网络安全审查系列文章(二):香港上市中的网络安全审查
网络安全审查系列文章(二):香港上市中的网络安全审查
前言
在《网络安全审查系列文章(一):网络安全审查概述》中,我们对我国的网络安全审查制度进行了概述,包括网络安全审查的法律法规体系、触发网络安全审查的四种情形、网络安全审查的审查主体、需提交的材料、流程、时间、审查要点、临时性措施、审查结果、法律后果、过往案例等内容。
在这一篇文章中,我们将对香港上市中的网络安全审查问题进行论述,主要内容包括:拟赴香港上市的企业如何应对《网络安全审查办法》规定的应当进行网络安全审查的四种情形、如何应对《网络数据安全管理条例(征求意见稿)》中关于应当进行网络安全审查的情形、以及如何分析判断是否“影响或者可能影响国家安全"等。
一、香港上市中网络安全审查的相关规定
中国证监会2023年2月17日公布的《境内企业境外发行证券和上市管理试行办法》(中国证监会公告[2023]43号)第7条规定,“……境内企业境外发行上市涉及向境外提供个人信息和重要数据等的,应当符合法律、行政法规和国家有关规定。"
第8条规定,“存在下列情形之一的,不得境外发行上市:……(二)经国务院有关主管部门依法审查认定,境外发行上市可能危害国家安全的……"
第9条规定,“境内企业境外发行上市活动,应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定,切实履行维护国家安全的义务。涉及安全审查的,应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序。境外发行上市的境内企业应当根据国务院有关主管部门要求,采取及时整改、作出承诺、剥离业务资产等措施,消除或者避免境外发行上市对国家安全的影响。"
根据上述规定,我们总结香港上市中需注意的与网络安全审查相关的要求如下:
(1)拟赴香港上市的企业需要根据网络安全审查相关的规定确定企业是否应当进行网络安全审查;
(2)如根据相关规定应当进行网络安全审查的,拟赴香港上市的企业应当在向境外证券监督管理机构、交易场所等提交发行上市申请前,向网络安全审查办公室申报网络安全审查;
(3)如经网络安全审查办公室审查认定,某企业赴香港发行上市可能危害国家安全的,则该企业不得赴香港发行上市。
因此,拟赴香港上市的企业需要首先确定的是,根据网络安全审查相关的规定(目前主要是《网络安全审查办法》(2021)、《网络数据安全管理条例(征求意见稿)》等),企业是否应当进行网络安全审查。
二、依法应当进行网络安全审查的情形
1.《网络安全审查办法》(2021)规定的应当进行网络安全审查的四种情形
由国家互联网信息办公室(以下简称“国家网信办")等十三个部委于2021年12月28日公布,并于2022年2月15日起施行的《网络安全审查办法》(2021)第2条规定,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。"
第7条规定,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。"
第16条规定,“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。"
根据上述规定,我们总结了根据《网络安全审查办法》(2021)应当进行网络安全审查的四种情形,包括应自主申报的三种情形,以及主管部门依职权审查的情形:
(1)应自主申报的情形一:关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的;
(2)应自主申报的情形二:网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;
(3)应自主申报的情形三:掌握超过100万用户个人信息的网络平台运营者赴国外上市;
(4)主管部门依职权审查的情形:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动。
2.《网络数据安全管理条例(征求意见稿)》中关于应当进行网络安全审查的情形
国家网信办于2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第13条规定,“数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(2)处理100万人以上个人信息的数据处理者赴国外上市的;
(3)数据处理者赴香港上市,影响或者可能影响国家安全的;
(4)其他影响或者可能影响国家安全的数据处理活动。"
《网络数据安全管理条例(征求意见稿)》(2021年11月14日)目前尚未颁布,我们理解,如该征求意见稿的上述内容最终正式颁布,对香港上市中的网络安全审查的影响主要体现在:“数据处理者赴香港上市,影响或者可能影响国家安全的",应当按照国家有关规定,申报网络安全审查;其中的关键在于如何判断是否“影响或者可能影响国家安全"。
三、香港上市中对网络安全审查问题的应对
针对《网络安全审查办法》(2021)规定的应当进行网络安全审查的四种情形、以及《网络数据安全管理条例(征求意见稿)》(2021年11月14日)中关于应当进行网络安全审查的情形,我们建议拟赴香港上市的相关企业需在招股书等上市文件中对于企业是否符合这些情形、是否应当进行网络安全审查进行论证。
