适用场景
计划或正在进行境外(尤其是美国、香港)上市,或涉及跨境资产证券化(ABS)等数据密集型业务的中国出海企业,特别是掌握大量用户个人信息的平台型企业。
核心要点
1. 境外上市触发网络安全审查的关键门槛
根据《网络安全审查办法》,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须主动申报网络安全审查。此处的“掌握”不仅包括作为个人信息处理者,也可能涵盖作为受托处理者(如云服务商)的情形。赴港上市虽无此强制申报要求,但监管机构仍可依职权启动审查,影响上市进程。
2. 上市保密新规下的工作底稿管理
根据《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定》,中介机构在境内形成的工作底稿应存放在境内。未经国家审批,不得直接出境。当前实务中,赴港上市项目通常由境外中介机构的境内关联方在境内审阅底稿,以避免违规风险。
3. 资产收购中的个人信息处理路径选择
在收购底层资产(如应收账款)涉及个人信息时,企业面临合规路径选择。将行为界定为“个人信息对外提供”需满足严格的单独同意和告知要求,操作难度大。更可行的路径是将其解释为因资产转让引发的“个人信息转移”(参考《个人信息保护法》第22条),或与资产方建立“委托处理”关系,以降低合规障碍。
4. 尽职调查中的个人信息合规安排
对底层资产进行抽样尽职调查时,若从资产方获取债务人个人信息,建议将双方关系界定为“个人信息委托处理”,而非“对外提供”。通过签订委托处理协议,明确双方权利义务,可以规避单独同意的要求,使调查活动得以顺利进行。
实务建议
- 计划赴美上市前,若企业掌握超100万用户信息,务必提前评估并主动申报网络安全审查。
- 赴港上市虽无强制申报要求,但为规避监管不确定性,可考虑提前向网信部门咨询,甚至主动申报审查以稳定上市时间表。
- 与境外上市中介机构明确约定,所有在境内形成的工作底稿必须存放在境内,并制定境内审阅流程,避免违规出境。
- 在资产证券化(ABS)等业务中,设计交易结构时优先考虑使用“个人信息委托处理”或“因合并/分立等引起的转移”框架来处理伴随资产转让的个人信息。
- 与数据提供方(如底层资产方)签订完善的个人信息委托处理协议,明确处理目的、方式、安全措施及双方责任。
风险提示
- 切勿低估“掌握100万用户信息”的认定范围,个人信息受托处理者也可能被纳入,需谨慎评估自身状态。
- 赴港上市不强制申报网络安全审查,但绝非“安全区”,依职权审查风险依然存在,不可掉以轻心。
- 严禁未经审批将上市工作底稿直接传输或携带出境,否则可能面临严重的合规处罚。
- 在资产收购中,若简单将接收个人信息行为视为“对外提供”且未获有效同意,将导致业务合法性存疑,引发重大风险。
- 注意《个人信息处理中告知和同意的实施指南》等推荐性国标虽非强制,但代表了监管倾向,对“转移”行为的解释存在争议,需持续关注立法动态。