引言
近日,相關監管部門先后對“滴滴出行”��、“運滿滿”���、“貨車幫”�、“BOSS直聘”等APP及其運營企業實施了網絡安全審查措施�����,并擬出臺或修訂配套的制度規則�����,以進一步加強對境外上市企業網絡安全���、數據安全等方面合規監管要求�。中共中央辦公廳����、國務院辦公廳于2021年7月6日印發的《關于依法從嚴打擊證券違法活動的意見》(以下簡稱“《意見》”)亦明確提出要“加強中概股監管”。本文旨在結合前述監管動態對新形勢下中資企業境外上市涉及的相關法律問題進行初步探討和簡要分析。
一.關于赴美上市跨境信息提供的監管問題
赴境外上市的中資企業須同時適用境內及上市地兩地的相關監管要求。其中��,針對赴美上市的中資企業�����,中美兩地監管要求對相關中介機構的工作底稿及其他相關文件��、資料、信息等的跨境提供存在一定程度的沖突�,相關要求主要如下:
由上述對比可見�,中國監管要求為�,若境外上市企業及其證券服務機構擬向境外提供任何涉及國家秘密�����、證券業務以及其他涉及前置審批事項的工作底稿及資料時����,應當按照中國證券監管機構認可的口徑,通過監管合作渠道提供交換信息。而美國SEC則要求赴美上市的中資企業所聘用的審計師必須按照SEC的監管要求,提供SEC認為必要的相關審計底稿文件����。
《意見》中明確���,“加強跨境監管合作����。完善數據安全�、跨境數據流動、涉密信息管理等相關法律法規。抓緊修訂關于加強在境外發行證券與上市相關保密和檔案管理工作的規定��,壓實境外上市公司信息安全主體責任�。加強跨境信息提供機制與流程的規范管理。堅持依法和對等原則,進一步深化跨境審計監管合作���。” 由此可見,中國有關監管部門將就境外上市中資企業的信息����、資料跨境提供等事項與境外監管機構深化跨境合作��。
二.擬修訂的《網絡安全審查辦法》對企業境外上市的主要影響
基于近期對赴國外上市企業開展網絡安全審查的規則需求,國家互聯網信息辦公室(以下簡稱“網信辦”)于2021年7月10日公布了《網絡安全審查辦法(修訂草案征求意見稿)》(以下簡稱“《辦法意見稿》”)。結合前述《辦法意見稿》的相關內容��,計劃境外上市的中資企業可能需要關注以下方面的事項:
1���、觸發網絡安全審查的標準
根據《辦法意見稿》��,觸發網絡安全審查主要包括下列情形:(1)因關鍵信息基礎設施運營者采購網絡產品和服務而影響或可能影響國家安全的;(2)因數據處理者開展數據處理活動而影響或可能影響國家安全的�����;(3)掌握超過100萬用戶個人信息的運營者(即“關鍵信息基礎設施運營者”或“數據處理者”)赴國外上市的�����。存在以上任意情形的�����,相關企業應當主動申報審查并提交相關材料。
此外�,從網信辦關于對“滴滴出行”等主體啟動網絡安全審查的公告內容看��,《網絡安全審查辦法》賦予了網信辦主動實施審查的權利,即便境外上市企業未主動申報進行審查�����,若網信辦等監管機構認為其上市安排或經營活動存在國家安全或網絡安全風險的���,仍可依職權主動實施審查���。
2�����、“關鍵信息基礎設施運營者”與“數據處理者”的關系
“關鍵信息基礎設施運營者”(即CIIO)是源自《網絡安全法》的概念���,就具體定義而言,“國家關鍵信息基礎設施”是指一旦遭到破壞�、喪失功能或數據泄露可能嚴重危害國家安全���、國計民生����、公共利益的信息設施�,其運營者一般包括以下幾類主體:(1)政府機關和能源、金融、衛生醫療、教育����、環境保護等領域的單位����;(2)信息網絡以及提供云計算、大數據等單位�;(3)國防科工�、大型裝備�����、化工�����、食品藥品等行業領域科研生產單位;(4)廣播電臺�����、電視臺����、通訊社等新聞單位;(5)其他重點單位����。
“數據處理者”則源于《數據安全法》,具體指對數據實施收集、存儲、使用、加工����、傳輸��、提供、公開等行為的主體。
相較于CIIO,“數據處理者”的范圍更廣泛�,在CIIO開展數據收集����、傳輸�����、提供等行為時���,其同樣屬于“數據處理者”而受到《數據安全法》的規制�。
3�、對“掌握超過100萬用戶個人信息”的理解
《辦法意見稿》中將“掌握超過100萬用戶個人信息”作為赴國外上市企業觸發網絡安全審查的判斷標準?����!?00萬用戶個人信息”����,不論指用戶數量,或指個人信息數量,對于運營者而言并不難判斷��。但對于構成“掌握”的標準���,在現有規則尚未明確的情況下�,容易導致不同的理解。若將用戶個人信息相關業務進行剝離,委托他人管理��,是否不構成“掌握”個人信息����?相反�,若僅為他人提供信息存儲、數據保管服務���,不進行數據使用、加工的�,是否仍會被認定為“掌握”�����?
