数字经济时代,数据网络安全实质上关涉国家数据主权和国家安全,诸多国家已经将网络安全、数据跨境流动问题定位为国家安全层面的重要问题,积极制定相关的网络数据监管法律规则。以网络安全、数据跨境流动为核心的全球数字规则博弈明显加强,已成为主要国家争夺数字经济竞争优势和维护国家安全的主要手段。
我国日益重视网络数据安全,跨境网络数据法律监管体系可概括为“1+3+N”的格局,“1”是指《国家安全法》,这是我国跨境数据法律规范体系的基石,也凸显数据跨境合规其最重要的目的是保护国家的利益和安全。“3”是指《网络安全法》《数据安全法》和《个人信息保护法》。这三部法律是我国数据保护三大基本法。“N”指《网络安全审查办法》(简称《审查办法》)、《个人信息出境安全评估办法(征求意见稿)》《信息安全技术数据出境安全评估指南(征求意见稿)》《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》(简称《数安条例》)、《数据安全管理办法(征求意见稿)》以及《工业和信息化领域数据安全管理办法(试行)(征求意见稿)》等规范和一系列相关的国家标准,旨在为数据跨境规范提供详细补充。
中国证监会于2021年12月24日公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下简称《管理规定》)和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(以下简称《备案办法》,与《管理规定》合称“境外上市新规”),向社会公开征求意见。境外上市新规改变以往适用不同路径境外上市的差异化监管模式,将直接或间接申请境外上市均纳入统一管理,适用“国家安全事前审查+发行上市事中事后备案”的监管制度,要求境内企业境外发行上市严格遵守外商投资、网络安全、数据安全等国家安全规范,履行国家安全保护义务。
《审查办法》在《网络产品和服务安全审查办法(试行)》及《网络安全审查办法(2020)》制度实践的基础上,结合2021年滴滴出行境外上市网络安全审查实例,针对关键信息基础设施运营者采购网络产品和服务、网络平台运营者开展数据处理活动制定了较为细致的网络安全审查制度,构成网络安全领域的重要法律制度。《审查办法》确立了在中央网络安全和信息化委员会领导下,网信办等十三个部门协同监管的国家网络安全审查工作机制,由网信办内设的网络安全审查办公室具体负责审查制度规范制定及组织实施审查工作。网络安全审查制度以《审查办法》确定的审查机制为框架,体现了《国家安全法》《数据安全法》及相关规定的精神。
网络安全审查触发情形。《国家安全法》《数据安全法》提出安全审查的要求,为制度建设提供了法律依据。《数安条例》区分赴国外上市和赴香港上市,对于赴国外上市企业,涉及处理100万人以上个人信息数据的应当申报网络安全审查,而赴港上市的则没有明确的判断指标,遵循影响或可能影响国家安全的实质判断。《审查办法》规定关键信息基础设施运营者适用“自我预判”的原则,由其判断是否提交安全审查;对于网络平台运营者则一概要求掌握超过100万用户个人信息的企业赴国外上市均需提交安全审查。同时,《审查办法》赋予了主管机关主动提起安全审查的权利。
《审查办法》是在《数据安全法》明确规定国家建立数据安全审查制度为依据的基础上对现有办法的修订,另外,《数安条例》规定了数据处理者触发网络安全审查的情形,可见网络安全审查是数据安全审查的具体物化。《数安条例》目前尚在征求意见阶段,其将企业赴港上市涉及国家安全情形纳入网络安全审查范围,从表述来看似乎导致了与《审查办法》未将企业赴港上市纳入审查情形相矛盾的窘境,但是《审查办法》是搭建网络安全审查的基本框架,在《数据安全法》或其他规范增加或扩大审查范围时,同样应适用网络安全审查的框架制度。
网络数据安全审查制度与境外上市新规协同对企业境外上市的深刻影响
