《网络安全审查办法》尘埃落定，境外上市影响几何（下）

作者：

陈际红 吴小旭

刘连炻 于楚佳

2022年1月4日，在历经近六个月的公开征求意见和内部流程之后，国家网信办等十三部门联合发布修订后的《网络安全审查办法》（“《新审查办法》”），并将于2022年2月15日起施行。与2020年生效的旧版《网络安全审查办法》（“《旧审查办法》”）相比，《新审查办法》看似文字变化不大，但网络安全审查制度体系的修订影响深远，尤其是对跨境资本市场活动的影响。本文之目的在于，通过解析《新审查办法》的修订内容，理解监管部门对中概股企业境外资本市场活动的监管要点，并结合近期中概股在境外上市的案例分析，给出未来境外上市的网络安全合规要点。

本文分为上下两篇：《<网络安全审查办法>尘埃落定，境外上市影响几何（上）》为《网络安全审查办法》关注修订要点与境外上市影响分析，下篇着眼境外上市案例分析及合规指引。

四、境外上市案例分析

1、联交所上市案例分析

根据公开数据，我们梳理了2021年7月2日至2022年1月8日期间，联交所新上市的30家公司招股说明书[1]中对中国法律环境的披露，其中提及《网络安全法》的公司共12家；提及《数据安全法》的公司共14家；提及《个人信息保护法》的公司共8家；提及《网络安全审查办法》的公司共12家；提及《关键信息基础设施安全保护条例》的公司共6家；提及《数据出境安全评估办法（征求意见稿）》以及《网络数据安全管理条例（征求意见稿）》的公司各2家。整体统计情况如下：

图 1 2021.07.02-2022.01.08期间 联交所新上市公司网络安全合规披露要点统计

赴港上市公司就数据保护和网络安全合规风险的披露，通常会对《网络安全法》《数据安全法》《个人信息保护法》的主要规定进行介绍，同时会对前述三大法律的适用对于公司业务的影响进行说明。此外，从各家公司招股说明书的内容来看，以下披露要点值得关注：

（1）赴港上市是否会触发网络安全审查

在我们的统计时间跨度内，新上市公司主要基于《网络安全审查办法（修订草案征求意见稿）》（“《审查办法征求意见稿》”）的相关规定对公司赴港上市是否需要主动向网络安全审查办公室申报网络安全审查的风险进行分析。从联交所上市公司招股说明书对《审查办法征求意见稿》的分析来看，公司是否构成CIIO以及赴港上市是否属于“赴国外上市”成为风险分析的核心重点。

在公司是否构成CIIO的论述上，主要有两种论述路径：一是说明关键信息基础设施的确切范围、监管制度仍欠清晰的监管现状；二是结合《关键信息基础设施安全保护条例》（“《关基条例》”）的规定以及执法实践，披露关键信息基础设施运营者的认定机制，即：保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者，并通报国务院公安部门（《关基条例》第十条），并说明公司尚未收到主管部门通知的现状。关于公司赴港上市是否属于“赴国外上市”，目前相关上市公司主要采用以下两种分析方式，一种是说明根据《审查办法征求意见稿》的规定，“赴国外上市”的规定并不明确，执法具有不确定性；另一种方式是对“国外”与“境外”两个概念进行区分，说明赴香港上市属于“境外上市”而非“国外上市”。

关于“境外上市”与“国外上市”的认定问题，我们也发现，在《网络数据安全管理条例（征求意见稿）》（“《数安条例》”）于2021年11月14日发布后，部分公司（如商汤）对于企业上市是否触发网络安全审查的风险分析采用了不同的路径，一方面是说明公司赴港上市不属于《审查办法征求意见稿》项下的“国外”上市；另一方面，也说明了根据《数安条例》，公司赴港上市影响或者可能影响国家安全的需要申报网络安全审查，但由于《数安条例》对于“影响国家安全”没有进一步解释、说明，且《数安条例》尚未生效，执法存在不确定性，公司目前尚未收到监管机关有关国家安全的任何调查、通知、警告或制裁，以论述公司在港上市暂无法预测是否受到网络安全审查的影响。我们理解，这一问题的根源在于，《数安条例》第十三条对于“赴国外上市”和“赴香港上市”分置规定，与《审查办法征求意见稿》以及目前已经生效的《新审查办法》规定上有一定的差异。这一差异也为之后赴港上市企业回应联交所关于网络安全审查相关风险的问询带来挑战。

