一、境外上市备案管理与网络安全审查

《境内企业境外发行证券和上市管理试行办法》（以下简称“《管理试行办法》”）要求赴境外上市企业应当向证监会申请备案，并规定了具体备案的流程时限。中国证监会有关部门负责人答记者问中明确了境外上市备案管理与安全审查、行业监管程序存在衔接机制，但仍然是两个相对独立的监管环节。只有在现有制度规则明确涉及安全审查、行业监管前置程序的情况下，发行人才需要在申请备案时向证监会提交相应的监管文件。比如，企业达到《网络安全审查办法》（简称“《审查办法》”）所规定标准的，应当在备案前依法履行网络安全审查程序并获取监管机构的评估审查意见；或者企业在境外发行可转债，应当根据外债管理部门规定事先履行外债审核登记程序，等等。

值得注意的是，《管理试行办法》提及境外上市中的“境外”是指发行人赴美国、新加坡、中国香港等国家和地区发行上市，与《审查办法》涉及的赴“国外”上市情形不同，后者不包括中国香港。最直接证明此点的依据是国家互联网信息办公室发布的《网络数据安全管理条例（征求意见稿）》（简称“《网数条例（征求意见稿）》”），其第十三条区分规定了“香港上市”与“国外上市”在适用网络安全审查时的不同判断依据：“数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：……（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴香港上市，影响或者可能影响国家安全的；……。”

尽管《网数条例（征求意见稿）》目前尚未生效，但考虑到2021年12月28日出台的《审查办法》是《网数条例（征求意见稿）》于2021年11月14日发布之后再次正式颁布，并于2022年2月15日生效实施，监管部门在经历了处理一系列网络安全审查案例后，态度已相对明确，即《审查办法》规定的“国外上市”不包括“香港上市”。换言之，虽然《审查办法》第五条、第二条和第七条分别规定了三种需要主动申报网络安全审查的情形（见图1），但如果发行人不属于关键信息基础设施运营者，即使发行人被认定为掌握超过100万用户个人信息的网络平台运营者，其赴香港上市并不适用《审查办法》中因赴“国外上市”而需履行网络安全审查申报的要求。关于发行人赴“国外上市”和“香港上市”分别应当在何种情形下主动申报网络安全审查，详见本文第二部分和第三部分分析。

图1 主动申报网络安全审查的情形

此外，根据《审查办法》第八条，企业申报网络安全审查，应当提交以下材料：（一）申报书；（二）关于影响或者可能影响国家安全的分析报告；（三）采购文件、协议、拟签订的合同或者拟提交的首次公开募股（IPO）等上市申请文件；（四）网络安全审查工作需要的其他材料。根据《审查办法》，网络安全审查后可能得到以下三类结果：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续进行境外上市程序；三是启动审查后，经研判影响国家安全的，不允许境外上市。企业只有在被认定为无须审查或审查通过后，方可继续进行境外（赴香港或赴国外）上市程序。

《管理试行办法》第十六条规定，发行人应当在境外提交首次公开发行上市申请文件后3个工作日内，向中国证监会提交备案材料，包括国务院有关主管部门出具的安全评估审查意见（如适用）。企业应当在上市前进行相应的安全评估，并及时向有关部门提供安全评估审查意见。

《监管规则适用指引—境外发行上市类第2号：备案材料内容和格式指引》中明确了向中国证监会进行备案需要提交的材料，主要包括：（1）备案报告及有关承诺；（2）行业主管部门等出具的监管意见、备案或核准等文件（如适用）；（3）国务院有关主管部门出具的安全评估审查意见（如适用）；（4）境内法律意见书；及（5）招股说明书或上市文件。

结合上述分析，从时间和程序来看，《管理试行办法》及其配套指引中规定的向中国证监会履行备案义务与《审查办法》中规定的符合条件时须主动向网络安全审查办公室申报网络安全审查的义务两者相对独立；并且，因发行人需在向境外提交首次公开发行上市申请文件后3个工作日内，向中国证监会提交网络安全审查办公室出具的审查意见（如适用的情况下），将其作为备案材料之一，由此可以得出，网络安全审查须在境外提交首次公开发行上市申请文件前通过，而备案则可在境外提交首次公开发行上市申请文件后履行，两者在程序上互不干涉。但从提交的文件来看，备案材料包括国家网络安全审查办公室出具的安全评估审查意见，由此可见，网络安全审查是境外上市备案的前置程序。同时，两者也有共通之处，即都需要提交境外发行上市招股书等上市文件作为申报或备案材料。但需要注意的是，申报网络安全审查提交的招股书等上市文件可以是非正式提交版本（还需要同时提供中文翻译本），而备案提交的招股书或上市文件则须是向境外证券监督管理机构、交易场所等提交的正式版本。

