在網(wǎng)絡安全與數(shù)據(jù)合規(guī)治理體系日趨完善的背景下,網(wǎng)絡與數(shù)據(jù)安全已然成為企業(yè)上市過程中監(jiān)管部門審查關(guān)注的重點問題。國家互聯(lián)網(wǎng)信息辦公室(“國家網(wǎng)信辦”)今年通過對網(wǎng)絡安全審查制度的修訂及數(shù)據(jù)出境安全管理與評估制度的完善,以及進一步強化對數(shù)據(jù)處理活動所引發(fā)的國家安全風險的管控,從而對赴境外上市企業(yè)的數(shù)據(jù)合規(guī)水平與數(shù)據(jù)安全風險防范能力也提出了新要求。此外,12月24日,中國證監(jiān)會公布《國務院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定(草案征求意見稿)》和《境內(nèi)企業(yè)境外發(fā)行證券和上市備案管理辦法(征求意見稿)》,就境內(nèi)企業(yè)境外發(fā)行證券和上市向社會公開征求意見,其中明確提到,“境內(nèi)企業(yè)境外發(fā)行上市的,應當嚴格遵守……網(wǎng)絡安全、數(shù)據(jù)安全等國家安全法律法規(guī)和有關(guān)規(guī)定”,再次呼應了赴港上市企業(yè)應當履行的網(wǎng)絡及數(shù)據(jù)安全義務。
本文將立足于數(shù)據(jù)安全新近立法以及境外證券監(jiān)管,為港股上市企業(yè)解讀赴港上市前后需關(guān)注的數(shù)據(jù)合規(guī)要點,以期協(xié)助境內(nèi)企業(yè)在赴香港上市過程中做好相應的合規(guī)準備及應對。
《中華人民共和國網(wǎng)絡安全法》(“《網(wǎng)絡安全法》”)落地履行已逾三年,我國網(wǎng)絡安全與數(shù)據(jù)合規(guī)領(lǐng)域另外兩部上位法《中華人民共和國數(shù)據(jù)安全法》(“《數(shù)據(jù)安全法》”)和《中華人民共和國個人信息保護法》(“《個人信息保護法》”)于2021年相繼正式生效實施。在《網(wǎng)絡安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》的基礎上,《網(wǎng)絡安全審查辦法(修訂草案征求意見稿)》(“《審查辦法(征求意見稿)》”)、《數(shù)據(jù)出境安全評估辦法(征求意見稿)》(“《辦法(征求意見稿)》”)、《關(guān)鍵信息基礎設施安全保護條例》《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》(“《條例(征求意見稿)》”)等配套規(guī)則陸續(xù)發(fā)布并相互銜接補充,中國網(wǎng)絡空間治理的監(jiān)管思路日趨深入與細化,逐步形成“國家安全——網(wǎng)絡安全——信息安全——數(shù)據(jù)安全”四位一體的綜合治理思路。
前述新近立法文件發(fā)布后,赴港上市的境內(nèi)企業(yè)尤其是數(shù)字型企業(yè)多在一定程度上開展了數(shù)據(jù)安全角度的相關(guān)合規(guī)性核查,并進一步就網(wǎng)絡安全審查申報等流程的適用性進行了初步分析和論證。與此同時,香港證券監(jiān)管機構(gòu)的審查和問詢重點也隨之有所調(diào)整,尤其是就企業(yè)的數(shù)據(jù)情況、網(wǎng)絡安全審查申報、數(shù)據(jù)出境安全評估等問題予以重點關(guān)注。鑒于此,赴港上市企業(yè)依法履行日常數(shù)據(jù)合規(guī)義務之余,還需重點關(guān)注新近立法對于境外上市企業(yè)數(shù)據(jù)合規(guī)義務的新要求,以做好監(jiān)管動態(tài)要求的有效應對。