筆者認為,判斷運營者是否“掌握”用戶個人信息��,關鍵在于其能否控制和處理該等信息數據��。據此�,將用戶信息數據相關業務剝離到上市公司體外開展,可以在一定程度上解釋上市公司對于該等信息數據未形成控制,從而降低境外監管機構以上市公司作為直接監管對象而要求其提供該等信息數據的可能。但該等方式能否獲得監管認可�����,仍需結合《辦法意見稿》正式落地文件中對于“掌握”標準的界定和實操中的監管情況�����。
需要注意��,按照《辦法意見稿》的規定,即便上市企業對用戶個人信息未達到“掌握”的標準,仍有可能因參與數據處理(使用���、傳輸、提供同樣屬于數據處理行為)、或因需向上市地監管機構跨境提供底稿資料而被網信辦依職權主動實施安全審查。
4、對“赴國外上市”的理解
與《證券法》�、《國務院關于股份有限公司境外募集股份及上市的特別規定》�、《國務院關于進一步加強在境外發行股票和上市管理的通知》(以下簡稱 “97紅籌指引”)等文件中使用的“境外”上市表述不同�����,本次《辦法意見稿》中使用了“赴國外上市”、“國外上市”的表述���,而該等表述在此前涉及企業境外上市的相關法規、規章����、規范性文件中并不常見�。
基于該等區別表述���,且鑒于中國政府對香港特別行政區行使主權���,以及此前頒布的《香港特別行政區維護國家安全法》中對于危害國家安全行為已有嚴格的刑則規定�,因此有市場人士將《辦法意見稿》中采用“赴國外上市”的表述解讀為赴香港地區上市不適用《辦法意見稿》。筆者傾向于認同該觀點����,同時��,鑒于《辦法意見稿》中“赴國外上市”的表述已引起廣泛熱議,立法機構在正式出臺的修訂稿中對赴香港特別行政區上市是否需參照適用應會作出進一步說明����。滿足新規規定標準的赴港上市企業是否需申報網絡安全審查���,仍需以最終落地的修訂稿為準作出判斷����。
5����、《辦法意見稿》落地后對境外上市的主要影響
結合上述分析��,筆者認為�,《辦法意見稿》修訂生效后�,可能對境外上市造成的主要影響如下:
(1)對擬上市企業而言,若涉及大量用戶個人信息處理業務的,需結合最終落地規定�����、網信辦等監管機構對“掌握超過100萬用戶個人信息”標準的解讀�、以及市場案例實操情況,判斷是否需調整用戶信息數據收集處理的業務模式��,若監管認可將用戶信息剝離至上市公司體外運營或進行托管作為解決方案的���,擬上市企業可結合監管要求做相應調整�,但同時需注意該等調整對公司營收情況、業務和人員穩定性的影響是否符合上市地的相關要求����。
(2)對證券服務中介機構而言��,在上市準備工作開展過程中,需對網絡安全保護���、數據合規、個人信息保護等方面開展更為詳細、全面的盡職調查���,保薦機構���、發行人境內律師等證券服務機構需結合《數據安全法》�����、《個人信息保護法》、《網絡安全審查辦法》的出臺和修訂情況就相關法律問題發表專業意見��。
(3)就上市地點的選擇來說���,若最終落地的《網絡安全審查辦法》修訂稿中明確赴香港地區不適用該規定的���,則相較于赴美等國外上市的企業���,更加利好選擇香港作為上市地的企業����。
三��、紅籌架構企業到境外上市的監管趨勢
《意見》中明確提出����,“加強中概股監管�。切實采取措施做好中概股公司風險及突發情況應對,推進相關監管制度體系建設。”
在現有監管體系下���,屬于“97紅籌指引”中規定的中資控股境外注冊公司擬在境外上市的,需按照規定取得相關政府部門的批準,以及報中國證監會進行核準或事后備案�?����!?7紅籌指引”頒布的背景主要是為了規范中資企業(特別是國有企業)通過境外窗口公司將境內資產轉移到境外上市的行為,并且其規制的境外注冊中資企業通常被理解為“境內企業”出境在境外投資設立的企業。此外��,針對涉及境內權益的境外公司在境外發行股票和上市��,在一定時期內�,發行人需通過其境內律師獲得證監會出具的“無異議函”���;隨著2002年《行政許可法》的出臺����,國家明確規定未經法律和行政法規授權��,不設行政許可項目����,“無異議函”機制也被取消��。目前�,實踐中�,民營企業則通常是通過境內個人出境設立境外持股和上市平臺的“小紅籌”架構(包括利用VIE結構)申請境外上市,該等“小紅籌”企業海外上市不再向境內證券主管部門履行審批程序����。
