前沿观察,

当港股上市遇到网络与数据安全——近期热点问题及应对

中国 | 中文
所在网站 :    中国   |   中文
澳大利亚
比利时
中国
中国香港特别行政区
德国
意大利
日本
新加坡
西班牙
阿联酋
英国
美国
全球

在网络安全与数据合规治理体系日趋完善的背景下,网络与数据安全已然成为企业上市过程中监管部门审查关注的重点问题。国家互联网信息办公室(“国家网信办”)今年通过对网络安全审查制度的修订及数据出境安全管理与评估制度的完善,以及进一步强化对数据处理活动所引发的国家安全风险的管控,从而对赴境外上市企业的数据合规水平与数据安全风险防范能力也提出了新要求。此外,12月24日,中国证监会公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,就境内企业境外发行证券和上市向社会公开征求意见,其中明确提到,“境内企业境外发行上市的,应当严格遵守……网络安全、数据安全等国家安全法律法规和有关规定”,再次呼应了赴港上市企业应当履行的网络及数据安全义务。

本文将立足于数据安全新近立法以及境外证券监管,为港股上市企业解读赴港上市前后需关注的数据合规要点,以期协助境内企业在赴香港上市过程中做好相应的合规准备及应对。

一、问题的提出

《中华人民共和国网络安全法》(“《网络安全法》”)落地履行已逾三年,我国网络安全与数据合规领域另外两部上位法《中华人民共和国数据安全法》(“《数据安全法》”)和《中华人民共和国个人信息保护法》(“《个人信息保护法》”)于2021年相继正式生效实施。在《网络安全法》《数据安全法》以及《个人信息保护法》的基础上,《网络安全审查办法(修订草案征求意见稿)》(“《审查办法(征求意见稿)》”)、《数据出境安全评估办法(征求意见稿)》(“《办法(征求意见稿)》”)、《关键信息基础设施安全保护条例》《网络数据安全管理条例(征求意见稿)》(“《条例(征求意见稿)》”)等配套规则陆续发布并相互衔接补充,中国网络空间治理的监管思路日趋深入与细化,逐步形成“国家安全——网络安全——信息安全——数据安全”四位一体的综合治理思路。

前述新近立法文件发布后,赴港上市的境内企业尤其是数字型企业多在一定程度上开展了数据安全角度的相关合规性核查,并进一步就网络安全审查申报等流程的适用性进行了初步分析和论证。与此同时,香港证券监管机构的审查和问询重点也随之有所调整,尤其是就企业的数据情况、网络安全审查申报、数据出境安全评估等问题予以重点关注。鉴于此,赴港上市企业依法履行日常数据合规义务之余,还需重点关注新近立法对于境外上市企业数据合规义务的新要求,以做好监管动态要求的有效应对。

二、港股上市需重点关注的数据合规问题

1.    上市准备阶段的数据合规排查

伴随《网络安全法》《数据安全法》以及《个人信息保护法》相继颁布并生效,企业在网络安全、数据安全以及个人信息保护方面的合规性亦逐渐成为企业上市准备阶段受到监管部门审查关注的重点问题。

在这样的背景下,近期,网络安全数据合规排查已成为如今许多赴港上市企业尽调阶段不可缺少的环节。据了解,赴港上市企业在上市流程启动阶段即委托专业中介机构开展针对性网络安全与数据合规排查,并就识别出的风险点进行及时整改,以确保有效应对证券监管部门可能提出的关于企业网络安全、数据合规及算法等相关问询,并能够在招股文件和回复函中进行如实准确地披露。同时,开展上述工作亦能帮助企业有效提升业务合规性,避免在上市准备阶段因业务合规性问题受到国内监管部门行政执法的通报或处罚并造成不利舆论影响,进而对企业境外上市造成潜在不利影响。

2.    港股上市中网络安全审查的关键考量

《审查办法(征求意见稿)》与《条例(征求意见稿)》均明确规定,符合一定条件的企业赴境外上市,应进行网络安全审查申报。相较于《审查办法(征求意见稿)》而言,条例的出台从一定程度上对具体认定和释义进行了细化,明确了申报事由和申报要求。尤为值得赴港上市企业重视的是,《条例(征求意见稿)》释放了区分国外上市和中国香港上市两种情形的重要监管信号,并为两类数据处理者设定不同的申报适用条件,其中赴香港上市的数据处理者仅以“可能影响国家安全”为申报前提[1]。香港上市企业是否需进行网络安全审查申报的核心认定因素如下:

(1)是否构成“数据处理者”

