上市直通车:中国企业港股IPO制度规则透析与实战攻略
上QQ阅读APP看本书,新人免费读10天
设备和账号都新为新人

第二节 网络数据安全审查

网络安全审查是网络安全领域的重要法律制度。2021年12月28日,国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部等13个部门联合发布《网络安全审查办法》,自2022年2月15日起施行。

《网络安全审查办法》将网络平台运营者开展数据处理活动,影响或者可能影响国家安全等情形纳入网络安全审查范围,并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。根据审查实际需要,增加了中国证监会作为网络安全审查工作机制成员单位,同时完善了国家安全风险评估因素等内容。

为了帮助读者全面把握网络数据安全审查的相关规定,笔者整理了《网络安全审查办法》的重点内容并评析如下:

一、适用范围[5]

当事人(关键信息基础设施运营者、网络平台运营者)采取的影响或者可能影响国家安全的行为:

1.关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的。

2.网络平台运营者开展数据处理活动,影响或者可能影响国家安全的。

评析

1.全面认识安全审查适用范围

在研读《网络安全审查办法》时,大家通常集中关注于“掌握超过100万用户个人信息的网络平台运营者赴国外上市”,但不可忽视的是,关键信息基础设施运营者实施的影响或者可能影响国家安全的采购网络产品和服务,也需要经过国家网络安全审查。因此,应明确以下基本概念:

关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。[6]

网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。[7]

从现有规定来看,关键信息基础设施的运营者本身已涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,上述企业在采购或从事相关的核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务时,可能影响国家安全的,也应报经国家网络安全审查。

该类企业所从事的前述业务中,虽然并未提及境外融资(包括但不限于境外上市)或引入境外投资者是否需报经国家网络安全审查,但其从事相关可能影响国家安全活动时应纳入国家安全审查范围,审查的资料包括但不限于采购文件、协议、拟签订的合同等。[8]以IDC(大数据中心)企业为例,目前已有一些大数据中心企业[如万国数据(NASDAQ:GDS)]在境外上市,未来也会有一些IDC企业意图在境外上市或融资,该类企业是否涉及国家网络安全审查?笔者认为,从上述的规定来看,应该是适用的。

2.掌握超过100万用户个人信息的网络平台运营者国外上市

《网络安全审查办法》明确了掌握超过100万用户个人信息的网络平台运营者赴国外上市,需要经国家网络安全审查。在理解该处规定时,应先明确以下基本概念:

网络,是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。[9]

网络运营者,是指网络的所有者、管理者和网络服务提供者。[10]

个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。[11]

对于具有一定规模的网络运营者而言,掌握100万用户的个人信息这条红线很容易突破。掌握超过100万用户个人信息的网络平台所有者、管理者和网络服务提供者如果拟赴国外上市,则必须报经国家安全审查。

从境外上市角度而言,目前大部分TMT(Technology,Media & Telecom,科技、媒体和电信)行业的企业均会涉及网络这个基本运营渠道,而从事的业务也通常会涉及个人信息等相关数据,因此该类企业如拟赴国外上市,必须慎重对待。另外,该类企业在引入境外投资者时,由于目前的外商投资政策通常会对境外投资者的持股比例、资质等进行限制,因此该类企业境外融资通常会采用全部或部分搭建VIE架构,该类搭建VIE架构拟赴国外上市的企业,网络安全审查将成为其赴国外上市的前置程序。

3.赴港上市是否适用网络安全审查

在《网络安全审查办法》中,使用的概念为“国外上市”,有观点便认为网络安全审查不适用于赴港上市,因为中国香港为中国的一部分,如把中国香港认定为“国外”不符合国家主权的基本要求。

根据中国证监会于2021年12月24日公布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》,其中第8条规定“境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序……”同时,根据中国证监会于2021年12月24日公布的《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,其中第5条规定的备案材料中明确包括“有关部门出具的安全评估审查意见(如适用)”。

根据上述相关文件,境内企业境外上市应在递交正式境外上市申请资料后3个工作日内便向中国证监会备案,而备案的必要条件之一就是完成安全审查程序,如不能完成中国证监会的备案将直接影响境内企业境外上市的成功。港股上市显然属于境外上市,如不能顺利完成中国证监会的备案也将直接影响企业港股成功上市。此外,是否符合国家网络安全要求的判断主体应为国家相关主管部门,绝非个别中介机构或发行人。出于谨慎角度考虑,涉及相关业务的境内企业如欲港股上市,笔者建议还是要在正式递交境外上市申报资料前,向国家主管部门申报网络安全审查。

二、监管机构[12]

在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

评析

根据上述内容,应注意到中国证监会被纳入网络安全审查工作机制成员单位,该规定与《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》等相关规定实现了衔接,境内企业赴境外上市需满足在中国证监会备案的统一要求。

另外,网络安全审查办公室为网络安全审查相关制度规范、组织网络安全审查的专门机构。网络安全审查办公室设在国家互联网信息办公室,具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。[13]

三、审查资料[14]

当事人申报网络安全审查,应当提交以下材料:

1.申报书。

2.关于影响或者可能影响国家安全的分析报告。

3.采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件。

4.网络安全审查工作需要的其他材料。

评析

从境外上市角度而言,网络安全审查属于前置程序,前述相关审查资料应在递交上市申报文件前予以准备,当事人及相关机构、个人应当对相关资料的准备予以重视,否则将直接影响后续的中国证监会备案以致境外上市整个项目的成功。

