對境內企業赴境外上市的安全審查之適用與分析

劉玲

今年2月17日，中國證監會公布了《境內企業境外發行證券和上市管理試行辦法》（以下簡稱《管理試行辦法》）以及五條相關的監管規定的應用指南（與《管理試行辦法》統稱為《配套指引》），并于3月31日正式生效。隨著境外上市新規的公布，開啟了境內企業境外上市全口徑備案監管的新時代。

一、境外上市新規中的安全審查

隨著《中華人民共和國網絡安全法》（以下簡稱《網絡安全法》）的生效，《網絡數據安全管理條例（征求意見稿）》的公布，《網絡安全審查辦法》的出臺，國家互聯網安全審查局宣布，將對某知名出行平臺公司進行網絡安全審查。此次境外上市新規指出了將安全審查列為涉安全審查企業境外發行上市的前提條件，同時突出了在境內企業境外發行上市的過程中，安全審查及數據出境遵從義務的重要性。

（一）相關法律依據

境內企業赴境外上市相關法律依據見表1。

（二）主管機關

境外IPO對互聯網安全的審查，基本有4個層級的監管組織：第一層為中國互聯網安全評估技術和認證中心，由互聯網安全評估辦公室領導，主要負責接收申請材料，對申請材料進行形式審查，并負責組織審查工作。因此，要想進行信息安全審查的公司，必須與認證中心取得聯系，而非信息安全審查辦公室。第二層為網安審查機構，其設立在國家網信辦，主要是開展和完善有關的網絡安全審查的制度和標準，并對其進行審查。在經過了審查之后，認證機構將把這些資料提交給互聯網安全審查處，以作實質審查。第三層是由12個部委組成，聯合發布了《實施細則》，并被稱為互聯網安全評估工作機制的成員國。在完成了最初的評估，并提出了關于評估的建議之后，向12個部委發出評估的建議。

第四層為國家互聯網中心。在特殊審查程序開始后，由網絡安全審查辦公室征詢了網絡安全審查工作機制的成員單位后，由其重新提出的審查結論意見，應提交給中央網絡安全和信息化委員會審批。

二、境外上市網絡安全審查要點

（一）赴境外上市的網絡安全審查要點

網絡安全審查的重點是審查上市情況、股權控制權、數據處理情況以及數據開放情況四項內容。對數據的處理要根據擬上市公司手中所擁有的數據來判斷，這些數據是否涉及個人敏感信息、重要數據、數據出境情況等。《網絡安全審查辦法》第七條對“擁有百萬以上用戶數據的互聯網平臺經營者”在境外上市提出了要求，要求其在境外進行相關的審查，并提出申請，應著重注意三個方面。

第一，對“一百萬用戶”的識別問題。在網絡安全審查申報書中，需填寫用戶類型，特別是要選擇該用戶是否屬于企業用戶或個人用戶。我們所說的用戶指的是C和B兩種類型的用戶。此外，由于發行人有境外業務，亦須特別說明，所以用戶指的是發行人的國內及國外客戶。

第二，對“互聯網平臺經營者”的認定問題。雖然《網絡安全審查辦法》并沒有對“網絡平臺經營者”作出具體界定，但《網絡數據安全管理條例（征求意見稿）》對此作出了界定，即“為使用者提供信息發布、社交和交易服務；從事支付、影音等網絡平臺業務的資料處理人員”。對“互聯網平臺經營者”這一概念的界定，其含義應更寬泛。

第三，對上市的范疇進行了界定。盡管《網絡安全審查辦法》第八條“運營商在進行信息安全審查時所應提交的資料”包含了“擬遞交的IPO及其他上市資料”，但是對上市的認識遠大于IPO。當前，在美國股市中經常出現的SPAC交易、借殼上市（RTO）、直接上市（DPO）等都是上市的一種，且都要求依據《網絡安全審查辦法》第八條遞交上市資料，而從中國互聯網信息安全審查技術和認證中心（CCRC）所發布的申報資料來判斷，上述SPAC、RTO及DPO等上市手段也包含在內。