（2）数据跨境相关的合规风险

从目前联交所上市公司披露的信息来看，数据跨境相关风险因素主要披露内容为公司业务开展过程中数据跨境传输面临的监管风险，与赴美上市企业数据跨境相关的监管侧重点有所区别。

数据跨境传输属于合规管理的高风险场景，同时也是企业上市过程中监管机构关注的核心问题。尤其是在《数据出境安全评估办法（征求意见稿）》（“《出境评估办法》”）出台之后，企业数据跨境传输受到更加严格的合规管控。由于目前《出境评估办法》规定的申报门槛较低，涉及数据跨境业务的企业是否需要申报网信办数据出境安全评估，将成为此类企业赴港上市过程中面对监管机构无法回避的问题。

对于《出境评估办法》的合规风险，上市企业目前采取的主要披露方式是说明《出境评估办法》尚未生效，法律的适用存在不确定性，企业会持续关注立法和监管发展，为必要时的安全评估做好准备。这也提示拟赴港上市的企业，应当未雨绸缪，结合《出境评估办法》的规定，评估企业数据出境的合规风险，采取相应的合规措施，为必要时的数据出境评估做好准备。

（3）特殊行业领域数据新规相关监管风险

1）《汽车数据安全管理若干规定（试行）》

理想汽车（02015）招股说明书对《汽车数据安全管理若干规定（征求意见稿）》（注：《汽车数据安全管理若干规定（试行）》（“《若干规定》”）发布日期为2021年8月16日，生效日期为2021年10月1日，公司上市时，《若干规定》尚未生效）的主要规定进行了概括性介绍[2]，但并未对《汽车数据安全管理若干规定（征求意见稿）》对于公司业务的具体影响以及公司的合规应对予以说明。考虑到《若干规定》现已生效实施，拟赴港上市的汽车行业公司（包括汽车设计、制造、服务等行业领域的公司）应重点关注《若干规定》相关的法律要求，做好合规风险识别和管控。

2）互联网信息服务算法推荐监管合规

网易云音乐（09899）在招股说明书中对《互联网信息服务算法推荐管理规定（征求意见稿）》（“《算法推荐管理规定》”）以及《关于加强互联网信息服务算法综合治理的指导意见》（“《指导意见》”）相关合规风险进行了披露[3]，主要是对《算法推荐管理规定》及《指导意见》的重点内容进行了介绍，包括要求算法服务提供者应该公示算法推荐服务情况，向用户提供不针对其个人特征的选项、或向用户提供便捷的关闭算法推荐服务的选项，通过互联网信息服务算法备案系统进行算法备案，建立算法安全责任制度和科技伦理审查制度，健全算法安全管理组织机构，加强风险防控和隐患排查治理，提升应对算法安全突发事件的能力和水平等。同时，公司也就上述监管要求的应对做出了说明。由于公司上市时《算法推荐管理规定》尚未生效，因此就算法备案监管要求的应对，公司主要的披露策略是说明《算法推荐管理规定》尚未生效，监管机构也尚未建立算法备案系统，公司将在监管机构要求时进行算法备案。而在其他合规方面，公司在招股说明书中披露已向用户提供就内容和广告关闭算法推荐功能的选项，并为《算法推荐管理规定》生效后披露算法推荐服务运行机制做好准备，同时公司已建立安全制度及内容审核团队，并采取了与算法安全相关的有效风险控制措施等。

需要注意的是，《互联网信息服务算法推荐管理规定》已于2021年12月31日正式发布，将于2022年3月1日正式生效，这也要求应用算法推荐服务的企业做好算法推荐服务的合规管理，以有效应对联交所关于算法推荐服务相关合规风险的可能问询。

3）互联网平台新就业形态监管合规

顺丰同城（09699）的招股说明书对互联网新就业形态相关监管规定进行了说明，主要是对人力资源和社会保障部等部门发布的《关于维护新就业形态劳动者劳动保障权益的指导意见》及国家市场监督管理总局、国家互联网办公室等部门发布的《关于落实网络餐饮平台责任切实维护外卖送餐员权益的指导意见》的主要规定进行了介绍[4]。

