网络安全审查与赴港上市新思路
北京时间2021年6月30日晚, 滴滴正式在美国纽交所挂牌上市。就在滴滴上市的两天后, 网络安全审查办公室发布了《网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告》(“《审查公告》”), 宣布将依照《中华人民共和国国家安全法》《中华人民共和国网络安全法》(“《网络安全法》”)与2020年6月1日正式生效的《网络安全审查办法》(“《审查办法》”)对滴滴进行网络安全审查, 并同时说明在审查期间将停止了“滴滴出行App”新用户的注册。2021年7月4日和7月9日, 国家互联网信息办公室(“网信办”)又连续发布了两篇通报, 分别宣布“滴滴出行”App与“滴滴企业版”等25款App(合称“滴滴系Apps”)存在严重违法违规收集使用个人信息的问题, 依据《网络安全法》相关规定通知各大应用商店予以下架。随后, 网信办又在7月10日发布了《网络安全审查办法(修订草案征求意见稿)》(“《修改稿》”), 进一步明确未来网络安全审查的方向。《修订稿》则更加直白地将赴美上市与网络安全审查问题相关联, 引发各界的遐想。
本所日前已经针对《修订稿》对企业境外上市的影响进行过简要讨论。本文从《征求意见稿》出发, 分析滴滴等企业赴美上市在数据方面可能存在的隐患, 并结合中美对跨境数据监管的政策趋势, 针对科技企业赴港上市在网络/数据安全方面的考虑提出建议与分析。
一
《修订稿》实质性继承了证券监管机构的“监管要求”
《修订稿》第6条提出的“掌握超过100万用户个人信息赴国外上市的, 必须向网络安全审查办公室申报网络安全审查。”结合网信办对滴滴系Apps的审查与监管行动, 有观点认为发布《修订稿》似乎是网信监管部门为了“正名”对滴滴系Apps的审查行动而进行的“回溯式”立法
但是实际上, 在现有的法律体系之下, 无论是证券监管部门还是网信监管部门, 都有审核可能引发“数据安全”问题的境外上市活动(尤其是美国资本市场)的法律依据:
第一, 网信办在2020年发布的《审查办法》的第15条规定, “国家安全审查机制成员单位认为网络产品或服务可能影响国家安全的”, 可以启动网络安全审查。这构成了网信部门开展网络安全审查的依据; 而《审查办法》概括性的适用范围, 也没有排除国外上市这一可能导致信息对外国政府机关公开的情况。但是, 鉴于《审查办法》下的“机制成员单位”并不包括中国的证券行业主管部门, 因此其无法主动启动网络安全审查。相应地, 作为《修订稿》的重要修订之一, 就是将中国证券监督管理委员会(“证监会”)纳入到“国家安全审查机制成员单位”中, 以保证其未来在执法权限上的合法性。
第二, 证监会出于所监管领域的高度敏感性考虑, 长期以来对于“证券业务”相关的数据的对外提供持保守态度。早在证监会于2009年颁布的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》中, 就要求在境外上市过程中, 国家秘密不得对外提供, 而未经主管部门允许, 证券业务的工作底稿不得向境外提供。2019年修订的《证券法》的第177条则更进一步明确了该等要求, “任何单位和个人不能未经证监会等部门同意, 擅自向境外提供与证券业务活动有关的文件资料。”与之类似的, 2020年6月10日颁布的《数据安全法》第36条则特别规定, “非经中华人民共和国主管机关批准, 境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据”, 再一次明确电子形式的证券业务资料如果需要向境外政府部门提供的, 亦需要通过中国监管部门的批准。
通过理解和分析网信办和证监会的监管历史, 我们不难发现: 本次《修订稿》中一再强调的在中国企业境外上市过程中的“数据安全”问题, 其实并非是全新的法律要求, 而是证监会一以贯之的法律基线在“全球互联数字时代”的重新体现。这一点, 亦可以从2021年7月6日证监会在《关于依法从严打击证券违法活动的意见》中强调的, “进一步加强跨境监管执法司法协作”, “完善数据安全、跨境数据流动、涉密信息管理等相关法律法规”等内容中体现。而另一方面, 作为网络和数据安全监管执法领域的“主要负责机构”, 网信办有权利亦有义务协调包括证监会在内的政府部门开展网络安全工作, 因此由网信办主导的《修订稿》一再强调证券业务活动中的“数据安全”问题, 也是“情理之中, 法理之内”的。
滴滴作为一家注册用户过亿、收集并处理大量有关身份、定位、个人出行等个人信息的数据驱动型公司, 对其数据处理活动的安全性要求极高, 其掌握的信息一旦被泄露或滥用可能影响国家安全。因此, 网信办选择滴滴正式开启实施“中国网络安全审查制度”的序幕, 无论审查结果如何, 兼具实际价值和示范效应。
二
美国政府加强对“中概股”的数据真实性核查
与中国政府加强对外提供数据监管对应的是, 在大洋彼岸的另一侧, 美国政府则日渐加强对“中概股”数据真实性的核查。跨入21世纪以来, 由于宽松的上市条件, 良好的资本流动性以及灵活的退出机制, 以纳斯达克为首的美国资本市场一直是中国创新企业和科技企业的“偏爱之地”。但是, 随着“中概股”企业在美股上市企业数量的“水涨船高”, 美国证券交易委员会(“SEC”)亦不断加强了“中概股”企业的信息披露义务: 例如, SEC公司财务部在2020年11月23日发布了《中国发行人的信息披露考虑因素》(“Disclosure Considerations for China Based Issuers”), 旨在提醒投资者中国企业在美上市存在的信息披露问题。
