境外上市新規備案制下安全審查相關問題
作者:蔡琴 2023-03-10境外上市新規將于2023年3月31日起正式施行,新規明確了發行人赴境外上市的備案要求,同時,新規意旨統籌企業發展與國家安全,在境外上市還需要滿足特定行業監管、安全審查之要求。《境內企業境外發行證券和上市管理試行辦法》(以下簡稱“《管理試行辦法》”)第九條規定:“境內企業境外發行上市活動,應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律、行政法規和有關規定,切實履行維護國家安全的義務。涉及安全審查的,應當在向境外證券監督管理機構、交易場所等提交發行上市申請前依法履行相關安全審查程序。”現行法律法規框架下國家安全審查及法律依據圖如下:
圖:現行法律法規下我國安全審查體系
一、網絡安全審查
企業境外上市是否需要經過網絡安全部門審查的法律依據是2022年2月15日生效的《網絡安全審查辦法》(以下簡稱“《審查辦法》”),其中《審查辦法》第7條明確規定:“掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市,必須向網絡安全審查辦公室申報網絡安全審查。”前述第7條中“國外上市”不包括赴香港地區,而《管理試行辦法》提及境外上市中的“境外”是指發行人赴美國、新加坡、中國香港等國家和地區發行上市。兩部法規對上市地有不同的規定。 顯然,如果發行人赴美、新加坡等地上市,網絡平臺運營者掌握超過100萬用戶個人信息,必須向網絡安全審查辦公室申報網絡安全審查。那么,赴香港地區上市是否適用《審查辦法》?根據國家互聯網信息辦公室發布的《網絡數據安全管理條例(征求意見稿)》(以下簡稱“《網數條例(征求意見稿)》”),其第13條第2款、第3款分別對國外上市和境外上市做了規定:數據處理者開展以下活動,應當按照國家有關規定,申報網絡安全審查:……(二)處理一百萬人以上個人信息的數據處理者赴國外上市的;(三)數據處理者赴香港上市,影響或者可能影響國家安全的。因此,赴香港地區上市和赴國外上市須進行網絡安全審查的標準是不同的。筆者認為,雖然《審查辦法》第2條和第7條分別規定了三種需要主動申報網絡安全審查的情形(見下表),但如果發行人不屬于網絡平臺運營者、個人信息的數據處理者,即使發行人被認定為掌握(包含處理)超過100萬用戶個人信息的網絡平臺運營者,其赴香港上市并不適用《審查辦法》中因赴“國外上市”而需履行網絡安全審查申報的要求。而究竟如何判斷“影響或者可能影響國家安全的”?筆者認為,需要國家有關部門進行認定。
表1:《審查辦法》規定的必須進行網絡安全審查的情形
結合上述分析,從時間進程來看,《管理試行辦法》及其配套指引中規定的向中國證監會履行備案義務與《審查辦法》中規定的符合條件時須主動向網絡安全審查辦公室申報網絡安全審查的義務兩者相對獨立,但具有時間上的先后順序。即發行人需在向境外提交首次公開發行上市申請文件后3個工作日內,向中國證監會提交網絡安全審查辦公室出具的審查意見(如適用的情況下),將其作為備案材料之一,由此可以得出,網絡安全審查是向境外提交首次公開發行上市申請文件的前置程序,而備案則可在境外提交首次公開發行上市申請文件后履行,兩者在程序上互不干涉。同時,兩個程序亦有共通之處,在實踐中,即都需要提交境外發行上市招股書等上市文件作為申報或備案材料,只是譯本上有所差別。
二、外商投資安全審查
外商投資領域安全審查亦是企業境外上市安全審查的重要組成部分。我國《外商投資法》第35條明確規定了建立外商投資安全審查制度。2020年12月19日商務部和發改委聯合頒布的《外商投資安全審查辦法》(以下簡稱“《安審辦法》”)是《外商投資法》確立的外商投資安全審查制度的文件,同時對外商投資的主要情形、安全審查負責部門及流程做了細化規定。 《安審辦法》第2條規定:對影響或者可能影響國家安全的外商投資,依照本辦法的規定進行安全審查。第2條第2款對外商投資情形做了列舉,包括(1)外國投資者單獨或者與其他投資者共同在境內投資新建項目或者設立企業;(2)外國投資者通過并購方式取得境內企業的股權和資產等兩種基本情況及(3)外國投資者通過其他方式在境內投資這一種兜底情況。 