在此之前，《外卖骑手，困在系统里》[5]一文，引发社会各界对于外卖平台通过算法严格限制外卖骑手送餐时间问题的关注。近日，便利蜂通过算法“指挥”员工的问题也引发社会热议。互联网平台新就业形态下，如何保障劳动者权益引人深思。而从域外立法实践来看，欧盟委员会近期也推出监管新规草案，要求“零工经济”平台必须将其工人归类为员工，享受各种劳动保障。

由于互联网平台新就业形态涉及广大就业人员的切身利益，与企业社会责任相连，因此属于监管机构关注的重点问题。

4）人工智能和自动驾驶监管合规

商汤集团（00020）的招股说明书中，对人工智能技术及自动驾驶相关监管规定进行了披露。[6]其中关于人工智能相关监管规定的介绍，主要围绕我国关于人工智能技术出台的一系列规范性文件展开，包括《国家新一代人工智能开放创新平台建设工作指引》、《国务院关于印发<中国制造2025>的通知》、《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》、《“互联网+”人工智能三年行动实施方案》和《关于印发新一代人工智能发展规划的通知》等。整体而言，国家对人工智能技术的发展持鼓励、开放的态度。就自动驾驶相关监管要求，重点介绍了《智能网联汽车道路测试管理规范（试行）》、《智能汽车创新发展战略》、《汽车驾驶自动化分级》等规定的内容，而上述规定也勾勒出人工智能类企业及自动驾驶类企业需要关注的合规重点。

2、美股上市案例分析

（1）SEC审核关注重点

SEC的问询事项一般集中于财务报表、管理层分析与业务章节，不会特别问询网络安全与数据保护相关内容。但上市公司需在其首发上市登记文件中“Risk Factor”这一章节就致使公司证券投资具有投机性或风险的最重要因素进行充分披露。若网络安全和网络安全事件属于此类因素，公司应予以披露，披露内容包括“现有或待定法律法规中，可能对公司在网络安全方面的要求及公司的相关成本产生影响的；以及与网络安全事件有关的诉讼、监管调查和补救费用”[7]。

2020年11月23日，SEC公司财务部（Division of Corporation Finance，以下简称“DCF”）发布《中国发行人信息披露考虑因素》（“Disclosure Considerations for China-Based Issuers”）,其中就从中国境内调取信息进行了特别说明：中国会以国家安全与国家秘密等阻断法律法规为由限制美国监管机构对中国发行人进行调查，即中国任何实体或个人未经中国政府批准不得向海外监管机构提供与证券业务活动有关的文件和信息。基于此，DCF要求中国发行人充分披露中国法律对美国当局（含证监会、司法部、PCAOB等机构）进行调查和提起诉讼能力所施加的限制[8]。同时，自“滴滴事件”后，SEC主席Gary Gensler于2021年7月30日发布声明[9]，要求中国企业就是否获得了中国监管机构允许赴美上市及该允许被拒绝及撤销的风险事项进行披露，并加强了对该等事项披露的审查[10]。

基于上述，我们对2021年7月2日至2022年1月8日23家中国企业在美首发上市登记文件“Risk Factor”章节中有关网络安全与数据合规风险因素的披露[11]进行了相关检索，以便厘清SEC的审核重点。

图 2 2021.07.02-2022.01.08期间 美股新上市公司网络安全合规披露要点统计

表1 中国企业在美上市的披露内容

从检索结果来看，中国企业披露内容大多为对适用性法律法规要求的概括式描述，如《网络安全法》要求企业数据收集满足合法、必要原则，《数据安全法》设置了数据分类分级保护制度等，并未结合其业务进行可能影响的详细说明。

对于DCF及SEC主席声明中的加强披露要求，中国企业都作出了充分披露。如针对SEC主席声明中的要求，23家中国企业都予以披露了《审查办法征求意见稿》对其赴美上市可能产生的影响。披露内容涵盖《网络安全审查办法》的相关修订；《旧审查办法》的义务要求及《审查办法征求意见稿》的义务要求；其是否构成CIIO，是否与CIIO进行交易；是否涉及采集超过100万人的个人信息，以及是否需要从网信办获得澄清函（Clearance）、上市批准文件，及若未获批准即上市的相应法律后果（包括退市、罚款、App下架、审查期间停止新用户注册等）。