自《網絡安全審查辦法》頒布后，有關“互聯網平臺經營者”與“100萬用戶”這兩種數據處理方式的界定尚需更多的規范解讀。在實際工作中，有的企業會利用某些符合規定的操作途徑，使其不屬于第一點所涉及的認定范圍，因此不會觸發主動申報網絡安全審查的條件。

總的來說，我國頒布了一套關于境外上市的體制和規定，規定了境外上市的公司必須要有相應的注冊登記，這就表明了對境外上市公司的重視。《網絡安全審查辦法》《網絡數據安全管理條例（征求意見稿）》等法律法規的出臺也為我國互聯網信息系統的建設提供了新思路。

（二）審查程序和步驟

按照《網絡安全審查辦法》的規定，網絡平臺運營商在向網絡安全審查辦公室遞交資料后，需通過“確定是否需要審查”“初步審查”“復審”及“批準”四個階段的審查程序。

以下是對網絡安全性審查的總程序與時間規定：確定是否需要審查（10個工作日）：在接到復審申請資料合格后10個工作日之內，決定是否進行復審，并以書面方式告知有關方。

初步審查（30+15日）：經認定有必要進行NSA審查的，在30天之內，由NSA審查機構出具審查報告，并將其提交NSA審查工作機制各成員單位及有關部門，以征求其對NSA審查機構的看法。對于比較復雜的案件，可以將工作時間放寬15天。機制單位回復意見（15個工作日）：各機構及有關部門在接到評估結果的建議后15個工作日之內，以書面形式對評估結果進行反饋。如果有不同的觀點，將會進行特殊的復審。如果雙方不反對，且經過研究，認為對國家的安全沒有威脅，就會告知該公司，處理就結束了。特別審查程序（90個工作日）：特別審查程序通常在90個工作日之內審理完畢，案件較復雜時，可適當延期審理。以上規定按照其應用對象和應用情況的不同，可以作以下簡要劃分（見表2）。

（三）違法后果

按照《網絡安全審查辦法》，對應提交信息而不提交信息的，或者在進行信息安全審查時不愿意提交信息的，將按照《中華人民共和國數據安全法》《網絡安全法》《管理試行辦法》等有關規定進行處置。

《管理試行辦法》第八條規定：“對在國外進行公開募股，且經國務院相關部門審查認為對國家安全不構成威脅的，應當予以批準。”如果發現有任何違規行為，將被中國證券監督管理委員會按照《管理試行辦法》第二十七條要求予以糾正，并對其處以100萬元～1000萬元的罰金。對該單位的直接負責人和其他直接責任人員，可以處以50萬元～500萬元的罰金。此外，還規定境外公司的控股股東和實際控制人將被處以100萬元～1000萬元的罰金。對單位或個人，處50萬元～500萬元的罰金。

三、網絡安全審查并非阻止赴境外上市

對中國企業進行的網絡安全審查不會阻礙其境外上市。根據啟動審查的要求，只要擁有一百萬以上的用戶資料，就必須提交審查。事實上，沒有達到這一要求的中國上市公司有許多。例如：根據中國在美國的上市公司在2022年公布的招股說明書，他們都聲稱自己沒有受到過互聯網安全的審查。就其目標而言，本研究注重對互聯網平臺經營者資料處理行為之影響，確保其對國家安全不會造成影響。

根據審查結果可分為三類。第一類，由互聯網安全審查局認定無需實體評審的機構，于接到符合條件的申請后10個工作日之內，將申請通過的審查文件告知相關機構；第二類，在進行了大量的審查后作出了審查結果，通過了審查；第三類，在進行了大量的審查后，最終的審查結果是不準予發行。經過4個多月的互聯網安全審查，根據可以查詢到的信息，很多企業都已經過了互聯網安全審查。在申請期間，通過與以認證中心為窗口的監督部門的交流，可以看出監督部門的工作非常專業，效率也非常高，針對客戶在辦理業務過程中所遭遇的現實困境將提供行之有效的處理辦法。

總而言之，盡管對中概股赴境外上市增加了對網絡安全的審查，但是只要事先進行溝通，按照要求進行申報，在進行數據處理的過程中不會出現對國家安全造成威脅的情況，得到批準的概率還是比較高的。

（作者單位：北京市澤文律師事務所）