中国证监会有关部门负责人答记者问时也呼应了备案材料中关于应包括国务院有关主管部门出具的安全评估审查意见的规定，要求应当主动申报网络安全审查的上市企业在向中国证监会申请备案之前就必须完成网络安全审查程序，并将国务院有关主管部门出具的安全评估审查意见作为备案材料提交中国证监会进行备案。

基于上述分析，下文我们也将结合主流境外上市（即赴香港上市和赴国外上市）企业的实践，回顾和整理赴香港和赴国外上市流程中分别应注意的网络安全审查要点，供相关企业进行参考。

二、赴香港上市的网络安全审查要点

如本文第一部分所提及，赴香港上市并不适用《审查办法》第七条所述的赴“国外”上市的情形。因此，赴香港上市的企业是否需要主动进行网络安全审查，应根据《审查办法》第二条，将判断重点落在其是否属于“关键信息基础设施运营者”“网络平台运营者”以及上述两类主体的行为是否存在“影响或者可能影响国家安全”的情形。

据此，并非赴港上市的企业均无须主动申报网络安全审查，只是通常来说被主管机构认定为关键信息基础设施运营者的企业在实践中数量很少，还同时认为自身在采购网络产品和服务过程中存在影响或者可能影响国家安全的案例更是微乎其乎。类似地，即便发行人企业属于网络平台运营者，其认为自身开展数据处理活动影响或者可能影响国家安全的情况也极其少见。因此，发行人企业只要可以自证其数据处理活动不存在“影响或者可能影响国家安全”情形的，则无须主动申报网络安全审查。

目前《审查办法》与其他规范性文件暂无详细说明“影响或者可能影响国家安全”的标准。但是，《审查办法》第十条中对于网络安全审查办公室及有关主管部门在进行网络安全审查中予以重点评估的国家安全风险因素进行了说明。而且，部分已赴港上市企业已通过在招股书中披露过往合规历史、自身业务的数据保护措施以及倘若法律法规发生调整情形下企业的应对措施等内容，说明自身暂不存在因“影响或者可能影响国家安全”而需申报网络安全审查。可参考下方企业招股书的披露内容：

综合上述分析，我们建议赴港上市企业重点考虑如下问题：

第一，即便赴港上市企业因不涉及“影响或者可能影响国家安全”而无需主动申报网络安全审查，我们依然建议该类企业也应当针对《审查办法》第十条所述的七种情形（影响或者可能影响国家安全的风险因素）在公开披露文件中逐条论述和说明，比如招股说明书等，以最大程度地说明企业自身的上市行为及上市前后的业务运行均不涉及“影响或者可能影响国家安全”。此外，在实践中，赴港上市的发行人企业还大多披露了在目前监管下“影响或者可能影响国家安全”标准存在不确定性，将密切关注和评估相关法规的制定进程及伴随发展过程中的监管态度。

第二，我们还建议拟赴港上市企业应结合本企业处理数据的类型和性质，论证在目前监管要求下，在数据处理及网络安全方面尚不存在不符合法律法规要求的情况。发行人在提交首次公开发行上市申请文件前，应当进行包括网络安全、数据安全、个人信息保护方面的全面体检，通过尽调访谈、技术检测等形式全面进行数据合规风险排查和识别，并对审查范围内的风险项（包括但不限于产品侧合规、公司内部组织管理和公司治理体系、个人信息保护影响评估及数据安全评估、内部人员管理和第三方合作管理、安全事件预防与应急等）进行整改和治理，以符合法律法规和监管要求，确保不存在阻碍上市的实质性障碍与重大影响。

同时，我们也建议拟上市企业注意监测并判断，任何涉及正处于征求意见阶段的法律法规若有更新或变化，或监管机关有新的监管行动或者对相关规定发出进一步解释时，仍然有可能触发要求相关拟上市企业主动申报网络安全审查以及履行其他合规义务。例如，一旦《网数条例（征求意见稿）》正式生效施行，拟上市企业应当确保落实所有相关义务的遵守。

第三，拟上市企业应明确自身是否属于应主动申报网络安全审查的范围，能够准确理解并在公开披露文件中论述公司不属于赴“国外上市”的情形。同时，对自身是否属于关键信息基础设施运营者也应作出明确回复。此外，拟上市企业可向所属地省级网信部门申请访谈，听取网信部门对此问题的态度与建议。如果相关企业还处于赴美上市或者赴港上市不确定、正在研讨论证的阶段，则我们建议该类企业宁可从严准备，将需要申报网络安全审查的时限预估在上市时间表内。

