标签:证券与资本市场-企业境内外上市及再融资,汽车、制造业及工业-汽车与出行
前言
继本文上篇、中篇已从整车生产牌照、上市架构设计角度对新能源汽车行业监管动态及应对思路进行详细解析,本篇作为本文最终篇,将围绕以数据安全,网络安全为首的国家安全监管要求以及车企如何在资本运作中适应性调整架构等展开讨论。
伴随新能源汽车生产技术的迅速迭代,部分“造车新势力”凭借在互联网领域的深厚积累,在新能源汽车的智能化发展道路上加速了数据沉淀。与此同时,国家正持续强化国家安全监管体系,因此,在不断提高汽车智能化水平的同时,新能源车企需要更加关注海量的汽车数据带来的合规性问题,进一步地,应谨慎落实以数据安全、网络安全为首的国家安全监管的相应要求,实现在资本运作道路上的健康有序发展。
一、新能源车企资本运作过程中所涉国家安全监管
根据《中华人民共和国国家安全法》等相关规定,我国国家安全工作坚持总体国家安全观,国家安全体系涵盖政治、经济、军事、文化、社会等各个维度,涉及金融、科技、网络与信息安全、自然资源、生态环境保护等各个领域。并且,国家建立国家安全审查和监管的制度和机制,对影响或者可能影响国家安全的外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目,以及其他重大事项和活动,进行国家安全审查,有效预防和化解国家安全风险。
在资本运作过程中,需主要关注的国家安全方面包括数据安全、网络安全及外资安全。进一步地,围绕新能源汽车行业,涉及前述国家安全方面的监管要求主要来自国家发改委、工信部、商务部、国家网信办、中国证监会等监管部门。
1. 新能源车企所涉及的数据安全
在大数据的时代背景下,新能源汽车在设计、生产、销售、运行、维护的全生命周期中,不断产生海量的汽车数据,包括汽车参数信息、车主个人信息、车辆行驶轨迹、车外信息等各类数据。因此,新能源车企应当谨慎落实数据安全相应的监管要求,避免数据合规风险影响自身经营和未来的资本化运作。
纵观我国数据安全的监管体系,2021年9月1日,《中华人民共和国数据安全法》(“《数据安全法》”)正式实施,开启数据安全新时代,工业、电信、交通、科技等行业主管部门与国家安全机关、国家网信部门一同做好数据安全监管工作。作为我国数据安全领域的基础性法律,《数据安全法》对企业的数据处理活动(包括数据的收集、存储、使用、加工、传输、提供、公开等)提出了以下重点要求,即(1)企业应当采取合法、正当的方式收集数据,且在法律法规规定的目的和范围内收集、使用数据;(2)要求企业建立健全全流程数据安全管理制度,采取技术措施和其他必要措施保障数据安全;(3)对数据做分类分级保护,并根据分类结果采取相应的管理措施,如利用互联网等信息网络开展数据处理活动需要进行等级保护备案,重要数据的处理者应当定期开展风险评估并向主管部门报送风险评估报告等;(4)加强风险监测,对于数据安全缺陷、漏洞等风险及时采取补救措施;(5)企业若存在影响或者可能影响国家安全的数据处理活动,需要进行国家安全审查等。
此外,针对汽车行业,国家安全相关部门亦陆续出台专门性规定,要求汽车行业经营实体落实数据安全监管要求,例如,《关于进一步加强新能源汽车企业安全体系建设的指导意见》重申《数据安全法》要求,即新能源车企建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全;要按照法律、行政法规的有关规定进行数据收集、存储、使用、加工、传输、提供、公开等处理活动,以及数据出境安全管理。再如,在《数据安全法》《中华人民共和国网络安全法》(“《网络安全法》”)的基础上,国家网信办、国家发改委、工信部、公安部、交通运输部联合针对汽车行业出台了《汽车数据安全管理若干规定(试行)》(“《汽车数据安全规定》”),从界定汽车数据、明确汽车数据的处理原则等方面进一步细化要求。其中,应重点关注如下主要规定:
(1)汽车数据分类分级保护
“汽车数据”包括汽车设计、生产、销售、使用、运维等过程中涉及的(i)个人信息[1]、(ii)敏感个人信息[2]和(iii)重要数据[3]。《数据安全法》及《汽车数据安全规定》对汽车数据实行分类分级保护制度,对数据处理者在处理不同等级的信息和数据的义务与责任也做出了不同程度的规定。例如,在处理重要数据时,要求汽车数据处理者开展风险评估,并向省级网信部门和有关部门报送风险评估报告、年度汽车数据安全管理情况等等[4];在汽车数据处理者处理个人信息应当取得个人同意的基本要求之外,涉及处理敏感个人信息时,亦进一步要求数据处理者应通过用户手册、车载显示面板等显著方式告知处理的必要性以及对个人的影响等,同时限定收集指纹、人脸等生物识别特征的信息应具有增强行车安全的目的和充分必要性等[5]。
