网络安全审查的具体操作和对境内企业赴港上市之适用与分析(下)
网络安全审查的具体操作和对境内企业赴港上市之适用与分析(下)
一
如何判断企业是否影响或可能影响国家安全
通过上文的分析,我们理解,即使是赴港上市企业仍可能因影响或可能影响国家安全而被启动网络安全审查程序。《国家安全法》将国家安全定义为国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。但目前我国尚未针对“影响或可能影响国家安全”的行为出台明确的规则或判定标准,何谓“国家安全风险”、具体如何判断和界定尚存在不确定性。
本文暂选取知乎、喜马拉雅、Keep和创新奇智的招股书相关内容,探讨“国家安全风险”的分析思路。
(一)知乎(2022年4月22日登陆港股)
知乎在其招股书概要章节中“有关网络安全及数据隐私的监管发展”部分提出五项其认为自身未参与任何可能导致国家安全风险活动的理由:
1、已实施全面的数据收集、储存及保护程序;
2、并未发生任何数据泄露,或违反数据保护及隐私法律法规而对其业务经营造成重大不利影响的事件;
3、并未遭受来自网信办、中国证监会或任何其他相关政府部门与网络安全或数据隐私或任何网络安全审查有关的任何重大调查、问询或制裁;
4、并未被任何部门告知被列为一名关键信息基础设施运营者;
5、上市完成后,将继续受创始人周源先生控制,而非受任何外国政府控制。
(二)喜马拉雅(2022年3月29日重新递交香港上市申请)
喜马拉雅基于《网络安全审查办法》第十条列举的七项在审查中应重点评估的国家安全风险因素分析自身可能涉及的国家安全风险:
《网络安全审查办法》第10条提出在评估潜在国家安全风险时,网络安全审查过程应聚焦的安全风险主要包括七个因素:(i)产品和服务使用后带来的关键信息基础设施(“CII”)被非法控制、遭受干扰或者破坏的风险;(ii)产品服务供应中断对CII业务持续性的危害;(iii)产品及服务的安全性、开放性、透明性以及来源的多様性、供应渠道的可靠性,以及政治、外交及贸易等因素导致的供应中断的风险;(iv)产品及服务提供商遵守中国法律、行政法规、部门规章情况;(v)核心数据、重要数据或大量个人信息被窃取、泄露、损坏、非法使用及非法出境的风险;(vi)公司上市存在CII、核心数据、重要数据或大量个人信息受到外国政府的影响、控制,或恶意使用的风险以及网络信息安全的风险;及(vii)其他可能危害CII安全、网络安全以及数据安全的因素。
1、(i)-(iv)主要注重与关键信息基础设施运营者采购特定的网络产品及服务有关的供应链安全风险
根据《关键信息基础设施安全保护条例》,重要行业和领域的主管部门、监督管理部门根据认定规则负责组织认定本行业、本领域的CII,并及时将认定结果通知运营者。因此,关键信息基础设施的运营者的认定由保护工作部门负责。发行人并未收到任何来自相关监管机构有关认定其为关键信息基础设施的运营者的通知。
2、关于(v) 核心数据、重要数据或个人信息被窃取、泄露、损坏、非法使用及非法出境的风险
发行人并未发生任何重大网络安全及数据隐私事件,包括但不限于数据或个人信息失窃、泄露、损坏、篡改、丢失或侵犯任何第三方的数据隐私权的任何索赔。发行人在中国大陆收集与生成的用户数据存储于中国大陆;核心系统已经满足等级保护制度的安全保护规定并持有等保第三级的认证;已制定全面且坚实的数据保护政策及措施,以防止未经授权访问、破坏、篡改、丢失个人信息或其他严重事件及破坏事件。
3、关于(vi)适用于实体上市的风险
发行人在中国大陆收集并生成的用户数据存储于中国大陆,且已制定系统的合规措施并将继续竭力杜绝或会引发(vi)的相关风险,发行人认为引发(vi)情景的可能性较低。发行人有关中国网络安全及数据合规的专项中国法律顾问告知,“网络信息安全”的注释和适用性或会受到不确定因素及网信办或相关监管机关进一步说明的影响,不能排除该场景或会适用的可能性。
4、关于(vii) 其他可能危害CII安全、网络安全以及数据安全的因素
发行人专项中国法律顾问认为,“可能损害CII安全、网络安全及数据安全的其他因素”的注释及适用性或会受到不确定因素及网信办或其他有关监管机构的进一步注释的影响,并不能排除如发行人数据处理活动影响或可能影响国家安全时,或须申请网络安全审查的可能性。
(三)Keep(2022年2月25日递交香港上市申请)
