《中国金融》刊发:网络安全立法对中概股的影响
欢迎点击上方 TMT法律论坛 关注我们
首发于《中国金融》2022年第5期
作者:陈际红 唐周俊 吴小旭
网络安全立法对中概股的影响
2021年,我国在网络安全和数据保护领域的立法活动密集,成果丰硕。随着 2021年11月1日《个人信息保护法》的生效,以及此前《网络安全法》和《数据安全法》的落地,我国网络空间监管的立法框架基本尘埃落定。2021年12月28日,在历经近六个月的公开征求意见和内部流程之后,国家网信办等十三个部门联合发布《网络安全审查办法》(以下简称《新审查办法》)。在立法活动中, 境外资本市场活动涉及的数据安全风险成为境内外监管重点之一。
一.
网络安全审查义务及其影响
2020年生效的《网络安全审查办法》(以下简称《旧审查办法》)以关键信息基础设施运营者(CIIO)为监管抓手,以CIIO采购网络产品和服务为切入点,通过网络安全审查维护关键信息基础设施(CII)的供应链安全。而《新审查办法》第二条增加了“网络平台运营者”为审查申报对象,以将监管范围扩展至除CIIO数据处理以外的可能带来国家安全风险的其他数据处理活动。同时第七条特别增加国外上市条款,明确掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
《新审查办法》并未对“网络平台运营者”作出进一步的定义,参考之前的立法条文,平台运营者一般指为双边或者多边主体提供互联网交互服务的运营者。但是,对《新审查办法》语境下的网络平台运营者不能做狭义的理解,只要通过网络系统进行数据处理活动,就应当理解为《新审查办法》的监管对象。此理解的逻辑在于,此次修订主要聚焦于数据处理活动所引发的数据安全风险,而与具体的互联网业态分类无关。基于相同的风险监管考量,赴国外上市的行为,应理解为包含IPO、SPAC等多种上市机制在内的资本市场行为。因上述不同形式的上市行为,均涉及按照境外监管机构的要求进行信息披露以及数据跨境,属于主管部门重点关注的领域。
掌握大量个人信息的境内企业需在赴国外上市前配合进行网络安全审查,增加了其在国外成功上市的不确定性。按照上市信息披露的一般要求,企业需充分披露露其上市可能存在的风险。以在美国上市为例,美国证监会(SEC)要求企业拔露“现有或待定法律法规中,可能对公司在网络安全方面的要求及公司的相关成本产生影响的,以及与网络安全事件有关的诉讼、监管调查和补救费用”。同时, 自某出行平台网络安全南查事件后,美国SEC主席 Gary Gensler于2021 年7月30日发布声明,要求中国企业就是否获得了中国监管机构允许赴美上市及该允许被拒绝及撤销的风险事项进行披露,并加强了对该等事项披露的审查。
因而,在国内数据监管法律法规日渐完善的当下,企业不仅需要重视在国内履行数据合规相关义务,亦需要在国外上市时注意充分披露国内适用性数据相关法律法规对自身可能产生的影响。
二.
数据出境相关义务及其影响
除上市前需向相关境外证券监管机构递交上市审核文件外,中概股企业在成功上市后也需履行定期信息披露的义务。上述的信息披露义务可能涉及企业将在境内收集的数据传输出境的问题。而《数据安全法》第三十一条和第三十六条分别针对两种数据出境情形提出了不同的合规要求:第三十一条要求CIIO履行数据出境安全评估义务,其他数据处理者按照相关主管部门的规定履行出境义务。第三十六条则要求非经主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中国境内的数据。
2021年10月29日,国家网信办公布《数据出境安全评估办法(征求意见稿)》(以下简称《出境评估办法》)。《出境评估办法》第五条要求企业在向境外提供数据前,需进行数据出境安全自评估。当涉及到向境外提供“重要数据”的,或处理个人信息达到一百万人的个人信息处理者向境外提供个人信息的,或累计向境外提供超过十万人以上个人信息或一万人以上敏感个人信息的,需向网信办申报数据出境安全评估。因而,境外上市企业在向境外监管机构披露信息时,应首先履行数据出境安全自评估义务。当涉及重要数据或满足要求的个人信息的,应注意履行主动申报数据出境安全评估的义务。若有境外监管机构调取信息的行为,应首先申报主管机关并获得批准后再行提供。
与网络安全审查相类似,境内企业除需在境内满足相关合规要求,也需向境外证券监管机构披露相关信息。仍以赴美上市为例,除上文所述的信息披露内容,2020年11月23日,美国SEC公司财务部(DCF)发布《中国发行人信息披露考虑因素》(Disclosure Considerations for China-Based Issuers),并要求中国发行人充分披露中国法律对美国当局【含美国证监会、美国司法部、美国公众公司会计监督委员会(PCAOB)等机构】进行调查和提起诉讼能力所施加的限制。实践中,企业多会披露《数据安全法》第三十六条对于数据出境的相关限制,即“非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。”
