数据监管与境外上市的制度衔接

(一) 境外上市企业的数据监管现状

美国、香港是内地企业境外上市的主要选择，下文将以这两地为例进行分析。

1. 赴美国上市

谈及赴美国上市企业的数据问题，无法避开滴滴案。滴滴案的具体发展脉络如下图所示：

此案是我国网络安全审查第一案，其影响主要表现在两个方面：一是不少企业因此放缓了赴美上市的节奏；二是引发和加快了若干政策的出台。国家互联网信息办公室（以下简称“国家网信办”）在本案处罚决定作出后的答记者问中，披露了依法认定的滴滴违法违规行为，分为两类，一类聚焦于个人信息处理，归纳为八个方面、十六项违法事实；另一类是未公开细节的严重影响国家安全的数据处理活动。^[注1]从中抽离出的关键词包括个人信息、数据合规和国家安全。

本文以滴滴递交招股说明书的2021年6月为起点，搜集、整理了截至2023年7月28日止成功赴美上市的55家中概股企业的招股说明书，发现：

(1) 提及“数据保护”和/或“隐私”的有54家，占比几乎为100%；

(2)提及“网络安全审查”的有47家，其中完成网络安全审查的有5家^[注2]，咨询中国网络安全审查技术与认证中心（CCRC）后确认无需进行网络安全审查的有6家，自评估后认为无需进行网络安全审查的有36家；

(3) 在《数据出境安全评估办法》于2022年9月1日实施后，有12家企业提到数据出境安全评估，其中7家在法规部分进行了介绍，5家自评估后认为无需开展数据出境安全评估。

2. 赴香港上市

关于赴香港上市的案例，本文搜集、整理了2022年1月1日至2023年7月31日成功赴香港联交所主板上市（含以介绍形式上市、GEM转主板）的114家中概股企业的上市文件，发现：

(1) 提及“数据保护/数据安全”和/或“隐私/个人信息”的有96家，占比达84%；

(2) 提及“网络安全审查”的有88家，其中完成网络安全审查的有1家^[注3] ，咨询网络安全审查办公室/CCRC/网信部门后确认无需进行网络安全审查的有50家；

(3) 在《数据出境安全评估办法》于2022年9月1日实施后，有25家提到数据出境安全评估，其中咨询网信部门后确认无需开展的有1家。

(二) 境外上市规则的最新要求

2023年2月17日，中国证监会公布《境内企业境外发行证券和上市管理试行办法》（以下简称《管理试行办法》），引发了巨大关注。在数据监管方面，《管理试行办法》明确企业应当于赴境外上市过程中遵守三个方面的要求：

▷ 要求一：数据出境合规

《管理试行办法》第七条规定：“境内企业境外发行上市涉及向境外提供个人信息和重要数据等的，应当符合法律、行政法规和国家有关规定。”其中，“向境外提供个人信息和重要数据”是我国目前关于“数据出境”的法定定义。

▷ 要求二：网络安全审查

《管理试行办法》第八条规定的不得境外发行上市的情形之一为“经国务院有关主管部门依法审查认定，境外发行上市可能危害国家安全的”；第九条规定“涉及安全审查的，应当在向境外证券监督管理机构、交易场所等提交上市申请前依法履行相关安全审查程序”。

换言之，应当进行网络安全审查的企业应先行申报网络安全审查，在被认定境外发行上市不会危害国家安全后，方可向境外证券监督管理机构、交易场所等提交上市申请。

▷ 要求三：全面的数据合规义务

《管理试行办法》第九条要求“境内企业境外发行上市活动，应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定，切实履行维护国家安全的义务”，该条虽然落脚在“安全”，但是，其提出的合规要求完整地涵盖了网络安全、数据安全领域全部的合规义务。

虽然在《管理试行办法》出台之前，境内企业赴境外上市也要遵守上述要求，但散落在不同的法律法规之中，随着《管理试行办法》于2023年3月31日生效实施，上述要求更加明确且成体系，赴境外上市企业需对上述三项要求予以特别关注和处理。

(一) 境外上市过程中的数据出境场景

数据出境，是指数据处理者向境外提供在中国境内运营中收集和产生的重要数据和个人信息。在数据出境过程中，如符合特定情形，需进行数据出境安全评估或签订个人信息标准合同并备案（详见《数据出境全解析之基础概念篇》）。一般来讲，数据出境与业务场景息息相关，即境内企业在日常运营过程中是否存在数据出境情形。“境外上市”本身不会直接构成“数据出境”，“境外上市”这项行为也不会使原本不属于数据出境的情形变更为数据出境，但为实现“境外上市”目的而开展的一系列活动是否构成数据出境则需要结合该等活动的具体情况进行判断。