(一)针对《网络安全审查办法》(2021)规定的应当进行网络安全审查的四种情形
1. 针对应自主申报的情形一
针对应自主申报的情形一(关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的),我们建议相关企业在招股书中论证企业是否属于“关键信息基础设施运营者",如属于,其采购网络产品和服务是否影响或者可能影响国家安全。
(1)判断企业是否属于“关键信息基础设施运营者"
根据《关键信息基础设施安全保护条例》(2021)第2条,“本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。"
《关键信息基础设施安全保护条例》(2021)第10条规定,“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。"
根据上述规定,我们建议,企业在论证自己是否构成关键信息基础设施运营者时:首先,看本行业、本领域的主管部门是否已经就本行业、本领域的关键信息基础设施进行了认定,以及企业是否收到了认定结果;其次,如果主管部门尚未进行认定,或企业尚未收到认定结果,企业可根据相关规定,结合企业的业务性质、处理的数据或个人信息的类型、数量等因素,对企业是否可能构成关键信息基础设施运营者进行评估和分析。
(2)如属于“关键信息基础设施运营者",则需进一步论证企业采购网络产品和服务是否影响或者可能影响国家安全
如企业已经被主管部门认定为“关键信息基础设施运营者"或根据相关规定企业判断未来有可能被认定为“关键信息基础设施运营者",则企业应进一步论述其采购网络产品和服务是否影响或者可能影响国家安全。
根据《网络安全审查办法》(2021)第21条,“本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。"
企业应根据上述规定判断其是否存在“采购网络产品和服务"的行为,如存在,则需要进一步分析判断其“采购网络产品和服务"是否“影响或者可能影响国家安全"。
关于如何分析判断是否“影响或者可能影响国家安全",请见以下第(三)部分的描述。
2. 针对应自主申报的情形二
针对应自主申报的情形二(网络平台运营者开展数据处理活动,影响或者可能影响国家安全的),我们建议相关企业在招股书中论证企业是否属于“网络平台运营者",如属于,其开展数据处理活动是否影响或者可能影响国家安全。
(1)判断企业是否属于“网络平台运营者"
《网络安全审查办法》(2021)未对“网络平台运营者"进行定义,建议企业可参考《网络数据安全管理条例(征求意见稿)》对于“互联网平台运营者"的定义。
根据《网络数据安全管理条例(征求意见稿)》(2021年11月14日)第73条第(九)款,“互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。"
此外,根据国家市场监督管理总局2021年10月29日发布的《互联网平台分类分级指南(征求意见稿)》第2.1条,“对互联网平台进行分类需要考虑平台的连接属性和主要功能。互联网平台的连接属性是指通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来,由此使得互联网平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。"
企业应根据上述规定,结合其业务特征,分析判断其是否属于“网络平台运营者"。
(2)如属于“网络平台运营者",则需进一步论证其开展数据处理活动是否影响或者可能影响国家安全
根据《数据安全法》(2021)第3条,“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。"
此外,根据《网络数据安全管理条例(征求意见稿)》(2021年11月14日)第73条第(二)款,“数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。"
企业应结合上述规定分析判断其各种“数据处理活动"是否“影响或者可能影响国家安全"。关于如何分析判断是否“影响或者可能影响国家安全",请见以下第(三)部分的描述。
3. 针对应自主申报的情形三
针对应自主申报的情形三(掌握超过100万用户个人信息的网络平台运营者赴国外上市),我们建议相关企业应在招股书中论证“赴国外上市"不适用“赴香港上市"。
(1)论证“赴国外上市"不适用于“赴香港上市"
虽然《网络安全审查办法》(2021)并未对“赴国外上市"作进一步定义,但国家网信办在相近时间发布的《网络数据安全管理条例(征求意见稿)》(2021年11月14日)第13条明确对“赴国外上市"和“赴香港上市"概念进行了区分,由此可窥见监管部门的态度。
此外,根据多家已在香港上市企业在招股书的披露,多家企业就此问题实名或匿名咨询了中国网络安全审查技术与认证中心(以下简称“网安中心",网安中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务),网安中心回复《网络安全审查办法》(2021)中规定的“赴国外上市"不适用于赴香港上市,赴香港上市的企业无需根据“掌握超过100万用户个人信息的网络平台运营者赴国外上市"的规定主动申报网络安全审查。
