2021年11月14日,国家互联网信息办公室(以下简称“国家网信办”)发布《网络数据安全管理条例(征求意见稿)》(以下简称“《数安条例草案》”),并向社会公开征求意见至2021年12月13日。
《数安条例草案》以《网络安全法》、《数据安全法》、《个人信息保护法》作为上位法依据,共九章七十五条。其中要点诸多,针对数据跨境安全传输、个人信息权利保护、赴国外上市与赴港上市的网络安全审查标准、互联网平台运营者义务等内容均分别做出细致规定。我们将分批次与主题对《数安条例草案》进行解读。
本文为“赴国外上市与赴港上市的网络安全审查标准”专题,也特别邀请了资本市场组的蒋文俊律师从专业角度点评。
1.《数安条例草案》的出台对企业融资上市安排的最大影响是什么?
第一,《数安条例草案》作为《网络安全法》、《数据安全法》和《个人信息保护法》三大法的实施条例,在三大法基础上明确了诸多落地细节,包括对企业处理个人信息、重要数据及其他类型的网络数据的具体要求。因此在企业未来融资上市的过程中,对于三大法的合规程度以及合规框架的搭建,将会成为融资上市合规性审查中一个重要的方面。企业在面对中国证监会、香港联交所或其他交易所的审核时,也都需要准备对相关合规问题进行说明。
第二,《数安条例草案》第十三条在网信办于7月10日发布的《网络安全审查办法(修订草案征求意见稿)》(以下简称“《审查办法草案》”)的基础上,进一步明确并补充了境外上市涉及的相关要求。对于符合条件的企业而言,应当在上市前完成网络安全审查。
2.《数安条例草案》适用的范围是什么?是否仅适用于特定类型的企业,例如传统意义上以终端客户数据作为主要驱动力的互联网服务型企业?
《数安条例草案》第二条规定,在中国境内利用网络开展数据处理活动,以及网络数据安全的监督管理适用本条例,且规定了一定程度的域外效力。该条仅将“自然人因个人或者家庭事务开展数据处理活动”排除在适用范围外。同时,《数安条例草案》第七十三条规定,网络数据(以下简称“数据”)是指任何以电子方式对信息的记录;数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动,包括了数据完整生命周期的所有活动。
考虑到《数安条例草案》中对于数据以及相关处理活动的框定非常宽泛,并非仅仅限定在传动意义上的终端客户数据,而囊括了企业运营过程中可能触及或者产生的任何数据形式,例如:基于日常招聘所积累的人力资源数据、日常经营过程中所获得的供应商端或者企业客户端的联系人数据等。鉴于此,倘若《数安条例草案》最终按照目前征求意见稿的表述予以落地,则理论上来说,任何企业都会属于《数安条例草案》规制的对象,若有上市需求,应当提前考虑前述第一个问题所述的两个重要影响。
3. 境内企业赴“国外上市”、“香港上市”,是否都需要报送网络安全审查?
《数安条例草案》第十三条规定:“数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:……(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能影响国家安全的;……”
相比起网信办于7月10日发布的《审查办法草案》规定“掌握超过100万用户个人信息的运营者赴国外上市必须向网络安全审查办公室申报网络安全审查”,《数安条例草案》对于赴国外上市和赴香港上市分别进行了规定,也因此一定程度上澄清了网络安全审查的适用范围。可以明确的是,赴国外上市和赴香港上市,均有可能触发网络安全审查。
4.“国外上市”还是“香港上市”更有可能触发网络安全审查?
