适用场景
计划或正在进行境外(包括香港)上市的中国企业,特别是处理大量个人信息或重要数据的互联网、科技、金融等行业公司。
核心要点
1. 审查制度演进与核心义务
网络安全审查制度已从最初聚焦关键信息基础设施运营者,扩展至所有可能影响国家安全的数据处理活动。根据最新法规趋势,处理超过100万人个人信息的公司赴国外上市,必须申报审查;赴香港上市若可能影响国家安全,同样需要申报。
2. 审查启动的关键条件
触发审查的核心条件包括:企业是否被认定为关键信息基础设施运营者;处理个人信息是否达到100万人以上;以及企业的数据处理活动是否“影响或可能影响国家安全”。赴港上市的审查触发更侧重于对国家安全的风险评估。
3. 国家安全风险评估要素
评估是否影响国家安全需重点考虑:产品服务供应链的安全性与可靠性;核心数据、重要数据或大量个人信息被窃取、泄露、非法出境或被外国政府恶意利用的风险;以及企业遵守中国法律法规的情况。
4. 未合规的严重后果
应申报而未申报网络安全审查,企业可能面临高额罚款、责令停业、吊销执照等处罚。企业的控股股东、实际控制人及高管也可能被处以罚款。上市中介机构若未勤勉尽责,同样会面临处罚。
实务建议
- 上市前进行全面的网络安全与数据合规自评估,重点评估数据处理活动对国家安全的风险。
- 若处理个人信息超100万且计划赴国外上市,应提前准备并主动申报网络安全审查。
- 赴香港上市的企业,即使个人信息未达百万,也需基于业务、数据量级、敏感性等因素,审慎评估国家安全风险,决定是否申报。
- 建立健全数据安全管理制度,包括数据分类分级、安全存储与传输、访问控制等措施,并保留相关执行记录。
- 与行业主管部门保持沟通,尽可能明确自身是否属于或可能被认定为关键信息基础设施运营者。
- 在招股说明书中对网络安全审查相关风险进行充分、审慎的披露,并说明已采取的合规措施。
风险提示
- 切勿认为赴香港上市就一定无需进行网络安全审查,只要可能影响国家安全,仍有申报义务。
- “上市”概念可能涵盖IPO、二次上市、SPAC、借壳上市等多种形式,不能仅以传统IPO理解审查范围。
- 避免对“影响国家安全”的理解过于狭隘,应结合业务、数据性质、行业背景进行综合、保守评估。
- 不要等待《网络数据安全管理条例》正式生效才行动,现行《数据安全法》已确立国家安全审查制度,应依据现行法规提前准备。
- 中介机构(如券商、律所)也负有督促责任,不可忽视其自身的合规风险。