《意見》的出臺釋放了一個明確的信號:“小紅籌”企業的海外上市將會再度納入境內監管的范圍�����。《意見》同時要求:“建立健全資本市場法律域外適用制度����。抓緊制定證券法有關域外適用條款的司法解釋和配套規則����,細化法律域外適用具體條件�����,明確執法程序�、證據效力等事項。加強資本市場涉外審判工作����,推動境外國家�、地區與我國對司法判決的相互承認與執行����?�!?事實上�,2019年修訂的《證券法》已對《證券法》的域外適用做出了明確規定�,明確在我國境外的證券發行和交易活動,擾亂我國境內市場秩序�,損害境內投資者合法權益的���,將依照《證券法》追究責任���。
筆者認為�����,《意見》的出臺背景不僅僅有國際局勢的變化、數據和網絡安全的考量�����,也反應了中國的資本市場以及“中概股”在迅猛發展二十多年之后日益強大的市場影響力�����,以及歷史過程中部分企業出現的證券違法行為對中國的資本市場和投資者的影響���。這種影響跨越國界��,給監管提出了更高的要求。因此��,除了網絡安全審查�、數據處理等方面的監管之外,中國證券監管部門擬對“小紅籌”企業采取何種監管方式���,值得我們觀察和期待�。
四、擬境外上市企業的應對措施
1��、對于已提交申請文件的赴港上市企業��,我們理解�����,《辦法意見稿》對其上市安排的影響有限,在最終落地的辦法對赴港上市企業不設置額外審批要求的前提下,仍可按照原上市計劃推進項目,但是發行人和中介機構也應密切關注擬議政策的落實和變化�����。
2����、對于已提交申請文件的赴美、歐、新加坡等地上市的企業�����,建議盡快咨詢境內外律師關于《辦法意見稿》及近期監管要求對上市安排可能構成影響的專業意見���,結合自身業務和數據情況綜合判斷風險���,補充相關數據核查盡調并在申請文件中增加相關披露��,如有必要可與境內網絡安全審查部門積極溝通��,并結合監管要求調整上市安排,避免因監管風險對境內經營造成實質影響�。若企業上市過程中《辦法意見稿》按其現有內容落地生效的��,達到審查標準的企業仍需在上市前按照辦法要求進行申報并完成網絡安全審查工作。
3、對于仍處于境外上市前期籌劃階段的企業,可從以下方面降低監管政策變化可能造成的影響:
(1)謹慎選擇上市地點�,評估A股�、H股�����、以及紅籌港股上市的可行性��。若搭建境外架構上市為最優選擇的,需綜合判斷不同上市地的監管風險,重視香港資本市場的特殊地位��,盡可能降低因國際形勢變化等因素對上市安排可能造成的不確定性��;
(2)結合監管要求開展企業數據安全����、網絡安全的自查工作�����,根據自身數據屬性就境外上市安排與境內監管機構積極溝通���,為安全審查預留充足時間���;
(3)持續關注監管機構對于網絡安全審查以及紅籌境外上市的監管政策變化情況�,以便及時作出應對措施��。
4�、對于赴美上市企業而言�����,在中美之間就底稿資料跨境提供的監管要求尚需進行磋商的背景下���,擬赴美上市的中資企業若無法針對向境外提供底稿資料的范圍作出準確判斷時,建議事先與中國境內監管機構充分溝通�,確認向境外提供審計工作底稿及資料的具體監管要求���。
結語
在監管趨嚴的態勢下�����,對于中資企業而言,除需謹慎選擇上市地點外���,更重要的,一是要強化內部控制和合規管理��,落實誠信責任�,切實提升信息披露的質量,防范并盡量減少證券訴訟風險����;二是盡快構建自身關于網絡安全����、數據合規的管理體系��,通過內部人員����、外部顧問等對公司數據合規情況作出全面梳理����,建立必要的網絡、數據安全應急機制�����,使自身能夠在互聯網和大數據時代從容應對外部監管環境的變化��。