实际上, SEC对“中概股”企业提出更高标准的信息披露要求“历史悠久”。早在2011年, 因“东南融通”被指控存在财务欺诈行为, SEC要求负责其财务审计工作的德勤会计师事务所提供审计工作底稿和其他文件。但是德勤因“中国法律的限制”拒绝提供相应的材料, SEC因此向美国法院提起对德勤的传票执行诉讼。后来, SEC与中国证监会开展谈判, 通过政府间的协商机制, 中国证监会同意德勤提供与“东南融通”有关的审计工作底稿。
近些来年, 针对一些赴美上市企业可能存在的“财务造假”问题(例如2020年被浑水爆出22亿伪造交易的“瑞幸咖啡”), SEC不断通过修订立法, 加强对于“中概股”企业的数据获取权限。例如, SEC在2020年12月18日颁布的针对2002年萨班斯-奥克斯利法案(Sarbanes-Oxley Act)和2010年的《多德-弗兰克法案》(Dodd-Frank Act)的修订法案《外国公司问责法案》(Holding Foreign Companies Accountable Act)中, 授予上市公司会计监察委员会(“PCAOB”)从位于外国的会计事务所处获得完整的发行人的审计文件(例如审计底稿)的权限, 同对违反要求的外国会计师事务所实施制裁。进一步地, 对于因涉及外国管辖权而排除PCAOB调查审计报告的情形, “SEC认定的外国发行人”(“covered issuer”)应当向SEC提交证明材料, 证明不存在处于外国管辖权下的任一政府实体对该发行人拥有所有权或控制权。对于涉及排除PCAOB检查审计报告的情形, SEC认为“未能实施检查的年度”持续超过三年时, SEC则有权要求禁止发行人的股票在美国市场交易, 或采取SEC权限范围内其他可行使的禁止股票交易手段。尤其值得注意的是, 《外国公司问责法案》特别要求在“未能实施检查的年度”, “SEC认定的外国发行人”额外披露“发行人或与发行人有关的经营实体的董事会成员的每位中国共产党官员的姓名”与“发行人的公司章程(或同等的组织文件)是否包含任何中国共产党的章程”, 这无疑是针对中国企业的专项监管措施。可见, 在美上市的中国企业亦将在未来面临美国证券监管机构在证券业务信息与资料提供方面更为严厉的要求。
三
征求意见稿第六条的解读与赴港上市的机遇
值得注意的是, 2021年7月5日, 网信办宣布同时对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。考虑到目前实施网络安全审查的4家企业中, 有3家属于“出行类”企业, 这可能反应了网信办尤其关注“出行类”互联网企业的网络安全问题。这样的监管信号无疑对出行类企业的上市选择产生了重要影响: 例如, 据媒体报道, 货运平台“货拉拉”在美提交IPO申请文件之后, 目前正在考虑将上市地点从纽约变为香港, 以避免较长时间的IPO推迟。
虽然“货拉拉”并未正面回答这个问题, 但是《修订稿》第6条中“掌握超过100万用户个人信息赴国外上市的, 必须向网络安全审查办公室申报网络安全审查”中使用的是“国外”而非通常法律文件中使用的“境外”, 则似乎可以侧面反映中国证监会对于中国企业赴港上市, 在“网络与数据安全问题”上, 可能相对持较为宽松的态度。实际上, 根据《中华人民共和国出境入境管理法》第89条的规定, 由中国内地前往香港特别行政区, 视为“出境”, 可以明确的是“境外”一定包括了我国港澳台等地区。而“国外”一词, 虽未在法律文件中有明确定义, 但一般理解, 国内外涉及到了国境的划分, 属于主权概念, 而香港当然地属于我国主权领土范围内。据此, 我们认为《修订稿》中要求的“国外上市”申报审查要求, 可能并不适用于赴港上市。
近日, 香港财政司司长陈茂波先生在接受媒体采访时指出: “香港作为国家的一部分, 不存在数据安全的问题……若[内地企业]选择赴港上市, 不会受到突如其来的监管, 当中涉及中美以至香港关系紧张之下的地缘政治风险。”从而印证了我们的判断, 即内地科技企业赴港上市, 从数据安全角度而言, 是一项值得考虑的选择。
此外, 中国内地科技企业在港股的市值表现极为亮眼, 这反映了香港市场对科技和新兴经济的偏好。因此, 近期对于因《修订稿》的颁布或者中国证监会的要求而有意调整上市计划的中国新经济企业而言, 赴港上市可能亦是一条合适的路径。
作者:
杨迅 +86 152 2182 2373 +86 21 3135 8799 xun.yang@llinkslaw.com | |
方纬谷 合伙人 +852 9368 1937 +852 2592 1910 dennis.fong@llinkslaw.com.hk | |
杨坚琪 律师 |
王鼎 律师 |
王璐 |
往期分享
见微知萌—从滴滴出行案谈网络安全审查制度
个人信息保护的行政执法实践
网安法、个保法、数安法下的法律责任
“知情同意”还能解决一切问题吗?
港交所有关主板盈利规定的《咨询总结》
在香港清盘于海外成立的第21章上市投资公司
长按下图识别二维码关注我们
© 通力律师事务所
本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。
点击“阅读原文”,直达通力官网了解更多资讯!