作者 | 李荔、张越奇、尹玮洁
本文将为读者梳理网络安全审查的流程和适用对象,分析近期已在香港上市的企业在招股书对网络和数据安全的相关披露,为拟赴港上市的相关企业提供参考。上半部分主要针对网络安全审查的适用范围和流程,下半部分主要针对赴港上市企业对网络安全审查的披露和分析。
一、网络安全审查之适用主体
《网络安全审查办法》[1]将网络安全审查的适用主体界定为两类:“关键信息基础设施企业(CIIO)”和“网络平台运营者”。关键信息基础设施企业已经由《关键信息基础设施安全保护条例》做出明确的识别和认定[2],而“网络平台运营者”尚且缺乏明确定义。根据我们在公开渠道的检索,“网络平台运营者”目前存在以下相近定义:《中华人民共和国网络安全法》确立的“网络运营者”概念,《网络数据安全管理条例(征求意见稿)》和《互联网平台落实主体责任指南(征求意见稿)》确立的“互联网平台运营者/经营者”概念,以及《中华人民共和国电子商务法》确立的“电子商务平台经营者”概念。具体如下:
除了CIIO作为明确的适用主体外,目前来看“网络平台运营者”并非一个具有普遍通识的法律概念。从对“平台”的朴素理解,其功能必须具备撮合和连接的特性。因此,行业内谨慎认为“网络平台运营者”应该是针对此类具备多方交易功能、提供综合服务的平台运营者,并非单纯的通过网络仅提供自身服务的运营者,或仅提供平台搭建等技术服务的运营者。[3]
二、网络安全审查之适用情形
《网络安全审查办法》规定:“关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”“对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。”“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。”
根据不同的适用主体及适用情形,上述条款可简单区分如下:
类别 |
适用主体 |
适用情形 |
强制申报 |
关键信息基础设施企业 |
采购网络产品和服务,并预判影响或者可能影响国家安全 |
强制申报 |
网络运营者 |
掌握超过100万用户个人信息的网络运营者赴国外上市 |
自发申报 |
网络运营者 |
经分析认为自身活动影响或者可能影响国家安全的[4] |
虽然“预判义务”在《网络安全审查办法》中被确立为关键信息基础设施企业的特定义务,但其也并非排斥其他当事人(网络运营者)对自身数据处理活动进行预先分析,概因《网络安全审查办法》第三条已明确指出其审查范围囊括了“产品和服务以及数据处理活动”。再结合《网络安全审查办法》第八条的规定可以合理推测,一旦当事人在数据处理活动中“经分析认为自身活动影响或者可能影响国家安全的”,均应申报网络安全审查。
这一规定的实质亦与《网络数据安全管理条例(征求意见稿)》确立的网络安全审查制度相衔接。《网络数据安全管理条例(征求意见稿)》第十三条规定[5]“处理一百万人以上个人信息的数据处理者赴国外上市的”,或“数据处理者赴香港上市,影响或者可能影响国家安全的”,应当申报网络安全审查。由此可见,《网络数据安全管理条例(征求意见稿)》确立的网络安全审查原则同样区别了“赴国外上市”和“赴香港上市” 情形,我们理解,赴国外上市企业只要处理个人信息过百万,则必须申报网络安全审查;赴港上市企业若自行分析认为影响或者可能影响国家安全的,也应申报网络安全审查。
同时,为具体落实赴国外上市企业的网络安全审查工作,《网络安全审查办法》答记者问中专门公布了接受审查资料的窗口单位,即网络安全审查办公室设在国家互联网信息办公室(“网信办”),具体工作委托中国网络安全审查技术与认证中心承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务;中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。
三、网络安全审查之流程和时限
根据《网络安全审查办法》,在关键信息基础设施运营者、网络平台运营者向网络安全审查办公室提交材料[6]申报网络安全审查后,需经过四步审查流程,即:确定是否需要审查、初步审查、复审及批准。
网络安全审查的一般流程和时限要求如下:
-
确定是否需要审查(《网络安全审查办法》第九条):网络安全审查办公室自收到符合规定的审查申报材料起10个工作日内确定是否需要审查并书面通知当事人。
-