毋庸置疑，境外上市语境下的数据出境首先需要符合数据出境的定义，以下三种情形属于境外上市过程中常见的数据出境场景：（1）境内企业在境外上市过程中向境外有关证券服务机构披露数据；（2）境外证券服务机构从事境内企业境外发行上市业务过程中查看境内企业提供的数据；（3）境内企业境外上市过程中及上市后履行信息披露义务并接受监管，向境外监管机构、境外交易所提供数据。当然，这里的数据是指在境内运营过程中收集和产生的个人信息和重要数据。

(二) 数据出境安全评估与境外上市流程的衔接

首先明确，构成数据出境不等于需要进行数据出境安全评估，只有具有特定情形的数据出境（详见《数据出境全解析之出境路径篇（上）》）才需要进行数据出境安全评估。

简而言之，在上述三种数据出境场景中，若提供的数据为达到法定数量的个人信息或重要数据，则将触发数据出境安全评估。需要特别说明的是，如果拟上市企业属于关键信息基础设施运营者（CIIO），则无论其提供何种数据，都会引发数据出境安全评估；但是，考虑到CIIO的地位和影响，被认定为CIIO的企业选择境外上市的可能性不大，实践中也确无此类案例。

因此，只要拟上市企业（非CIIO）未提供重要数据、提供的个人信息未达法定数量，则上述三种数据出境场景便不会触发数据出境安全评估。例如，拟上市企业向境外证券服务机构提供公司组织结构、财务数据、会计账簿，因提供的信息不属于“个人信息”和“重要数据”，不会构成数据出境；再如，拟上市企业向境外证券服务机构提供股东、高管的个人信息，因未达法定数量，虽构成数据出境，但不会触发数据出境安全评估。

在触发数据出境安全评估的情况下，数据出境安全评估对上市会在两个层面上带来影响。第一个层面是日常业务运营合规层面，这是上市企业合规要求的组成部分。第二个层面是考虑到数据出境安全评估需要不少时间且属于先行义务，企业在拟定上市时间表时必须将申报前的准备时间、申报后的审核时间（如下表）考虑在内。否则，除了影响上市进程外，还会面临数据出境不合规的法律责任，如警告、罚款、停业整顿等。^[注4]

(一) 网络安全审查简介

1. 适用情形

2021年12月28日，十三部门联合发布《网络安全审查办法》，要求关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当进行网络安全审查；掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须申报网络安全审查，前述情形均为主动申报审查。此外，网络安全审查工作机制成员单位认为有影响或者可能影响国家安全的网络产品和服务以及数据处理活动时，也可以依程序主动发起安全审查，又称被动审查或依职权审查。

因此，掌握超过100万用户个人信息的网络平台运营者赴国外上市，应先行进行网络安全审查，已成为无法回避的坎。当然，由于《网络安全审查办法》规定的是赴“国外”上市而非“境外”，“国外”不包括港澳台地区，因此，赴香港上市并不适用赴国外上市的网络安全审查要求。但如果赴香港上市企业存在“影响或者可能影响国家安全”情形，可能也会面临网络安全审查。

2. 网络安全审查的主管机关

网络安全审查工作机制由中央网络安全和信息化委员会（以下简称“中央网信”）领导。中央网信批准特别审查程序的审查结论建议、批准网络安全审查工作机制成员单位主动发起的网络安全审查。

除国家网信办外，共同签发《网络安全审查办法》的12个部门为网络安全审查工作机制成员单位，对网络安全审查办公室的初步审查结论建议予以书面回复意见、对特别审查程序中网络安全审查办公室的审查结论建议发表意见；依职权主动发起网络安全审查（需由网络安全审查办公室按程序报中央网信批准）。

网络安全审查办公室设在国家网信办，负责制定网络安全审查制度规范，组织网络安全审查。

中国网络安全审查技术与认证中心（CCRC）在网络安全审查办公室的指导下，作为网络安全审查的咨询窗口，承担接收申报材料、对申报材料进行形式审核、具体组织审查工作等任务。

3. 网络安全审查的流程

当事人向CCRC递交材料，CCRC进行形式审查后提交网络安全审查办公室。网络安全审查办公室在10个工作日内，确定是否需要实质审查并书面通知当事人，如无需开展实质审查，则网络安全审查申报结束，如需要开展实质审查，则进入初步审查。