是否触发网络安全审查最关键的是企业的业务类型、所处理数据的类型和数量。从触发国外和香港上市的比较来看,赴国外上市的触发条件相对明确,即“处理一百万人以上个人信息的数据处理者”都应申报网络安全审查。这一规定与《审查办法草案》提出的“掌握超过100万用户个人信息的运营者”相比,尽管在用词上存在“一百万人”和“100万用户”、“处理”和“掌握”、“个人信息”和“用户个人信息”的细微差别,但监管部门标准的基本面是一致的。对于具体的适用和解释,如受托处理的数据量是否计算在内、累计数据计算的时间维度等,还需等待后续落地后进一步的解释。
对于赴香港上市而言,《数安条例草案》第十三条的规定的触发网络安全审查的条件是“影响或者可能影响国家安全的”情况。《国家安全法》第五十九条规定,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。后续在《外商投资法》、《数据安全法》中均有相应的规定。另外,《审查办法草案》第十条规定,国外上市可能带来的国家安全风险需要重点评估的方面包括国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。上述规定也对于进一步评估“影响或者可能影响国家安全”的内涵和外延提供了参考。
5. 什么类型的“上市“可能会需要报送网络安全审查?
《数安条例草案》、《审查办法草案》均未对“上市”的概念做进一步的解释或澄清。按照一般意义上对于“上市”的理解,即主要为由非公众公司向公众公司转变的过程。鉴于此,除一般常见的IPO(即首次公开发行并上市)以外,应当还包括之前市场上比较火热的SPAC(即特殊目的公司并购)、RTO(反向并购或借壳上市)等其他可以获得公众公司身份路径的方式。
此外,目前很多在美上市的中概股公司亦在尝试香港二次上市。尽管该等中概股公司均是在《数安条例草案》出台之前已完成的上市,但倘若其实施在香港二次上市,可能香港联交所或者香港证监会还是会要求中国律师对于其是否满足《数安条例草案》项下赴港上市之相关规定发表明确意见。
6. 已经上市的企业需要关注《数安条例草案》吗?
我们认为已经上市的企业也需要关注《数安条例草案》的影响。一方面,已经上市企业需要考虑其持续合规义务,落实三大法及《数安条例草案》之中的数据处理要求。另一方面,《数安条例草案》第三十二条规定,赴境外上市的数据处理者应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,也是从数据合规角度对于国外和香港上市企业的持续性监管要求。
此外,如前述第五个问题中所述,针对选择香港二次上市的中概股企业,更需要关注于香港联交所或香港证监会对于《数安条例草案》的态度。
7. 为了上市需要开展重组活动,《数安条例草案》有什么新要求吗?
《数安条例草案》第十四条规定,数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告。因此,如企业在准备上市过程中发生重组,重组的实体本身持有重要数据或一百万人以上个人信息的,该等重组亦需要向网信部门履行报告义务。
8. 违反上述要求有什么法律后果?
《数安条例草案》第六十条规定,数据处理者不履行第十三条、第十四条(即网络安全审查申报、重组时的报告义务)的规定,最高可处人民币200万元以下罚款、责令暂停业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处最高二十万元罚款。《数安条例草案》第六十二条规定,数据处理者不履行第三十二条规定的数据安全保护义务的(即上述提交年度数据安全评估报告的要求),最高可处人民币五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处最高人民币一百万元罚款。此外,由于上市融资过程之中的合规性问题还可能带来一系列包括诉讼在内的更为严重的后果。
9.《数安条例草案》出台后,我们对拟上市企业有哪些建议?
首先,对于在多轮融资过程中和拟上市的企业而言,投资人需要根据三大法及《数安条例草案》,对企业采取更加严谨的合规性审查。特别是以数据处理为核心竞争力和主营业务的企业,以及数据作为企业日益重要的资产的企业,相关合规性可能直接涉及到企业的商业模式和可持续的经营能力。因此,我们建议,企业在商业模式设立初期就应当对相关合规性问题予以考虑。
其次,在上市审核的过程中,无论是国内外的证券监管机构或证券交易所,对网络安全、数据安全以及个人信息保护问题的关注度都将提高,尤其是在赴国外上市和赴香港上市的过程中,企业还可能需要进行相应的网络安全审查。因此,我们建议企业需要提早安排好相关的合规工作。
10. 拟上市企业能够做什么?
我们建议企业做好数据类型的梳理摸底,完成业务安排、数据处理实践、合同和政策文本的升级,做好风险的摸排和整改。另外,对照三大法的规定建立合规制度和体系,进行相应的内部培训,并参照市场良好实践,形成持续合规的体系,提前为上市融资做好准备。
实习生周佳同学对此文亦有贡献