• 12月23日 星期一

赴美上市中概股企业的网络安全审查应对

赴美上市中概股企业的网络安全审查应对


【编者按】受中美地缘政治问题影响,近段时间以来中企赴美IPO受到抑制。


根据投中集团统计,2022上半年,仅4家中企在美国资本市场IPO,数量和募资金额均同比降低九成以上。


不过,赴美上市的颓势进入7月出现转机。根据《互联网法律评论》不完全统计,截止7月18日,已有大健云仓、中喜文化、誉凯健康集团、群核科技4家中国企业在7月向正式向美国证券交易委员会(SEC)递交了上市文件;豪微科技母公司 Nano Labs、中国机械锁具和智能安全系统制造商Intelligent Living2家中国企业登陆纳斯达克。


2022年3月底,中国证监会明确表态,支持中国公司在海外股票市场上市。赴美上市仍是中国企业的上市选择之一。今日,《互联网法律评论》获授权转载环球律师事务所两位律师的专业分析文章,为赴美IPO涉及网络安全审查的企业提供应对策略。


本文为环球律师事务所律师团队全面分析网络安全审查制度的第三篇文章。


网络安全审查系列评论:

NO1:企业网络安全合规新课题:网络安全审查适用主体、流程及要点分析

NO2:拟赴香港上市企业的网络安全审查应对


经修订的《网络安全审查办法》(简称“《审查办法》”)于2021年12月28日由国家互联网信息办公室(以下简称“网信办”)发布,并自2022年2月15日起施行。自施行以来,赴国外上市中概股企业的网络安全审查的要求明朗化,已有企业通过网络安全审查并顺利上市或在上市准备过程中。网络安全审查对于绝大多数赴国外上市企业来说,预计将不会成为实质性的上市障碍。本文将结合我们服务客户的经验,对网络安全审查适用范围、审查可能结果及其他赴美上市网络安全审查所涉及的特殊事项(包括VIE架构、PCAOB问题等),为赴美上市中概股企业的网络安全审查问题提供应对思路。


一、关于赴美上市网络安全审查适用范围需要明确的几点概念


(一)如何理解“100万用户个人信息”?


如《企业网络安全合规新课题:网络安全审查适用主体、流程及要点分析》所述,《审查办法》明确了“掌握超过100万用户个人信息的网络平台运营者”赴国外上市,须主动申报网络安全审查。


我们在《企业网络安全合规新课题:网络安全审查适用主体、流程及要点分析》已对网络平台和运营者的定义做了详细阐述,这里主要说明100万用户应如何理解?此处的“用户”,我们认为与《国家网络安全检查操作指南》中提到的“注册用户”是同一个概念,即既包括了C端用户,也包括了B端用户,既包括了境内用户,也包括了境外用户。虽然B端用户的个人信息通常是B端最终用户提供的,但也由网络平台运营者“掌握”,因此需要计入100万的范围。另外,从目前中国网络安全审查技术与认证中心(以下简称“认证中心”)提供的申报文件模板来看,境外用户情况需要专项填报,因此此处的“用户”既包括境内用户,也包括境外用户。


(二)如何理解“上市”?


虽然《审查办法》在第八条“运营者申报网络安全审查应当提交的材料中”包括“拟提交的首次公开募股(IPO)等上市申请文件”,但根据我们理解“上市”的概念比“IPO”更为宽泛,目前市场上常见的美股De-SPAC交易、借壳上市(RTO)、直接上市(DPO)等属于“上市”范畴并需要按照《审查办法》第八条的规定提交上市申报材料,从目前认证中心提供的申报文件模板来看,拟上市方式也包括了上述SPAC、RTO、DPO的上市方式。


二、赴美上市网络安全审查的可能结果


企业网络安全合规新课题:网络安全审查适用主体、流程及要点分析已对网络安全审查的流程做了详细介绍,本文不再赘述。本文将结合案例对赴美上市网络安全审查的可能结果进行分析。


根据《审查办法》的相关规定,申报网络安全审查可能有以下三种情况:一是无需审查;二是启动审查后,经研判不影响国家安全的,可继续赴国外上市程序;三是启动审查后,经研判影响国家安全的,不允许赴国外上市。


