟上市地监管部门以及其他相关部门开展综合性的沟通,以避免因某一环节的遗漏而导致上市计划遇挫或者延期。

 

五、总结

 

随着《审查办法》的正式生效并实施以及《网数条例(征求意见稿)》等规范性文件的发布,网络安全审查制度的框架及要求均已逐渐清晰。对于拟赴港上市企业主体而言,应当注意比照《审查办法》第十条审视自身业务是否涉及国家安全风险因素。网络安全审查已成为拟赴香港上市的企业主体的必须面对的新课题,应当引起足够的重视。

 

此外,企业也不能忽视上市前的数据合规实施工作、完善评估及内外部审计的制度和流程,同时,对监管政策动态的把握以及与监管部门展开积极有效的沟通也是拟上市企业应格外关注和采取的措施。这些工作的有效推进与落实,一方面,可以更好地促进企业在上市过程中与保荐人、中介机构展开沟通,另一方面,整体而全面地开展数据合规工作,可以助力企业较为从容地面对日益强劲且高发的数据合规监管。