值得注意的是,上述披露内容多为惯例,对拟在美国上市的境内企业尚未产生实质不利影响。而2021年12月3日,美国SEC宣布通过法规修正案,完善了《外国公司问责法案》(HFCAA)相关的信息披露实施细则,要求外国上市公司的审计机构必须接受PCAOB的审查。一旦PCAOB作出决议,即某外国上市公司所在辖区的监管机构连续三年阻止PCAOB对该上市公司的审计进行全面检查的,SEC将禁止该公司的股票交易。
根据HFCAA,符合以下两项条件的外国公司将被鉴别为“认定发行人”(Commission-Identified Issuer):其一,聘用了PCAOB无法对其实施检查的会计师事务所;其二,PCAOB认定上述“无法检查”系外国当地政府所致。
被鉴别为“认定发行人”的,必须在下一份年报中按照HFCAA的要求进行相关披露。虽然PCAOB组织本身是民营非盈利机构,但鉴于上述条款赋予了PCAOB“自由”审核中国企业审计底稿的权力,其性质属于国家行政权,对已经注册登记的会计师事务所具有普遍约束力。而《数据安全法》第三十六条则明确要求,非经中华人民共和国主管机关批准,境内的组织、个人不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。因而,HFCAA的要求可能会与《数据安全法》第三十六条的要求构成实质冲突。
虽然目前《数据安全法》第三十六条批准机制的实施细则还未明确落地,但值得注意的是,即使PCAOB并未对中国企业实施调取审计底稿的权力,审计底稿是由中国企业或审计机构自愿传输至美国的,中国企业可能仍需按照《数据安全法》第三十一条的规定,根据《出境评估办法》的要求对其上述数据跨境传输行为进行数据出境安全评估。
根据《出境评估办法》第五条的要求,若中国企业或其审计机构欲向境外提交审计底稿的,需先履行自评估义务。同时,由于审计底稿较财报而言所包含的信息量、信息敏感程度都大幅上升,可能会包含公司所属行业相关信息、具体资产情况、客户名单、客户背景、服务器位置等信息,有可能构成重要数据,并进一步触发中国企业向国家网信部门申报数据出境安全评估的义务。
三.
拟境外上市企业合规指引
(一)网络安全审查
在境外上市过程中,《新审查办法》的适用性及是否需要启动网络安全审查已成为境外证券交易监管机构的关注重点。因而,企业在上市前应根据自身业务的情况,采取如下措施:全量梳理企业的网络系统,初步排查网络系统构成CII的可能性;盘点数据资产,制作数据清单,识别所处理的数据量,制作可能构成核心数据及重要数据的清单;全流程梳理数据处理活动,识别跨境数据传输及其他敏感的数据处理场景;梳理上市过程所引发的跨境数据传输行为。
实践中,境外证券监管机构还可能会要求企业出具中国监管机关的书面澄清函件以明确是否需要启动网络安全审查。因此,企业应在上市准备阶段引入数据合规团队,一方面可以尽早进行企业内部的数据安全风险评估,以确定是否存在触发网络安全审查的情况;另一方面,可以结合上市进程,与监管机关沟通相关程序的启动等事宜。
(二)数据出境安全评估
除了企业业务本身存在数据跨境行为的场景外,在境外上市过程中,企业还需要向境外机构,包括上市过程涉及的境外审计、律所、保荐人等中介机构披露企业的相关信息,该行为本身也构成数据出境。因此,在上市准备阶段,企业需要对其可能的数据出境行为进行梳理和分析。
根据《出境评估办法》,在向境外提供数据前,企业应当按照下述图二的流程开展出境风险评估。虽然《出境评估办法》暂未生效,但是考虑数据出境的风险及企业合规的要求,建议企业参照《出境评估办法》进行自评估,以控制数据出境的潜在风险。
此外,虽然监管部门目前暂未发布与境外接收方订立的标准合同文本,但境内企业应按照行业良好实践,在相关合同中明确约定与外接收方的数据安全保护责任和义务。《数据管理安全条例(征求意见稿)》要求向境外提供个人信息和重要数据的数据处理者每年编制数据出境安全报告,向设区的市级网信部门报告数据出境情况。
(三)企业数据合规风险识别与合规体系构建
《网络安全法》《数据安全法》与《个人信息保护法》三部基础性法律共同构成了我国网络空间监管的“三驾马车”。企业网络安全、数据合规和个人信息保护的法律要求已经确立,且随着国内监管执法趋势逐步加严,其必然对企业业务的合规开展,以及境外上市过程中的数据合规、信息披露等提出更高的要求。
在此环境下,拟上市企业应对数据合规问题给予高度重视,实时关注相关法律法规及监管动态,并应尽早聘请专业的数据合规团队参与其境外上市全流程,协助企业尽早识别数据合规风险,落实数据治理工作,构建企业全流程的数据合规管理体系,确保企业在境外上市过程中从容应对监管机构的审核问询,降低企业上市的数据合规风险。
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权权利保护, 网络安全和数据保护, 反垄断和竞争法
特色行业类别:金融行业, 通讯与技术
唐周俊 律师
北京办公室 合伙人
业务领域:中国内地资本市场, 香港和境外资本市场, 金融产品和信托
特色行业类别:通讯与技术, 健康与生命科学, 文化娱乐产业
吴小旭 律师
北京办公室
非权益合伙人
业务领域:知识产权权利保护,网络安全和数据保护
*于楚佳律师对本文亦有贡献
本期编辑:陈瑊 陈煜烺 邱腾岳