在线观看一区二区三区三州_日韩精品免费播放_日韩中文娱乐网_日韩欧美一区二

近期，證監會發布的境外上市備案新規，開啟了企業境外上市全口徑備案監管的新時代。網信部門聯合其他部委發布的網絡安全審查新規，則對何類主體境外上市需要申報網安審查、赴港上市是否需要主動申報審查等核心問題，提供了階段性的信號。證監會備案新規與網安審查新規相互配合映襯，為發行人完成網安審查預判、上市時間安排等關鍵事項，賦予了更加清晰的指引路徑。本文對此進行解讀，并就未來可能面臨的問題和待澄清的事項進行分析和展望。

一、新規發布與背景

2021年12月24日，中國證券監督管理委員會（“證監會”）聯合國務院有關部門起草發布了《國務院關于境內企業境外發行證券和上市的管理規定（草案征求意見稿）》（“《境外上市管理規定意見稿》”）和《境內企業境外發行證券和上市備案管理辦法（征求意見稿)》（“《境外上市備案辦法意見稿》”，與《境外上市管理規定意見稿》合稱“境外上市新規意見稿”），給中國企業境外上市帶來了具有根本制度性變革的全新監管框架。

在境外上市新規意見稿出臺前，國家互聯網信息辦公室（“網信辦”）于2021年7月10日發布《網絡安全審查辦法（修訂草案征求意見稿）》（“《網安審查辦法意見稿》”），于2021年11月14日發布《網絡數據安全管理條例（征求意見稿）》（“《數安條例意見稿》”）；近期，作為對《網安審查辦法意見稿》的最終敲定，網信辦于2022年1月4日聯合國家發展和改革委員會、工業和信息化部等部委正式發布《網絡安全審查辦法》（“《網安審查辦法》”）。上述規定通過演進的規則探討，對企業的網絡安全審查提供了規則指引，同時將網絡安全審查與境外上市之間進行了關聯，使得網絡安全審查成為部分境外上市項目流程中的必備申報環節。

證監會及網信辦等部門的上述一系列新規，亦回應了“滴滴事件”發生以來，各界對境外上市流程中的網絡安全審查程序的關切與疑問。2021年7月2日，網信辦發布《網絡安全審查辦公室關于對“滴滴出行”啟動網絡安全審查的公告》，由網絡安全審查辦公室對“滴滴出行”實施網絡安全審查。“滴滴事件”首次在公眾視野下將企業境外上市與網絡安全審查制度進行了聯結。

在此之后，網信辦先后迅速發布《網安審查辦法意見稿》和《數安條例意見稿》，在規則層面，首次要求在特定情境下的境外上市過程中，發行人應主動申報網絡安全審查。但是，這兩項規定本身含有許多留白，一些細節也引起業界較大爭議與討論。更重要的是，就上市程序而言，在沒有證監會境外上市新規意見稿出臺的情況下，網信辦新規期待的網絡安全審查程序，應當被放置在境外上市過程中的哪個具體階段，是否需要與證監會或者其他監管部門的程序協同建構監管一致性機制，都給市場主體留下了許多疑問。

《網安審查辦法》《境外上市管理規定意見稿》和《境外上市備案辦法意見稿》等新規回應了一段時間以來市場關于網絡安全審查制度如何影響企業境外上市的困惑和疑慮，聚焦并指引了新形勢下企業境外上市過程中核心關注的與網絡安全審查有關的程序性問題，明確了規則界限，在一定程度上減輕了制度的不確定性，同時也提出了企業境外上市過程中可能需關注的網絡安全及數據合規領域的新問題。本文主要對此進行分析與提示。 