网络安全审查办公室在30个工作日内（情况复杂的，可延长至45个工作日）完成初步审查，包括形成审查结论建议并将审查结论建议发送给网络安全审查工作机制成员单位、相关部门征求意见。网络安全审查工作机制成员单位、相关部门在15个工作日内书面回复意见，意见一致的，网络安全审查办公室以书面形式将审查结论通知当事人，网络安全审查结束；如意见不一致，则进入特别审查程序，并通知当事人。

在特别审查程序中，网络安全审查办公室应听取网络安全审查工作机制成员单位和相关部门意见，进行深入分析评估，再次形成审查结论建议，并征求网络安全审查工作机制成员单位和相关部门意见，报中央网信批准后，形成审查结论并书面通知当事人，此过程一般应当在90个工作日内完成，情况复杂的可以延长。整体来看，申报网络安全审查后，至少需要10个工作日（无需实质审查），至多需要160个工作日或以上（进入特别审查程序的）。

企业提交网络安全审查申报材料后，可能存在以下三种情况：一是无需审查；二是启动审查后，经研判不影响国家安全的，可继续开展赴国外上市程序；三是启动审查后，经研判影响国家安全的，不允许赴国外上市。

基于此，拟上市企业需要结合上市进度和企业自身是否需要申报网络安全审查制定不同的应对策略。经分析截至2023年7月28日止成功赴美上市的55家中概股企业的招股说明书，可以看出，当前赴美上市中概股企业的应对方案有三种：

▷ 第一种应对方案：企业自评估后认为无需申报网络安全审查

例如，盛德财富和盛丰物流。盛德财富认为自身未被认定为CIIO，数据处理活动不在境内，用户也未超过100万人，因此，无需进行网络安全审查；盛丰物流基于自身未被认定为CIIO，用户未超过100万，且不会影响国家安全，亦认为无需申报网络安全审查。

▷ 第二种应对方案：企业收到无需进行网络安全审查的确认后申报上市

例如，医道国际和小I。医道国际和小I均在招股说明书中披露收到了无需进行网络安全审查的官方通知，我们理解，其应该是主动申报后，网络安全审查办公室确认其无需开展实质审查并发送书面通知。

▷ 第三种应对方案：企业通过网络安全审查后上市

截止2023年7月28日，只有亚朵和量子之歌两家企业在通过网络安全审查后成功在美国上市，这两家企业的用户数量均超过了100万人，主动申报并完成了网络安全审查。

除上市前需应对网络安全审查外，考虑到企业处于不停发展的过程中，上市前无需审查不代表其后再无被（需）审查的可能。满帮集团和BOSS直聘均是上市后被网络安全审查办公室依职权进行了网络安全审查（2021年7月5日开始）。审查结果虽未公布，但从两家企业未退市、自2022年6月29日起恢复新用户注册的情况推测，应该是审查通过。

如果未按规定进行网络安全审查，根据《管理试行办法》第二十七条，境内企业及其控股股东、实际控制人将被给予警告并处以100万以上1000万以下的罚款；证券公司、证券服务机构未依职责督促企业遵守规定的，将被给予警告并处以50万元以上500万元以下罚款。

如前所述，2021年6月至2023年7月28日期间成功在美国上市的55家中概股企业中，有54家提及数据合规问题，关注度几近100%；2022年1月1日至2023年7月31日成功赴香港联交所主板上市（含以介绍形式上市、GEM转主板）的114家中概股企业提及“数据保护/数据安全”和/或“隐私/个人信息”的有96家，占比达84%；自2023年3月31日《管理试行办法》实施以来，至2023年7月28日，中国证监会公开的91家境外上市备案企业中，有30家企业的反馈问题涉及个人信息保护、数据安全、上市前后就个人信息保护和数据安全的安排和措施。

企业的数据合规表现在三个方面，包括：

第一，是否具有符合要求的数据安全制度，如分类分级、容灾备份、应急处置、安全审计、影响评估、社会责任报告、人员管理等等。

第二，数据处理全流程合规，集中体现于个人信息处理过程中的各项细节要求。

第三，特殊关注事项合规，包括上文所述的数据出境、网络安全审查，以及特定行业的特殊审批事项（如涉及人类遗传资源的数据），与国家秘密、国家机关工作秘密相关的保密要求等。

企业在日常经营中履行数据合规义务是企业合规运营的应有之义，上市与否、境内上市还是境外上市不应是履行合规义务的影响因素。当然，企业上市前需要尽可能提升合规水平、上市时需要充分全面地披露各项风险，在合规运营的前提下，也要应对监管机构关注和问询。因此，上市前进行系统的风险识别和整改实际上成为一个有期限的、必须要完成的事项。企业应尽早规划和落实合规安排，最终实现顺利上市、业务经营长期安全和可持续的发展。