《网络安全审查系列文章(二):香港上市中的网络安全审查.docx》由会员分享,可在线阅读,更多相关《网络安全审查系列文章(二):香港上市中的网络安全审查.docx(7页珍藏版)》请在优知文库上搜索。
1、网络安全审查系列文章(二):香港上市中的网络安全审查作者:刘平(中伦律师事务所)刘浩(中伦律师事务所)发布日期:2024.02.28拟赴香港上市的企业根据网络安全审查办法、网络数据安全管理条例(征求意见稿)等相关规定,确定企业赴香港上市是否需要进行网络安全审查,对于企业成功上市具有重要意义。前言在网络安全审查系列文章(一):网络安全审查概述中,我们对我国的网络安全审查制度进行了概述,包括网络安全审查的法律法规体系、触发网络安全审查的四种情形、网络安全审查的审查主体、需提交的材料、流程、时间、审查要点、临时性措施、审查结果、法律后果、过往案例等内容。在这一篇文章中,我们将对香港上市中的网络安全审
2、查问题进行论述,主要内容包括:拟赴香港上市的企业如何应对网络安全审查办法规定的应当进行网络安全审查的四种情形、如何应对网络数据安全管理条例(征求意见稿)中关于应当进行网络安全审查的情形、以及如何分析判断是否“影响或者可能影响国家安全”等。一、香港上市中网络安全审查的相关规定中国证监会2023年2月17日公布的境内企业境外发行证券和上市管理试行办法(中国证监会公告202343号)第7条规定,”境内企业境外发行上市涉及向境外提供个人信息和重要数据等的,应当符合法律、行政法规和国家有关规定。”第8条规定,”存在下列情形之一的,不得境外发行上市:(二)经国务院有关主管部门依法审查认定,境外发行上市可能
3、危害国家安全的”第9条规定,境内企业境外发行上市活动,应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定,切实履行维护国家安全的义务。涉及安全审查的,应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序。境外发行上市的境内企业应当根据国务院有关主管部门要求,采取及时整改、作出承诺、剥离业务资产等措施,消除或者避免境外发行上市对国家安全的影响。”根据上述规定,我们总结香港上市中需注意的与网络安全审查相关的要求如下:(1)拟赴香港上市的企业需要根据网络安全审查相关的规定确定企业是否应当进行网络安全审查;(2)如根据相关规定应当进行网络安全审查的
4、,拟赴香港上市的企业应当在向境外证券监督管理机构、交易场所等提交发行上市申请前,向网络安全审查办公室申报网络安全审查;(3)如经网络安全审查办公室审查认定,某企业赴香港发行上市可能危害国家安全的,则该企业不得赴香港发行上市。因此,拟赴香港上市的企业需要首先确定的是,根据网络安全审查相关的规定(目前主要是网络安全审查办法(2021)、网络数据安全管理条例(征求意见稿)等),企业是否应当进行网络安全审查。二、依法应当进行网络安全审查的情形1.网络安全审查办法(2021)规定的应当进行网络安全审查的四种情形由国家互联网信息办公室(以下简称“国家网信办”)等十三个部委于2021年12月28日公布,并于
5、2022年2月15日起施行的网络安全审查办法(2021)第2条规定,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。”第7条规定,“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室中报网络安全审查。”第16条规定,“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”根据上述规定,我们总结了根据网络安全审查办法(2021)应当进行网络安全审查的四种情
6、形,包括应自主申报的三种情形,以及主管部门依职权审查的情形:(1)应自主申报的情形一:关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的;(2)应自主申报的情形二:网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;(3)应自主申报的情形三:掌握超过100万用户个人信息的网络平台运营者赴国外上市;(4)主管部门依职权审查的情形:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动。2.网络数据安全管理条例(征求意见稿)中关于应当进行网络安全审查的情形国家网信办于2021年11月14日公布的网络数据安全管理条例(征求意见稿)第13条规
7、定,“数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;(2)处理100万人以上个人信息的数据处理者赴国外上市的;(3)数据处理者赴香港上市,影响或者可能影响国家安全的;(4)其他影响或者可能影响国家安全的数据处理活动。”网络数据安全管理条例(征求意见稿)(2021年11月14日)目前尚未颁布,我们理解,如该征求意见稿的上述内容最终正式颁布,对香港上市中的网络安全审查的影响主要体现在:“数据处理者赴香港上市,影响或者可能影响国家安全的“,应当按照国家有关
8、规定,申报网络安全审查;其中的关键在于如何判断是否“影响或者可能影响国家安全”。三、香港上市中对网络安全审查问题的应对针对网络安全审查办法(2021)规定的应当进行网络安全审查的四种情形、以及网络数据安全管理条例(征求意见稿)(2021年11月14日)中关于应当进行网络安全审查的情形,我们建议拟赴香港上市的相关企业需在招股书等上市文件中对于企业是否符合这些情形、是否应当进行网络安全审查进行论证。()针对网络安全审查办法(2021)规定的应当进行网络安全审查的四种情形1 .针对应自主申报的情形一针对应自主申报的情形-(关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的),我们建
