数据出境新指引,深度解读《境外发行证券与上市保密新规》!
本文特邀作者
中伦律师事务所合伙人律师 樊晓娟
算力说
2020年的瑞幸咖啡事件,时隔两年后,余波未息,犹如拉开了中概股的梦魇,在今年上半年集中上演。进入3月份以来,已经连续四批23家中概股公司被SEC(美国证券交易委员会)纳入预摘牌名单,其中不乏百度、微博、爱奇艺、富途控股等知名企业,核心背景在于2020年12月18日,《控股外国公司问责法案》(Holding Foreign Companies Accountable Act, HFCAA)在美国立法。该法案旨在解决于美国上市的中概股公司因为中国法律的规定,不满足美国关于审计检查要求这一长期引起关注的问题,其中重点内容则包括要求被识别公司向美国证监会提交资料证明其并非境外审计机构注册法域政府所有或者控制;这与中国《数据安全法》中对于数据出境的相关条例规制或有冲突,因而中概股公司深陷数据跨境合规的“两难”困境。
为探索出解决机制,此前3月16日,国务院金融稳定发展委员会召开的专题会议对中概股进行了讨论。4月2日,中国证监会则公布了《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(以下简称“《保密新规》”),向社会公开征求意见,意在为数据出境提供具体清晰的合规指引,弥合分歧,为目前处境并不算太好的中概股公司吃下一颗“强心丸”。
强心之后,对于企业而言,《保密新规》该如何遵循?涉密敏感信息如何处理?会计底稿如何管理?这些实操层面的问题有待厘清明确,本文特邀中伦律师事务所合伙人律师樊晓娟带来《保密新规》的资深解读,或可指路。
《保密新规》在《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》(证监会公告〔2009〕29号)(简称“《2009年保密规定》”)的基础上对境内企业境外发行上市相关保密和档案管理工作有重大更新。我们注意到,《保密新规》与《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下简称“《管理规定》”)、《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(以下简称“《备案办法》”)、2021年12月新修订的《网络安全审查办法》等新规定或正在制定中的新规定互相衔接。本文将结合各项规定对境内企业[1]境外发行证券和上市的数据合规、网络安全合规等合规要点进行解读和梳理。
适用范围
(一) 适用的具体商业活动范围
《保密新规》第二条规定了,该规定适用“境内企业境外发行证券和上市活动中”的保密和档案管理工作。《管理规定》第二条将境内企业境外直接发行上市[4]和境内企业间接发行上市[5]均纳入境内企业境外发行上市范畴。《保密新规》以《管理规定》为依据,结合《管理规定》规定境内企业境外发行上市的范围,我们理解,《保密规定》至少适用于以下具体商业活动中的信息披露、资料提供:
1、境内企业境外直接发行上市,例如:H股、GDR、D股等公开发行;
2、境内企业境外间接发行上市,例如:借壳上市或通过与SPAC并购上市、红筹企业境外发行上市(包括采用VIE架构的企业境外发行上市);以及
3、上市公司履行持续披露义务和接受监管,例如,年报、半年报等定期报告,配合境外监管机构调查等。
(二) 监管对象
较《2009年保密规定》,《保密新规》第二条将监管对象从“境外上市公司”调整为“境内企业”以及提供相关证券服务的“证券公司、证券服务机构”。根据《保密规定》第二条,简要说明如下:
涉密、涉安资料和重要档案范围
涉密、涉安资料和重要档案的范围包括:
境内企业必须正确判别资料属性,如果无法判断,应当根据《保密新规》报相应保密行政机关或业务主管机关判断。
建立健全保密和档案管理规章制度
因此,境外上市发行申报前,境内企业及相关主体应当已经建立和完善保密和档案管理制度。我们理解,保密和档案管理制度包括数据合规和网络安全管理制度。
而根据《管理规定》和《备案办法》,境内企业直接或间接在境外上市将统一实施备案管理;对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市,在提交备案申请前,企业应当依法申报安全审查。
因此,无论是从保密和档案管理工作合规的层面,还是从履行境外上市备案程序的层面,对境内企业来说,如果落入网络安全审查范围,那么网络安全审查环境是绕不开的。
根据《关键信息基础设施安全保护条例》、《网络安全审查办法》以及参照2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》,至少以下情形,将落入网络安全审查范围:
1、数据处理活动影响或可能影响国家安全;
2、掌握或处理超过100万用户个人信息的数据处理者赴国外上市;
3、数据处理者赴香港上市,影响或者可能影响国家安全的;
4、汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的。
另外,需要提示的是,根据《网络安全审查办法》,从初次提交材料到审查全部完成,网络安全审查时限可能长达数月。因此,有境外上市计划的境内企业,特别是数据处理企业来说,务必将网络安全审查纳入上市时间表的考虑范畴。
1、涉密资料依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案;涉安资料依照国家有关规定办理;
2、向证券公司、证券服务机构提供涉密、涉安资料时,还应当就前述报批、备案及相应程序提供书面说明;
3、与证券公司、证券服务机构签订保密协议,明确相应主体的保密义务和责任;
4、国家秘密已经泄露或者可能泄露的,应当立即采取补救措施并及时向有关机关、单位报告。
境外上市中的数据出境
因此,境内企业应当尽可能避免、减少属于涉密资料、涉安资料、重要档案或其他敏感信息的数据,尤其是关键信息基础设施运营者于境内运营中收集和产生的个人信息和重要数据进入工作底稿;如必须对外提供的,则应履行相应的批准或安全评估程序。
总 结
当然,《网络数据安全管理条例》、《保密新规》、《管理规定》、《备案办法》均处于征求意见中,我们也会随时关注。
注 释
[1] 本文中的“境内企业”特指《保密新规》中定义的境内企业。
[2]《管理规定》第十六条:“境内企业境外发行上市的,应当严格遵守国家法律法规和有关规定,建立健全保密制度,采取必要措施落实保密责任,不得泄露国家秘密,不得损害国家安全和公共利益。境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。”
[3]《备案办法》第十八条:“境内企业境外发行上市相关主体应当严格遵守国家有关法律法规及关于境外发行上市保密和档案管理的有关规定,建立健全保密和档案管理规章制度,做好保密和档案管理工作。”
[4]《管理规定》第二条第二款:“境内企业直接在境外发行证券或者将其证券在境外上市交易(以下简称境内企业境外直接发行上市),是指注册在境内的股份有限公司在境外发行证券或者将其证券在境外上市交易。”
[5]《管理规定》第二条第三款:“境内企业间接在境外发行证券或者将其证券在境外上市交易(以下简称境内企业境外间接发行上市),是指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在境外发行证券或者将证券在境外上市交易。具体标准由国务院证券监督管理机构规定。”
END
● 往期推荐
欢迎投稿
hehaohua3h@163.com
文章所载观点仅代表作者本人
且不构成投资建议
敬请注意投资风险