伴隨《網(wǎng)絡安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》相繼頒布并生效,企業(yè)在網(wǎng)絡安全、數(shù)據(jù)安全以及個人信息保護方面的合規(guī)性亦逐漸成為企業(yè)上市準備階段受到監(jiān)管部門審查關(guān)注的重點問題。
在這樣的背景下,近期,網(wǎng)絡安全數(shù)據(jù)合規(guī)排查已成為如今許多赴港上市企業(yè)盡調(diào)階段不可缺少的環(huán)節(jié)。據(jù)了解,赴港上市企業(yè)在上市流程啟動階段即委托專業(yè)中介機構(gòu)開展針對性網(wǎng)絡安全與數(shù)據(jù)合規(guī)排查,并就識別出的風險點進行及時整改,以確保有效應對證券監(jiān)管部門可能提出的關(guān)于企業(yè)網(wǎng)絡安全、數(shù)據(jù)合規(guī)及算法等相關(guān)問詢,并能夠在招股文件和回復函中進行如實準確地披露。同時,開展上述工作亦能幫助企業(yè)有效提升業(yè)務合規(guī)性,避免在上市準備階段因業(yè)務合規(guī)性問題受到國內(nèi)監(jiān)管部門行政執(zhí)法的通報或處罰并造成不利輿論影響,進而對企業(yè)境外上市造成潛在不利影響。
《審查辦法(征求意見稿)》與《條例(征求意見稿)》均明確規(guī)定,符合一定條件的企業(yè)赴境外上市,應進行網(wǎng)絡安全審查申報。相較于《審查辦法(征求意見稿)》而言,條例的出臺從一定程度上對具體認定和釋義進行了細化,明確了申報事由和申報要求。尤為值得赴港上市企業(yè)重視的是,《條例(征求意見稿)》釋放了區(qū)分國外上市和中國香港上市兩種情形的重要監(jiān)管信號,并為兩類數(shù)據(jù)處理者設定不同的申報適用條件,其中赴香港上市的數(shù)據(jù)處理者僅以“可能影響國家安全”為申報前提[1]。香港上市企業(yè)是否需進行網(wǎng)絡安全審查申報的核心認定因素如下:
(1)是否構(gòu)成“數(shù)據(jù)處理者”
鑒于赴港上市所引發(fā)的數(shù)據(jù)安全風險相較于赴國外上市的風險可能整體上相對可控,《條例(征求意見稿)》針對赴國外上市數(shù)據(jù)處理者與赴香港上市數(shù)據(jù)處理者并未規(guī)定相同的網(wǎng)絡安全審查申報的適用門檻,即《條例(征求意見稿)》并未從數(shù)據(jù)處理量級以及類型的角度對于赴香港上市數(shù)據(jù)處理者申報網(wǎng)絡安全審查的條件進行規(guī)定,赴香港上市數(shù)據(jù)處理者只有在存在影響或者可能影響國家安全的情況下,才需要履行網(wǎng)絡安全審查申報義務。
盡管現(xiàn)行有效的法律法規(guī)并未明確對“數(shù)據(jù)處理者”這一概念進行法律界定,赴香港上市企業(yè)在日常經(jīng)營過程中可能同時涉及作為“數(shù)據(jù)處理者”以及“受托處理者”開展數(shù)據(jù)處理活動,但是綜合《條例(征求意見稿)》對于“數(shù)據(jù)處理者”的定義以及“預防和化解國家安全風險”的制度目的出發(fā),我們理解,評估赴香港上市企業(yè)是否存在或可能存在影響國家安全風險時,可能側(cè)重于關(guān)注赴香港上市企業(yè)作為“數(shù)據(jù)處理者”自主決定處理目的和處理方式的數(shù)據(jù)處理活動。
(2)是否足以“影響國家安全”