(2)可进一步说明其是否属于掌握超过100万用户个人信息的网络平台运营者
除了论证“赴国外上市"不适用于“赴香港上市"之外,相关企业也可以进一步说明其不掌握超过100万用户个人信息,或者企业不属于“网络平台运营者",以便为其不需要适用此情形申报网络安全审查提供进一步论据支持。
此外,需要说明的是,因为如上文所述,“赴国外上市"并不适用于“赴香港上市",即使相关企业属于掌握超过100万用户个人信息的网络平台运营者,也不因为这一点就需要主动申报网络安全审查。
4. 针对主管部门依职权审查的情形
针对主管部门依职权审查的情形(网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动),我们建议相关企业在招股书中说明网络安全审查办公室是否向企业发出网络安全审查通知,或对企业的香港上市计划提出反对意见或不同意见。
(二)针对《网络数据安全管理条例(征求意见稿)》中关于应当进行网络安全审查的情形
《网络数据安全管理条例(征求意见稿)》(2021年11月14日)第13条规定,“数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:……(3)数据处理者赴香港上市,影响或者可能影响国家安全的……"
针对上述内容,我们理解相关企业可从以下几个方面进行论证:
(1)《网络数据安全管理条例(征求意见稿)》目前尚未正式颁布,其何时会正式颁布存在不确定性;在正式颁布前,其中关于网络安全审查的内容可能出现变动或调整。
(2)可进一步论证即使在《网络数据安全管理条例(征求意见稿)》第3条第(3)款的现有内容将来正式颁布的情况下,企业赴香港上市是否需要根据该条款申报网络安全审查。这里的关键是论证企业赴香港上市是否“影响或者可能影响国家安全"。关于如何分析判断是否“影响或者可能影响国家安全",请见以下第(三)部分的描述。
此外,根据多家已在香港上市企业在招股书的披露,多家企业就此问题实名或匿名咨询了网安中心,网安中心回复由于《网络数据安全管理条例(征求意见稿)》目前尚未正式颁布,企业无需根据该征求意见稿的内容主动申报网络安全审查。
(三)如何分析判断是否“影响或者可能影响国家安全"
对于如何分析判断“影响或者可能影响国家安全",《网络安全审查办法》(2021)第10条规定了网络安全审查重点评估相关对象或者情形的7个方面的国家安全风险因素,可以作为分析判断“影响或者可能影响国家安全"的重要依据。《网络数据安全管理条例(征求意见稿)》(2021年11月14日)对如何分析判断“影响或者可能影响国家安全"没有作出进一步解释或说明。
根据《网络安全审查办法》(2021)第10条,“网络安全审查重点评估相关对象或者情形的以下国家安全风险因素:
(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;
(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;
(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险;
(4)产品和服务提供者遵守中国法律、行政法规、部门规章情况;
(5)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险;
(6)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险;
(7)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。"
我们理解,企业可从以下方面对《网络安全审查办法》(2021)第10条规定的7个方面的国家安全风险因素进行论证:
▪ 企业根据相关规定是否属于关键信息基础设施运营者,如不属于,则上述第(1)、(2)、(3)、(4)、(6)、(7)点中关于关键信息基础设施、以及关键信息基础设施运营者采购的网络产品和服务相关的国家安全风险因素不适用于该企业;
▪ 企业是否掌握核心数据、重要数据或者大量个人信息,如不掌握,则上述第(5)、(6)点中关于核心数据、重要数据或者大量个人信息相关的国家安全风险因素不适用于该企业;
▪ 此外,企业可进一步说明其是否建立了有效的网络安全及数据保护的制度和流程、是否发生重大数据泄露事件、是否受到有关主管部门的调查或处罚、在国内的合法合规经营情况、企业的业务性质、处理数据和个人信息的类型和数量等,以进一步论证是否存在“影响或者可能影响国家安全"的风险因素。
需要注意的是,由于判断“影响或者可能影响国家安全"时考虑的某些风险存在一定的主观因素,在认定是否“影响或者可能影响国家安全"时仍具有较大的不确定性。
结语
拟赴香港上市的企业应根据《网络安全审查办法》、《网络数据安全管理条例(征求意见稿)》等相关规定,了解在哪些情形下需要申报网络安全审查,在哪些情形下不需要申报网络安全审查,以确定企业赴香港上市是否需要申报网络安全审查,并对不需要申报网络安全审查的结论进行充分论证,对于企业成功上市具有重要意义。