《网络安全审查办法》尘埃落定，境外上市影响几何（上）

Original 陈际红等中伦视界 2022-08-01

作者：

陈际红吴小旭

刘连炻于楚佳

2022年1月4日，在历经近六个月的公开征求意见和内部流程之后，国家网信办等十三部门联合发布修订后的《网络安全审查办法》（“《新审查办法》”），并将于2022年2月15日起施行。与2020年生效的旧版《网络安全审查办法》（“《旧审查办法》”）相比，《新审查办法》看似文字变化不大，但网络安全审查制度体系的修订影响深远，尤其是对跨境资本市场活动的影响。本文之目的在于，通过解析《新审查办法》的修订内容，理解监管部门对中概股企业境外资本市场活动的监管要点，并结合近期中概股在境外上市的案例分析，给出未来境外上市的网络安全合规要点。

本文分为上下两篇：上篇为《网络安全审查办法》关注修订要点与境外上市影响分析，下篇着眼境外上市案例分析及合规指引。

一、两大动因促使快速修订

网络安全审查制度是国家安全制度的一部分，本制度设立的法律基础来源于《国家安全法》第五十九条，之后，《网络安全法》和《数据安全法》对这一制度进行了落地细化，全面理解修订目的对于正确理解网络安全审查制度至关重要。

首先，本次修订主要缘于国家安全内涵的更新。近些年，随着国际竞争和国际关系的急剧变化，国家安全有了更新的内涵，简单讲，没有网络安全就没有国家安全。《旧审查办法》以关键信息基础设施运营者（Critical Information Infrastructure Operator，“CIIO”）为监管抓手，以CIIO采购网络产品和服务为切入点，通过网络安全审查维护关键信息基础设施（Critical Information Infrastructure，“CII”）的供应链安全。但是，《旧审查办法》尚无法涵盖到数据处理活动（尤其是非CIIO）及境外资本市场活动所带来的国家安全风险，而这些风险因素业已成为目前的监管焦点。

尤其是，随着2020年12月18日美国《外国公司问责法案》（Holding Foreign Companies Accountable Act，“HFCAA”）的签署，HFCAA正式成为法律。近期，美国证监会（SEC）通过修正案，最终确定了HFCAA的实施规则，要求在美上市的外国公司向SEC提交文件，证明该公司不受外国政府拥有或掌控，并要求企业遵守美国上市公司会计师监督委员会（PCAOB）的审计标准，还要求外国发行人在其年度报告中为自己及其任何合并的外国经营实体提供某些额外的披露。而这些审计标准和披露要求与境内的监管要求可能存在落差。去年某知名出行平台的美国上市及后续的网络安全审查，更把这些问题置于公众的焦点之下。

其次是配合《数据安全法》的正式施行。《数据安全法》于2021年9月1日实施，建立了数据领域的国家安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。网信部门据此对《网络安全审查办法》进行修订，将网络平台运营者开展数据处理活动影响或者可能影响国家安全等情形纳入网络安全审查范围，并明确要求掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查，是配合《数据安全法》实施的及时举措。

二、七大修订重点面面观

新旧审查办法相比，主要有以下的变化：

第一是立法依据增加了《数据安全法》和《关键信息基础设施安全保护条例》（第一条），两部法律法规分别在今年正式实施，作为《新审查办法》的上位法是理之当然。

第二是增加“网络平台运营者”为审查申报对象（第二条），与CIIO统称为当事人。可见，《新审查办法》的主要监管对象是CIIO和网络平台运营者。至于网络平台运营者，办法并没有进一步的定义。关于网络平台运营者的范围，可以参考以下的法规和指南：

《网络数据安全管理条例（征求意见稿）》第七十三条规定，互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。

国家市场监督管理总局的《互联网平台落实主体责任指南（征求意见稿）》则将平台经营者定义为，平台经营者，是指向自然人、法人及其他市场主体提供经营场所、交易撮合、信息发布等互联网平台服务的法人及非法人组织。

以上的定义可以看出，平台运营者一般是为双边或者多边主体提供互联网交互服务的运营者。但是，我们认为，《新审查办法》意境下的网络平台运营者不能做狭义的理解，只要在互联网服务中涉及数据处理活动，就应当理解为《新审查办法》的监管对象，即使没有涉及为双边或者多边主体提供交互服务的业态。此理解的逻辑在于，此次修订主要聚焦于数据处理活动所引发的数据安全风险，而与具体的互联网业态分类无关。

另外，征求意见稿所使用的称谓为“数据处理者”，而在终稿中使用了“网络平台运营者”。我们理解，此一改变的逻辑在于，本办法作为部门规章受限于网信办的监管职责，也受制于大的制度体系“网络安全审查”，审查办法的适用应是网络数据。但是，在目前的社会环境中，非网络数据的存在属于极少数。