对于DCF有关美国当局调查和提起诉讼能力所施加限制的披露要求，多数中国企业陈述了《数据安全法》及《出境评估办法》对美国监管机构跨境调取数据产生的影响。以玖富（9F Inc.）为例,其在2021年11月5日递交的上市登记文件（F-1）中披露：《数据安全法》和《个人信息保护法》要求非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。因而如果美国监管机构对玖富进行任何调查，并且需要在中国境内进行调查或收集证据，美国监管机构可能无法根据中国法律直接在中国进行此类调查或收集证据。此外，玖富和某些其他实体和个人，包括玖富的法律顾问、审计师和其他代理人，在获得相关中国当局的适当批准之前，可能会被限制向美国监管机构提供文件、材料、数据和/或个人信息。如果玖富或其他实体或个人被发现违反上述限制，玖富可能会受到处罚。美国监管机构可通过司法协助、外交渠道或中国证券监管机构参与的监管合作机制，与中国证券监管机构开展跨境合作。

由上述内容可知，中国企业在应对SEC上市审核时，在网络安全与数据保护风险披露上，主要义务集中于（1）充分披露中国法律对美国当局（含证监会、司法部等执法、司法机构）进行调查和提起诉讼能力所施加的限制；及（2）就是否获得了中国监管机构允许赴美上市及该允许被拒绝及撤销的风险事项进行披露。

（2）数据跨境传输

虽然此前SEC就在《中国发行人信息披露考虑因素》中要求中国企业考虑披露SEC和PCAOB（“Public Company Accounting Oversight Board”）等监管机构在从公司审计师和公司获取审计工作文件方面可能遇到的困难，以及这一困难对公司及其股东的影响，但这一披露要求在2021年12月前还未对中国企业产生实质不利影响。2021年12月3日，SEC宣布通过法规修正案，完善HFCAA相关的信息披露实施细则，要求外国上市公司的审计机构必须接收美国公众公司会计监督委员会（“PCAOB”）的审查，一旦PCAOB作出决议，即某外国上市公司所在辖区的监管机构连续三年阻止PCAOB对该上市公司的审计进行全面检查的，SEC将禁止该公司的股票交易。

根据HFCAA，符合以下两项条件的外国公司将被鉴别为“认定发行人”：

1）聘用了PCAOB无法对其实施检查的会计师事务所；

2）PCAOB认定上述“无法检查”系外国当地政府所致。

被鉴别为认定发行人的，必须在下一份年报中按照HFCAA的要求进行相关披露。虽然PCAOB组织本身是民营非盈利机构，但鉴于上述条款赋予了PCAOB“自由”审核中国企业审计底稿的权力，其性质属于国家行政权，对已经注册登记的会计师事务所具有普遍约束力。而《数据安全法》第三十六条则明确要求，非经中华人民共和国主管机关批准，境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。因而，HFCAA的要求可能会与《数据安全法》第三十六条的要求构成实质冲突。

虽然目前《数据安全法》第三十六条批准机制的实施细则还未明确落地，但值得注意的是，即使PCAOB并未对中国企业实施调取审计底稿的权力，审计底稿是由公司或审计机构自愿传输至美国的，中国企业可能仍需按照《数据安全法》第三十一条的规定，根据《出境评估办法》的要求对其上述数据跨境传输行为进行数据出境安全评估。

根据《出境评估办法》第五条，数据处理者在向境外提供数据前，如涉及重要数据或个人信息[12]，应事先开展数据出境风险自评估。因而，若中国企业或其审计机构欲向境外提交审计底稿的，需先履行自评估义务。同时，由于审计底稿较财报而言所包含的信息量、信息敏感程度都大幅上升，可能会包含公司所属行业相关信息、具体资产情况、客户名单、客户背景、服务器位置等信息，有可能构成重要数据，并进一步触发中国企业向国家网信部门申报数据出境安全评估的义务。

    五、合规指引

1、网络安全审查

从上文可知，在境外上市过程中，《网络安全审查办法》的适用性及是否需要启动网络安全审查已成为境外证券交易监管机构的关注重点。

因而，企业在上市前应根据自身业务的情况，采取如下措施：

• 全量梳理企业的网络系统，初步排查网络系统构成CII的可能性；

• 盘点数据资产，制作数据清单，识别所处理的数据量，制作可能构成核心数据及重要数据的清单；

• 全流程梳理数据处理活动，识别跨境数据传输及其他敏感的数据处理场景；

• 梳理上市过程所引发的跨境数据传输行为。

企业应根据以上的信息分析《网络安全审查办法》的适用性，及是否需要申报网络安全审查。实践中，证券交易机构还可能会要求企业出具中国监管机关的书面澄清函件以明确是否需要启动网络安全审查。因此，企业应在上市准备阶段引入数据合规团队，一方面可以尽早进行企业内部的数据安全风险评估，以确定是否存在触发网络安全审查的情况；另一方面，可以结合上市进程，与监管机关沟通相关程序的启动等事宜。