Keep在其招股书中提出以下几项其认为自身未参与任何可能导致国家安全风险活动的理由:
1、收集的个人资料的类型及性质主要与Keep健身用户或健身市场有关,对国家安全的重要性相对较低;
2、向用户收集若干个人信息,已就收集及使用其个人信息取得用户同意,且已采纳严格的数据私隐政策以保护用户的机密信息,以遵守该等法律及法规的网络安全规定;
3、鉴于对维护网络安全和保护客户个人信息的网络安全要求将如何解释和实施尚存在不确定性,因此无法保证现有政策及程序将被视为全面遵守。
(四)创新奇智(2022年1月27日在香港上市)
创新奇智在其招股书中提出,基于《网络安全审查办法》的规定:
1、集团并无拥有超过一百万用户的个人信息;且
2、截至招股章程日期,集团并无收到适用的中国政府主管部门将其认定为关键信息基础设施运营者的任何通知或决定,因此,创新奇智无需根据上述规定申请网络安全审查;
3、集团已采取各种措施(包括董事会及管理层监督及数据范园控制)以确保遵守法律。集团于往绩记录期间及直至最后实际可行日期已于所有重大方面遵守有关隐私及个人数据保护的所有适用中国法律及法规。然而,中国及其他国家有关隐私及数据保护的法律法规通常较为复杂且不断变化,其解释及应用亦存在不确定性。因此,集团无法保证,其根据适用法律法规制订的隐私及数据保护措施目前及日后将一直被视作充分。
结合上述案例及《网络安全审查办法》的相关规定,境内企业在赴港上市过程中分析自身可能涉及的国家安全风险时可着重考虑如下因素[1]:
1、企业是否被认定为关键信息基础设施运营者?
2、企业所服务的客户是否被认定为关键信息基础设施运营者?
3、企业是否遵守中国法律、行政法规、部门规章,并符合相关要求?
4、企业过往是否发生过核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境事件?
5、企业在中国境内收集和产生的数据(包括个人信息)是否存储于中国境内?
6、企业是否存在向境外提供在中国境内收集和产生的数据(包括个人信息)的情形,特别是向外国司法或者执法机构提供的情形?
7、企业是否曾接受来自国家互联网信息办公室、中国证监会或任何其他相关政府部门与网络安全或数据合规或任何国家安全有关的任何重大调查、问询或制裁?
8、企业在香港上市后,是否存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险?
二
赴港上市企业在招股书中对于网络安全和数据保护的相关披露
由于近期在向香港联交所申请上市的境内企业(下称“申请人”)经常被重点关注网络安全和数据保护方面的合规性及潜在风险,因此申请人通常会在招股书中对近期相关监管情况、申请人在网络安全和数据保护的合规性、潜在风险、防范措施等进行相应的披露。
(一)赴港上市企业就网络安全和数据保护的披露情况概览
综合近期上市案例,申请人通常在招股书的概要、风险因素、监管、业务章节披露网络安全和数据保护相关内容,并说明申请人在网络安全和数据保护方面的合规情况,对其业务经营的风险或潜在风险,申请人为应对网络安全和数据保护而制定的内控措施或保护措施等。
在风险因素章节披露中,根据指引信GL86-16,申请人应根据其业务的具体情况对以下情况进行披露:(i)可能发生并对申请人构成重大影响的风险;(ii)披露的风险应是申请人难以纾减及一旦出现会对申请人造成重大影响之事件。
另外,指引信GL86-16规定,申请人将可能无法遵守法律规定列作风险因素是不恰当的,因为申请人应要遵守法例及规则,除非有真正的特定原因导致申请人不能确定其能否合规。[2]因此,申请人在披露其可能无法遵守网络安全和数据保护相关法律法规的风险时,除了对网络安全和数据保护相关法律进行描述和分析外,还需要详细解释其“可能无法遵守法律规定”的原因。
在监管章节中,申请人需要披露其现时业务经营所需遵守的重大法律法规,并归纳总结披露;另外,对于尚未生效的征求意见稿,如果一旦生效将对申请人产生重大影响,则需同时披露在监管章节,如《数据出境安全评估办法》[3]、《网络数据安全管理条例(征求意见稿)》、《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》等。
(二)近年赴港上市案例的相关具体披露
网易云音乐、商汤科技、微博、创新奇智就网络数据安全的相关中国法律意见和披露如下:
点击可查看大图
[注]