鉴于赴港上市所引发的数据安全风险相较于赴国外上市的风险可能整体上相对可控,《条例(征求意见稿)》针对赴国外上市数据处理者与赴香港上市数据处理者并未规定相同的网络安全审查申报的适用门槛,即《条例(征求意见稿)》并未从数据处理量级以及类型的角度对于赴香港上市数据处理者申报网络安全审查的条件进行规定,赴香港上市数据处理者只有在存在影响或者可能影响国家安全的情况下,才需要履行网络安全审查申报义务。

尽管现行有效的法律法规并未明确对“数据处理者”这一概念进行法律界定,赴香港上市企业在日常经营过程中可能同时涉及作为“数据处理者”以及“受托处理者”开展数据处理活动,但是综合《条例(征求意见稿)》对于“数据处理者”的定义以及“预防和化解国家安全风险”的制度目的出发,我们理解,评估赴香港上市企业是否存在或可能存在影响国家安全风险时,可能侧重于关注赴香港上市企业作为“数据处理者”自主决定处理目的和处理方式的数据处理活动。

(2)是否足以“影响国家安全”

鉴于现行立法并未明确规定“影响或者可能影响国家安全”的判断因素,赴香港上市企业或可参考《审查办法(征求意见稿)》第十条对于数据处理活动以及国外上市可能带来的国家安全风险的评估方法以及《数据安全法》对于核心数据与重要数据的界定,重点关注企业所处理的数据量级、数据敏感程度(是否涉及国家核心数据、重要数据)、企业所在领域、是否在日常经营或者上市前后涉及向境外提供数据等因素。出于审慎合规的角度,赴香港上市的数据处理者还可以积极开展数据安全内部自评估,并在必要时与相关主管部门保持密切沟通,以对于企业数据处理活动或上市活动可能引发的国家安全风险进行事前有效管控,积极主动落实赴境外上市企业的数据安全保护义务。

(3)互联网平台运营者的申报事由

条例新增“汇聚掌握大量数据资源的互联网平台运营者因实施合并、重组、分立而影响或者可能影响国家安全的”申报事由,回应了互联网平台企业汇聚巨量数据而引发数据安全风险的管控问题,同时也揭示了对于大型互联网平台企业加强数据安全管控的监管趋势。由此,互联网平台的境外上市过程应重点关注数据安全合规问题,尤其是在上市前发生过合并、重组等情形的互联网平台,应谨慎评估是否构成申报事由。

3.    数据出境安全评估

港股上市企业可能因日常业务运营或上市活动而触发数据出境安全评估义务,而《办法(征求意见稿)》在现行数据保护法律法规以及配套规则的基础上进一步细化了申报数据出境安全评估的条件与流程,明确要求重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险。就数据出境安全评估,《办法(征求意见稿)》的核心要求如下:

(1)适用主体——数据处理者:《办法(征求意见稿)》要求,“数据处理者”将境内所涉数据向境外提供的场景下,应当进行安全评估。

(2)适用范围——境外:依据国内法律法规如《出境入境管理法》对于“境外”的定义,我们理解,赴香港上市企业向国外国家或者地区以及我国的港澳台地区提供在中国境内收集的重要数据和依法应进行安全评估的个人信息,均需适用《办法(征求意见稿)》的规定开展安全评估。

(3)评估程序——自评或申报:《办法(征求意见稿)》规定,数据处理者向境外提供任何数据均需开展数据出境风险自评估,若公司向境外提供数据且符合《办法(征求意见稿)》第四条规定的以下五种情形之一的,还需通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(i) 关键信息基础设施的运营者收集和产生的个人信息和重要数据;(ii) 出境数据中包含重要数据;(iii) 处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(iv) 累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(v) 国家网信部门规定的其他需要申报数据出境安全评估的情形。[2]

值得注意的是,网络安全审查与数据出境安全评估在制度运行过程中可能存在一定交叉适用的情况,尤其是掌握大量个人信息的数据驱动型企业在日常业务运营过程中可能涉及数据跨境传输。在现有规范尚未明晰二者之间适用关系的情况下,我们理解该等企业存在同时触发网络安全审查与数据出境安全评估的可能性,而网络安全审查制度与数据出境安全评估制度间的协调衔接仍有待后续监管部门进一步明确。

4.    上市后定期数据安全合规评估及上报义务

除在上市准备阶段需要关注数据合规及网络安全要求外,已上市企业同样不能忽视相关数据安全监管要求。根据《条例(征求意见稿)》第三十二条规定,赴境外上市的数据处理者应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。

如“《网络数据安全管理条例(征求意见稿)》系列解读之网络安全审查篇”一文所分析,尽管就“赴境外上市企业”是否包括处于境外上市准备阶段或有境外上市计划的企业可能尚存一定争议,但可以确定的是,如条例中的上述要求未来正式生效,已经在境外(无论中国香港特别行政区、美国或其他境外司法辖区)上市的数据处理者未来应履行每年开展数据安全评估,并上报市级网信部门的义务。考虑到报告内容要求的全面性,境外上市企业需要在日常业务开展中即关注内部数据处理情况及相关要求,并对于内部数据处理行为进行及时有效的记录,避免每年申报截止前“临时抱佛脚”。