初步审查(《网络安全审查办法》第十一条):网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
-
网络安全审查工作机制成员单位/相关部门回复意见(《网络安全审查办法》第十二条):网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见;如意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人,程序完结;意见不一致的,按照特别审查程序处理,并通知当事人。
-
特别审查程序(《网络安全审查办法》第十四条):特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
为方便理解,我们总结具体流程图示如下:
基于以上流程,若企业确定需要进行网络安全审查,一般情况下可在提交网络安全审查申报材料之日起3个月左右完成;若进入特别审查程序,则可能额外增加90个工作日以完成全部审查工作。需要特别注意的是,该等审查时限不包含企业按照网络安全审查办公室要求补充材料的时间。
近期已发生第一宗境内企业境外上市因违反网络安全审查相关规定而被予以行政处罚的案例。根据网信办2022年7月31日于官网的披露[7],网信办公布对滴滴全球股份有限公司(下称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定,对其处人民币80.26亿元罚款,对滴滴公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。网信办认为,滴滴公司主要违法行为包括:(1) 违法收集用户手机相册中的截图信息;(2) 过度收集用户剪切板信息、应用列表信息;(3) 过度收集乘客人脸识别信息;(4) 过度收集乘客评价;(5) 过度收集司机学历信息;(6) 未明确告知乘客情况下分析乘客出行意图信息等……由此可见,网络安全审查今后将是境内企业赴境外上市需要履行的重要程序。
需注意的是,中国证监会于2021年12月24日发布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》以及《境内企业境外发行证券和上市备案管理办法(征求意见稿)》规定,在适用网络安全审查的情形下,发行人应当在向境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交网络安全审查部门出具的相关评估审查意见。但是,上述征求意见迄今尚未生效,目前拟上市企业的通行做法仍是在递交境外上市申请文件前完成网络安全审查程序。
四、信息系统等级保护备案
《网络安全法》规定,国家实行网络安全等级保护制度,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。《信息系统安全等级保护定级指南》(2007年6月27日颁布及生效)将信息系统的安全保护等级分为五级[8]。
1.定级范围
根据《关于开展全国重要信息系统安全等级保护定级工作的通知》(2007年7月16日颁布及生效),定级范围包括:“(一)电信、广电行业的公用通信网、广播电视传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统;(二)铁路、银行、海关、税务、民航、电力、证券、保险、外交、科技、发展改革、国防科技、公安、人事劳动和社会保障、财政、审计、商务、水利、国土资源、能源、交通、文化、教育、统计、工商行政管理、邮政等行业、部门的生产、调度、管理、办公等重要信息系统;(三)市(地)级以上党政机关的重要网站和办公信息系统;(四)涉及国家秘密的信息系统。”
2.确定信息系统安全保护等级的一般流程如下[9]:
(1)侵害国家安全的事项包括以下方面:
影响国家政权稳固和国防实力;影响国家统一、民族团结和社会安定;影响国家对外活动中的政治、经济利益;影响国家重要的安全保卫工作;影响国家经济竞争力和科技实力;其他影响国家安全的事项。
(2)侵害社会秩序的事项包括以下方面:
影响国家机关社会管理和公共服务的工作秩序;影响各种类型的经济活动秩序;影响各行业的科研、生产秩序;影响公众在法律约束和道德规范下的正常生活秩序等;其他影响社会秩序的事项。
(3)影响公共利益的事项包括以下方面:
影响社会成员使用公共设施;影响社会成员获取公开信息资源;影响社会成员接受公共服务等方面;其他影响公共利益的事项。
(4)影响公民、法人和其他组织的合法权益是指由法律确认的并受法律保护的公民、法人和其他组织所享有的一定的社会权利和利益。