二、證監會及網信辦等部門的新規釋放的階段性明確信號

（一）赴國外上市需主動申報網絡安全審查的情形僅限于處理大量個人信息的網絡平臺運營者

《網安審查辦法》明確限定，僅符合一定情況的“網絡平臺運營者”赴國外上市，需要主動申報網絡安全審查。

這一主體范圍，比《數安條例意見稿》中規定的“數據處理者”這一申報主體，要更加限縮，體現了監管態度向務實化、謙抑化、合理化的方向發展。   

《數安條例意見稿》規定的“數據處理者”指在數據處理活動中自主決定處理目的和處理方式的個人和組織。在絕大部分場景中，大量的企業就與其相關的數據處理活動而言，均可能被認定為數據處理者。雖然《數安條例意見稿》對上市主動申報網絡安全審查的數據處理者也附加了其他條件（例如處理一百萬人以上個人信息），但由于“數據處理者”本身過于普遍、寬泛，適用“數據處理者”作為框定范圍的基礎條件將使得適用的主體基數過于龐大。無論是何種行業領域的企業，在經營過程中或多或少會進行數據處理活動。一些數據處理者盡管處理的數據量較大，但是其服務或活動性質本身不敏感，數據處理活動處理的數據類型亦不敏感，涉及的業務條線并不典型，如果將全部類型的數據處理者都作為網絡安全審查的適用主體，會加重市場主體的負擔和分散監管重點。

《網安審查辦法》規定的“網絡平臺運營者”，在較多情境下作為“數據處理者”的一種類型，能夠體現監管機構在監管資源有限的情況下，聚焦監管敏感主體、敏感情境的思路，有利于實現精準監管、高效監管的目標。當然，“網絡平臺運營者”具體的含義，在現有規則框架下有一定的類似制度可供參考借鑒（詳見后文第“三”部分的討論），但是關于“網絡平臺運營者”的明確含義和邊界，還有待網絡安全審查實踐給出答案。

（二）沒有要求赴香港上市需要主動申報網絡安全審查

《數安條例意見稿》引發廣泛討論和爭論的一項制度是，其新增要求數據處理者赴香港上市，影響或者可能影響國家安全的，應主動申報網絡安全審查。首先，在當前國際政治經濟局勢和市場環境下，大量企業從計劃的其他上市地轉赴香港上市，如果香港上市被納入網絡安全審查監管，會使得大量企業負有申報義務。其次，香港是我國的一部分，香港證券市場監管者對發行人的監管立場、尺度，以及潛在可能因個人信息出境和數據交換引發的顧慮，與其他國家的證券市場及其監管者可能引發的顧慮相比，應當有所不同。

因此，《網安審查辦法》最終的規定，僅僅規定赴國外上市需要主動申報網絡安全審查，沒有加入香港上市需要主動申報。這一定程度上順應了市場的期待與需求。

此外，對于《數安條例意見稿》規定的赴港上市需要申報網絡安全審查的要求，由于《網安審查辦法》已經明確不要求赴港上市申報審查，所以，在后續《數安條例意見稿》經修訂變為正式的《網絡數據安全管理條例》的過程中，起草機關從合理的角度，也應當保持與《網安審查辦法》已經釋放的信號相一致的思路，就境外上市申報審查不創造新的申報情境，只有這樣，才能保持同一部門就同一事項監管的一致性，否則可能引發較大的執法和守法難題。

（三）擬上市企業網絡安全審查申報的時間節點明朗化

《境外上市管理規定意見稿》以及《境外上市備案辦法意見稿》將H股、大紅籌、小紅籌等各類境外上市形式，統一納入證監會的備案監管框架內，要求各類企業境外上市需要向證監會提交備案材料。其中，要求在適用的情況下，網絡安全審查意見將作為一項證監會備案的必備材料，劃定了擬上市企業應進行網絡安全審查申報的時間節點，即在向證監會提交上市備案材料前需要完成網絡安全審查并收到審查意見。

結合境外上市新規征求意見稿，以首次公開發行為例，企業應當在境外提交首次公開發行上市申請文件后3個工作日內，向證監會提交備案材料。因此，企業實際上在境外提交首次公開發行上市申請文件之前，就應完成網絡安全審查。 

就網絡安全審查法定審查期限而言，根據適用的程序類型不同：

· 理論上最短法定審查期限約55個工作日（即：10個工作日內確定是否需要審查 + 30個工作日內完成初步審查 + 網絡安全審查工作機制成員單位15個工作日回復書面意見）。

· 理論上最長法定審查期限約160+N個工作日（即：10個工作日內確定是否需要審查 + 30個工作日內完成初步審查 + 情況復雜的延長15個工作日 + 網絡安全審查工作機制成員單位15個工作日回復書面意見 + 特別審查程序90個工作日 + 情況復雜的可以延長）。