鑒于現(xiàn)行立法并未明確規(guī)定“影響或者可能影響國家安全”的判斷因素,赴香港上市企業(yè)或可參考《審查辦法(征求意見稿)》第十條對于數(shù)據(jù)處理活動以及國外上市可能帶來的國家安全風險的評估方法以及《數(shù)據(jù)安全法》對于核心數(shù)據(jù)與重要數(shù)據(jù)的界定,重點關(guān)注企業(yè)所處理的數(shù)據(jù)量級、數(shù)據(jù)敏感程度(是否涉及國家核心數(shù)據(jù)、重要數(shù)據(jù))、企業(yè)所在領(lǐng)域、是否在日常經(jīng)營或者上市前后涉及向境外提供數(shù)據(jù)等因素。出于審慎合規(guī)的角度,赴香港上市的數(shù)據(jù)處理者還可以積極開展數(shù)據(jù)安全內(nèi)部自評估,并在必要時與相關(guān)主管部門保持密切溝通,以對于企業(yè)數(shù)據(jù)處理活動或上市活動可能引發(fā)的國家安全風險進行事前有效管控,積極主動落實赴境外上市企業(yè)的數(shù)據(jù)安全保護義務。
(3)互聯(lián)網(wǎng)平臺運營者的申報事由
條例新增“匯聚掌握大量數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺運營者因?qū)嵤┖喜?、重組、分立而影響或者可能影響國家安全的”申報事由,回應了互聯(lián)網(wǎng)平臺企業(yè)匯聚巨量數(shù)據(jù)而引發(fā)數(shù)據(jù)安全風險的管控問題,同時也揭示了對于大型互聯(lián)網(wǎng)平臺企業(yè)加強數(shù)據(jù)安全管控的監(jiān)管趨勢。由此,互聯(lián)網(wǎng)平臺的境外上市過程應重點關(guān)注數(shù)據(jù)安全合規(guī)問題,尤其是在上市前發(fā)生過合并、重組等情形的互聯(lián)網(wǎng)平臺,應謹慎評估是否構(gòu)成申報事由。
港股上市企業(yè)可能因日常業(yè)務運營或上市活動而觸發(fā)數(shù)據(jù)出境安全評估義務,而《辦法(征求意見稿)》在現(xiàn)行數(shù)據(jù)保護法律法規(guī)以及配套規(guī)則的基礎上進一步細化了申報數(shù)據(jù)出境安全評估的條件與流程,明確要求重點評估數(shù)據(jù)出境活動可能對國家安全、公共利益、個人或者組織合法權(quán)益帶來的風險。就數(shù)據(jù)出境安全評估,《辦法(征求意見稿)》的核心要求如下:
(1)適用主體——數(shù)據(jù)處理者:《辦法(征求意見稿)》要求,“數(shù)據(jù)處理者”將境內(nèi)所涉數(shù)據(jù)向境外提供的場景下,應當進行安全評估。
(2)適用范圍——境外:依據(jù)國內(nèi)法律法規(guī)如《出境入境管理法》對于“境外”的定義,我們理解,赴香港上市企業(yè)向國外國家或者地區(qū)以及我國的港澳臺地區(qū)提供在中國境內(nèi)收集的重要數(shù)據(jù)和依法應進行安全評估的個人信息,均需適用《辦法(征求意見稿)》的規(guī)定開展安全評估。
(3)評估程序——自評或申報:《辦法(征求意見稿)》規(guī)定,數(shù)據(jù)處理者向境外提供任何數(shù)據(jù)均需開展數(shù)據(jù)出境風險自評估,若公司向境外提供數(shù)據(jù)且符合《辦法(征求意見稿)》第四條規(guī)定的以下五種情形之一的,還需通過所在地省級網(wǎng)信部門向國家網(wǎng)信部門申報數(shù)據(jù)出境安全評估:(i) 關(guān)鍵信息基礎設施的運營者收集和產(chǎn)生的個人信息和重要數(shù)據(jù);(ii) 出境數(shù)據(jù)中包含重要數(shù)據(jù);(iii) 處理個人信息達到一百萬人的個人信息處理者向境外提供個人信息;(iv) 累計向境外提供超過十萬人以上個人信息或者一萬人以上敏感個人信息;(v) 國家網(wǎng)信部門規(guī)定的其他需要申報數(shù)據(jù)出境安全評估的情形。[2]