在数据已经成为经济发展的重要驱动力和关键生产要素,主要国家和地区经济发展竞争进入数据主权博弈的时代背景下,构筑于“数据主权”及“严格限制跨境数据流动”立场下的国家网络数据安全制度与拟推出的境外上市新规,可谓“预谋而合”,在相关制度正式实施时,必将对企业境外上市产生深刻的影响。
境外上市实施统一备案,网络安全审查成为企业境外上市的前置程序
《备案办法》对企业境外上市履行中国证监会备案义务的主体遵循实质重于形式的原则进行判断,如符合下列情形的,应当履行备案程序:境内企业最近一个会计年度的营业收入、利润总额、总资产或净资产,占发行人同期经审计合并财务报表相关数据的比例超过50%;负责业务经营管理的高级管理人员多数为中国公民或经常居住地位于境内,业务经营活动的主要场所位于境内或主要在境内开展。
符合前述情形的企业(简称“适格境外上市企业”),无论是采取境外直接上市,还是境外间接上市均需在中国证监会履行备案程序。统一的境外上市备案制度将适格境外上市企业申请境外上市全面纳入了中国证监会监管体系。
根据《备案办法》,申请境外上市的申报资料,包括了安全审查评估意见,申请境外上市的企业需要根据其所在行业的网络数据安全监管制度,履行网络安全前置审查程序,在获得有权机关出具的网络安全评估意见后,才能正式向中国证监会提交境外上市申请资料。这是境外上市新规实施后最大的变革。
部分网络数据安全审查不明晰影响申请境外上市企业履行网络数据安全审查义务
根据《审查办法》规定,网络安全审查制度并无明确的有效期限,而数据信息、网络建设领域的变化日新月异,对掌握超过100万用户个人信息的网络平台运营者赴国外上市,在提交上市申请时已取得网络安全审查意见但在发行上市前网络安全影响发生重大变化时是否应当重新提交安全审查并无规定;在提交上市申请时被告知无需申请网络安全审查但在发行上市前发生网络安全审查申请事由,根据《审查办法》亦无需重新申请网络安全审查,显然此情形可能严重影响国家安全。另外,《备案办法》明确企业境外上市备案的有效期为一年,并同时规定了重大事项报告制度。针对企业履行境外上市备案程序后,完成境外发行上市前发生特定情形的需更新备案材料,但是特定情形并未涵盖国家安全影响变化。因此,结合《审查办法》和《备案办法》的规定,企业已提交境外上市申请并履行中国证监会备案程序后,发生应当履行网络安全审查的情形,限于制度规范瑕疵导致规管真空,不利于国家安全保障。前述网络安全审查制度的不明晰影响申请境外上市企业履行网络安全审查义务。
企业拟境外上市需主动厘清监管逻辑,适应监管转变
《备案办法》规定企业境外上市备案申请材料包括“有关部门出具的安全评估审查意见(如适用)”,涉及网络安全审查事项的企业应当在提交境外上市申请前取得审查意见,涉及数据出境的还需取得数据安全评估意见。《审查办法》确立以网信办牵头,会同国家发展改革委、工信部、证监会等十三个部门建立的网络安全审查工作机制,并由网络安全审查办公室具体负责组织网络安全审查工作。网络安全审查过程中涉及多个机构、部门的意见征求反馈,一旦个别机构、部门意见不一致将触发特别审查程序,特别审查程序下审查时限大幅延长,而且情况复杂时的延长时间并无上限。国家网络安全审查工作机制关涉多个机构,其规范领域不同,监管理念存在差异,监管目的考量亦有侧重,实践中可能导致“各执一词”而在大部分审查案例中无法形成一致意见,将适用特别审查程序变为“常态”。而就数据评估而言,《数安条例》虽规定了数据出境的安全评估制度,却未明确具体实施程序,为实践中网信办落实数据出境的安全评估制度增加了不确定性。
网络数据安全是国家安全的重要组成部分,但我国目前尚在建立统一高效的“一体化”数据网络安全制度进程中,其监管内容囿于各种现实原因及制度规范彼此的衔接问题给企业境外上市带来了不确定、不透明的重大影响。企业申请境外上市时应理解我国制度发展的现实状况,厘清网络安全监管逻辑,尊重监管实践,以“未雨绸缪”的心态尝试各种合理手段与安全审查主管部门、行业主管部门进行有效沟通,充分领会其执行监管措施的脉络,密切联系中国律师以掌握监管部门的一线执行情况。针对“国家网络安全审查工作机制”与“行业数据安全审查制度”不一致的情形,积极联系网信部门及行业主管部门明确是否为同一制度下不同表述或依据不同制度要求开展安全审查工作;针对网络安全审查程序涉及的审查时限较长,数据安全审查细化制度不明确的情形,做好日常经营的国家安全保障工作,积极准备网络安全审查程序,以“以不变应万变”的姿态应对审查制度的不确定性;发生影响数据网络安全的重大事项时,应主动向审查机构履行报告义务,完整说明新情况、新问题、新态势,配合审查机构的调查程序以取得审查机构的认可、支持。