(2)汽车数据处理活动的基本原则
1)全流程数据安全管理。《数据安全法》明确的数据处理活动范围较广,包括数据的收集、存储、使用、加工、传输、提供、公开等,并且要求企业建立健全全流程数据安全管理制度,采取技术措施和其他必要措施保障数据安全。《汽车数据安全规定》进一步明确汽车数据处理者涵盖新能源汽车行业上下游全链条的各类经营主体,包括汽车制造商、零部件和软件供应商、经销商、维修机构以及出行服务企业等,以实现对汽车行业全生命周期数据安全风险的有效管理。
2)直接相关原则。《数据安全法》要求数据处理者应当在法律、行政法规规定的目的和范围内收集、使用数据,《汽车数据安全规定》第四条进一步明确汽车数据处理者处理汽车数据应当合法、正当、具体、明确,与汽车的设计、生产、销售、使用、运维等直接相关。
3)其他合理有效利用的基本原则。根据《汽车数据安全规定》第六条规定,倡导汽车数据处理者在开展数据处理活动坚持以下基本原则:
- 车内处理原则,除非确有必要不向车外提供。
- 默认不收集原则,除非驾驶人自主设定,每次驾驶时默认设定为不收集状态。告知同意是个人信息保护的合法基础,因此,在未告知驾驶人收集信息的情况下,汽车应当默认不收集信息。
- 精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率。
- 脱敏处理原则,尽可能进行匿名化、去标识化等处理。为保证行车安全需要,对于无法征得个人同意采集到车外个人信息且向车外提供的,应当进行匿名化处理,包括删除含有能够识别自然人的画面,或者对画面中的人脸信息等进行局部轮廓化处理等。
(3)汽车数据出境安全评估要求
数据出境安全是国家安全监管的重中之重,《数据安全法》《网络安全法》要求关键信息基础设施的运营者处理的重要数据应当储存在境内,《汽车数据安全规定》在此基础上,进一步明确若确需向境外提供的,应当通过国家网信部门会同国务院有关部门组织的安全评估,未列入重要数据的涉及个人信息数据的出境安全管理,也应按照其他相关法律、行政法规的有关规定执行。
《数据出境安全评估办法》为数据处理者向境外提供在我国境内运营中收集和产生的重要数据和个人信息的安全评估工作提供了制度基础和操作规范,主要从数据出境评估情形与条件、风险自评估与安全评估双管齐下、数据跨境法律文件的具体要求等方面作出规定。具体包括:
- 通过企业所在地省级网信部门向国家网信部门申报数据出境安全评估。《数据出境安全评估办法》第四条明确规定,数据处理者向境外提供重要数据属于申报数据出境安全评估的情形之一,因此,汽车数据处理者确需向境外提供重要数据的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。
- 申报数据出境安全评估前应开展风险自评估。《数据出境安全评估办法》第五条、第六条明确数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,且数据出境风险自评估报告应当作为申报数据出境安全评估的申报材料。风险自评估重点评估的事项包括数据出境和境外接收方处理数据的合法性、正当性、必要性,出境数据的规模、范围、种类、敏感程度等基本情况,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险,境外接收方履行的责任义务及对应管理和技术措施,数据跨境法律文件是否充分约定数据安全保护责任义务等等。
- 数据跨境法律文件应明确约定数据安全保护责任义务。《数据出境安全评估办法》第九条明确了数据处理者与境外接收方之间订立的法律文件中应当至少包括数据出境的目的、方式和数据方式,境外保存地点、期限,违反数据安全保护义务的补救措施、违约责任和争议解决方式等等。
同时,《汽车数据安全规定》第十三条、第十四条规定,汽车数据处理者若向境外提供重要数据,其应当向省级网信部门和有关部门报送年度汽车数据安全管理情况、接收者和出境汽车数据的基本情况、汽车数据出境的必要性、在境外进行保存的基本情况等。
此外,结合近期监管动态来看,境内外上市监管机构均重点关注新能源车企的数据安全合规情况,例如,中国证监会在近期公开的境内企业境外上市备案相关问询案例中,要求发行人说明开发、运营的APP、小程序等产品情况,收集及储存的用户信息规模、数据收集使用情况,上市前后个人信息保护和数据安全的安排或措施,是否涉及向第三方提供信息内容等等;境外证券监管机构亦将针对发行人是否出现过数据不合规的情况、是否对违规收集用户个人信息的情况作出相应整改等问题进行问询,以及落实《汽车数据安全管理若干规定(试行)》等数据安全相关规定的情况等。