9、议相关企业在招股书中论证企业是否属于“关键信息基础设施运营者”,如属于,其采购网络产品和服务是否影响或者可能影响国家安全。(1)判断企业是否属于“关键信息基础设施运营者”根据关键信息基础设施安全保护条例(2021)第2条,”本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。”关键信息基础设施安全保护条例(2021)第10条规定,”保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认
10、定结果通知运营者,并通报国务院公安部门。”根据上述规定,我们建议,企业在论证自己是否构成关键信息基础设施运营者时:首先,看本行业、本领域的主管部门是否已经就本行业、本领域的关键信息基础设施进行了认定,以及企业是否收到了认定结果;其次,如果主管部门尚未进行认定,或企业尚未收到认定结果,企业可根据相关规定,结合企业的业务性质、处理的数据或个人信息的类型、数量等因素,对企业是否可能构成关键信息基础设施运营者进行评估和分析。(2)如属于“关键信息基础设施运营者”,则需进一步论证企业采购网络产品和服务是否影响或者可能影响国家安全如企业已经被主管部门认定为“关键信息基础设施运营者”或根据相关规定企业判断未
11、来有可能被认定为“关键信息基础设施运营者”,则企业应进一步论述其采购网络产品和服务是否影响或者可能影响国家安全。根据网络安全审查办法(2021)第21条,本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。”企业应根据上述规定判断其是否存在“采购网络产品和服务”的行为,如存在,则需要进一步分析判断其“采购网络产品和服务”是否“影响或者可能影响国家安全”。关于如何分析判断是否“影响或者可能影响国家安全”,请见以下第(三)部分的描
12、述。2 .针对应自主申报的情形二针对应自主申报的情形二(网络平台运营者开展数据处理活动,影响或者可能影响国家安全的),我们建议相关企业在招股书中论证企业是否属于“网络平台运营者”,如属于,其开展数据处理活动是否影响或者可能影响国家安全。(1)判断企业是否属于“网络平台运营者”网络安全审查办法(2021)未对“网络平台运营者”进行定义,建议企业可参考网络数据安全管理条例(征求意见稿)对于“互联网平台运营者”的定义。根据网络数据安全管理条例(征求意见稿)(2021年11月14日)第73条第(九)款,“互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。”此外
13、,根据国家市场监督管理总局2021年10月29日发布的互联网平台分类分级指南(征求意见稿)第2.1条,“对互联网平台进行分类需要考虑平台的连接属性和主要功能。互联网平台的连接属性是指通过网络技术把人和商品、服务、信息、娱乐、资金以及算力等连接起来,由此使得互联网平台具有交易、社交、娱乐、资讯、融资、计算等各种功能。”企业应根据上述规定,结合其业务特征,分析判断其是否属于“网络平台运营者”。(2)如属于“网络平台运营者”,则需进一步论证其开展数据处理活动是否影响或者可能影响国家安全根据数据安全法(2021)第3条,“数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。”此外,根据网络
14、数据安全管理条例(征求意见稿)(2021年11月14日)第73条第(二)款,“数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。”企业应结合上述规定分析判断其各种“数据处理活动”是否“影响或者可能影响国家安全”。关于如何分析判断是否“影响或者可能影响国家安全”,请见以下第(三)部分的描述。3 .针对应自主申报的情形三针对应自主申报的情形三(掌握超过100万用户个人信息的网络平台运营者赴国外上市),我们建议相关企业应在招股书中论证“赴国外上市”不适用“赴香港上市”。(1)论证“赴国外上市”不适用于“赴香港上市”虽然网络安全审查办法(2021)并未对“赴国外上市”作进一步定
15、义,但国家网信办在相近时间发布的网络数据安全管理条例(征求意见稿)(2021年11月14日)第13条明确对“赴国外上市”和“赴香港上市”概念进行了区分,由此可窥见监管部门的态度。此外,根据多家已在香港上市企业在招股书的披露,多家企业就此问题实名或匿名咨询了中国网络安全审查技术与认证中心(以下简称“网安中心”,网安中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务),网安中心回复网络安全审查办法(2021)中规定的“赴国外上市”不适用于赴香港上市,赴香港上市的企业无需根据“掌握超过100万用户个人信息的网络平台运营者赴国外上市”的规定主动申报网络安全审查。(2)可进一步说明其是否属于掌握超过100万用户个人信息的网络平台运营者除了论证“赴国外上市”不适用于“赴香港上市”之外,相关企业也可以进一步说明其不掌握超过100万用户个人信息,或者企业不属于“网络平台运营者”,以便为其不需要适用此情形申报网络安全审查提供进一步论据支持。此外,需要说明的是,因为如上文所述,“赴国外上市”并不适用于“赴香港上市”,即使相关企业属于掌握超过100万用户个人信息的网络平台运营者,也不因为这一点就需要主动申报网络安全审查。4 .针对主管部门依职权审查的情形针对主管部门依职权审查的情形(网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及