据此,即使赴美上市的中概股企业被认定为《审查办法》规定的需要主动申报的掌握超过100万个人信息的网络平台运营者,但实践中存在被认定为无需审查的可能性,且该等无需审查的决定会在网络安全审查办公室自收到符合要求的审查申报材料起10个工作日内作出,较之触发网络安全审查程序的55-160个工作日的时间将大幅度缩短。从我们经办的项目来看,实践中确已存在主动申报后被认定为无需审查的案例。这是因为虽然触发网络安全审查的要件之一是掌握100万用户个人信息,但审查本身关注的是网络平台运营者开展数据处理活动是否影响或者可能影响国家安全。因此,企业应当重点结合《审查办法》第十条规定的网络安全审查重点评估的国家安全风险因素,就企业自身掌握的数据是否可能会危害国家安全提前规划审慎核查。


此外,虽然《审查办法》已于2022年2月15日正式生效,但鉴于《审查办法》相关定义还存在不确定性、《网络数据安全管理条例(征求意见稿)》尚未生效等原因,仍有企业披露网络安全审查风险但并未向监管部门申请网络安全审查,并成功上市的案例。相关披露梳理如下:


(一)蔚来汽车


蔚来汽车(股票代码:NIO)于2022年5月20日在新加坡交易所主板上市,其招股说明书中与网络安全审查有关的披露如下:[1]


“概要”

章节

2021年7月10日,网信办发布了《网络安全审查办法(修订草案征求意见稿)》。2021年12月28日,网信办、发改委、工信部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视管理局、中国证监会、国家保密局和国家密码管理局联合发布了《网络安全审查办法》,于2022年2月15日生效。根据《网络安全审查办法》,个人信息超过100万用户的网络平台经营者在国外上市前应申报网络安全审查。目前,“网络平台运营者”的定义和“用户个人信息”的标准仍存在不确定性,中国政府有关部门将如何解释和实施尚不清楚。我们会继续密切关注网络安全审查措施的进一步发展。网络安全审查将重点关注网络平台运营者的数据处理活动是否影响或可能影响国家安全,评估关键信息基础设施、核心数据、重要数据的风险,或大量个人信息公开后被外国政府影响、控制或恶意使用的风险,网络信息安全风险等。鉴于《网络安全审查办法》是最近颁布的,其解释、适用和执行仍存在很大的不确定性。


2021年11月14日,网信办发布了《网络数据安全管理条例(征求意见稿)》,重申在何种情况下数据处理者应适用网络安全审查,包括处理一百万人以上个人信息的数据处理者赴国外上市的情况。截至本招股说明书发布之日,该征求意见稿尚未正式通过。该条例何时出台、何时生效、如何制定、如何解释、如何实施、是否会对我们产生影响,都是未知数。业务经营情况和融资活动是否将受到该征求意见稿的影响尚不清楚。


自本招股说明书发布之日起,(i)我们未因违反网络安全与数据保护法律法规而受到任何主管监管部门的重大罚款或行政处罚、强制整改或其他制裁;(ii)我们不存在会对我们的业务运营产生重大不利影响的数据或个人信息的重大泄漏或违反网络安全和数据保护及隐私法律法规的行为;(iii)不存在重大网络安全与数据保护事件或对任何第三方权利的侵犯,或其他未决的或据本公司所知可能针对本公司或与本公司有关的法律程序、行政或政府程序;以及(iv)我们已实施全面的网络安全和数据保护政策、程序和措施,以确保数据的安全存储和传输,并防止未经授权的访问或使用数据。有关这些新法律法规对我们业务运营风险的详细分析,请参见“风险因素-与我们的业务和行业相关的风险-我们的业务受各种法律、法规、规则、政策和其他有关网络安全、隐私、数据保护和信息安全的约束。”任何不遵守这些法律、法规和其他义务的行为,或机密信息或个人数据的任何损失、未经授权的访问或发布,都可能使我们在声誉、财务、法律和运营方面面临重大后果。”


基于蔚来汽车于招股说明书中的披露,其暂未根据《审查办法》或《网络数据安全管理条例(征求意见稿)》向监管部门申请网络安全审查。其主张的理由如下:“网络平台运营者”的定义和“用户个人信息”的定义还存在不确定性;现阶段《网络数据安全管理条例(征求意见稿)》尚未生效。