第三是增加证监会为国家网络安全审查工作机制成员单位（第四条）。国外上市监管是《新审查办法》的修订核心，网络安全审查办公室在依照第十一条完成初步审查后，也会征求证监会的意见。而且，证监会作为网络安全审查工作机制成员单位，可以依照第十六条依程序提请进行网络安全审查，即依职权启动网络安全审查的机制。

第四是增加国外上市条款（第七条），明确掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

第五是丰富了审查中重点评估的国家安全风险因素（第十条）。新增第（五）、（六）项，关于数据处理行为及国外上市可能带来的国家安全风险的考量因素，包括核心数据、重要数据或者大量个人信息被窃取、泄露、毁损、非法利用或出境的风险，以及国外上市关键信息基础设施、核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险。

第六是新增预防和消减风险的措施（第十六条）。网络安全审查申报后可能有以下三种结果：一是无需审查，意味着申报事项无关国家安全；二是启动审查后，经研判不影响国家安全的，则原来的申报事项可继续；三是启动审查后，经研判影响国家安全的，则原来的申报事项不可进行。CIIO采购网络产品和服务亦或企业赴外国上市均如此。从申报到审查结论出台有个空窗期，期间如有潜在或现实的风险存在，当事人有义务从事积极的行动，比如增强技术措施、加强管理、暂停数据处理等，以预防风险的发生或消减风险。

第七是增加制度衔接条款（第二十二条），国家对数据安全审查、外商投资安全审查另有规定的，应当同时符合其规定。此条款引发一个疑问，《新审查办法》是否完全涵盖了《数据安全法》所确立的数据安全审查制度？之后还会有类似于《网络安全审查办法》的《数据安全审查办法》制定吗？当然，《新审查办法》没有完全涵盖了《数据安全法》所确立的数据安全审查制度，至少不包括非网络数据的审查。但是，《新审查办法》基本上监管到了目前与数据处理活动有关的安全风险场景，近期应不会再出台一个《数据安全审查办法》。

三、十一大焦点问题论境外上市

1、非网络平台企业国外上市是否无需申报审查？

如上文所述，在网络安全审查的语境下，主要关注的对象是企业赴外国上市所引发的数据安全风险，不能拘泥于“网络平台运营者”的字面理解，只要上市企业涉及网络数据的处理活动，我们倾向于理解就落入《新审查办法》监管范围。

2、赴外国上市是否包括香港上市？

《新审查办法》沿用了《网络安全审查办法（修订草案征求意见稿）》的表述，即“赴国外上市”，但对于“国外上市”仍未给与明确定义。结合有关“国外”含义的通常理解以及《出境入境管理法》对于“出境”的定义，赴香港上市不太可能被视为“国外上市”。此外，2021年11月14日网信办发布的《网络数据安全管理条例（征求意见稿）》（“《数安条例》”）也将“赴国外上市”和“赴香港上市”通过第十三条的第二项和第三项分置规定。

据此，可以理解，《新审查办法》的第七条不包括香港上市，进一步，赴香港上市亦不用主动申报网络安全审查。

3、赴香港上市一定免于网络完全审查吗？

并非必然，但与外国上市的监管尺度不一样，理解如下。

依据目前的监管要求，内地到香港的数据传输视为跨境数据传输。香港上市必然涉及到数据的跨境传输问题，如果存在影响或可能影响国家安全的“数据处理活动”，将落入网络安全审查工作机制成员单位根据第十六条依职权提请网络安全审查的范围。根据2021年12月24日中国证监会公布的《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》第八条，“境内企业境外发行上市的，应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定，切实履行国家安全保护义务。涉及安全审查的，应当依法履行相关安全审查程序。”从另一侧面反映了境外上市（包括国外及香港）都可能触发网络安全审查程序。

《数安条例》通过第十三条第三项对香港上市做了专门的规定，即：数据处理者赴香港上市，影响或者可能影响国家安全的，要申报网络安全审查。就此也产生了一个疑问，是《数安条例》在《新审查办法》基础上对香港上市监管加码了吗？我们认为只是一个法律适用的明确。依据《数据安全法》规定，只要数据处理活动影响或可能影响国家安全，都会触发安全审查，赴港上市行为当然也应包括在内。《新审查办法》第七条虽然不包括香港上市，但在第二条却有原则性的要求，即：网络平台运营者开展数据处理活动，影响或可能影响国家安全的，应当按照本办法进行网络安全审查。按照《数安条例》的规定，相较于对国外上市所采取的一刀切的量化标准，赴港上市的网络安全审查采取是风险导向的标准，只有确实存在影响或可能影响国家安全的风险，才会触发网络安全审查。这个监管尺度显然要比国外上市宽松许多。

