自《境內企業境外發行證券和上市管理試行辦法》(“《管理試行辦法》”)及配套規則(統稱“備案新規”)shishiyilai��,chengguofeiran。beianxinguimingxilexiangguanliuchengxijie�,jieheriquchengshudeshijianjingyan����,dafujianshaolemohudidaiyubuquedingxing。wulunshichuyuqiyezhanlveguihua����,haishizaiyidingchengdushangkaolvrongzitiaokuan“負擔”��, 境外上市備案管理製的推行��,為眾多懷揣上市夢想�����、渴望“出海”登陸國際資本市場舞台的中國企業注入“強心劑”�,同時在客觀上大幅度增強了企業直接境外上市的信心�,一定程度上彌補了當前境內IPO市場階段性收緊背景下的企業IPO數量缺口。
境外上市是資本市場對外開放的重要組成部分�,境外上市備案管理將“統籌發展與安全”置於開宗明義的位置。備案新規中的安全審查相關問題尤其能夠集中體現證監會對近年來境內企業境外發行上市出現的一些新情況�����、新問題的監管側重。本文將結合近期頒布的相關法規及備案新規實施以來積累的實踐口徑��,對安全審查相關實務問題進行評析。
《管理試行辦法》相關規定:
一�、外商投資安全審查
《外商投資安全審查辦法》旨在適應推動形成全麵開放新格局的需要��,在積極促進外商投資的同時有效預防和化解國家安全風險。該辦法將納⼊外商投資安全審查範圍的行業分為關係國防安全和關係國家安全重要領域但不涉及國防安全兩類。
《外商投資安全審查辦法》對於審查範圍的行業規定表述較為寬泛���,如無法通過《外商投資安全審查辦法》列舉表述明確是否需要履行外商投資安全審查程序的����,可從以下幾個方麵判斷:
部分行業法律法規就外商投資安全審查作出單獨規定��,如《汽車產業投資管理規定》第三十九條��、《商用密碼管理條例(2023修訂)》第二十七條等����;
參照適用公開渠道可查詢到的�,已經通過外商投資安全審查的行業案例口徑�����,如2023年國家發展和改革委員會(“國家發改委”)就Aramco Overseas Company B.V.收購榮盛控股持有的榮盛石化10%股份交易作出審查決定����;
谘zi詢xun行xing業ye主zhu管guan部bu門men和he國guo家jia發fa改gai委wei外wai商shang投tou資zi安an全quan審shen查zha工gong作zuo機ji製zhi辦ban公gong室shi。根gen據ju與yu國guo家jia發fa改gai委wei外wai商shang投tou資zi安an全quan審shen查zha工gong作zuo機ji製zhi辦ban公gong室shi溝gou通tong經jing驗yan���,涉she及ji無wu法fa直zhi接jie認ren定ding的de情qing形xing����,項xiang目mu實shi施shi前qian可ke向xiang國guo家jia發fa展zhan和he改gai革ge委wei員yuan會hui申shen報bao外wai商shang投tou資zi��,外wai商shang投tou資zi安an全quan審shen查zha工gong作zuo機ji製zhi辦ban公gong室shi將jiang通tong過guo內nei部bu流liu轉zhuan征zheng詢xun相xiang關guan行xing業ye主zhu管guan部bu門men意yi見jian後hou作zuo出chu是shi否fou需xu要yao進jin行xing安an全quan審shen查zha的de決jue定ding(15個工作日內)。
針對部分未明確列入《外商投資準入特別管理措施(負麵清單)(2024年版)》領域����,實踐中����,對於外資成分(含間接持股)的“容忍度”較規則層麵更為嚴苛(如涉密業務等)�����,各地資質主管部門對政策的理解及監管口徑��、尺度也存在差異���,建議由持證主體就此與主管部門開展提前溝通�����,或在符合戰略規劃的情況下終止業務�����、注銷資質或剝離業務主體。
二�����、網絡安全審查
就是否需要進行網絡安全審查的監管實踐和配套規則已經逐步成熟����,市場參與主體的相關敏感度也日趨提升。
(一) 根據《網絡安全審查辦法》需要開展網絡安全審查的情形
1. 關鍵信息基礎設施運營者采購網絡產品和服務�,影響或者可能影響國家安全的
關鍵信息基礎設施運營者:依據《關鍵信息基礎設施安全保護條例》的有關規定���,“關鍵信息基礎設施”是指公共通信和信息服務�����、能源��、交通�、水利�、金融���、公共服務�����、電子政務��、國防科技工業等重要行業和領域的��,以及其他一旦遭到破壞��、喪失功能或者數據泄露�����,可能嚴重危害國家安全����、國計民生�����、公共利益的重要網絡設施����、信息係統等。