三、港股上市的相关动态

网络及数据安全新立法及监管要求发布至今,已近半年时间,香港证监会和联交所均对该等新政予以密切关注并及时调整审核把握和要求,市场也迅速对上述动态采取了有效应对措施予以回应。根据近期港股上市企业的招股书,主营业务涉及数据收集的发行人大多在其招股书中的风险因素章节披露其业务受与数据隐私和网络安全有关的各种不断发展的中国法律法规所规限,若未遵守网络安全及数据隐私规定,可能会受到处罚,并因此可能导致其声誉、品牌形象、业务及经营业绩遭受损失,并在法规章节详细列举征求意见稿的具体规则等。

具体而言,对于上市主体是否会受到《审查办法(征求意见稿)》及《条例(征求意见稿)》的影响,拟上市企业主要是从该文件尚处于公开征求意见阶段,具体内容和适用范围尚不明确的角度进行解释,并表明即便如此,公司也将持续关注监管规则的制定进展。此外,我们注意到,部分弱数据企业(例如仅涉及少量顾客订购信息)也在其招股书中就有关数据收集情况以及征求意见稿的发布进行了风险因素的披露。

同时,据我们观察,香港监管机构及交易所目前仍对数据安全问题保持密切关注和谨慎态度,在审核境内企业上市申请时,多数会就企业数据收集和使用情况提出多轮且细致的问询,要求发行人评估近期监管发展对公司业务的影响,且要求明确说明发行人在网络及数据安全层面的合规性及能否满足征求意见稿等具体规定。

为此,除风险因素的一般披露及法规章节的增补之外,如上文所述,涉及数据量较大的企业多聘请专业数据合规律师对其进行数据合规核查,并结合初步自评和专项核查意见,若判断为风险较低,则以不构成征求意见稿所述关键判断标准为解释口径,向联交所提交尽量明确的回复。截至目前,公开渠道尚未见已进行网安申报的港股上市公司案例,有关程序尚待境内监管机构进一步落地。

四、结语

我们理解,从监管口径而言,对于数据驱动型企业,尤其是涉及敏感信息、敏感行业的企业,即便未触达强制申报门槛,也应尽量主动进行网络安全审查申报。对于数据属性较弱但确实掌握一定数据的企业,也不能忽略网络安全审查的监管要求,仍应做好网络安全与数据合规并按照现行有效的规则判断是否触及申报门槛。从审查口径而言,数据驱动型企业赴港上市时对网络安全和数据保护方面需要重点披露自不待言,而对于数据属性较弱的企业,联交所也保持了一定程度的关注,不排除对相关拟上市公司提出数据合规有关问询的可能。

数据处理者除了依据已发布的法律规范或其征求意见稿,自行或聘请专业第三方机构通过网络和数据安全自评估等方式提前进行风险判断,评估数据处理活动可能引发的国家安全风险外,还可以与相关主管部门充分沟通,以确保相关企业在上市合规过程中一并落实与履行网络及数据安全保护义务,保障数据的安全有序流动,从而尽可能事前管控数据处理活动或上市活动可能引发的国家安全风险。

*本文对任何提及“香港”或“香港特别行政区”的表述应解释为“中华人民共和国香港特别行政区”。

互联网平台境外上市应另行考虑。

有关该等情形的具体认定分析可参见“迎接个人信息保护法的正式生效:《数据出境安全评估办法(征求意见稿)》规则解读”一文。

参考资料

  • [1]

    互联网平台境外上市应另行考虑。

  • [2]

    有关该等情形的具体认定分析可参见“迎接个人信息保护法的正式生效:《数据出境安全评估办法(征求意见稿)》规则解读”一文。

最新文章
前沿观察
近年来大量中国企业落户日本,在开展经营管理活动的过程中不可避免地需要对员工、企业客户联系人、用户等各类主体的个人信息进行收集、使用、委托处理、共享、跨境传输等处理活动。

2022/05/20

前沿观察
科创板开市两年多来,不论是从监管反复强调的支持“硬科技”核心目标还是从被否/终止企业的审核实践来看,“是否具备科创属性”是科创板拟上市企业首先需回答的问题。

2022/05/18

前沿观察
2022年4月,商务部发布了《两用物项出口管制条例(征求意见稿)》(“《征求意见稿》”)并对其公开征求意见。《征求意见稿》完善了两用物项出口管制法律体系,进一步细化落实《出口管制法》确立的法律制度,其最大亮点在于强调了越合规越便利的理念。为此,广大进出口企业应强化两用物项合规意识,合规体系建设势在必行。

2022/05/18