适用场景
计划或正在进行境外(包括香港)上市的中国企业,特别是处理个人数据或重要数据的公司,在上市筹备、重组及上市后持续运营阶段均需关注。
核心要点
1. 适用范围广泛,几乎所有企业都需关注
法规不仅适用于互联网企业,任何在运营中涉及数据处理(如人力资源、供应链、客户信息)的企业都可能受到规制。企业需全面审视自身数据处理活动,为上市合规审查做好准备。
2. 赴外上市明确触发网络安全审查的条件
赴国外上市,若企业处理超过一百万人个人信息,必须申报网络安全审查。赴香港上市,若影响或可能影响国家安全,也需申报。审查范围不仅限于IPO,也包括SPAC、借壳上市等其他方式。
3. 上市重组与持续运营均有新义务
上市前重组若涉及重要数据或百万人以上个人信息,需向网信部门报告。成功上市后,企业每年需开展数据安全评估并提交报告,履行持续合规义务。
4. 违规后果严重,影响上市进程与持续经营
未履行网络安全审查申报、重组报告或年度评估义务,将面临高额罚款、责令停业、吊销证照等行政处罚,直接责任人员也会被处罚,并可能引发诉讼等更严重后果。
实务建议
- 尽早启动数据合规自查:梳理企业处理的所有数据类型、数量、流程及涉及的业务环节,建立数据资产清单。
- 搭建并完善数据合规体系:依据《网络安全法》《数据安全法》《个人信息保护法》等核心法律,建立内部制度、合同文本及操作流程。
- 提前评估并规划上市路径:根据拟上市地点(国外或香港)及自身数据处理情况,提前判断是否触发审查,并预留充足的合规整改与审查时间。
- 妥善处理上市相关重组:若上市前涉及合并、分立等重组,且处理重要数据或大量个人信息,应依法向网信部门履行报告义务。
- 建立持续合规机制:上市后需制定年度数据安全评估计划,并按时提交报告,将数据合规纳入公司常态化管理。
风险提示
- 误区:认为只有互联网公司或直接面向消费者的公司才需关注数据合规。实际上,任何涉及电子化信息处理的企业都可能落入监管范围。
- 误区:认为赴香港上市无需担心网络安全审查。虽然触发条件不同,但若涉及国家安全风险,同样需要申报审查。
- 注意事项:数据量计算需谨慎。“处理一百万人以上个人信息”的统计口径(如是否累计、是否包含受托处理数据)有待细则明确,建议从严把握。
- 注意事项:已上市企业(尤其是寻求二次上市的中概股)并非高枕无忧,需关注持续合规义务及交易所可能提出的新要求。