(二)奥斯汀科技


奥斯汀科技(股票代码:OST)于2022年4月27日在纳斯达克上市,其招股说明书中与网络安全审查有关的披露如下:[2]


“风险

因素”

章节

2021年7月10日,网信办发布了《网络安全审查办法(征求意见稿)》(以下简称《征求意见稿》),提出授权相关政府部门对一系列影响或可能影响国家安全的活动进行网络安全审查,包括处理一百万人以上个人信息的数据处理者赴国外上市的情况。2021年12月28日,《网络安全审查办法》(2021版)发布并于2022年2月15日生效,其中重申,任何掌握超过100万用户个人信息的“网络平台运营者”赴国外上市的也应接受网络安全审查。《网络安全审查办法》(2021年版)进一步阐述了评估相关活动的国家安全风险时应考虑的因素,其中包括:(一)核心数据、重要数据或大量个人信息被盗、泄露、销毁、非法使用或出境的风险;(二)关键信息基础设施、核心数据、重要数据或大量个人信息在境外上市后被外国政府影响、控制或恶意利用的风险。网信办表示,根据拟议的规定,持有超过100万用户数据的公司在寻求在其他国家上市时,现在必须申请网络安全审查,因为这些数据和个人信息可能会“受到外国政府的影响、控制和恶意利用”。网络安全审查还将调查海外上市可能带来的国家安全风险。


根据我们的中国法律顾问的建议,我们不属于上文所述的“关键信息基础设施运营者”或“网络平台运营者”。公司通过江苏奥斯汀及其子公司作为中国的显示屏模组和偏光片供应商,从事TFT-LCD液晶显示模组的设计、开发及生产,公司及其子公司也不存在《个人信息保护法》定义下的收集、存储、使用、处理、传播个人信息的活动。此外,公司及其子公司均不是《网络安全法》及《关键信息基础设施安全保护条例》中定义的任何“关键信息基础设施”的运营者。但是,《网络安全审查办法》于近期通过,《网络数据安全管理条例(征求意见稿)》正在制定过程中,相关中国政府部门将如何解释、修订及实施仍不明确。


基于奥斯汀科技于招股说明书中的披露,其暂未根据《审查办法》或《网络数据安全管理条例(征求意见稿)》向监管部门申请网络安全审查。其主张的理由是其不属于“关键信息基础设施运营者”或“网络平台经营者”。


综上,我们认为《审查办法》实施以来,对于如何理解“网络平台运营者”和“用户个人信息”尚存在不同的解释空间,企业也存在不同的操作路径,后续有赖于监管的进一步明确。在可预期的未来,在启动网络安全审查后,经研判影响国家安全的,不允许赴国外上市的情况属于极少数个案,对于绝大多数企业,即使按照《审查办法》属于掌握超过100万个人信息的“网络平台运营者”,若能预留好网络安全审查的申请时间,并充分准备申报材料,则顺利通过网络安全审查的可能性较大,网络安全审查将不会是绝大多数赴美上市的中概股企业的上市实质障碍。


三、其他与赴美上市网络安全审查相关的问题


(一)VIE架构问题


结合我们经办的相关案例,若赴美上市企业存在VIE架构,则需要在网络安全审查的申报文件中予以披露,但VIE架构本身并不会影响网络安全审查的具体结果。


但提示关注的是,SEC近年来始终关注VIE架构的相关风险,特别是在2021年底《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下简称“《管理规定》”)以及《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(以下简称“《备案办法》”,《备案办法》及《管理规定》以下统称“《境外上市新规》”)及《外商投资准入特别管理措施(负面清单)》(2021年版)发布以来,SEC对于VIE架构的审核更为谨慎,预计在《境外上市新规》正式稿落地前,存在VIE架构的赴美上市企业通过SEC审核仍将面临较大障碍。基于上述,存在VIE架构的赴美上市中概股企业应当对上述风险予以关注。


(二)PCAOB相关问题


结合我们经办的相关案例,在对网络安全审查的申报文件中应对上市地司法管辖与国内法律存在潜在冲突情况进行风险分析后,提出如下风险应对方案及措施。对赴美上市的中概股企业而言,如果遵守美国的《外国公司问责法案》,意味着中概股企业需要接受美国公众公司会计监督委员会(PCAOB)对会计底稿的审查,若相关中概股企业不提交审计底稿,则预计会在2024年4月左右被迫从美股退市,但PCAOB对底稿的审查要求可能与中国法律和监管部门现行规定相抵触。