准确理解境外上市备案制度与网络数据安全审查的关系,严格遵循网络数据安全审查程序
境外上市备案制度明确了境外上市备案的认定标准,并且通过申请境外上市备案文件包含有关部门出具的网络安全评估审查意见,同网络数据安全审查制度全面连接起来,网络数据安全审查是境外上市的前置程序,《审查办法》要求启动安全审查的主体范围以其对国家安全影响程度作为标准。目前明确的情形为:关键信息基础设施运营者采购网络产品和服务的,预判该产品和服务投入使用后影响或者可能影响国家安全的;掌握超过100万用户个人信息的网络平台运营者赴国外上市。《数安条例》亦规定了应当申报网络安全审查的如下情形:汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;处理100万人以上个人信息的数据处理者赴国外上市的;数据处理者赴香港上市,影响或者可能影响国家安全的;其他影响或者可能影响国家安全的数据处理活动。
根据上述规定,企业境外上市备案制度以符合境外直接或间接上市的认定标准为前提,而涉及境内权益的境外企业申请发行上市未达到《备案办法》规定的资产收入利润占比、高管构成和业务经营地等指标的,则无需履行备案程序,但是该等企业如存在《审查办法》《数安条例》规定的网络安全审查事由的均应履行网络安全审查程序。前述规管差异导致实践中存在涉及境内企业权益境外上市无需履行中国证监会备案程序,即这类企业免除了境外上市备案义务,但鉴于网络安全审查的适用范围广于中国证监会境外上市备案范围,该等企业仍然需要申请网络安全审查。因此,企业申请境外上市应当深刻理解网络安全审查制度与境外上市备案制度的关系,切忌落入因无需履行中国证监会备案义务而忽视履行数据网络安全审查义务进而违法的困境。
在遵循国家数据网络安全制度监管的基础上,恪守境外上市规则核查标准
《审查办法》要求关键信息基础设施运营者采购网络产品和服务的,自行预判是否涉及或可能涉及国家安全风险并基于预判结果申请网络安全审查。同时,规定网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动的可以主动提请网络安全审查程序。《审查办法》规定的网络安全审查启动事由存在较大的不确定性。一方面,企业自行预判依赖于企业专业能力的优劣和企业自身的国家安全保障意识,实践中可能导致企业出于利益考虑而影响预判的专业度、可信度;另一方面,主管单位有权主动提起网络安全审查,导致申请境外上市的企业可能处于被要求安全审查的被动局面。结合境外上市规则及境外证券监管机构的审核实践,对于境内监管机构对某项监管事宜存在不确定性的,境外证券监管机构通常通过中介机构访谈有关主管机构,得出一个确定性的结论,在中国律师发表有关意见后,进一步推动上市审核。因此,《审查办法》关于网络安全审查启动事由不确定的制度安排将导致赴港上市向主管机关申请安全审查以获得明确意见或以面谈、函件等形式确认不涉及网络审查事宜,企业申请境外上市时应在专业中介机构的指导、协助下准确、深入地理解境外上市规则规定以有效满足境外上市要求。
境外上市已成为境内企业利用国际资本实现自身发展的重要手段,完善境外上市管理制度,落实国家安全保障监管机制,既是适应金融市场稳定发展的当务之急,亦是构建国内国际双循环新发展格局的实际举措。作为重要的市场参与者,境外上市申请人及专业中介机构等相关主体应密切关注制度修订进展,理解监管的内在逻辑,积极践行境外上市新规及其关涉的国家安全保障活动,助力监管制度的发展与完善。