适用场景
计划或正在进行境外(尤其是美国等国家)上市的中国企业,特别是掌握大量用户个人信息、运营关键信息基础设施或涉及核心/重要数据处理活动的网络平台运营者。
核心要点
1. 审查适用范围扩大
新版《网络安全审查办法》将监管对象从关键信息基础设施运营者扩展至“网络平台运营者”。只要企业涉及网络数据处理活动,其境外上市行为就可能触发审查,不局限于狭义的平台型公司。
2. 境外上市强制申报门槛
明确要求掌握超过100万用户个人信息的网络平台运营者赴国外(不包括香港)上市,必须主动向网络安全审查办公室申报网络安全审查。这是基于数据安全风险的量化监管红线。
3. 香港与国外上市区别对待
赴香港上市不适用上述强制申报条款,但若其数据处理活动影响或可能影响国家安全,监管机构仍可依职权启动审查。赴港上市的监管尺度相对宽松,采取风险导向原则。
4. 审查聚焦国家安全风险
审查重点评估核心数据、重要数据或大量个人信息被窃取、泄露、非法出境的风险,以及上市后关键信息基础设施、核心数据等被外国政府影响、控制或恶意利用的风险。
5. 审查程序与时间成本
网络安全审查程序包括材料申报、初步审查、意见征询和特别审查等步骤。常规审查周期可能长达60个工作日,若进入特别审查程序,则可能延长至150个工作日或更久,企业需提前规划上市时间表。
实务建议
- 在启动境外(尤其是美国)上市流程前,先行评估自身是否属于“网络平台运营者”并核查掌握的个人信息数量是否超过100万条,以判断是否触发强制申报义务。
- 若计划赴国外上市,应在向境外证券监管机构提交上市申请之前,提前向国家网络安全审查办公室申报审查,预留充足的审查时间。
- 即使赴香港上市或无需强制申报,也应进行全面的数据安全与国家安全风险自评估,提前识别并化解潜在风险。
- 将网络安全审查与数据出境安全评估视为两项独立且必须完成的合规程序,即使通过网络安全审查,仍需依法完成数据出境安全评估。
- 在审查期间或发现风险时,主动采取技术加固、管理升级、暂停部分数据处理活动等措施,以预防和消减国家安全风险。
风险提示
- 切勿将“网络平台运营者”狭义理解为仅提供交易撮合服务的平台,只要业务涉及网络数据处理,就可能被纳入监管视野。
- “掌握”个人信息的概念范围较广,可能包括受托处理数据的情形,企业需谨慎评估自身角色与数据控制边界。
- 已境外上市企业的后续增发等资本活动,若涉及新的数据安全风险,仍可能引发审查,并非一劳永逸。
- 网络安全审查结论具有不确定性,存在因影响国家安全而被否决上市进程的风险,企业需准备备选方案(如考虑境内或香港上市)。
- 不要混淆网络安全审查与数据出境安全评估,两者法律依据、目标和程序不同,需分别履行合规义务。