《安審辦法》第6條規定:向工作機制辦公室申報外商投資,應當提交(一)申報書;(二)投資方案;(三)外商投資是否影響國家安全的說明;(四)工作機制辦公室規定的其他材料。可見,外商投資者在向工作機制辦公室申報外商投資前,需要制作是否影響國家安全的說明文件材料。工作機制辦公室在收到當事人提交材料的15日內,對申報的外商投資作出是否需要進行安全審查的決定。如果經工作機制辦公室認定外商投資當事人屬于需要進行安全審查的,則需要進一步配合提交相關材料,待最終的審定結論。如果外商主體通過股權等方式參與投資的境內企業赴境外上市,仍需滿足《管理試行辦法》第7條之規定;如發行人存在通過協議控制架構安排的,發行人律師應當按照《監管規則適用指引——境外發行上市類第2號:備案材料內容和格式指引》的要求,對境內運營主體是否屬于外商投資安全審查范圍、是否涉及外商投資限制或禁止領域出具核查意見。 外商投資安全審查的觸及條件和其具體投資行業密切相關,根據《安審辦法》第4條,外商投資審查范圍(“審查范圍”)分為兩類:一是關系國防安全的投資,該類投資一概需要在實施投資前主動申報;二是非涉及國防安全,但屬于關系國家安全重要領域的外商投資,對于這類外商投資,需要外國投資者取得所投資企業的實際控制權,才觸發申報要求。
表2:外商實施投資前須申報的范圍
另,根據新規答記者問,安全審查和行業監管程序是指有關行業主管部門通過制度規則明確規定的程序,有比較清晰的適用標準范圍和要求,與境外上市備案管理是相對獨立的監管環節,企業對照相關規定自主判斷、依法依規申報即可。只有在現有制度規則明確涉及安全審查、行業監管前置程序的情況下,企業才需要在申請備案時提交相應的監管文件。按照《監管規則適用指引——境外發行上市類第2號:備案材料內容和格式指引》的要求,如果不屬于須提交“國務院有關部門出具的安全評估審查意見”的企業,仍應提交書面說明其不適用該情形的核查說明文件。
三、數據安全審查
2021年下半年,《數據安全法》《個人信息保護法》《網絡安全審查辦法》《數據出境安全評估辦法》等法律法規陸續出臺實施,國家不斷強化對數據安全領域的保護力度。《數據安全法》首次以國家立法層面規定建立數據安全審查制度,其中第24條規定:“國家建立數據安全審查制度,對影響或者可能影響國家安全的數據處理活動進行國家安全審查”,從審核制度建構來看,數據安全審查制度已成為與網絡安全審查并行的安全審查制度。但《數據安全法》未明確與數據安全審查制度相配套的觸發情形、審查流程和審查機構等內容,但并不意味著數據安全審查可以脫離監管。在未完全建立與數據安全審查制度配套的、具體可操作性的規范性文件之前,《審查辦法》增加《數據安全法》《關鍵信息基礎設施安全保護條例》等作為上位法立法依據,為監管處理數據活動提供直接的法律依據,同時也有助于相關企業網絡數據安全審查制度合規工作的進一步落地。 然而,“網絡安全審查”并不等同于“數據安全審查”。從《網絡安全法》《數據安全法》等相關法律的體系來看,兩者對于審查的內容、對象各有側重。根據《審查辦法》第22條:“國家對數據安全審查、外商投資安全審查另有規定的,應當同時符合其規定”,這是國家互聯網信息辦公室(以下簡稱“網信辦”)首次公開明確網絡安全審查與數據安全審查并不等同。同時,結合《管理試行辦法》第9條的規定,中國證監會亦從數據安全與網絡安全兩個獨立領域提出要求。從立法層面講,由于并未出臺專門針對數據安全審查制度的法律法規,實踐中網絡安全與數據安全關系密切,在網絡安全審查中同步注重數據安全。我們理解,待立法技術及條件成熟,國家相關部門可能會另行出臺專門性規定來落實《數據安全法》第24條的數據安全審查制度。 擬赴境外上市企業究竟是否需要進行專項數據安全審查?我們理解,在數據安全審查新規出臺前,仍只須完成網絡安全審查即可,無須進行專項數據安全審查。
結語
企業發行上市涉及多方面、多領域核查工作,而國家安全作為最基礎同時也是最根本性問題。企業需在貫徹總體國家安全觀的同時,堅持發展、融資和安全并舉的思維,堅守合規底線,方可順利上市。