三、赴国外上市的网络安全审查要点

《审查办法》第七条明确规定“掌握超过100万用户个人信息的网络平台运营者”赴国外上市，须主动申报网络安全审查。以下三点需要重点关注：

第一，关于“100万用户个人信息”的认定。根据我们的项目经验，网络安全审查申报书中需要填写用户类型，具体而言需选择用户属于企业用户还是个人用户。因此，此处的“用户”，我们理解既包括了C端用户，也包括了B端用户所掌握的个人信息。另外，发行人若存在境外服务的，也需要在申报书中专项填报相关情况，因此我们理解“用户”既包括发行人的境内用户，也包括其境外用户。因此，对拟上市企业是否掌握超出100万用户个人信息的判定维度基本可以得到解释。

第二，关于“网络平台运营者”的判断。《审查办法》未明确规定“网络平台运营者”的定义，但是，同样由国家互联网信息办公室起草的《网数条例（征求意见稿）》对“互联网平台运营者”却进行了定义，将其理解为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”。我们理解“网络平台运营者”在外延的认定上应当大于或等于“互联网平台运营者”的范围，但一定程度上可以参考后者的定义。但由于《网数条例（征求意见稿）》目前尚未正式颁布，对于“互联网平台运营者”的概念，也有待最终稿进行确认。

第三，关于“上市” 范围的认定。虽然《审查办法》第八条“运营者申报网络安全审查应当提交的材料中”包括“拟提交的首次公开募股（IPO）等上市申请文件”，但根据我们理解“上市”的概念比“IPO”更为宽泛，目前市场上常见的美股De-SPAC交易、借壳上市（RTO）、直接上市（DPO）等也属于“上市”范畴，均需要按照《审查办法》第八条的规定提交上市申报材料，从目前中国网络安全审查技术与认证中心（CCRC）提供的申报书模板来看，上市方式也包括了上述SPAC、RTO、DPO等类型。

即使我们总结了上述要点，但《审查办法》实施以来，对于如何理解“网络平台运营者”和“一百万用户”个人信息的计算口径仍然存在不同的解释空间，还有赖于监管的进一步明确。同时，我们了解实践中有些企业通过一些合规的操作路径，使其自身不落入第一点所涉及的认定范围，从而不触发主动申报网络安全审查的条件。

此外，还有一些赴国外上市的企业，起初通过自我评估认为属于《审查办法》规定的需要主动申报网络安全审查的掌握超过100万个人信息的网络平台运营者，但最终却被认定为无需审查，且该等无需审查的决定由网络安全审查办公室自收到符合要求的审查申报材料起10个工作日内作出，较之触发网络安全审查程序的55-160个工作日的时间而言，审查期限大幅度缩短。从我们经办的项目来看，实践中确实存在主动申报后被认定为无需审查的案例。因此，赴国外上市的企业应当重点结合《审查办法》第十条规定的国家安全风险因素，就企业自身掌握的数据是否可能会危害国家安全、公司股权控制情况在上市完成后，是否继续受创始人控制，而非受任何外国政府控制等提前评估、审慎核查。实践中还存在赴国外上市的企业在其公开文件中对网络安全审查风险进行了披露，并在招股书中披露发行人采取数据安全及合规的相关措施，包括：保障数据的安全存储和传输、防止任何未经授权的数据获取和使用、加强网络与数据安全的内控制度、发挥管理层与董事会的监督管理职责等，以表明发行人对现有数据处理行为合法合规的做法。

我们认为，在可预期的未来，即便企业申报了网络安全审查，最终因为被认定影响国家安全而不允许赴国外上市的情况应该不会很多，绝大多数企业即便在提交申请时还存在各类问题，但终会在网络安全审查办公室的指导与意见反馈下，通过整改而消除不安全因素。因此，如果发行人属于《审查办法》规定的掌握超过100万个人信息的“网络平台运营者”，若能提前开展排查工作和自证履行了网络数据安全的合规义务，且能够预留好申报网络安全审查的时间，充分准备好申报材料，配合网络安全审查过程中监管机构要求的进一步整改工作，则能顺利通过网络安全审查的概率较大。因此，网络安全审查将不会成为绝大多数拟赴国外上市的中概股企业的实质障碍，毕竟其关注的还是网络平台运营者开展数据处理活动是否影响或者可能影响国家安全以及是否存在受外国政府影响、控制、恶意利用的风险。

四、网络安全审查的流程与要点

（一）启动方式

根据《审查办法》，启动网络安全审查的方式分为申请人主动申报审查与网络安全审查办公室依职权审查。

关于拟上市企业应当主动申报网络安全审查的三种情形以及申报所需提供的材料文件，本文第一部分中已经详细论述。此处，我们进一步介绍企业主动申报启动网络安全审查的流程（见下图2）以及注意事项。

