自《境内企业境外发行证券和上市管理试行办法》(“《管理试行办法》”)及配套规则(统称“备案新规”)实施以来,成果斐然。备案新规明晰了相关流程细节,结合日趋成熟的实践经验,大幅减少了模糊地带与不确定性。无论是出于企业战略规划,还是在一定程度上考虑融资条款“负担”, 境外上市备案管理制的推行,为众多怀揣上市梦想、渴望“出海”登陆国际资本市场舞台的中国企业注入“强心剂”,同时在客观上大幅度增强了企业直接境外上市的信心,一定程度上弥补了当前境内IPO市场阶段性收紧背景下的企业IPO数量缺口。
境外上市是资本市场对外开放的重要组成部分,境外上市备案管理将“统筹发展与安全”置于开宗明义的位置。备案新规中的安全审查相关问题尤其能够集中体现证监会对近年来境内企业境外发行上市出现的一些新情况、新问题的监管侧重。本文将结合近期颁布的相关法规及备案新规实施以来积累的实践口径,对安全审查相关实务问题进行评析。
《管理试行办法》相关规定:
一、外商投资安全审查
《外商投资安全审查办法》旨在适应推动形成全面开放新格局的需要,在积极促进外商投资的同时有效预防和化解国家安全风险。该办法将纳⼊外商投资安全审查范围的行业分为关系国防安全和关系国家安全重要领域但不涉及国防安全两类。
《外商投资安全审查办法》对于审查范围的行业规定表述较为宽泛,如无法通过《外商投资安全审查办法》列举表述明确是否需要履行外商投资安全审查程序的,可从以下几个方面判断:
部分行业法律法规就外商投资安全审查作出单独规定,如《汽车产业投资管理规定》第三十九条、《商用密码管理条例(2023修订)》第二十七条等;
参照适用公开渠道可查询到的,已经通过外商投资安全审查的行业案例口径,如2023年国家发展和改革委员会(“国家发改委”)就Aramco Overseas Company B.V.收购荣盛控股持有的荣盛石化10%股份交易作出审查决定;
咨询行业主管部门和国家发改委外商投资安全审查工作机制办公室。根据与国家发改委外商投资安全审查工作机制办公室沟通经验,涉及无法直接认定的情形,项目实施前可向国家发展和改革委员会申报外商投资,外商投资安全审查工作机制办公室将通过内部流转征询相关行业主管部门意见后作出是否需要进行安全审查的决定(15个工作日内)。
针对部分未明确列入《外商投资准入特别管理措施(负面清单)(2024年版)》领域,实践中,对于外资成分(含间接持股)的“容忍度”较规则层面更为严苛(如涉密业务等),各地资质主管部门对政策的理解及监管口径、尺度也存在差异,建议由持证主体就此与主管部门开展提前沟通,或在符合战略规划的情况下终止业务、注销资质或剥离业务主体。
二、网络安全审查
就是否需要进行网络安全审查的监管实践和配套规则已经逐步成熟,市场参与主体的相关敏感度也日趋提升。
(一) 根据《网络安全审查办法》需要开展网络安全审查的情形
1. 关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的
关键信息基础设施运营者:依据《关键信息基础设施安全保护条例》的有关规定,“关键信息基础设施”是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
关键信息基础设施认定由重要行业和领域主管、监督部门负责,需通知运营者并通报公安部门。实践中,截至目前,关键信息基础设施运营者仍以主管部门主动认定为主。
采购网络产品和服务:《网络安全审查办法》中,“采购网络产品和服务行为”是指采购核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。
影响或者可能影响国家安全:评价标准依据《网络安全审查办法》第十条[1]规定包括存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险以及网络信息安全风险等合计七项国家安全风险因素。
2. 网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;掌握超过100万用户个人信息的网络平台运营者赴国外上市的。
网络平台运营者:2024年9月24日发布的(将于2025年1月1日实施)《网络数据安全管理条例》不再有此前《网络数据安全管理条例(征求意见稿)》(“征求意见稿”)阶段的“互联网平台运营者”的定义,但仍然具有一定参考意义。根据此前征求意见稿,“互联网平台运营者”是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
掌握超过 100 万用户个人信息的网络平台运营者赴国外上市:赴香港上市企业通常就此适当论证“赴国外上市”不适用“赴香港上市”,也可进一步说明自身情况以提供论据支持。