4、“掌握”怎么理解？与“数据处理”什么关系？

《新审查办法》使用了“掌握”这一概念，不同于《个人信息安全规范》中的“控制”，也非《个人信息保护法》及《数据安全法》中的“处理”。到底如何理解“掌握”的内涵和外延，引发争议。比如，包括云服务运营商在内的受托处理数据的企业，是否可以理解为不构成“掌握”从而被排除在外？

《数安条例》则使用了“处理”和“数据处理者”的概念，规定了数据处理者赴国外/香港的上市的情形。依照《数安条例》的定义，数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。因此，诸如云计算等在内的受托处理数据的企业，因不构成数据处理者而可能被排除在适用范围。

我们认为，《新审查办法》坚持使用“掌握”一词，有其特别的用意，之后《数安条例》的修改也很可能与之保持一致。网络安全审查考察的是数据处理活动对国外安全的影响，而不论在处理过程中各方角色（数据处理者还是受托处理数据方）。正如美国云法案（CLOUD ACT）所采用的适用标准，服务提供者所拥有（possession）、监管（custody）或控制（control）的通信内容、记录或其他信息，这里的“掌握”亦应做类似的理解。

5、上市的范围怎么理解？

关于“上市”一词的理解，我们认为，此次《新审查办法》的修改目的是为加强对数据安全风险的控制，因此，此处不应对“上市”作过于狭义的理解，我们倾向于理解包括境内公司赴国外包括IPO、SPAC、RTO等在内的资本市场行为。该等行为涉及的境外监管机构要求的信息披露以及相关数据出境行为有可能引发国家安全风险。

6、《数安条例》还会有变数吗？

《数安条例》将“赴国外上市”和“赴香港上市”通过第十三条的第二项和第三项分置规定：数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或者可能影响国家安全的；

如上所述，我们不认为《数安条例》是对香港上市监管政策的改变或加码，而只是澄清了不甚清晰的一个法律适用问题。

当然，《数安条例》目前只是征求意见稿阶段，还要经历国务院程序的通过，有所变化实属正常，比如，《数安条例》直接删除“赴香港上市”条款，而与《新审查办法》保持一致。

7、网络安全审查与数据出境安全评估什么关系？

网络安全审查制度是国家安全审查制度的一部分，主要目的是维护国家安全。而数据出境安全评估制度是依照《网络安全法》、《数据安全法》和《个人信息保护法》建立的，规范重要数据和个人信息出境活动，保护个人信息权益，维护国家安全和社会公共利益的制度。二者目标不一致。如果说数据出境安全评估制度是常规武器，网络安全审查制度则是战略武器。

基于此，网络安全审查与数据出境安全评估是两个不同的制度体系，不能相互替代或包含。企业境外上市，即使不需要申报网络安全审查，对于数据出境仍应当进行安全评估。同理，即使申报了网络安全审查，也不能替代数据出境安全评估。

8、哪些类型的企业会面临较大的风险？

《新审查办法》第十条关于网络安全审查重点评估风险因素，新增第（五）和第（六）项关于敏感数据处理风险及国外上市风险。可以预见，对于掌握有核心数据、重要数据或者大量个人信息的互联网平台企业，或者运营关键信息基础设施的CIIO，其赴国外上市被网络安全审查的风险较大。对这些企业而言，考虑境内上市或香港上市可能是稳妥之举。

9、已经上市的企业还会引发网络安全审查吗？

《新审查办法》采用了“赴国外上市”的表述，且根据网信办的答记者问，网络平台运营者应当在向国外证券监管机构提出上市申请之前，申报网络安全审查，据此，已经上市的企业不用依据第七条的规定申报网络安全审查。

但是，已在国外上市企业如进行进一步的如股票增发或发行债券等活动，存在国家安全风险因素的，可能会引发网络安全审查。另一方面，如果网络安全审查工作机制成员单位认为已经上市的企业存在国家安全风险因素的，可以根据第十六条规定依职权提请网络安全审查。

10、上市网络安全审查怎么进行？

网络安全审查程序主要包括四个步骤，包括：审查申报材料、初步审查、成员单位和相关部门意见反馈及特别审查程序。在审查过程中，网络安全审查办公室要求企业提供补充材料的，补充材料时间不计入审查时间。在受理后，一般情况下，网络安全审查程序的完成可能需要长达60个工作日，进入特别审查程序的，将可能长达150个工作日或更长。企业应当根据上市进展统筹安排相关工作。

点击可查看大图

11、主要查审什么风险因素？

有关网络安全审查的核心原则“影响或者可能影响国家安全”的判断，《新审查办法》第十条列举六种安全风险的评估因素，并通过兜底条款赋予了监管机构根据实际情况进行判定的裁量权。

表1 国家安全风险评估因素

点击可查看大图

下篇预告

在下篇中，我们将结合中概股在境外上市的案例分析，为未来境外上市的企业提供网络安全合规建议参考。

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法