2、数据出境安全评估

对于香港上市，如果企业业务存在数据跨境行为，则数据出境的合规性将是披露的要点，如联交所对于公司业务开展过程中数据跨境传输相关合规管控风险的披露要求。而对于国外上市，上市地监管机构则更多关注中国法律是否存在限制中国企业提供相关信息的风险，即限制中国企业相关数据出境的风险。

此外，如前文所述，在上市过程中，企业还需要向境外机构，包括上市过程涉及的境外审计、律所、保荐人等中介机构披露企业的相关信息，该行为本身也构成数据出境。因此，在上市准备阶段，企业需要对其可能的数据出境行为进行梳理和分析。

根据《出境评估办法》，在向境外提供数据前，企业应当按照下述图3的流程开展出境风险评估。虽然《出境评估办法）》暂未生效，但是考虑数据出境的风险及企业合规的要求，建议企业参照《出境评估办法》进行自评估，以控制数据出境的潜在风险。此外，虽然监管部门目前暂未发布与境外接收方订立的标准合同文本，企业也应按照行业良好实践，在相关合同中明确约定与外接收方的数据安全保护责任和义务。

图3 数据出境安全评估流程

3、企业数据合规风险识别与合规体系构建

随着《个人信息保护法》的生效，我国网络空间监管的立法框架已基本搭建完成，《网络安全法》《数据安全法》与《个人信息保护法》三部基础性法律共同构成了我国网络空间监管的“三驾马车”。企业网络安全、数据合规和个人信息保护的法律要求已经确立，同时，随着国内监管执法趋势逐步加严，其必然对企业业务的合规开展产生影响，进而导致证券交易机构对上市企业在数据合规领域的合规要求、披露要求也将逐步增加。

在此环境下，拟上市企业应尽早聘用专业的数据合规团队参与上市全流程，协助企业尽早识别数据合规风险，落实数据治理工作，构建企业全流程的数据合规管理体系，确保企业在上市过程中从容应对监管机构的审核问询，降低企业上市的数据合规风险。

[注] 

[1] 数据来源：HKEX news 披露易系统的公开数据，具体链接请见：https://www.hkexnews.hk/index_c.htm

[2] 理想汽车招股说明书，p.74。

[3] 云音乐股份有限公司招股说明书，p.221-222。

[4] 杭州顺丰同城实业股份有限公司招股说明书，p.150-151。

[5] https://baijiahao.baidu.com/s?id=1677231323622016633&wfr=spider&for=pc

[6] 商汤集团股份有限公司招股说明书，p.174-176。

[7] Commission Statement and Guidance on Public Company Cybersecurity Disclosures，83 FR 8166

[8] https://www.sec.gov/corpfin/disclosure-considerations-china-based-issuers#:~:text=Disclosure%20Considerations%20for%20China-based%20Issuers%20China-based%20Issuers%20must,and%20related%20disclosure%20obligations%2C%20questions%20to%20consider%20include%3A

[9] Statement on Investor Protection Related to Recent Developments in China, https://www.sec.gov/news/public-statement/gensler-2021-07-30

[10] Statement on Investor Protection Related to Recent Developments in China, https://www.sec.gov/news/public-statement/gensler-2021-07-30

[11] 数据来源：美国SEC官网EDGAR系统的公开数据，具体链接请见：https://www.sec.gov/edgar.shtml

[12] 《个人信息保护法》第五十五条。

The End

 作者简介

陈际红  律师

北京办公室  合伙人

业务领域：知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法

特色行业类别：金融行业, 通讯与技术

吴小旭  律师

北京办公室  知识产权部

刘连炻

北京办公室  知识产权部

于楚佳

北京办公室  知识产权部

作者往期文章推荐

特别声明：

以上所刊登的文章仅代表作者本人观点，不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。

如需转载或引用该等文章的任何内容，请私信沟通授权事宜，并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权，不得转载或使用该等文章中的任何内容，含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨，欢迎与本所联系。

点击“阅读原文”，可查阅该专业文章官网版。