值得注意的是,網(wǎng)絡安全審查與數(shù)據(jù)出境安全評估在制度運行過程中可能存在一定交叉適用的情況,尤其是掌握大量個人信息的數(shù)據(jù)驅(qū)動型企業(yè)在日常業(yè)務運營過程中可能涉及數(shù)據(jù)跨境傳輸。在現(xiàn)有規(guī)范尚未明晰二者之間適用關(guān)系的情況下,我們理解該等企業(yè)存在同時觸發(fā)網(wǎng)絡安全審查與數(shù)據(jù)出境安全評估的可能性,而網(wǎng)絡安全審查制度與數(shù)據(jù)出境安全評估制度間的協(xié)調(diào)銜接仍有待后續(xù)監(jiān)管部門進一步明確。
除在上市準備階段需要關(guān)注數(shù)據(jù)合規(guī)及網(wǎng)絡安全要求外,已上市企業(yè)同樣不能忽視相關(guān)數(shù)據(jù)安全監(jiān)管要求。根據(jù)《條例(征求意見稿)》第三十二條規(guī)定,赴境外上市的數(shù)據(jù)處理者應當自行或者委托數(shù)據(jù)安全服務機構(gòu)每年開展一次數(shù)據(jù)安全評估,并在每年1月31日前將上一年度數(shù)據(jù)安全評估報告報設區(qū)的市級網(wǎng)信部門。
如“《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》系列解讀之網(wǎng)絡安全審查篇”一文所分析,盡管就“赴境外上市企業(yè)”是否包括處于境外上市準備階段或有境外上市計劃的企業(yè)可能尚存一定爭議,但可以確定的是,如條例中的上述要求未來正式生效,已經(jīng)在境外(無論中國香港特別行政區(qū)、美國或其他境外司法轄區(qū))上市的數(shù)據(jù)處理者未來應履行每年開展數(shù)據(jù)安全評估,并上報市級網(wǎng)信部門的義務??紤]到報告內(nèi)容要求的全面性,境外上市企業(yè)需要在日常業(yè)務開展中即關(guān)注內(nèi)部數(shù)據(jù)處理情況及相關(guān)要求,并對于內(nèi)部數(shù)據(jù)處理行為進行及時有效的記錄,避免每年申報截止前“臨時抱佛腳”。
網(wǎng)絡及數(shù)據(jù)安全新立法及監(jiān)管要求發(fā)布至今,已近半年時間,香港證監(jiān)會和聯(lián)交所均對該等新政予以密切關(guān)注并及時調(diào)整審核把握和要求,市場也迅速對上述動態(tài)采取了有效應對措施予以回應。根據(jù)近期港股上市企業(yè)的招股書,主營業(yè)務涉及數(shù)據(jù)收集的發(fā)行人大多在其招股書中的風險因素章節(jié)披露其業(yè)務受與數(shù)據(jù)隱私和網(wǎng)絡安全有關(guān)的各種不斷發(fā)展的中國法律法規(guī)所規(guī)限,若未遵守網(wǎng)絡安全及數(shù)據(jù)隱私規(guī)定,可能會受到處罰,并因此可能導致其聲譽、品牌形象、業(yè)務及經(jīng)營業(yè)績遭受損失,并在法規(guī)章節(jié)詳細列舉征求意見稿的具體規(guī)則等。
具體而言,對于上市主體是否會受到《審查辦法(征求意見稿)》及《條例(征求意見稿)》的影響,擬上市企業(yè)主要是從該文件尚處于公開征求意見階段,具體內(nèi)容和適用范圍尚不明確的角度進行解釋,并表明即便如此,公司也將持續(xù)關(guān)注監(jiān)管規(guī)則的制定進展。此外,我們注意到,部分弱數(shù)據(jù)企業(yè)(例如僅涉及少量顧客訂購信息)也在其招股書中就有關(guān)數(shù)據(jù)收集情況以及征求意見稿的發(fā)布進行了風險因素的披露。