· 實際操作中，由于材料提交及往復溝通并補充材料需要時間，且提交補充材料的時間不計入上述審查時限，所以實際需要的時間，較有可能比上述時間更長。

盡管在復雜情況下，額外延長的規定且補充材料的時間不計入法定審限，但是上述申報時間框架給企業提供了一個相對明晰的時間表，一定程度上有利于明確IPO時間表的預期，便利發行人倒算時間進行IPO準備排期。

但是，需要關注的是，發行人應提前對其是否需要申報網絡安全審查進行較為謹慎的預判。例如，對于是否“掌握超過100萬用戶個人信息”，是否屬于“網絡平臺運營者”，應當以更為謹慎的尺度進行全面衡量和評估。需要謹慎預判的原因在于，如果發行人以較為匆忙或冒進的立場，判斷自己不需要申請網絡安全審查，那么：

· 首先，發行人不會因為自身預判不需要申報網安審查，就使其在證監會的備案流程中可以回避網安審查的問題。證監會建立跨部門協調機制，所以在其審核發行人提交給證監會的備案材料過程中，證監會依舊可能聯合網信辦對發行人是否需要申報網絡安全審查進行判斷。例如，證監會2021年12月24日發布的《證監會有關負責人答記者問》中提及，“證監會將牽頭建立企業境外上市跨部門監管協調機制，在收到企業備案申請材料后，主動與有關主管部門加強溝通或征求意見，以提高備案效率。同時，證監會將配合推動有關主管部門明晰相關領域的監管制度規則，提高政策可預期性。最后，對涉及外商投資安全審查、網絡安全審查等法律法規規定范圍內的企業境外上市，在提交備案申請前，企業應當依法申報安全審查”。由此可見，無論在發行人自我預判中是否認定需要完成網絡安全審查并進行申報，證監會在接收企業提交的備案材料時，均有權并可能會就企業是否需要進行網絡安全審查與網信辦等主管部門溝通并征求其意見。

· 其次，這樣的預判，可能會嚴重拖延發行人完成證監會的備案流程的進度。盡管《境外上市備案辦法意見稿》規定，備案材料完備、符合規定要求的，證監會在20個工作日內出具備案通知書，但是需要特別注意，如果“不需申報”的預判與證監會的理解（以及證監會會同網信辦等主管部門協商的理解）不同，則《境外上市備案辦法意見稿》規定了兩個法定延期機制：（1）《境外上市備案辦法意見稿》第10條第2款規定，備案材料不完備或不符合規定要求的，證監會在收到備案材料后5個工作日內告知需補充的內容，并且補充材料的時間不計算在備案時限內；（2）如果上述（1）的情形，還可以理解為證監會必須在收到備案材料后5個工作日內告知，具有明確時限和可預期性，那么影響更為深遠的是《境外上市備案辦法意見稿》第10條第3款規定，在備案過程中，發行人可能存在《境外上市管理規定意見稿》第7條所列情形的，證監會征求有關主管部門意見的時間不計算在備案時限內。這意味著，如證監會認為發行人可能需要申報網安審查，并詢網信辦意見，證監會、網信辦的征求和協商意見過程沒有法定時限。此刻，發行人在境外的IPO申請文件已經提交，但是可能面臨證監會和網信辦一項無明確期限的監管協商與審查，無疑容易將整個IPO計劃拖入被動局面。 

（四）網絡安全審查中的風險消解整改制度初探和展望

《網安審查辦法》規定了申請人的網絡安全風險消解整改制度。其第16條規定，“為了防范風險，當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施”。

純粹以文意解讀和結構解讀的角度考慮，上述制度體現在《網安審查辦法》第16條中，該條款規定了主管機關主動啟動網絡安全審查程序的情形。因此，該條規定的風險消解整改制度本身可能僅在主管機關主動啟動網絡安全審查的程序中出現及適用。