3.信息系统安全等级保护备案办理流程
根据《信息安全等级保护备案实施细则》,定级流程为:确定定级对象→初步确定等级→专家评审→主管部门审核→公安机关备案审查→最终确定的等级。
企业应当在信息系统安全保护等级确定后30日内,到公安机关公共信息网络安全监察部门办理备案手续。办理备案手续时,应当首先到公安机关指定的网址下载并填写备案表,准备好备案文件,然后到指定的地点备案。
办理信息系统安全等级保护备案时应当提交《信息系统安全等级保护备案表》及其电子文档。第二级以上信息系统备案时需提交《备案表》中的表一、二、三;第三级以上信息系统还应当在系统整改、测评完成后30日内提交《备案表》中的表四及其有关材料。经相关部门审核,对符合等级保护要求的,公安机关公共信息网络安全监察部门应当自收到备案材料之日起的10个工作日内,将加盖本级公安机关印章(或等级保护专用章)的《备案表》一份反馈备案单位,一份存档;对不符合等级保护要求的,公安机关公共信息网络安全监察部门应当在10个工作日内通知备案单位进行整改,并出具《信息系统安全等级保护备案审核结果通知》。
须提请留意,不同级别的信息系统需要的备案材料有所差异。《网络安全法》第五十九条[10]规定,网络运营者未办理信息系统安全等级保护备案,将由相关主管部门责令改正,给予警告、处一万元以上十万元以下罚款等行政处罚。
五、如何判断企业是否影响或可能影响国家安全
通过上文的分析,我们理解,即使是赴港上市企业仍可能因影响或可能影响国家安全而被启动网络安全审查程序。《国家安全法》将国家安全定义为国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。但目前我国尚未针对“影响或可能影响国家安全”的行为出台明确的规则或判定标准,何谓“国家安全风险”、具体如何判断和界定尚存在不确定性。
本文暂选取知乎、喜马拉雅、Keep和创新奇智的招股书相关内容,探讨“国家安全风险”的分析思路。
(一)知乎(2022年4月22日登陆港股)
知乎在其招股书概要章节中“有关网络安全及数据隐私的监管发展”部分提出五项其认为自身未参与任何可能导致国家安全风险活动的理由:
-
已实施全面的数据收集、储存及保护程序;
-
并未发生任何数据泄露,或违反数据保护及隐私法律法规而对其业务经营造成重大不利影响的事件;
-
并未遭受来自网信办、中国证监会或任何其他相关政府部门与网络安全或数据隐私或任何网络安全审查有关的任何重大调查、问询或制裁;
-
并未被任何部门告知被列为一名关键信息基础设施运营者;
-
上市完成后,将继续受创始人周源先生控制,而非受任何外国政府控制。
(二)喜马拉雅(2022年3月29日重新递交香港上市申请)
喜马拉雅基于《网络安全审查办法》第十条列举的七项在审查中应重点评估的国家安全风险因素分析自身可能涉及的国家安全风险:
《网络安全审查办法》第10条提出在评估潜在国家安全风险时,网络安全审查过程应聚焦的安全风险主要包括七个因素:(i)产品和服务使用后带来的关键信息基础设施(“CII”)被非法控制、遭受干扰或者破坏的风险;(ii)产品服务供应中断对CII业务持续性的危害;(iii)产品及服务的安全性、开放性、透明性以及来源的多様性、供应渠道的可靠性,以及政治、外交及贸易等因素导致的供应中断的风险;(iv)产品及服务提供商遵守中国法律、行政法规、部门规章情况;(v)核心数据、重要数据或大量个人信息被窃取、泄露、损坏、非法使用及非法出境的风险;(vi)公司上市存在CII、核心数据、重要数据或大量个人信息受到外国政府的影响、控制,或恶意使用的风险以及网络信息安全的风险;及(vii)其他可能危害CII安全、网络安全以及数据安全的因素。
-
(i)-(iv)主要注重与关键信息基础设施运营者采购特定的网络产品及服务有关的供应链安全风险
根据《关键信息基础设施安全保护条例》,重要行业和领域的主管部门、监督管理部门根据认定规则负责组织认定本行业、本领域的CII,并及时将认定结果通知运营者。因此,关键信息基础设施的运营者的认定由保护工作部门负责。发行人并未收到任何来自相关监管机构有关认定其为关键信息基础设施的运营者的通知。
-
关于(v) 核心数据、重要数据或个人信息被窃取、泄露、损坏、非法使用及非法出境的风险
