境外上市新规备案制下安全审查相关问题
作者:蔡琴 2023-03-10境外上市新规将于2023年3月31日起正式施行,新规明确了发行人赴境外上市的备案要求,同时,新规意旨统筹企业发展与国家安全,在境外上市还需要满足特定行业监管、安全审查之要求。《境内企业境外发行证券和上市管理试行办法》(以下简称“《管理试行办法》”)第九条规定:“境内企业境外发行上市活动,应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定,切实履行维护国家安全的义务。涉及安全审查的,应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序。”现行法律法规框架下国家安全审查及法律依据图如下:
图:现行法律法规下我国安全审查体系
一、网络安全审查
企业境外上市是否需要经过网络安全部门审查的法律依据是2022年2月15日生效的《网络安全审查办法》(以下简称“《审查办法》”),其中《审查办法》第7条明确规定:“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”前述第7条中“国外上市”不包括赴香港地区,而《管理试行办法》提及境外上市中的“境外”是指发行人赴美国、新加坡、中国香港等国家和地区发行上市。两部法规对上市地有不同的规定。 显然,如果发行人赴美、新加坡等地上市,网络平台运营者掌握超过100万用户个人信息,必须向网络安全审查办公室申报网络安全审查。那么,赴香港地区上市是否适用《审查办法》?根据国家互联网信息办公室发布的《网络数据安全管理条例(征求意见稿)》(以下简称“《网数条例(征求意见稿)》”),其第13条第2款、第3款分别对国外上市和境外上市做了规定:数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:……(二)处理一百万人以上个人信息的数据处理者赴国外上市的;(三)数据处理者赴香港上市,影响或者可能影响国家安全的。因此,赴香港地区上市和赴国外上市须进行网络安全审查的标准是不同的。笔者认为,虽然《审查办法》第2条和第7条分别规定了三种需要主动申报网络安全审查的情形(见下表),但如果发行人不属于网络平台运营者、个人信息的数据处理者,即使发行人被认定为掌握(包含处理)超过100万用户个人信息的网络平台运营者,其赴香港上市并不适用《审查办法》中因赴“国外上市”而需履行网络安全审查申报的要求。而究竟如何判断“影响或者可能影响国家安全的”?笔者认为,需要国家有关部门进行认定。
表1:《审查办法》规定的必须进行网络安全审查的情形
结合上述分析,从时间进程来看,《管理试行办法》及其配套指引中规定的向中国证监会履行备案义务与《审查办法》中规定的符合条件时须主动向网络安全审查办公室申报网络安全审查的义务两者相对独立,但具有时间上的先后顺序。即发行人需在向境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交网络安全审查办公室出具的审查意见(如适用的情况下),将其作为备案材料之一,由此可以得出,网络安全审查是向境外提交首次公开发行上市申请文件的前置程序,而备案则可在境外提交首次公开发行上市申请文件后履行,两者在程序上互不干涉。同时,两个程序亦有共通之处,在实践中,即都需要提交境外发行上市招股书等上市文件作为申报或备案材料,只是译本上有所差别。
二、外商投资安全审查
外商投资领域安全审查亦是企业境外上市安全审查的重要组成部分。我国《外商投资法》第35条明确规定了建立外商投资安全审查制度。2020年12月19日商务部和发改委联合颁布的《外商投资安全审查办法》(以下简称“《安审办法》”)是《外商投资法》确立的外商投资安全审查制度的文件,同时对外商投资的主要情形、安全审查负责部门及流程做了细化规定。 《安审办法》第2条规定:对影响或者可能影响国家安全的外商投资,依照本办法的规定进行安全审查。第2条第2款对外商投资情形做了列举,包括(1)外国投资者单独或者与其他投资者共同在境内投资新建项目或者设立企业;(2)外国投资者通过并购方式取得境内企业的股权和资产等两种基本情况及(3)外国投资者通过其他方式在境内投资这一种兜底情况。 