同時,據(jù)我們觀察,香港監(jiān)管機構(gòu)及交易所目前仍對數(shù)據(jù)安全問題保持密切關(guān)注和謹慎態(tài)度,在審核境內(nèi)企業(yè)上市申請時,多數(shù)會就企業(yè)數(shù)據(jù)收集和使用情況提出多輪且細致的問詢,要求發(fā)行人評估近期監(jiān)管發(fā)展對公司業(yè)務的影響,且要求明確說明發(fā)行人在網(wǎng)絡及數(shù)據(jù)安全層面的合規(guī)性及能否滿足征求意見稿等具體規(guī)定。
為此,除風險因素的一般披露及法規(guī)章節(jié)的增補之外,如上文所述,涉及數(shù)據(jù)量較大的企業(yè)多聘請專業(yè)數(shù)據(jù)合規(guī)律師對其進行數(shù)據(jù)合規(guī)核查,并結(jié)合初步自評和專項核查意見,若判斷為風險較低,則以不構(gòu)成征求意見稿所述關(guān)鍵判斷標準為解釋口徑,向聯(lián)交所提交盡量明確的回復。截至目前,公開渠道尚未見已進行網(wǎng)安申報的港股上市公司案例,有關(guān)程序尚待境內(nèi)監(jiān)管機構(gòu)進一步落地。
我們理解,從監(jiān)管口徑而言,對于數(shù)據(jù)驅(qū)動型企業(yè),尤其是涉及敏感信息、敏感行業(yè)的企業(yè),即便未觸達強制申報門檻,也應盡量主動進行網(wǎng)絡安全審查申報。對于數(shù)據(jù)屬性較弱但確實掌握一定數(shù)據(jù)的企業(yè),也不能忽略網(wǎng)絡安全審查的監(jiān)管要求,仍應做好網(wǎng)絡安全與數(shù)據(jù)合規(guī)并按照現(xiàn)行有效的規(guī)則判斷是否觸及申報門檻。從審查口徑而言,數(shù)據(jù)驅(qū)動型企業(yè)赴港上市時對網(wǎng)絡安全和數(shù)據(jù)保護方面需要重點披露自不待言,而對于數(shù)據(jù)屬性較弱的企業(yè),聯(lián)交所也保持了一定程度的關(guān)注,不排除對相關(guān)擬上市公司提出數(shù)據(jù)合規(guī)有關(guān)問詢的可能。
數(shù)據(jù)處理者除了依據(jù)已發(fā)布的法律規(guī)范或其征求意見稿,自行或聘請專業(yè)第三方機構(gòu)通過網(wǎng)絡和數(shù)據(jù)安全自評估等方式提前進行風險判斷,評估數(shù)據(jù)處理活動可能引發(fā)的國家安全風險外,還可以與相關(guān)主管部門充分溝通,以確保相關(guān)企業(yè)在上市合規(guī)過程中一并落實與履行網(wǎng)絡及數(shù)據(jù)安全保護義務,保障數(shù)據(jù)的安全有序流動,從而盡可能事前管控數(shù)據(jù)處理活動或上市活動可能引發(fā)的國家安全風險。
*本文對任何提及“香港”或“香港特別行政區(qū)”的表述應解釋為“中華人民共和國香港特別行政區(qū)”。
? 2019-2021 All rights reserved. 北京轉(zhuǎn)創(chuàng)國際管理咨詢有限公司 京ICP備19055770號-1
Beijing TransVenture International Management Consulting Co., Ltd.
地址:梅州市豐順縣留隍鎮(zhèn)新興路881號
北京市大興區(qū)新源大街25號院恒大未來城7號樓1102室
北京市海淀區(qū)西禪寺(華北項目部)
深圳市南山區(qū)高新科技園南區(qū)R2-B棟4樓12室
深圳市福田區(qū)華能大廈
佛山順德區(qū)北滘工業(yè)大道云創(chuàng)空間
汕頭市龍湖區(qū)泰星路9號壹品灣三區(qū)
長沙市芙蓉區(qū)韶山北路139號文化大廈
歡迎來到本網(wǎng)站,請問有什么可以幫您?
稍后再說 現(xiàn)在咨詢