《网络安全审查办法》正式施行，企业赴香港IPO上市需要申报审查吗？

数据处理者赴香港上市是否需要申报网络安全审查，关键要看是否会影响或者可能影响国家安全，如果存在影响或者可能影响国家安全的情形，就应当申报网络安全审查，否则，就无需申报网络安全审查。

来源：法治日报-法治网

作者 | 王春晖

2月15日，由国家网信办等13个部门联合修订发布的《网络安全审查办法》（以下简称《办法》）正式施行。《办法》最受外界关注的是第七条，“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”这是一条强制性规定，也是一条不可逾越的红线，任何网络平台运营者都必须严格遵守。

那么，赴香港上市的“网络平台运营者”，是否需要申报网络安全审查呢？《办法》没有作出规定。但是，这是否意味着，网络平台运营者或数据处理者赴香港上市，就不需要申报网络安全审查了呢？并不是。

2021年11月14日，国家网信办公布《网络数据安全管理条例（征求意见稿）》（以下简称《条例》），依据《条例》第十三条规定，数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；（二）处理一百万人以上个人信息的数据处理者赴国外上市的；（三）数据处理者赴香港上市，影响或者可能影响国家安全的；（四）其他影响或者可能影响国家安全的数据处理活动。

《条例》属于国务院条例，其实施后的法律阶位高于《办法》；如果正式实施后的《条例》第十三条（二）和（三）将数据处理者赴国外上市和赴香港上市分开表述，其内涵在于香港是中华人民共和国香港特别行政区，属于中国主权范围，基本不存在《办法》第十条（六）关于“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险”等因素。因此，《办法》对国内网络平台运营者或数据处理者赴香港上市是否需要申报网络安全审查没有作出要求。

2021年12月，中国证监会发布《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（以下简称《规定》），《规定》总体上支持依法合规的境内企业利用境外资本市场融资发展，不额外设置门槛和条件，但明确对四类情形实施严格的监管红线，不得赴境外上市：一是法律法规明确禁止上市融资；二是危害国家安全；三是存在重大权属纠纷；四是存在违法犯罪行为。

在以上的规定中分别出现了“国外”和“境外”的表述，《办法》明确提出是“国外”上市；《条例》将“国外”和“香港”上市分开表述；《规定》则规定了“境内企业境外发行上市”。这里需要明确，《办法》和《条例》中的“国外”与《规定》中“境外”有何区别；“国外”比较好理解，指中国以外的其他国家，但是“国外”与“境外”的法律语境相同吗？

根据2013年7月1日起施行的《中华人民共和国出境入境管理法》（以下简称《出境入境管理法》）第八十九条第一款的规定：“出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”可见，《出境入境管理法》对“出境”（境外）的定义有三层含义，一是指由中国内地前往其他国家或者地区；二是由中国内地前往香港特别行政区、澳门特别行政区，这里的香港和澳门属于中国的特别行政区，特别行政区内实行“一国两制”，相对于“香港和澳门”，中国称之为“中国内地”；三是中国大陆前往台湾地区，台湾地区属于中国领土的区域，但中国尚未对其实施行政管辖，相对于“台湾”地区，中国称之为“中国大陆”。由此，《规定》中的“境外”应当包括国外和我国香港地区。

《规定》第八条规定：“境内企业境外发行上市的，应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定，切实履行国家安全保护义务。涉及安全审查的，应当依法履行相关安全审查程序。”

《规定》第十六条对境内企业境外上市涉及损害国家安全以及向境外提供个人信息和重要数据的，提出了严格的监管要求，即“境内企业境外发行上市的，应当严格遵守国家法律法规和有关规定，建立健全保密制度，采取必要措施落实保密责任，不得泄露国家秘密，不得损害国家安全和公共利益。境内企业境外发行上市涉及向境外提供个人信息和重要数据的，应当符合国家法律法规和有关规定。”

由此可以看出，国内网络平台运营者或数据处理者无论是赴国外上市还是赴香港上市，只要其开展数据处理活动，就应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定。

但是，从《条例》第十三条（二）和（三）的表述上可以看出，数据处理者赴国外上市和赴香港上市，实施网络安全审查的条件有所不同，前者（二）数据处理者赴国外上市，只要处理一百万人以上个人信息，必须申报网络安全审查；后者（三）则要求，数据处理者赴香港上市，影响或者可能影响国家安全的，应当申报网络安全审查。

换言之，数据处理者赴香港上市是否需要申报网络安全审查，关键要看是否会影响或者可能影响国家安全，如果存在影响或者可能影响国家安全的情形，就应当申报网络安全审查，否则，就无需申报网络安全审查。

然而，根据《境外上市管理规定》的要求，涉及安全审查的，应当依法履行相关安全审查程序。笔者认为，网络平台运营者或数据处理者，只要涉及数据处理，尤其是处理个人信息超过一百万人以上，赴香港上市最好主动申报网络安全审查，是否影响或可能影响国家安全，由网络安全审查办公室研判。