2. 新能源车企所涉及的网络安全
随着互联网与通讯技术的迅猛发展,除前述数据安全方面的监管要求外,根据《网络安全法》的要求,新能源车企应当进一步落实网络安全等级保护等制度,并且从关键信息基础设施的运行安全、用户信息保护制度等方面进行规范,建立相应的网络安全合规体系。进一步地,为保障网络安全和数据安全,维护国家安全,国家网信办在《国家安全法》《网络安全法》《数据安全法》的基础上进一步颁布了《网络安全审查办法》,明确了适用主体、主管部门、审查内容、审查流程及周期等基本内容。除运营过程中应注重自身的网安合规之外,对于“造车新势力”来说,掌握海量汽车数据的新能源车企在资本运作过程中,可能面临国家网络安全审查:
《网络安全审查办法》明确将申报或者接受国家网络安全审查的适用对象限定为“关键信息基础设施运营者”和“网络平台运营者”,其中对于掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。在此需要提示注意的是,《网络安全审查办法》明确了“赴国外上市”属于主动申报的情形,企业赴中国香港特别行政区进行上市不属于主动申报的情形。结合我们过往项目经验,新能源车企存在前述情形(如运营的APP用户超过100万)赴国外上市时,通常会向网络安全审查办公室进行主动申报审查,网络安全审查办公室将结合企业的实际情况评估是否需要进行网络安全审查。此外,企业通常亦会聘请专业中介机构对自身掌握数据的情况进行排查,并且在正式申报前提前与主管部门进行预沟通,以合理安排上市时间表。
结合我们的项目经验,境内外上市监管机构同步关注企业落实网络安全合规情况,例如,要求发行人在招股书中说明是否适用网络安全审查的情况,以及落实《网络安全法》等网络安全相关规定的情况等。
3. 新能源车企所涉及的外资安全
除前述数据安全、网络安全的监管要求外,外资安全亦是企业在资本运作过程中需密切关注的重要事项。《外商投资安全审查办法》明确对影响或者可能影响国家安全的外商投资进行安全审查,对于投资关系国家安全的重要运输服务、重要信息技术和互联网产品与服务等特定领域应当在实施投资前主动向国家发改委主动申报。[6]同时,中国证监会今年年初颁布《境内企业境外发行证券和上市管理试行办法》及其配套指引(“境外上市备案新规”),明确指出“涉及安全审查的,应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序”。新能源汽车整车制造业务虽并未落入外资安全审查的监管行业范围,但新能源车企仍应关注其配套业务是否涉及有关外资安全审查范围。因此,对于境外上市的境内企业,中国证监会可能结合企业经营业务情况问询是否涉及外资安全审查的情况,若新能源车企涉及外资安全审查,则需要在提交发行上市申请前完成审查程序。与此同时,境外上市备案新规明确规定,若经国务院有关部门依法审查认定,境外发行上市可能危害国家安全的,将落入“不得境外发行上市”的情形。因此,新能源车企应当全面评估自身业务是否存在可能危害国家安全的情形,可考虑提前与主管部门进行沟通,避免落入境外上市“负面清单”。
此外,针对新能源汽车整车生产企业,外资限制经历了逐步放开的过程,整车生产企业不断调整权益架构符合外资准入要求。需要注意的是,虽然新能源汽车整车制造外资限制已全面放开,但部分新能源车企尚有其他配套业务落入外资限制范围,因此,车企需要全盘考量业务模式,搭建合适的上市架构实现资本化运作(具体分析和解读参见 新能源汽车行业的监管新风向与新问题解析(中篇)——新能源车企上市架构的重新探索与战略选择)。
二、针对国家安全监管要求,适应性调整业务模式
如前所述,新能源车企应当立足于数据安全为首的国家安全体系的监管环境建立完善的合规制度体系,针对性、适应性地调整企业架构和业务模式。除基于外资安全监管要求在股权架构上做出一定调整之外,新能源车企应进一步对现有业务数据类型及数据处理模式进行评估,包括(1)是否涉及敏感数据,例如是否存在收集、使用车主身份信息或具有生物识别特征的信息;(2)部分数据业务经营实体是否无法纳入上市体系,例如该等数据业务实体赴境外上市属于可能危害国家安全的情形等;(3)是否涉及禁止出境的数据,例如涉及我国地面移动测量信息、地图信息等等。
基于此,为了满足当下数据合规的动态监管要求,企业通常结合数据规模、数据类型、数据需求以及其他商业考量对其现有数据业务进行适应性调整,为后续资本化运作创造良好基础。结合我们的过往经验,企业可根据自身情况考虑如下方式:
1. 自有模式