《安审办法》第6条规定:向工作机制办公室申报外商投资,应当提交(一)申报书;(二)投资方案;(三)外商投资是否影响国家安全的说明;(四)工作机制办公室规定的其他材料。可见,外商投资者在向工作机制办公室申报外商投资前,需要制作是否影响国家安全的说明文件材料。工作机制办公室在收到当事人提交材料的15日内,对申报的外商投资作出是否需要进行安全审查的决定。如果经工作机制办公室认定外商投资当事人属于需要进行安全审查的,则需要进一步配合提交相关材料,待最终的审定结论。如果外商主体通过股权等方式参与投资的境内企业赴境外上市,仍需满足《管理试行办法》第7条之规定;如发行人存在通过协议控制架构安排的,发行人律师应当按照《监管规则适用指引——境外发行上市类第2号:备案材料内容和格式指引》的要求,对境内运营主体是否属于外商投资安全审查范围、是否涉及外商投资限制或禁止领域出具核查意见。 外商投资安全审查的触及条件和其具体投资行业密切相关,根据《安审办法》第4条,外商投资审查范围(“审查范围”)分为两类:一是关系国防安全的投资,该类投资一概需要在实施投资前主动申报;二是非涉及国防安全,但属于关系国家安全重要领域的外商投资,对于这类外商投资,需要外国投资者取得所投资企业的实际控制权,才触发申报要求。
表2:外商实施投资前须申报的范围
另,根据新规答记者问,安全审查和行业监管程序是指有关行业主管部门通过制度规则明确规定的程序,有比较清晰的适用标准范围和要求,与境外上市备案管理是相对独立的监管环节,企业对照相关规定自主判断、依法依规申报即可。只有在现有制度规则明确涉及安全审查、行业监管前置程序的情况下,企业才需要在申请备案时提交相应的监管文件。按照《监管规则适用指引——境外发行上市类第2号:备案材料内容和格式指引》的要求,如果不属于须提交“国务院有关部门出具的安全评估审查意见”的企业,仍应提交书面说明其不适用该情形的核查说明文件。
三、数据安全审查
2021年下半年,《数据安全法》《个人信息保护法》《网络安全审查办法》《数据出境安全评估办法》等法律法规陆续出台实施,国家不断强化对数据安全领域的保护力度。《数据安全法》首次以国家立法层面规定建立数据安全审查制度,其中第24条规定:“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查”,从审核制度建构来看,数据安全审查制度已成为与网络安全审查并行的安全审查制度。但《数据安全法》未明确与数据安全审查制度相配套的触发情形、审查流程和审查机构等内容,但并不意味着数据安全审查可以脱离监管。在未完全建立与数据安全审查制度配套的、具体可操作性的规范性文件之前,《审查办法》增加《数据安全法》《关键信息基础设施安全保护条例》等作为上位法立法依据,为监管处理数据活动提供直接的法律依据,同时也有助于相关企业网络数据安全审查制度合规工作的进一步落地。 然而,“网络安全审查”并不等同于“数据安全审查”。从《网络安全法》《数据安全法》等相关法律的体系来看,两者对于审查的内容、对象各有侧重。根据《审查办法》第22条:“国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定”,这是国家互联网信息办公室(以下简称“网信办”)首次公开明确网络安全审查与数据安全审查并不等同。同时,结合《管理试行办法》第9条的规定,中国证监会亦从数据安全与网络安全两个独立领域提出要求。从立法层面讲,由于并未出台专门针对数据安全审查制度的法律法规,实践中网络安全与数据安全关系密切,在网络安全审查中同步注重数据安全。我们理解,待立法技术及条件成熟,国家相关部门可能会另行出台专门性规定来落实《数据安全法》第24条的数据安全审查制度。 拟赴境外上市企业究竟是否需要进行专项数据安全审查?我们理解,在数据安全审查新规出台前,仍只须完成网络安全审查即可,无须进行专项数据安全审查。
结语
企业发行上市涉及多方面、多领域核查工作,而国家安全作为最基础同时也是最根本性问题。企业需在贯彻总体国家安全观的同时,坚持发展、融资和安全并举的思维,坚守合规底线,方可顺利上市。