网络安全审查范围框定,境外上市规则逐步明确

《网络安全审查办法》(下称《审查办法》)出台,境外上市规则将有哪些变化?

2022年第一个交易日,十三部门修订发布《审查办法》,明确关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照办法进行网络安全审查。

其中,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

目前《国务院关于境内企业境外发行证券和上市的管理规定》(下称《管理规定》)与《境内企业境外发行证券和上市备案管理办法》(下称《备案办法》)正在公开征求意见,其中也明确,对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市,在提交备案申请前,企业应当依法申报安全审查。

“十三部门联合修订《审查办法》,承接国家数据安全审查制度的建立,与《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律法规形成联动,也与国务院的《管理规定》相互衔接,进一步廓清和完善了网络安全、数据安全及上市审查等的工作内容与监管范围。”华兴证券(香港)首席经济学家兼首席策略分析师庞溟对第一财经表示。

《审查办法》对国外上市有明确规定,但对境外上市如何没有明确提法。那么赴港上市企业是否需要网络安全审查?对此,庞溟认为,在实践中,网络安全审查仍有较大可能适用于拟赴港上市企业,同时,也不排除香港地区监管机构和港交所上市科要求相关上市企业提供网络安全、数据安全审查结果。

不确定性进一步消除

2021年下半年以来,有关网络安全审查、数据安全审查、个人信息保护等方面的规则,市场一直在紧张猜测中等待监管予以明确。

《审查办法》出台,意味着网络安全审查进一步明确。

审查对象方面,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照办法进行网络安全审查。掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。

审查内容方面,将从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等进行审查。

审查机制方面,在中央网络安全和信息化委员会领导下,国家网信办会同发改委、工信部、公安部、国安部、财政部、商务部、人民银行、市场监督管理总局、广播电视总局、证监会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。

网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。

审查周期方面,网络安全审查办公室自收到符合条件的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。确认需要审查的,30个工作日内完成初步审查。情况复杂的,延长15个工作日。

《审查办法》将于2022年2月15日起施行。

值得注意的是,2021年12月24日,中国证监会公布《管理规定》)和《备案办法》,目前正在向社会公开征求意见。

根据上述规则,境内企业直接和间接境外上市活动,将统一实施备案管理。对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市,在提交备案申请前,企业需要依法申报安全审查。

新规对协议控制(VIE)架构企业境外上市监管也作出明确规定——在遵守境内法律法规的前提下,满足合规要求的VIE架构企业备案后可以赴境外上市。

意见征集截止日为2022年1月23日,业内预计或将于《审查办法》同步实施。

庞溟分析认为,前述规则相互衔接,进一步廓清和完善了网络安全、数据安全及上市审查等的工作内容与监管范围。

“无论对企业、金融机构乃至监管机构和主管部门来说,都有可能存在学习曲线,在新规实施初期很可能对各方来说都有熟悉和磨合的过程。”他表示,但在设定了边界、清晰了流程、明确了权责之后,上市申请、备案、审查等方面的不确定性有望大幅下降。

赴港上市或不排除审查

伴随中概股在美遭遇“至暗时刻”,中国香港成为企业境外上市更加青睐的选项。《审查办法》出台如何影响赴港上市企业,尤为受到市场关注。

在业内人士看来,赴港上市大概率不排除在网络安全审查范围之外。

从监管层公开表态的语境来看,强调的也是境外上市监管,而非国外上市。

比如2021年12月30日,证监会主席易会满接受采访时就表示,将“稳步推动资本市场制度型双向开放,强化境内外市场互联互通,加快境外上市备案制度改革,加强国际证券监管合作,处理好开放与安全的关系,支持企业更好利用两个市场、两种资源发展”。

庞溟对记者表示,从文字上看,修订后的《审查办法》第七条仅提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,但在实践中,网络安全审查仍有较大可能适用于拟赴港上市企业。

首先,修订中的《管理规定》明确了发行人向中国证监会提交的备案材料包括“有关部门出具的安全评估审查意见(如适用)”,考虑到国务院令位阶高于部门规章,对拟赴港上市企业进行涉及数据的安全评估审查是有可能的。

其次,修订中的《网络数据安全管理条例》第十三条第三款规定,“数据处理者赴香港上市,影响或者可能影响国家安全的”,应当按照国家有关规定,申报网络安全审查,且存在兜底条款“其他影响或者可能影响国家安全的数据处理活动”也应申报审查。

所以,考虑到时间、成本、合规、风险防控等各方面的因素,拟赴港上市企业很可能主动申报进行网络安全审查。

第三,修订后的《审查办法》第十六条规定“网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。”

而且,中国证监会已被增加作为网络安全审查工作机制成员单位,有关部门主动对拟赴港上市企业进行网络安全审查并不存在任何法律上和程序上的障碍。

在庞溟看来,在境外上市新规和信息安全新规要求下,内地消费类、医疗健康行业、互联网和信息服务行业中细分市场下行业领导力较强、留存敏感性数据较少、主要由非人民币基金搭建、核心团队对境外投资者而言较有竞争力的公司,依然有赴境外尤其是赴港上市的需求。

“相比A股市场,出于境外融资需要、投资者基础、行业受监管情况、红筹与VIE结构上市便利度、港股市场持续创新等各方面考虑,预计拟上市企业和考虑回归的在美中概股,现阶段优先考虑的上市地仍将是港股。”庞溟称。