需要说明的是,前述征求意见稿曾单独规定“数据处理者赴香港上市,影响或者可能影响国家安全的”,应申报网络安全审查。此规定一度带来企业赴港上市网络安全审查义务执行口径的疑惑。而《网络数据安全管理条例》第十三条规定“网络数据处理者开展网络数据处理活动,影响或者可能影响国家安全的,应当按照国家有关规定进行国家安全审查。”删除了香港上市情形的单独表述,消除了市场顾虑。
3. 主管部门依职权审查的情形:
根据《网络安全审查办法》第十六条“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。……”企业需说明网络安全审查办公室是否发出审查通知等情况。
(二) 其他
证监会对境外上市备案的高频反馈问题包括:“关于企业开发、运营的 APP、小程序等产品情况,收集和存储用户信息规模、数据收集使用情况,是否存在向第三方提供信息内容的情形,以及上市前后个人信息保护和数据安全的安排或措施。”除前述是否属于网络安全审查范围的核查认定以外,通常建议发行人(尤其是To C类型企业)聘请网络安全和数据保护专项律师,就企业数据处理活动、个人信息保护、网络安全等相关方面及数据合规管理体系出具专项法律意见,并提前就合规瑕疵进行整改,相关意见也可能被招股说明书相关章节引用,同时提前准备证监会可能的反馈问题。
此外,作为核查方式之一,上市中介机构可拨打中国网络安全审查认证和市场监管大数据中心“国外上市审查咨询”专线电话,就网络安全审查问题开展咨询。
三、数据出境安全评估
数据出境本身并不必然需要履行安全评估,根据《数据出境安全评估办法》,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形,相关数据处理者应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
“数据出境”:是指数据处理者将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据提供给境外的机构、组织、个人。
“关键信息基础设施运营者”:定义在前文已有介绍。如果拟上市的境内企业被认定为“关键信息基础设施运营者”,且业务层面涉及向境外提供个人信息的,无论相关数据是否构成重要数据或个人信息的数量是否达到一定规模,均需履行数据出境安全审查义务。
“重要数据”:2024年3月21日,全国网络安全标准化技术委员会发布的《GB/T 43697-2024 数据安全技术 数据分类分级规则》提供了重要数据识别指南,但仅作为普适性规则,就不同行业来说“通过该规则指导行业领域主管(监管)部门制定本行业本领域的数据分类分级规范、开展相应工作”。实践中,多数认为重要数据仍然以被动认定为主要原则,依据主要为《促进和规范数据跨境流动规定》规定“未被相关部门、地区告知或者公开发布为重要数据的,数据处理者不需要作为重要数据申报数据出境安全评估”。但并不必然可以认为企业不具有重要数据的识别的相关义务,就具体合规要求,可由发行人聘请的网络安全和数据保护专项律师综合梳理判定。
需要指出的是,境内企业在上市过程中,尽管可能涉及数据出境(例如因监管要求信息披露或向境外中介机构提供公司资料等),但这些信息通常不涉及大量个人信息或重要数据,境内企业申请境外上市行为本身并不会直接触发数据出境安全评估的义务。
此外,笔者注意到,鉴于备案新规中的备案报告示范文本以及律师出具专项法律意见书所依据的“专项法律意见核查要点”中,有关安全评估审查的具体表述为“是否涉及安全审查”、“履行安全审查程序情况”等,未包含“安全评估”字眼。在经判定无需履行数据出境安全“评估”等情形下,部分案例中,备案报告或专项法律意见书不再专门设置“数据出境安全评估”相关论述要点。然而,应注意“备案材料内容和格式指引”中相关具体表述为“安全评估审查意见”,同时结合《管理试行办法》第七条、第九条的相关表述,笔者认为,从逻辑连贯性、完整性角度出发,对于发行人是否需要履行数据出境安全评估程序,仍建议在相关文书中单独列式开展论述并发表意见。
注释:
[1] 《网络安全审查办法(2021)》第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;(二)产品和服务供应中断对关键信息基础设施业务连续性的危害;(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况;(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
