适用场景
计划或正在筹备赴中国大陆以外地区(如美国、欧洲、东南亚等)上市,且掌握超过100万用户个人信息的中国网络平台运营企业。
核心要点
1. 明确申报主体与触发条件
申报主体通常为拟上市的中国境内实体。触发审查的核心条件是“掌握超过100万用户个人信息的网络平台运营者赴国外上市”。用户数量需全面统计,包括注册用户、访客及通过其他方式收集的个人信息。赴香港上市不在此列。
2. 理解审查流程与时间周期
审查流程涉及四级主管机构,从材料提交到最终批准,法定工作时长在55至160个工作日或更长。企业需将审查时间充分纳入上市时间表,并尽早启动。
3. 把握审查核心内容与国家安全导向
审查聚焦国家安全风险,主要评估四个方面:上市基本情况、股权与控制权结构、数据处理活动(特别是重要数据、敏感个人信息及出境情况)、以及上市涉及的数据对外提供行为。
4. 积极沟通与提前准备是关键
在不确定是否需申报时,建议主动与中国网络安全审查技术与认证中心沟通。审查并非为了阻止上市,而是管控国家安全风险。自身数据合规体系健全、无重大违规记录的企业,通过审查的可能性较大。
实务建议
- 尽早自我评估:根据业务模式全面、客观评估是否掌握超过100万用户个人信息,避免误判。
- 提前夯实合规基础:在启动上市流程前,务必完善数据安全、网络安全与个人信息保护合规体系,完成相关整改。
- 主动联系主管机构:如有上市计划且可能触发审查,应尽早联系中国网络安全审查技术与认证中心进行预沟通。
- 预留充足时间:为网络安全审查申请、材料准备(约需1个月)及可能的补充材料环节预留充足时间,确保与上市时间表匹配。
- 确保材料真实完整:严格按照模板准备《申报书》和《分析报告》,并如实、详尽地回答监管问题,积极配合可能的实地核查。
风险提示
- 切勿心存侥幸或隐瞒:上市信息公开后必然引起监管关注,未主动申报而后续被发起调查风险更高。提供虚假材料将面临严重后果。
- 避免对“平台”定义理解过窄:应参照“网络运营者”的广义定义进行判断,避免因纠结字面意思导致漏报。
- 注意用户数量的动态变化:在漫长的上市进程中,用户数据可能增长至超阈值,需动态评估并及时沟通。
- 关注与其他监管程序的衔接:留意境外上市新规(如证监会备案要求)可能与网络安全审查结论挂钩,需统筹规划。