适用场景
计划赴境外(包括香港)上市的中国企业,以及已在境外上市的中国企业,特别是涉及大量用户个人信息或重要数据的平台型企业。
核心要点
1. 境外上市网络安全审查门槛
针对计划赴境外(非香港)上市的企业,若其处理超过100万用户的个人信息,必须向国家网信部门申请网络安全审查。此规定旨在确保国家数据安全,是企业赴美等市场上市前的重要合规环节。
2. 香港上市网络安全审查考量
赴香港上市的企业,其网络安全审查义务并非基于用户数量,而是当其上市活动“影响或可能影响国家安全”时才需申请审查。然而,目前对于“影响国家安全”的具体界定尚待明确,企业需保持警惕。
3. 年度数据安全审查与报告义务
所有已在境外(包括香港)上市的中国企业,或处理重要数据的企业,均须每年自行或委托第三方进行数据安全审查。审查报告需于次年1月31日前提交至企业所在地的市级网信部门,这是一项持续性的合规要求。
4. 重组过程中的数据安全报告
若企业在上市前或上市过程中进行合并、重组或分立,且涉及重要数据及超过100万用户的个人信息,则需向区市级主管机关报告。此规定旨在监管数据流转和安全责任的承继,确保数据在架构调整中的安全。
实务建议
- 对于计划赴境外(非香港)上市且用户量大的企业,应提前将网络安全审查纳入上市时间表,并预留充足的审查周期。
- 赴香港上市的企业需密切关注监管机构对“影响国家安全”的解释细则,并预先评估潜在风险,必要时主动申请审查。
- 所有已境外上市企业应建立健全年度数据安全审查机制,并按时提交报告,可考虑聘请专业数据安全服务机构协助完成。
- 企业在进行上市前或上市后的集团架构重组时,需评估是否触发数据安全报告义务,特别是涉及重要数据和大量个人信息的情况。
- 关注监管机构对“数据处理者”和“上市”概念的进一步明确,例如SPAC、RTO、直接上市及二次上市等均可能被纳入审查范围,需全面评估。
风险提示
- 香港上市并非完全豁免网络安全审查,若被认定影响国家安全,仍需履行审查义务,这可能增加上市的不确定性。
- “影响或可能影响国家安全”的界定模糊,可能导致企业出于谨慎而过度申报,或因理解偏差而遗漏申报,面临合规风险。
- “上市”的定义广泛,不仅限于首次公开发行(IPO),多种上市方式均可能触发审查,企业应避免误解而忽视合规。
- 年度数据安全审查是持续性义务,已上市企业需每年履行,而非一次性要求,若未能按时提交报告将面临违规风险。
- 重组报告义务的适用范围(狭义或广义)存在不确定性,可能对常见的红筹架构搭建和拆除产生影响,需谨慎评估。