我国《证券法》第177条规定,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。财政部在2015年印发的《会计师事务所从事中国内地企业境外上市审计业务暂行规定》第四条规定,中国内地公司依法委托境外会计师事务所审计的,其在中国境内形成的底稿应当存放在境内。我国 2009 年颁布的《关于加强在境外发行证券与上市相关保密和档案管理工作的规定》更对中国企业的审计底稿的保密工作做出了以下具体规定:


(1)中国公司在境外发行证券与上市过程中,其在境内形成的底稿等档案应当存放在境内;(2)境外监管机构只有在获得中国证监会以及有关部门批准的基础上,才能实施现场检查。


从笔者经办的相关案例来看,赴美上市中概股企业在网络安全审查申报文件中,如实披露前述PCAOB跨境底稿审查相关的退市风险即可,该等风险并不会影响网络安全审查的具体结果。


此外,需要关注的是,中国证监会一直在关注《外国公司问责法》和后续SEC以及PCAOB监管规则的制定。在《外国公司问责法》、SEC关于《外国公司问责法》的正式实施细则、PCAOB的《〈外国公司问责法〉认定报告》通过或发布的次日或隔日,中国证监会都安排答记者问表明立场和态度。此外,2021年12月24日,中国证监会就中国企业境外上市相关制度规则公开征求意见。这些都表明中国相关主管部门持续关注中国企业境外上市和跨境监管合作问题并着手相关法规和规则的制订和修订工作。


2022年4月2日中国证监会公布《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(以下简称“《规定》”),也是对相关事项的回应。首先,按照中国证监会目前开展的境外上市制度改革的相关原则,本次修订将间接境外上市也包含《规定》之中。第二,在备受关注的跨境取证和检查方面,删除了原《规定》中“现场检查应以我国监管机构为主进行,或者依赖我国监管机构的检查结果”的表述,代以“(跨境调查取证或开展检查)应当通过跨境监管合作机制进行,证监会或有关主管部门依据双多边合作机制提供必要的协助”。如中国证监会在答记者问中所述,该修订体现了中国监管部门对跨境审计监管合作的开放态度。这意味着中美证券监管合作之门没有关上,是一个积极的信号。但是本次修订带来的更多是市场情绪的缓解,而中概股退市危机是否实质解决还需要看中美跨境监管合作机制的后续落地情况。


四、总结


本文从我国网络安全审查的相关规定以及中美两国关于中概股赴美上市的相关要求入手,结合已披露的中概股美股上市案例及项目经验,总结出拟赴美上市在面对网络安全审查时的注意要点与应对措施。


总体而言,针对掌握超过100万个人信息的拟赴美上市企业,应当注意安排网络安全审查的申请时间,充分准备申报材料及申报文件披露事宜,针对《审查办法》列出的网络安全风险因素认真评估并采取相应合规措施。在此基础上,拟赴美上市企业即使因掌握用户个人信息数量达到100万的法定标准而触发网络安全审查,目前监管要求下的网络安全审查也不会成为企业上市的实质性障碍。


注释:


[1]https://links.sgx.com/FileOpen/NIO%20Inc.%20-%20Introductory%20Document%20dated%2013%20May%202022.ashx?App=Prospectus&FileID=55564。为了便于阅读,招股书中的表述已被翻译成中文。


[2] https://sec.report/Document/0001213900-22-022398/。为了便于阅读,招股书中的表述已被翻译成中文。


作者:

张真真 环球律师事务所合伙人

李来祥 环球律师事务所律师


审校:孟洁 《互联网法律评论》特约专家、环球律师事务所合伙人


【免责声明】此文仅代表作者个人观点,与本平台无关。本平台对文中陈述、观点判断保持中立,不对所包含内容的准确性、完整性或可靠性提供任何明示或暗示的保证。

上一篇新闻

牛津笔记

下一篇新闻

海航投资集团股份有限公司 关于深圳证券交易所关注函的回复 (问题3、问题5)

评论

订阅每日新闻

订阅每日新闻以免错过最新最热门的新加坡新闻。