但是，上述制度以外，《境外上市管理規定意見稿》也規定了實質具有風險消解整改效果的制度。其第8條規定，“境內企業境外發行上市的，應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律法規和有關規定，切實履行國家安全保護義務。涉及安全審查的，應當依法履行相關安全審查程序。國務院有關主管部門可以要求剝離境內企業業務、資產或采取其他有效措施，消除或避免境外發行上市對國家安全的影響”。如前文所述，在發行人向證監會提交備案材料前，就應當已經完成網絡安全審查程序。因此本條所述“有關主管部門可以要求剝離境內企業業務、資產或采取其他有效措施”，在較多情境下應指網信辦會同其他部門審核網絡安全審查申報的程序中，可以采取相應措施。

網信辦與證監會的兩條規定如何協同，是有待網絡安全審查實踐探尋的問題。從企業完成上市的動力和動機角度而言，在業務結構支持的情況下，企業有可能在主動申報的過程中，為了能通過網安審查，主動承諾剝離部分業務，服務“完成上市”這一主目標。因此，期待的一個方面是，主管機關也可以綜合考慮，在企業主動申報的網安審查程序中，是否允許企業承諾采取剝離等風險消解整改措施，以便能在消解國家安全顧慮的同時，給企業一條相對便捷合理的上市通道。

不論企業主動申報的過程中還是主管機關主動啟動網安審查的過程中，如果允許風險消解整改制度存在，并且如果期待這一制度的效果能延及網安審查程序結束之后，形成長效機制，那么風險消解整改制度的執行機制，或許值得參考經營者集中申報中的附條件批準制度，形成結構性、持續性的承諾措施。例如，風險消解整改制度應當考慮實際執行效果，特別是剝離行為不應是表面性的、暫時性的剝離，是否可能在具體案例中，要求申請人聘請律師事務所或者行業顧問等“監督受托人”，對剝離的承諾與執行進行持續性的監督，以避免在上市完成后，申請人立即恢復了剝離業務、從而減損了承諾效果。

（五）上市過程中的信息出境仍是主管機關的關注要點

《境外上市管理規定意見稿》第16條規定，“境內企業境外發行上市的，應當嚴格遵守國家法律法規和有關規定，建立健全保密制度，采取必要措施落實保密責任，不得泄露國家秘密，不得損害國家安全和公共利益。境內企業境外發行上市涉及向境外提供個人信息和重要數據的，應當符合國家法律法規和有關規定”。

上述規定既是證監會對企業境外上市信息與數據出境熱點事件的再次回應，也是對近年頒布的《中華人民共和國數據安全法》（“《數據安全法》”）以及《中華人民共和國個人信息保護法》（“《個人信息保護法》”）中重要數據出境以及個人信息出境制度的呼應。

關于企業境外上市信息與數據出境的顧慮由來已久。例如，就上市企業的審計底稿出境問題，中國證監會、國家保密局、國家檔案局早在2009年曾聯合發布的《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》中要求“在境外發行證券與上市過程中，提供相關證券服務的證券公司、證券服務機構在境內形成的工作底稿等檔案應當存放在境內”。

審計底稿之外，與境外上市有關的其他信息，是否可能因上市行為產生額外的出境風險，也是主管機關一直以來關注的問題。盡管當前境外證券監管機構要求發行人披露的信息相對限縮，也不直接涉及大量系統性的底層業務數據或經營生產中的全局個人信息，但鑒于境外證券主管機關有權修改披露規則和信息提供規則，所以這也作為我國主管機關立法過程中特別關注的事項。例如，在2019年《中華人民共和國證券法》修訂時特別增加了第177條第2款規定，“境外證券監督管理機構不得在中華人民共和國境內直接進行調查取證等活動。未經國務院證券監督管理機構和國務院有關主管部門同意，任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料”。此外，該等信息也需要受到個人信息與重要數據出境的相應規則的規管，例如：

· 《個人信息保護法》第38條至第43條中規定的諸如個人信息出境的幾項前提條件，需要取得個人信息主體的單獨同意，以及達到一定數量的個人信息出境時完成安全評估等；同時，《個人信息保護法》第41條明確要求，非經中華人民共和國主管機關批準，個人信息處理者不得向外國司法或者執法機構提供存儲于中華人民共和國境內的個人信息。

· 《數據安全法》第31條對關鍵信息基礎設施的運營者和其他數據處理者在境內收集和產生的重要數據的出境規定亦需要被遵守。此外，《數據出境安全評估辦法（征求意見稿）》第4條也點明，出境數據中包含重要數據的，需要申報數據出境安全評估。但是，重要數據的認定還有待各地區、各部門確定地區以及相關行業、領域的重要數據具體目錄，企業對此還需持續關注。

