适用场景
本指南适用于计划在境外(非中国大陆)上市的中国企业,特别是处理超过100万用户个人信息数据的企业,以及从事数据处理活动可能影响国家安全的各类企业。企业在筹备境外IPO阶段需重点关注。
核心要点
1. 审查范围显著扩大
网络安全审查对象已从关键信息基础设施运营者(CIIO)采购网络产品和服务,扩展到所有从事数据处理活动并可能影响国家安全的数据处理者,特别是计划境外上市的企业。
2. 境外上市强制审查门槛
拥有超过100万用户个人信息的数据处理者,在境外上市前必须向国家网信部门申请网络安全审查。这一规定明确了非CIIO企业境外上市的合规义务。
3. 审查重心转向数据安全
审查关注点已从传统的网络产品供应链安全扩展至数据安全,依据《数据安全法》引入“核心数据”和“重要数据”概念,重点防范数据被窃取、泄露、滥用或受外国政府控制的风险。
4. 审查流程与周期延长
中国证监会已加入审查机构,审查流程可能因复杂情况延长。特殊审查流程下,审查周期可达3个月,实际操作中企业需预留5-6个月时间以完成审查。
5. “境外上市”定义仍存模糊
“境外上市”是否包含香港上市、SPAC、RTO、直接上市等多种方式,以及后续发行、债券发行是否适用,目前尚待明确。对已上市企业是否追溯审查也未有明确规定。
实务建议
- 持续关注并遵守最新的个人信息保护政策,避免过度收集与服务无关的个人信息,特别是敏感个人信息,并不断提升用户信息保护水平。
- 密切跟踪“重要数据”的识别标准,全面落实重要数据保护、安全风险评估、数据本地化等要求,建立数据安全影响评估和内部合规治理体系。
- 细化网络产品和服务的供应链安全审查,包括对供应商进行合规性评估、在合同中约定安全承诺、并在合作期间及后续进行审计,确保供应链安全透明。
- 提前规划并预留充足时间应对网络安全审查,尤其是在境外上市前,将审查周期(可能长达5-6个月)纳入上市时间表。
- 建立健全内部数据合规管理体系,对高风险数据处理活动进行事前评估和持续合规审计,确保数据处理全流程合规。
风险提示
- “境外上市”的具体范围存在不确定性,特别是香港上市是否被涵盖,以及SPAC、RTO等新型上市方式的适用性,企业需密切关注官方解释。
- 对于已在境外上市的企业,后续发行或债券发行是否需要再次审查,以及未通过审查的后果尚不明确,存在潜在合规风险。
- “核心数据”和“重要数据”的具体识别标准和范围有待进一步明确,可能影响企业的数据分类分级和合规策略,需持续关注相关细则。
- 网络安全审查周期较长,可能对境外上市的整体时间表造成延误,企业需提前做好充分准备和时间管理。
- 未通过网络安全审查可能导致上市受阻,对已上市企业而言,未通过审查的法律后果尚不清晰,可能面临运营和声誉风险。