发行人并未发生任何重大网络安全及数据隐私事件,包括但不限于数据或个人信息失窃、泄露、损坏、篡改、丢失或侵犯任何第三方的数据隐私权的任何索赔。发行人在中国大陆收集与生成的用户数据存储于中国大陆;核心系统已经满足等级保护制度的安全保护规定并持有等保第三级的认证;已制定全面且坚实的数据保护政策及措施,以防止未经授权访问、破坏、篡改、丢失个人信息或其他严重事件及破坏事件。
-
关于(vi)适用于实体上市的风险
发行人在中国大陆收集并生成的用户数据存储于中国大陆,且已制定系统的合规措施并将继续竭力杜绝或会引发(vi)的相关风险,发行人认为引发(vi)情景的可能性较低。发行人有关中国网络安全及数据合规的专项中国法律顾问告知,“网络信息安全”的注释和适用性或会受到不确定因素及网信办或相关监管机关进一步说明的影响,不能排除该场景或会适用的可能性。
-
关于(vii) 其他可能危害CII安全、网络安全以及数据安全的因素
发行人专项中国法律顾问认为,“可能损害CII安全、网络安全及数据安全的其他因素”的注释及适用性或会受到不确定因素及网信办或其他有关监管机构的进一步注释的影响,并不能排除如发行人数据处理活动影响或可能影响国家安全时,或须申请网络安全审查的可能性。
(三)Keep(2022年2月25日递交香港上市申请)
Keep在其招股书中提出以下几项其认为自身未参与任何可能导致国家安全风险活动的理由:
-
收集的个人资料的类型及性质主要与Keep健身用户或健身市场有关,对国家安全的重要性相对较低;
-
向用户收集若干个人信息,已就收集及使用其个人信息取得用户同意,且已采纳严格的数据私隐政策以保护用户的机密信息,以遵守该等法律及法规的网络安全规定;
-
鉴于对维护网络安全和保护客户个人信息的网络安全要求将如何解释和实施尚存在不确定性,因此无法保证现有政策及程序将被视为全面遵守。
(四)创新奇智(2022年1月27日在香港上市)
创新奇智在其招股书中提出,基于《网络安全审查办法》的规定:
-
集团并无拥有超过一百万用户的个人信息;且
-
截至招股章程日期,集团并无收到适用的中国政府主管部门将其认定为关键信息基础设施运营者的任何通知或决定,因此,创新奇智无需根据上述规定申请网络安全审查;
-
集团已采取各种措施(包括董事会及管理层监督及数据范园控制)以确保遵守法律。集团于往绩记录期间及直至最后实际可行日期已于所有重大方面遵守有关隐私及个人数据保护的所有适用中国法律及法规。然而,中国及其他国家有关隐私及数据保护的法律法规通常较为复杂且不断变化,其解释及应用亦存在不确定性。因此,集团无法保证,其根据适用法律法规制订的隐私及数据保护措施目前及日后将一直被视作充分。
结合上述案例及《网络安全审查办法》的相关规定,境内企业在赴港上市过程中分析自身可能涉及的国家安全风险时可着重考虑如下因素[11]:
-
企业是否被认定为关键信息基础设施运营者?
-
企业所服务的客户是否被认定为关键信息基础设施运营者?
-
企业是否遵守中国法律、行政法规、部门规章,并符合相关要求?
-
企业过往是否发生过核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境事件?
-
企业在中国境内收集和产生的数据(包括个人信息)是否存储于中国境内?
-
企业是否存在向境外提供在中国境内收集和产生的数据(包括个人信息)的情形,特别是向外国司法或者执法机构提供的情形?
-
企业是否曾接受来自国家互联网信息办公室、中国证监会或任何其他相关政府部门与网络安全或数据合规或任何国家安全有关的任何重大调查、问询或制裁?
-
企业在香港上市后,是否存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险?
六、赴港上市企业在招股书中对于网络安全和数据保护的相关披露
由于近期在向香港联交所申请上市的境内企业(下称“申请人”)经常被重点关注网络安全和数据保护方面的合规性及潜在风险,因此申请人通常会在招股书中对近期相关监管情况、申请人在网络安全和数据保护的合规性、潜在风险、防范措施等进行相应的披露。
(一)赴港上市企业就网络安全和数据保护的披露情况概览
综合近期上市案例,申请人通常在招股书的概要、风险因素、监管、业务章节披露网络安全和数据保护相关内容,并说明申请人在网络安全和数据保护方面的合规情况,对其业务经营的风险或潜在风险,申请人为应对网络安全和数据保护而制定的内控措施或保护措施等。
在风险因素章节披露中,根据指引信GL86-16,申请人应根据其业务的具体情况对以下情况进行披露:(i)可能发生并对申请人构成重大影响的风险;(ii)披露的风险应是申请人难以纾减及一旦出现会对申请人造成重大影响之事件。
