适用场景
计划或已在境外(包括香港、美国等地)上市的中国企业,特别是处理大量个人信息或重要数据的互联网平台、科技公司及数据密集型行业企业。
核心要点
1. 网络安全审查的触发条件
赴国外上市且处理超过100万人个人信息的数据处理者,必须申报网络安全审查。赴香港上市则需在‘影响或可能影响国家安全’时才触发审查,但该标准尚不明确,实践中建议提前评估。
2. 年度数据安全评估与报告义务
所有处理重要数据或已赴境外上市的数据处理者,必须每年自行或委托机构开展数据安全评估,并在次年1月31日前向市级网信部门提交报告。报告需涵盖数据处理、风险处置、制度落实及安全事件等情况。
3. 上市重组过程中的报告要求
企业在上市架构重组(如合并、分立)时,若涉及重要数据或超100万人个人信息的转移,数据接收方需向市级主管部门报告。广义理解下,集团内任何涉及此类数据处理者的重组都可能需履行报告义务。
4. 审查主体与上市方式的界定
网络安全审查申报主体明确为‘数据处理者’(自主决定处理目的和方式的组织),但委托处理数据的运营者是否排除尚不明确。‘上市’概念可能涵盖IPO、SPAC、借壳上市及二次上市等多种方式。
实务建议
- 在启动境外上市计划前,首先评估企业是否处理‘100万人以上个人信息’或‘重要数据’,并据此判断是否需要提前申报网络安全审查。
- 无论是否触发审查,只要计划赴境外上市或已在境外上市,立即建立年度数据安全评估机制,确保能在每年1月31日前完成报告并提交。
- 若涉及上市前红筹架构搭建、业务重组或数据资产剥离,谨慎评估是否触及重要数据或百万人个人信息转移,并提前准备向网信部门的报告材料。
- 对于赴港上市企业,尽管审查门槛看似较高,但因‘国家安全影响’标准模糊,建议主动咨询专业机构或与监管部门沟通,避免后续合规风险。
- 在数据安全评估报告中,重点准备‘向境外提供重要数据’的相关风险评估内容,包括数据接收方背景、合同约束力及安全防护措施等。
风险提示
- 切勿认为赴香港上市一定免于网络安全审查,‘影响国家安全’的宽泛解释可能导致实际审查范围扩大,盲目规避可能引发处罚。
- 年度数据安全评估报告不是一次性工作,上市后需持续进行,未按时提交或报告不实可能面临监管问责。
- 上市重组报告义务可能被广义解释,即使集团内数据未发生实际转移,仅因存在处理重要数据的子公司,重组也可能需要报告,切勿忽视。
- 网络安全审查的‘数据处理者’定义可能排除纯受托处理方(如云服务商),但若企业自主决定数据使用方式,仍可能被纳入审查范围。
- 数据安全评估报告内容需严格对照法规要求,特别是数据出境、共享、委托处理等环节的风险评估,缺失关键项目可能导致报告无效。