關鍵信息基礎設施認定由重要行業和領域主管��、監督部門負責�����,需通知運營者並通報公安部門。實踐中�����,截至目前�,關鍵信息基礎設施運營者仍以主管部門主動認定為主。
采購網絡產品和服務:《網絡安全審查辦法》中��,“采購網絡產品和服務行為”是指采購核心網絡設備�����、重要通信產品��、高性能計算機和服務器����、大容量存儲設備�、大型數據庫和應用軟件�、網絡安全設備�、雲計算服務����,以及其他對關鍵信息基礎設施安全���、網絡安全和數據安全有重要影響的網絡產品和服務。
影響或者可能影響國家安全:評價標準依據《網絡安全審查辦法》第十條[1]規定包括存在關鍵信息基礎設施�、核心數據��、重要數據或者大量個人信息被外國政府影響��、控製�、惡意利用的風險以及網絡信息安全風險等合計七項國家安全風險因素。
2. 網絡平台運營者開展數據處理活動�,影響或者可能影響國家安全的�����;掌握超過100萬用戶個人信息的網絡平台運營者赴國外上市的。
網絡平台運營者:2024年9月24日發布的(將於2025年1月1日實施)《網絡數據安全管理條例》不再有此前《網絡數據安全管理條例(征求意見稿)》(“征求意見稿”)階段的“互聯網平台運營者”的定義����,但仍然具有一定參考意義。根據此前征求意見稿���,“互聯網平台運營者”是指為用戶提供信息發布����、社交�����、交易�、支付����、視聽等互聯網平台服務的數據處理者。
掌握超過 100 萬用戶個人信息的網絡平台運營者赴國外上市:赴香港上市企業通常就此適當論證“赴國外上市”不適用“赴香港上市”�����,也可進一步說明自身情況以提供論據支持。
需要說明的是���,前述征求意見稿曾單獨規定“數據處理者赴香港上市����,影響或者可能影響國家安全的”�����,應申報網絡安全審查。此規定一度帶來企業赴港上市網絡安全審查義務執行口徑的疑惑。而《網絡數據安全管理條例》第十三條規定“網絡數據處理者開展網絡數據處理活動����,影響或者可能影響國家安全的��,應當按照國家有關規定進行國家安全審查。”刪除了香港上市情形的單獨表述��,消除了市場顧慮。
3. 主管部門依職權審查的情形:
根據《網絡安全審查辦法》第十六條“網wang絡luo安an全quan審shen查zha工gong作zuo機ji製zhi成cheng員yuan單dan位wei認ren為wei影ying響xiang或huo者zhe可ke能neng影ying響xiang國guo家jia安an全quan的de網wang絡luo產chan品pin和he服fu務wu以yi及ji數shu據ju處chu理li活huo動dong����,由you網wang絡luo安an全quan審shen查zha辦ban公gong室shi按an程cheng序xu報bao中zhong央yang網wang絡luo安an全quan和he信xin息xi化hua委wei員yuan會hui批pi準zhun後hou�����,依yi照zhao本ben辦ban法fa的de規gui定ding進jin行xing審shen查zha。……”企業需說明網絡安全審查辦公室是否發出審查通知等情況。
(二) 其他
證監會對境外上市備案的高頻反饋問題包括:“關於企業開發�����、運營的 APP�����、小程序等產品情況���,收集和存儲用戶信息規模����、數據收集使用情況�,是否存在向第三方提供信息內容的情形���,以及上市前後個人信息保護和數據安全的安排或措施。”除前述是否屬於網絡安全審查範圍的核查認定以外�����,通常建議發行人(尤其是To C類型企業)聘請網絡安全和數據保護專項律師���,就企業數據處理活動���、個人信息保護���、網wang絡luo安an全quan等deng相xiang關guan方fang麵mian及ji數shu據ju合he規gui管guan理li體ti係xi出chu具ju專zhuan項xiang法fa律lv意yi見jian����,並bing提ti前qian就jiu合he規gui瑕xia疵ci進jin行xing整zheng改gai���,相xiang關guan意yi見jian也ye可ke能neng被bei招zhao股gu說shuo明ming書shu相xiang關guan章zhang節jie引yin用yong�����,同tong時shi提ti前qian準zhun備bei證zheng監jian會hui可ke能neng的de反fan饋kui問wen題ti。
此外���,作為核查方式之一��,上市中介機構可撥打中國網絡安全審查認證和市場監管大數據中心“國外上市審查谘詢”專線電話�����,就網絡安全審查問題開展谘詢。
三���、數據出境安全評估