另外,指引信GL86-16规定,申请人将可能无法遵守法律规定列作风险因素是不恰当的,因为申请人应要遵守法例及规则,除非有真正的特定原因导致申请人不能确定其能否合规。[12]因此,申请人在披露其可能无法遵守网络安全和数据保护相关法律法规的风险时,除了对网络安全和数据保护相关法律进行描述和分析外,还需要详细解释其“可能无法遵守法律规定”的原因。
在监管章节中,申请人需要披露其现时业务经营所需遵守的重大法律法规,并归纳总结披露;另外,对于尚未生效的征求意见稿,如果一旦生效将对申请人产生重大影响,则需同时披露在监管章节,如《数据出境安全评估办法》[13]、《网络数据安全管理条例(征求意见稿)》、《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》等。
(二)近年赴港上市案例的相关具体披露
网易云音乐、商汤科技、微博、创新奇智就网络数据安全的相关中国法律意见和披露如下:
序号 |
公司名称 |
上市时间 |
披露章节 |
《网络安全审查办法》和《网络数据安全管理条例(征求意见稿)》的认定 |
备注 |
1 |
网易云音乐(HK.09899) |
2021.12.02 |
概要、风险因素章节 |
现行有效的《网络安全法》中对于“关键信息基础设施运营者”认定不明;另一方面,因《网络安全审查办法(征求意见稿)》与《审查办法修订意见稿》暂未生效,即使其按照现行版本生效,鉴于其对“国外上市”与“影响或可能影响国家安全”的定义不明晰,具体影响暂未可知。 |
•保荐人尽调工作内容披露于概览章节; •中国律师认为公司被认定为“关键信息基础设施运营者”机会较小,该法规不影响公司在任何重大方面遵守法律法规,但该监管机制存在不确定。 |
2 |
微博-SW(HK.09898) |
2021.12.08 |
概要、风险因素、业务章节 |
(i)其为征求意见的草案且目前尚未生效;(ii)该草案未载有会对建议上市产生重大影响的追溯条文;及(iii)截 至本文件日期,我们并未涉及国家网信办就《网络数据安全管理条例》草案进行的审查 或调查。由于我们已实施数据和技术系统风险管理以遵守数据安全和数据保护规定,现行监管制度下“关键信息基础设施”运营者的范围仍不明确,并取决于中国相关政府机构的决定。《网络安全审查办法(修 订草案征求意见稿)》中关于数据处理者进行影响或可能影响国家安全的数据处理须进行网络安全审查的要求为新要求,在确定影响或可能影响网络安全的数据处理活动方面同样不明确。 |
•详细披露公司可能受到的不利影响,包括业务、经营业绩、财务; •若 2021年11月颁布的《网络数据管理安全条例》草案意见稿落实,可能对筹资活动造成影响(见风险因素章节); •近期监管发展及监管概览章节披露较详尽的网络数据安全法规及发展。 |
3 |
商汤科技(HK.00020) |
2021.12.30 |
概要、风险因素章节 |
商汤科技未被认定为关键信息基础设施运营者;商汤科技赴港上市不属于国外上市;现阶段《网络安全审查办法(征求意见稿)》与《审查办法修订意见稿》仍未生效,即使其按照现行版本生效,“数据处理者”、“国家安全”的定义未明确,因此商汤科技认为其被要求进行网络安全审查的可能性较低。 |
•概览章节包含保荐人尽职调查披露; •把数据安全法和个人信息保护法规合并讨论; •强调数据安全法下“影响国家安全”的定义尚不明确,公司是否需接受网络安全审查存在不确定性;修订草案存在巨大不确定性,是否会对公司施加额外限制、是否适用于香港上市公司尚不明确。 |
4 |
创新奇智(HK.02121) |
2022.01.27 |
概要、风险因素、业务章节 |
创新奇智无拥有超过一百万用户的个人信息,且无收到适用的中国政府主管部门将其认定为关键信息基础设施运营商的任何通知或决定;另外,对于“影响国家安全”无明确的解释或说明,征求意见稿亦尚未生效。 |
•把数据安全法和个人信息保护法规合并讨论; •强调数据安全法下“影响国家安全”的定义尚不明确,以及修订草案尚未生效; •中国法律顾问认为,《网络数据安全审查办法》及修订草案不会对公司业务运营、全球发售或上市造成任何重大不利影响。 |
作者简介
李荔 律师
广州办公室
非权益合伙人
业务领域:中国内地资本市场, 香港和境外资本市场, 投资并购和公司治理
特色行业类别:健康与生命科学, 房地产与基础设施, 通讯与技术
张越奇 律师
广州办公室 资本市场部
尹玮洁
广州办公室 资本市场部