2022年2月15日,由国家互联网信息办公室审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局12个部委同意的《网络安全审查办法》正式生效。
《网络安全审查办法》主要管三个事儿:其一是管关键信息基础设施(“关基”)运营者采购网络产品和服务;其二是管超过100万用户个人信息的网络平台运营者赴国外上市;其三是对影响或可能影响国家安全的网络产品和服务以及数据处理活动发起自主调查。结合我们参与申报审查并配合审查过程的案例,本文就赴国外上市触发的网络安全审查在注意保密义务的前提下展开说说。
赴国外上市的网络安全审查主要由四层主管机构组成。第一层是中国网络安全审查技术与认证中心(“认证中心”),在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审核、具体组织审查工作等任务。所以,拟上市企业如果需要启动网络安全审查,则需要跟认证中心对接,而不是去寻找传说中的“网络安全审查办公室”。
第二层是网络安全审查办公室,设在国家互联网信息办公室(“国家网信办”),除负责制定网络安全审查相关制度规范外,还组织网络安全审查。认证中心对材料进行形式审查后,将会呈交网络安全审查办公室进行实质性审查。当事人无需跟网络安全审查办公室直接接触。
第三层是共同签发本办法的十二个部委,统称为网络安全审查工作机制成员单位。网络安全审查办公室完成初步审查,包括形成审查结论建议后,将审查结论建议发送这十二个部委征求意见。如果形成一致性意见,则可以通知当事人;如无法形成一致性意见,则需要启动特别审查程序。
第四层是中央网络安全和信息化委员会。只有在启动特别审查程序后,才需要将网络安全审查办公室再次形成的审查结论意见在征求网络安全审查工作机制成员单位意见后呈报中央网络安全和信息化委员会批准。
从这个流程图可以看出,网络安全审查在四级主管机关处流转最短需要55个工作日,最长需要160个工作日或更多。因此,在排上市时间表时,要充分考虑网络安全审查需要的时间,尽早申请。
从具体实践经验来看,拟上市企业如触发网络安全审查,需要关注以下几个问题。
从上市国别看,“赴国外上市”是触发网络安全审查的前提条件。“国外”不含香港,因此赴港股上市不需主动申请网络安全审查。如果去美国、欧洲、东南亚等国家,均属于“赴国外上市”。上市的形式有很多种,比如IPO、SPAC、GDR、RTO、DPO等等都属于应申报的范围。不要低估认证中心对这些上市形式的了解,他们是专业的。
不是所有“赴国外上市”的公司均会触发网络安全审查,只有满足“掌握超过100万用户个人信息的网络平台运营者”才需要申请。如何判断100万用户个人信息?需要全面考虑,不能凭主观臆断。例如,公司有App和网站,除了要考虑总的注册用户是多少,还需要考虑以访客、第三方登录、线下收集等方式获得个人信息的非注册用户。如何判断自己是否属于“网络平台运营者”?在《网络安全审查办法》中没有给出定义,我们建议做广义理解,可以借鉴《网络安全法》中网络运营者的定义,即:“网络运营者是指网络的所有者、管理者和网络服务提供者。”如果过于纠结“平台”二字而坚持认为自己不属于“平台”,则可能对是否需要申报做出误判。
另外,还需要考虑的重要因素是国外上市是一个持续的过程,可能需要几个月甚至几年的时间,在上市的过程中,公司掌握的个人信息也会越来越多。根据公司掌握个人信息增加的频率来进行判断,如果在上市成功之前很可能会超过100万,那么也建议跟认证中心提前沟通,请他们给予专业指导。
上市的过程是公开透明的,监管机构也会高度关注中概股都在国外哪些地方上市。如果因为前期的疏忽,没有准确判断公司是否需要申请网络安全审查,在上市成功后被网络安全审查办公室发起自主调查,公司面临的风险就更大了。因此,提前保持沟通是一个非常明智的做法。
从目前实践来看,中国企业赴国外上市,尤其是美股上市,都会有配套的VIE架构。在这个架构中有很多公司,谁应该是申请主体呢?我们理解应该是以拟上市主体在中国注册的实体进行申报。
虽然上面的流程图已经清晰列明了审查流程,但在实践中还有一些细节需要关注。
如果公司有国外上市计划,且判断应进行网络安全审查,建议先登陆认证中心的网站KB体育官网(),查询联系电话和电子邮箱,与认证中心沟通情况。如认证中心认为公司符合申请条件,则可以向认证中心申请领取申报材料。为了保证申请的严肃性,根据《网络安全审查办法》第八条的规定,在领申报材料时公司需要提交IPO等上市申请文件,比如招股说明书。此时提交的招股说明书不要求是终稿,随着上市进程的推进,招股书可以修改。