數據出境本身並不必然需要履行安全評估�����,根據《數據出境安全評估辦法》�,數據處理者向境外提供數據��,有下列情形之一的�����,應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估:(一)數據處理者向境外提供重要數據�;(二)關鍵信息基礎設施運營者和處理100萬人以上個人信息的數據處理者向境外提供個人信息���;(三)自上年1月1日起累計向境外提供10萬人個人信息或者1萬人敏感個人信息的數據處理者向境外提供個人信息�����;(四)國guo家jia網wang信xin部bu門men規gui定ding的de其qi他ta需xu要yao申shen報bao數shu據ju出chu境jing安an全quan評ping估gu的de情qing形xing���,相xiang關guan數shu據ju處chu理li者zhe應ying當dang通tong過guo所suo在zai地di省sheng級ji網wang信xin部bu門men向xiang國guo家jia網wang信xin部bu門men申shen報bao數shu據ju出chu境jing安an全quan評ping估gu。
“數據出境”:是指數據處理者將其在中華人民共和國境內運營中收集和產生的個人信息和重要數據提供給境外的機構����、組織����、個人。
“關鍵信息基礎設施運營者”:定義在前文已有介紹。如果擬上市的境內企業被認定為“關鍵信息基礎設施運營者”�����,qieyewucengmianshejixiangjingwaitigonggerenxinxide��,wulunxiangguanshujushifougouchengzhongyaoshujuhuogerenxinxideshuliangshifoudadaoyidingguimo��,junxulvxingshujuchujinganquanshenzhayiwu。
“重要數據”:2024年3月21日��,全國網絡安全標準化技術委員會發布的《GB/T 43697-2024 數據安全技術 數據分類分級規則》提供了重要數據識別指南�,但僅作為普適性規則���,就不同行業來說“通過該規則指導行業領域主管(監管)部門製定本行業本領域的數據分類分級規範����、開展相應工作”。實踐中���,多數認為重要數據仍然以被動認定為主要原則����,依據主要為《促進和規範數據跨境流動規定》規定“未被相關部門��、地區告知或者公開發布為重要數據的���,數據處理者不需要作為重要數據申報數據出境安全評估”。但(dan)並(bing)不(bu)必(bi)然(ran)可(ke)以(yi)認(ren)為(wei)企(qi)業(ye)不(bu)具(ju)有(you)重(zhong)要(yao)數(shu)據(ju)的(de)識(shi)別(bie)的(de)相(xiang)關(guan)義(yi)務(wu)����,就(jiu)具(ju)體(ti)合(he)規(gui)要(yao)求(qiu)���,可(ke)由(you)發(fa)行(xing)人(ren)聘(pin)請(qing)的(de)網(wang)絡(luo)安(an)全(quan)和(he)數(shu)據(ju)保(bao)護(hu)專(zhuan)項(xiang)律(lv)師(shi)綜(zong)合(he)梳(shu)理(li)判(pan)定(ding)。
需要指出的是��,境內企業在上市過程中��,盡管可能涉及數據出境(例如因監管要求信息披露或向境外中介機構提供公司資料等)�,但這些信息通常不涉及大量個人信息或重要數據�����,境內企業申請境外上市行為本身並不會直接觸發數據出境安全評估的義務。
此外�����,筆者注意到���,鑒於備案新規中的備案報告示範文本以及律師出具專項法律意見書所依據的“專項法律意見核查要點”中�����,有關安全評估審查的具體表述為“是否涉及安全審查”�、“履行安全審查程序情況”等���,未包含“安全評估”字眼。在經判定無需履行數據出境安全“評估”等情形下�����,部分案例中�,備案報告或專項法律意見書不再專門設置“數據出境安全評估”相關論述要點。然而�,應注意“備案材料內容和格式指引”中相關具體表述為“安全評估審查意見”����,同時結合《管理試行辦法》第七條����、第九條的相關表述�����,筆者認為�,從邏輯連貫性�����、完整性角度出發��,對於發行人是否需要履行數據出境安全評估程序�,仍建議在相關文書中單獨列式開展論述並發表意見。
注釋:
[1] 《網絡安全審查辦法(2021)》第十條 網絡安全審查重點評估相關對象或者情形的以下國家安全風險因素:(一)產品和服務使用後帶來的關鍵信息基礎設施被非法控製�、遭受幹擾或者破壞的風險�����;(二)產品和服務供應中斷對關鍵信息基礎設施業務連續性的危害��;(三)產品和服務的安全性����、開放性�、透明性�、來源的多樣性�,供應渠道的可靠性以及因為政治�����、外交��、貿易等因素導致供應中斷的風險���;(四)產品和服務提供者遵守中國法律�、行政法規����、部門規章情況���;(五)核心數據���、重要數據或者大量個人信息被竊取���、泄露�、毀損以及非法利用�、非法出境的風險�;(六)上市存在關鍵信息基礎設施�����、核心數據����、重要數據或者大量個人信息被外國政府影響����、控製����、惡意利用的風險����,以及網絡信息安全風險�;(七)其他可能危害關鍵信息基礎設施安全�、網絡安全和數據安全的因素。