需要特別注意的是，上述規定中，無論是證監會管制的“與證券業務活動有關的文件和資料”還是其他法律法規中約束的“個人信息”和“重要數據”出境，其適用條件均劃定為向“境外”提供信息的場景，而不僅局限于向“國外”提供。所以，赴香港上市的企業也需要特別注意遵守和落實上述信息跨境傳輸的規管要求。

三、需要關注或可能面臨的新問題

（一）二次上市及再融資等交易是否需要主動申報網絡安全審查，尚有待明晰

《境外上市備案辦法意見稿》對何種境外資本市場交易安排需要報證監會備案有相對細致、明確的規定。例如，除企業典型的首次公開發行（IPO）外，《境外上市備案辦法意見稿》明確規定二次上市也需按相同標準提交材料進行備案，明確了境外上市后再融資的，也需要按照較為縮減的要求提交一些備案材料。

相比之下，《網安審查辦法》規定何種“上市”需要主動提交網安審查，仍帶有一定的模糊性。目前規定的情形是“上市”，也使用了“擬提交的首次公開募股（IPO）等上市申請文件”的描述，所以典型的首次公開發行必定屬于主動申報網安審查的情形。但是，例如“二次上市”或上市后在同一市場的再融資是否需要主動申報網安審查，仍有待實踐檢驗。《網安審查辦法》提及的“擬提交的首次公開募股（IPO）等上市申請文件”雖然指向IPO，但是這一規定僅僅是在《網安審查辦法》第8條所述需要提交的材料清單中，以列舉示范的形式出現，并且也帶有“等上市申請文件”這樣的兜底尾綴，所以具體是否嚴格限定為IPO，亦有待檢驗。市場主體也有充分的動力期待網信辦、證監會等主管機關能夠在實踐中盡快明確尺度，便利企業盡早作出更有確定性的規劃。

（二）赴港上市在多大程度上依舊與網絡安全審查有關，仍有待主管機關明晰及實踐的檢驗，也敦促企業把握底線思維，注重網安與數據處理合規

《網安審查辦法》的一大重要指向是不再提及赴港上市需要主動申報網絡安全審查，但赴港上市在機制上并不必然與網絡安全審查制度隔絕。

例如，《網安審查辦法》第16條保留了主管機關依職權主動啟動網絡安全審查的機制，其啟動觸發點依舊是“影響或者可能影響國家安全”。這一規定在根本邏輯上與《數安條例意見稿》規定的“影響或者可能影響國家安全”的赴港上市需要申報網安審查是相通的。

作為配套的制度，如上文所述，證監會明確表達了對境外上市要建立跨部門監管協調機制。所以在赴港上市過程中，基于當前的規定，發行人固然沒有主動事先申報網安審查的法律義務，但是在向證監會提交備案材料后，依舊需要面臨證監會、網信辦對于其赴港上市是否“可能影響國家安全”的審視；如確有疑慮，證監會、網信辦也有上文所述的各類制度性規則來啟動網安審查。這一系列配套措施也從另一個角度要求并敦促發行人，即使在赴港上市項目中，也應當始終關注網絡安全合規及數據處理合規狀況，其中特別需要關注數據與信息的出境實踐及企業管控，力爭避免出現重大合規瑕疵與問題，避免被拉近“可能影響國家安全”這一網安審查啟動底線的可能性。

（三）網絡平臺運營者的界定

《網絡安全審查辦法》中規定的主動申報義務主體為“網絡平臺運營者”， 但沒有直接給出“網絡平臺運營者”的詳細定義，該定義及適用范圍的界定關乎是否需要主動申報網絡安全審查。

參考法律規范中相類似的概念，較為接近的是《中華人民共和國電子商務法》所稱“電子商務平臺經營者”、《數安條例意見稿》所稱“互聯網平臺運營者”以及《互聯網平臺落實主體責任指南（征求意見稿）》所稱“互聯網平臺經營者”等概念。具體參考以下表格：