该申报文件中还涉及拟提交的IPO等上市申请文件,上市申请文件包括但不限于招股说明书等文件,该处用了“等上市申请文件”是否意味着全部上市申请文件?这一问题有待相应的细化规定出台予以解答。

同时,涉及网络安全审查的企业意图境外上市的,必须提前做好相关申报文件及近半年或更长时间审查等待期的准备;只有在通过我国境内的安全审查后,才能正式向境外证券发行审核监管机构递交上市申报文件。

四、审查程序

笔者将网络安全审查程序予以简要归纳整理,主要包括四步,即确定是否需要审查、初步审查、复审及批准。

(一)确定是否需要审查[15]

网络安全审查办公室应当自收到符合规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。

(二)网络安全审查办公室初步审查[16]

网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。

(三)网络安全审查工作机制成员单位和相关部门复审[17]

网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

(四)报中央网络安全和信息化委员会批准[18]

网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依法进行审查。

评析

网络安全审查的结果包括三种情况:(1)无需审查;(2)启动审查后,经分析不影响国家安全的,可继续后续上市程序;(3)启动审查后,经分析影响国家安全的,不允许后续上市。

结合前述的相关规定,笔者将审查可能出现的情况予以归纳整理:

1.递交申报资料后10个工作日内

(1)网络安全审查办公室确定是否需要安全审查并通知当事人。

(2)审查结果:

①无需审查的,将不再继续后续的审查程序。

②初步判断需要审查的,在向当事人发出书面通知之日起30个工作日内完成初步审查,并同步将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见。

2.收到审查结论建议之日起15个工作日内

(1)网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。

(2)审查结果:启动审查后,经分析不影响国家安全的,可继续后续上市程序;经分析影响国家安全的,报中央网络安全和信息化委员会批准。

3.中央网络安全和信息化委员会批准后,经分析影响国家安全的,不允许后续上市程序。

五、总体审查时间

为了便于读者更好地理解和把握审核时间,笔者从审核时间角度出发,予以归纳整理。

(一)一般审查程序时间

参见前述“审查程序”内容。

(二)特殊审查程序时间[19]

特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。

评析

境内企业境外上市的时间安排对于一家企业融资较为重要,尤其在境外上市过程中通常存在“融资最佳窗口期”,错过该窗口期对于发行人的市值、融资安排都将产生重要的影响,因此整个上市时间的预估显得十分重要。根据前述整理分析,笔者认为,主要可从以下几方面把握:

1.在递交资料后10个工作日(2周左右),网络安全审查办公室便会给出明确的回复。无需审查的,企业可以马上启动下一步的上市程序,包括但不限于正式向境外上市证券发行审核监管机构递交申报资料;如果需要进一步安全审查的,企业要同步做好相关的准备工作。

2.网络安全审查办公室在30—45个工作日(一个半月至2个月)完成初步审查,进一步判断是否需要安全审查,并将初审结果发送网络安全审查工作机制成员单位和相关部门复审。

3.网络安全审查工作机制成员单位和相关部门在15—30个工作日(半个月至一个半月)复审后:

(1)经分析意见一致,认为不影响国家安全的,由网络安全审查办公室书面通知企业,企业可以启动下一步的境外上市程序;

(2)经分析意见一致,认为影响国家安全的,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准,形成审查结论并书面通知当事人;

(3)经分析意见不一致的,按照特别审查程序处理,并通知当事人。对于适用特殊程序的,笔者理解主要是针对涉及国家安全的业务和/或行为,通常需要90个工作日(4—5个月)便会知道是否允许开展下一步境外上市的结果;特殊情况下可能会延长,延长时间的长短具有不确定性。

六、网络安全审查的关注要点[20]

网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:

1.产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险。

2.产品和服务供应中断对关键信息基础设施业务连续性的危害。

3.产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险。

4.产品和服务提供者遵守中国法律、行政法规、部门规章情况。

5.核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险。

6.上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。

7.其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。

评析

根据《网络安全审查办法》的前述规定,我们可以将审核的关注点予以分类,其中:第1项至第4项针对关键信息基础设施的运营者;第5项至第7项针对关键信息基础设施、网络平台的运营者。以下对数据安全做具体分析:

数据是指任何以电子或者其他方式对信息的记录。[21]数据需要处理加工才有价值和意义,数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。[22]而不论是数据还是数据处理,均离不开数据安全。数据安全是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。[23]维护数据安全,应当坚持总体国家安全观,建立健全数据安全治理体系,提高数据安全保障能力。[24]

近几年,随着大数据、云计算、物联网等技术和应用的高速发展,互联网企业在为人们生活带来便利的同时,跨境数据流动、用户数据泄露等问题也受到广泛关注。互联网企业在运营过程中产生的巨量数据通过大数据分析、地图数据、位置数据能够反映出我国整体经济运行及日常运营情况等涉及国家秘密的信息,对总体国家安全构成重大安全威胁。2021年6月10日,全国人大常委会通过了《中华人民共和国数据安全法》,将数据安全提升到国家安全的层面,同时对重要数据出境安全管理也提出了相应要求。对于掌握大量数据的互联网公司而言,如意图境外上市,应首先接受国家的网络安全审查。