若企业的业务数据不涉及敏感数据(如处理的数据不涉及车辆行踪轨迹、生物识别特征等),或者数据量级有限(如处理未超过10万人的个人信息等),可以考虑在满足合规要求的前提下,由新能源车企自行数据处理业务,并保留在业务体系架构内赴境外上市。
但需要注意的是,如果企业自行或聘请专业第三方机构评估后认为前述数据处理业务与其他公司业务无法分割,例如自动驾驶相关研发数据处理业务与地面移动测量业务(属于外资禁止类业务)从商业和技术角度无法分离,则企业可能需根据业务情况考虑搭建VIE架构以满足上市需要。
2. 关联交易模式
对于涉及敏感数据、重要数据的企业来说,可考虑将相关数据业务剥离至拟上市主体的关联企业(如实际控制人另行设立的新公司),该关联企业未纳入上市体系内。相关数据业务剥离后,由该关联企业处理拟上市主体原有数据业务,拟上市主体通过关联交易方式进行商业合作。
我们提示注意,在该模式下企业需进一步持续关注境内外证券监管机构在关联交易、业务独立性等方面监管动态(如该等运营模式是否对关联方存在重大依赖等),提前做好相关解释答复的应对准备。
3. 委托合作模式
对于专注于生产制造的新能源车企来说,自行处理数据可能并不是核心商业需求。因此,根据数据及业务开展情况,委托专业的第三方机构提供数据处理服务,也不失为一种合适的选择。当然,对于委托企业来说,也需要遵守监管规则关于数据使用、数据分享等方面的基本要求。
需要关注的是,境内外证券监管机构就委托数据处理模式及行为是否符合法律规定可能提出问询,例如委托处理行为是否超过个人信息主体授权同意的范围、是否核查数据处理者具备足够的数据安全能力、是否要求数据处理者作出数据来源合法合规的承诺与保证、是否对受托方采取一定的管控措施或建立评价机制等等,为此,前述新能源车企需要谨慎从数据安全角度出发,落实有关委托方在数据安全方面的合规要求。
综上所述,企业应当基于自身不同的业务模式及数据需求,密切关注数据合规等国家安全监管动态,结合资本运作的具体情况,对架构进行适应性优化和调整。同时,若在国家安全方面存在合规瑕疵,企业应当根据法律法规以及主管部门的要求,采取及时整改、作出承诺、剥离业务资产等措施,消除或者避免在资本运作过程中对国家安全的影响,从而避免法律风险和经营风险,以适应市场变化和实现长足稳定发展。
结语
尽管欧盟委员会于今年9月已经对原产于中国的新能源汽车发起反补贴调查,但得益于我国政府持续加力为新能源汽车行业保驾护航,我国新能源汽车行业仍然展现出繁荣发展的态势。与此同时,我国政府也在优化产能利用率、提高新能源汽车产品质量等方面做了有益引导和规范,对于现有的新能源车企,尤其是未来即将跻身于新能源汽车赛道的企业来说,企业应积极应对新形势下的挑战,密切持续关注监管动态,适时调整企业架构,梳理并整改不合规风险,以实现平稳立足和可持续发展。
扫码订阅“金杜律师事务所”,了解更多业务资讯
《汽车数据安全管理若干规定(试行)》第三条规定,个人信息是指以电子或者其他方式记录的与已识别或者可识别的车主、驾驶人、乘车人、车外人员等有关的各种信息,不包括匿名化处理后的信息。
《汽车数据安全管理若干规定(试行)》第三条规定,敏感个人信息,是指一旦泄露或者非法使用,可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。
《汽车数据安全管理若干规定(试行)》第三条规定,重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益或者个人、组织合法权益的数据,包括:(一)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据;(二)车辆流量、物流等反映经济运行情况的数据;(三)汽车充电网的运行数据;(四)包含人脸信息、车牌信息等的车外视频、图像数据;(五)涉及个人信息主体超过10万人的个人信息;(六)国家网信部门和国务院发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。
《汽车数据安全管理若干规定(试行)》第十条、第十三条。
《汽车数据安全管理若干规定(试行)》第九条。
《外商投资安全审查办法》第四条规定,下列范围内的外商投资,外国投资者或者境内相关当事人(以下统称当事人)应当在实施投资前主动向工作机制办公室申报:(一)投资军工、军工配套等关系国防安全的领域,以及在军事设施和军工设施周边地域投资;(二)投资关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术以及其他重要领域,并取得所投资企业的实际控制权。