图2 当事人主动申报启动的网络安全审查流程

在实践中，网络安全审查办公室委托CCRC承接窗口的具体工作（CCRC的咨询电话是010-82261114，咨询邮箱是shencha@isccc.gov.cn，联系地址是北京市东城区安定门外大街56号）。CCRC在网络安全审查办公室的指导下，负责响应咨询、接收申报材料、对申报材料进行形式审查等任务。因此，企业可按上述联系方式将相关材料通过邮箱提交基本情况（例如公司名称和简介、用户数量、收集数据类型、上市地和上市情况等），并到现场领取申报书模板和前往CCRC进行相关申报方面的咨询。

另外，需要注意的是，网络安全审查还可以由网络安全审查办公室依职权发起（如下图3）。《审查办法》第十六条第一款作出规定，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

因此，即便拟赴境外上市企业不主动申报网络安全审查，网络安全审查办公室也有权对其认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动开展网络安全审查。[1]同样，网络安全审查办公室通过委托CCRC承担具体工作，例如接受申报材料和进行形式审查等。此外，网络安全审查办公室通过接受举报等形式加强事前事中和事后的监督，如其认为被举报的某产品或者服务或者某数据处理活动已经或者可能对国家安全产生风险的，可按《审查办法》启动审查，具体流程如下图。

图3 有关部门依职权主动发起网络安全审查流程

（二）审查主体

根据《审查办法》，网络安全审查办公室设在国家互联网信息办公室，其是实际进行网络安全审查的主体，负责制定网络安全审查相关制度规范，组织网络安全审查。同时，网络安全审查办公室可能会同网络安全审查工作机制成员单位共同展开审查工作。成员单位包括中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局。

（三）违规后果

根据《审查办法》，当事人应申报未申报，或在网络安全审查开展过程中未按要求配合工作的，应当依照《中华人民共和国网络安全法》（简称“《网络安全法》”）、《中华人民共和国数据安全法》（简称“《数据安全法》”）以及《管理试行办法》的规定处理。

例如，根据《数据安全法》第四十五条第二款，违反国家核心数据管理制度，危害国家主权、安全和发展利益的，由有关主管部门处200万元以上1000万元以下罚款，并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照；构成犯罪的，依法追究刑事责任。

根据《管理试行办法》第八条，经过国务院有关主管部门依法审查认定，境外发行上市可能影响国家安全的，不得境外发行上市。如有违反，则根据《管理试行办法》第二十七条，由中国证监会责令改正，给予警告，并处以100万元以上1000万元以下的罚款。对直接负责的主管人员和其他直接责任人员给予警告，并处以50万元以上500万元以下的罚款。同时，对于境内企业的控股股东、实际控制人组织、指使从事前述违法行为的，处以100万元以上1000万元以下的罚款。对直接负责的主管人员和其他直接责任人员，处以50万元以上500万元以下的罚款。

此外，如果证券公司、证券服务机构未按照职责督促企业遵守《管理试行办法》第八条规定的，将被给予警告，并处以50万元以上500万元以下的罚款。对直接负责的主管人员和其他直接责任人员给予警告，并处以20 万元以上200万元以下的罚款。

五、总结

总体而言，国家出台了一系列上市制度规则，要求赴境外上市企业履行备案义务，说明对于赴境外上市企业，国家正通过备案、审查等方式进行监管。同时，随着《审查办法》的正式生效并实施以及《网数条例（征求意见稿）》等规范性文件的发布，网络安全审查制度的框架及要求均已逐渐清晰。

对于拟赴港上市企业而言，应当注意比照《审查办法》第十条审视自身业务是否涉及国家安全风险因素，并就数据处理活动的合规性采取有效措施以达到能够自证不存在影响或者可能影响国家安全；对于掌握超过100万个人信息的拟赴国外（如美国、新加坡等其他国家和地区）上市企业而言，也应当针对《审查办法》列出的国家安全风险因素认真评估并采取相应合规措施。如企业在评估后认为达到需要主动申报网络安全审查标准的，则需要提前预留时间在境外提交首次公开发行上市申请文件前通过网络安全审查或者收到被认定为无须审查的通知。由于《审查办法》没有规定网络安全审查的最长时限，从实践角度，建议在提交上市申请材料前预留至少3至6个月，视企业数据规模大小、数据敏感程度高低、涉及数据出境与否、企业架构的复杂程度、企业的合规程度等不同情况，涉及审查的时限可能不同，以供完成网络安全审查程序。

据此，建议赴港和赴国外上市企业应充分准备网络安全审查申报材料和申报文件披露事宜以及境外上市备案材料。鉴于网络安全审查申报材料和备案材料中都需要提交招股书等上市文件，而几个环节相关之间又环环相扣，企业应当注意在上市文件中同时做好网络安全审查和境外上市备案的相关披露，并留出必要时间安排网络安全审查以及境外上市备案的办理时间，以保证企业的境外上市计划能够按照既定的时间表有序推进，不因任何一个环节没有提前准备好而影响全局。

注释：

[1] 根据《审查办法》第十六条，网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照《审查办法》的规定进行审查。