适用场景
计划或正在进行境外(尤其是国外)上市的中国企业,特别是掌握大量用户个人信息的网络平台运营者或数据处理者。
核心要点
1. 强制申报门槛
掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须主动向网络安全审查办公室申报网络安全审查。这是判断是否需要申报的核心量化标准之一。
2. 审查范围与触发条件
网络安全审查不仅针对关键信息基础设施运营者,也涵盖所有开展数据处理活动的网络平台运营者。只要其数据处理活动(包括上市行为本身)影响或可能影响国家安全,就可能触发审查,审查可由企业申报或监管部门依职权启动。
3. 香港与国外上市的区别
根据现行规定,赴香港上市不适用“掌握100万用户个人信息即须申报”的强制条款。判断重点在于上市活动是否“影响或可能影响国家安全”,企业需据此进行风险评估。
4. 审查流程与时间
申报应在向国外证券监管机构提交上市申请前进行。审查流程包括材料受理、初步审查(通常30个工作日,可延长)、征求意见等阶段,若进入特别审查程序,可能长达90个工作日或更久,企业需为上市时间表预留充分缓冲。
5. 法律后果与风险
未依法申报或审查未通过而上市,可能面临高额罚款、业务暂停、吊销许可等行政处罚,相关责任人员也会被追责。上市中介机构若未尽督促职责,同样可能受罚。审查期间,企业可能被要求采取暂停新用户注册等风险消减措施。
实务建议
- 上市前尽早进行网络安全与数据合规自评估:重点评估是否掌握超100万用户个人信息、是否属于网络平台运营者、数据处理活动(特别是数据出境)是否可能影响国家安全。
- 明确上市目的地规则:区分赴国外上市与赴港上市的不同义务,赴港上市虽无强制申报门槛,但仍需对“影响国家安全”的可能性进行审慎评估并准备应对。
- 建立并完善数据合规体系:在上市前搭建符合《网络安全法》《数据安全法》《个人信息保护法》要求的内控制度,包括数据分类分级、安全存储传输、访问控制等,并保留相关记录。
- 提前与主管部门沟通:在无法明确自身是否被认定为关键信息基础设施运营者或是否触发审查时,可考虑咨询行业主管部门或网信部门,寻求初步指引。
- 在招股书中进行针对性披露:参考已有案例,清晰说明公司对相关法规的理解、已采取的合规措施、是否申报审查及理由,并充分提示相关风险。
- 将审查时间纳入上市规划:如需申报,应尽早启动,并将审查可能需要的周期(数月至半年以上)纳入整体上市时间表,避免因审查延误上市进程。
风险提示
- 误区:认为只有被明确通知为“关键信息基础设施运营者”才需关注审查。实际上,所有处理数据的网络平台运营者,若活动可能影响国家安全,都可能被审查。
- 误区:认为赴香港上市绝对安全。赴港上市虽无100万用户的强制申报线,但若被认定可能影响国家安全,仍可能被依职权审查或要求进行数据安全评估。
- 注意事项:“影响国家安全”的定义具有弹性,监管部门有自由裁量权。企业评估时需综合考虑行业属性、数据敏感度、规模、出境情况、国外政府干预风险等多重因素。
- 注意事项:网络安全审查与数据安全评估是两项可能并存的要求。赴境外上市的企业可能还需按规进行年度数据安全评估并报备。
- 注意事项:不要试图规避申报。若应报未报,即便成功上市,后续仍可能面临监管追溯、处罚,甚至被迫退市,风险极高。