申报材料主要包括《申报书》和《关于影响或者可能影响国家安全的分析报告》。这两份材料是模版形式,不需要当事人自己设计,只需按照模版准备材料,填写相关内容即可。根据我们的经验,根据当事人合规情况来看,准备这两份文件可能需要一个月的时间。如果公司数据安全、网络安全和个人信息保护相关的合规工作做的比较好,则准备材料会快一些。如果公司合规情况不达标,有很多整改项,则材料填写会慢很多。在此,我们强烈建议有上市计划的公司应提前把数据合规相关的工作做扎实,有任何处罚应尽快整改完毕,否则将会耽误网络安全审查的申报工作。
还需要注意的是,准备材料和补充材料的时间不计算在监管机构的工作时间内,因此要注意网络安全审查跟上市时间表的匹配,留出充足的时间应对补充材料的情况。实践中,补充材料是经常发生的,可能发生在监管机构工作的任何阶段。
此外,我们还需要关注《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》中第六条提及的境外上市需要向中国证监会国际部履行备案程序。目前据我们了解的情况来看,如果这一征求意见稿最终落地,根据征求意见稿第八条的规定,拟上市企业可能需要先拿到网络安全审查同意上市的书面结论才能顺利完成备案程序。
虽然触发网络安全审查的要件之一是掌握100万用户个人信息,但审查本身关注的是网络平台运营者开展数据处理活动是否影响或者可能影响国家安全。因此,这是一个国家安全审查,并不局限于对个人信息的审查。
网络安全审查主要集中审查四个方面的内容,包括上市情况、股权控制权、数据处理和数据对外提供四种情况。上市情况,主要是为了搞清楚公司拟在哪里上市,上市主体是谁等相关情况。股权控制权主要看公司上市前和上市后控制权是否发生了变更,控制权的变更是否可能会导致对数据失去控制从而危害国家安全。数据处理情况主要看拟上市公司手里掌握了哪些数据,是否涉及个人敏感信息、是否涉及重要数据、是否涉及数据出境情况等。数据对外提供情况主要看公司在上市过程中需要对外提供哪些数据,这些数据的提供是否可能会危害国家安全。
从危害国家安全维度考虑,当事人或者有计划在国外上市的公司在进行网络安全审查之前,可以先对自己发出灵魂拷问:就我手里掌握的这些数据可能会危害国家安全吗?如果自己判断不会或者大概率不会,那么就不需要对网络安全审查过度恐惧。
打铁还需自身硬,在企业日常运营中,应提高合规意识,搭建有效运行的数据合规体系。只有做到这一步,网络安全审查工作才能顺利推进。
在申请的过程中,应积极配合监管机构,详尽、如实地回答申报材料和补充问题,不要提供虚假材料。认证中心是拥有先进检测手段的机构,承担网络安全审查技术支撑和认证工作,在审核材料的时候会对材料的真实性和准确性进行多方核实和验证。此外,除提交书面材料外,监管机构还可能会要求实地核查当事人。
在是否需要申报这件事上保持谨慎态度,可以就是否触发申报提前与认证中心沟通,不要害怕因沟通引起监管机构的注意从而触发申报。无论否沟通,只要国外上市的情况一公开,无论如何都会引起监管机构的注意。
前面说了这么多,回到本文的主题上:网络安全审查并非要阻止中概股赴国外上市。
从审查的触发条件来看,只有掌握了用户个人信息超过100万的网络平台运营者才需要申请。不满足这个条件的中概股其实有很多。举个例子,今年上半年在美国IPO成功上市的中概股总共四家(含香港一家),从这四家公开披露的招股书来看,均认为自己不涉及网络安全审查。近期SPAC成功上市的极星汽车也在上市材料中披露因用户个人信息没有达到100万,所以无需进行网络安全审查。
从审查的目的来看,主要审查网络平台运营者数据处理活动是否会危害国家安全。手里要没有一点重量级数据,还真不会危害国家安全。什么叫重量级数据?包括国家核心数据、关键信息基础设施、重要数据或者大量个人信息。我们以网络安全审查办公室对知网主动发起网络安全审查的通知做个参考:“知网掌握着大量个人信息和涉及国防、工业、电信、交通运输、自然资源、卫生健康、金融等重点行业领域重要数据,以及我国重大项目、重要科技成果及关键技术动态等敏感信息。”
从审查的结果来看,网络安全审查结果主要有三种。第一种,网络安全审查办公室认为不需要进行实质审查,在收到合格的申报材料后10个工作日内通知当事人允许其上市。第二种,经过实质性审查,得出审查结论允许上市。第三种,经过实质性审查,得出审查结论不允许上市。网络安全审查落地4个月来,从公开可查询的情况来看,有不少公司已经通过了网络安全审查,比如在新加坡上市的蔚来;但尚未看到公开信息提及拟上市企业因为网络安全审查没有通过导致上市失败。
在申请的过程中,从与以认证中心为窗口的监管机构沟通的情况来看,监管机构的工作专业且高效,指导我们顺利完成申报工作。对于当事人在申请中遇到的实际困难,监管机构也会给出有效的解决方案。
所以,在我们看来,虽然中概股赴国外上市新增了网络安全审查,但只要提前沟通、按照要求申报,如果在数据处理活动中确实不存在危害国家安全的行为或者风险,那么获得批准的可能性是较大的。网络安全审查并非要阻止中概股赴国外上市。
最后,要特别鸣谢对本文和我本人无私指导的匿名专家,也要特别感谢客户的信任及团队小伙伴在网络安全审查申报工作中的共同努力。