盡管如此，從上述不同法律規范中觀察到相類似表述的立法定義，依據網絡平臺的特征，大致可以分為兩種類型：

第一種定義基于功能主義，立法定義著重于“互聯網服務應用媒介”的本質。例如，《互聯網平臺落實主體責任指南（征求意見稿）》規定：“互聯網平臺是指通過網絡信息技術，使相互依賴的雙邊或者多邊主體在特定載體提供的規則下交互…”。

第二種定義基于場景理論，著眼于社會經常使用的互聯網服務應用，將此類常用網絡服務的特征按照所屬的業務領域劃分，動態的予以類型化規范。例如，《數安條例意見稿》規定“互聯網平臺運營者定義為用戶提供信息發布、社交、交易、支付、視聽等互聯網平臺服務的數據處理者”。

結合上述，企業在排查判斷自身是否構成《網安審查辦法》中網絡平臺運營者時，可以重點考慮三個要素：

1.網絡服務的內容是否涉及信息發布、社交或交易等公眾經常使用的典型網絡平臺服務類型。

2.運營者提供的網絡服務應用，其服務內容是否具有便利“交互”、“聯結”雙邊或多邊群體的主要特征。應考慮的是，網絡服務應用聯結的類型是人與物、人與人或是物與物等類型，在無進一步的規范出臺前，均可能構成“平臺”。

3.網絡服務是否具有積累或撮合大量信息和數據的可能性。

（四）數據安全審查制度與網絡安全審查制度的關系和進一步衍化

在《網安審查辦法意見稿》和《網安審查辦法》的成文過程中，因為主管機關多處強調“數據安全”和“數據處理活動的安全性”，所以數據安全被理解為屬于網絡安全審查評估過程中需要考慮的重要風險因素。

但是，《網安審查辦法》同時也明確提出，國家對數據安全審查、外商投資安全審查另有規定的，應當同時符合其規定。因此，在機制上，數據安全審查成為與網絡安全審查并列的一項獨立制度。《境外上市管理規定意見稿》和《境外上市備案辦法意見稿》中，也多次將網絡安全與數據安全并列。因此，“網絡安全審查制度”與“數據安全審查制度”之間的關系以及未來的發展演變，成為值得關注的一個話題。

網絡安全審查制度和數據安全審查制度都依托于國家安全審查監管制度，其最早由《國家安全法》確立。《國家安全法》規定：“國家建立國家安全審查和監管的制度和機制，對影響或者可能影響國家安全的…特定物項和關鍵技術、網絡信息技術產品和服務…進行國家安全審查…”。此后，網絡安全審查制度與數據安全審查制度于不同的法規中明晰。其中，網絡安全審查制度源于《網絡安全法》第35條的規定，“關鍵信息基礎設施的運營者采購網絡產品和服務，可能影響國家安全的，應當通過國家網信部門會同國務院有關部門組織的國家安全審查”；數據安全審查制度通過《數據安全法》第24條確立：“國家建立數據安全審查制度，對影響或者可能影響國家安全的數據處理活動進行國家安全審查”。

兩者審查的內容各有側重，網絡安全審查制度的審查對象主要是針對關鍵信息基礎設施運營者采購網絡產品和服務或網絡平臺運營者影響或可能影響國家安全的數據處理活動；數據安全審查制度的客體對象是影響或者可能影響國家安全的數據處理活動，數據處理活動包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。從《網安審查辦法》第1條所述的法源依據條款來看，包含了《國家安全法》《網絡安全法》和《數據安全法》；第2條明確了適用主體，既包含關鍵信息基礎設施運營者采購網絡產品和服務，又包含網絡平臺運營者開展數據處理活動。因此，立法者有意在目前尚未單獨建立系統性的“數據安全審查制度”的情況下，為了先行抓住監管重點，將數據安全審查的核心顧慮情境并入網絡安全審查流程中，在該過程中主管機關可依據網絡安全審查這一現有且具有相對成熟流程的制度，一并審查上市這一特定情境中的部分數據處理活動的安全性。值得期待的是，未來應全面落實《數據安全法》的要求，建立更為完整的數據安全審查制度，并可能與網絡安全審查制度在機制上做進一步的厘清。

注：曾俊剛、王筱蓁對本文亦有貢獻