刘玲

今年2月17日，中国证监会公布了《境内企业境外发行证券和上市管理试行办法》（以下简称《管理试行办法》）以及五条相关的监管规定的应用指南（与《管理试行办法》统称为《配套指引》），并于3月31日正式生效。随着境外上市新规的公布，开启了境内企业境外上市全口径备案监管的新时代。

一、境外上市新规中的安全审查

随着《中华人民共和国网络安全法》（以下简称《网络安全法》）的生效，《网络数据安全管理条例（征求意见稿）》的公布，《网络安全审查办法》的出台，国家互联网安全审查局宣布，将对某知名出行平台公司进行网络安全审查。此次境外上市新规指出了将安全审查列为涉安全审查企业境外发行上市的前提条件，同时突出了在境内企业境外发行上市的过程中，安全审查及数据出境遵从义务的重要性。

（一）相关法律依据

境内企业赴境外上市相关法律依据见表1。

（二）主管机关

境外IPO对互联网安全的审查，基本有4个层级的监管组织：第一层为中国互联网安全评估技术和认证中心，由互联网安全评估办公室领导，主要负责接收申请材料，对申请材料进行形式审查，并负责组织审查工作。因此，要想进行信息安全审查的公司，必须与认证中心取得联系，而非信息安全审查办公室。第二层为网安审查机构，其设立在国家网信办，主要是开展和完善有关的网络安全审查的制度和标准，并对其进行审查。在经过了审查之后，认证机构将把这些资料提交给互联网安全审查处，以作实质审查。第三层是由12个部委组成，联合发布了《实施细则》，并被称为互联网安全评估工作机制的成员国。在完成了最初的评估，并提出了关于评估的建议之后，向12个部委发出评估的建议。

第四层为国家互联网中心。在特殊审查程序开始后，由网络安全审查办公室征询了网络安全审查工作机制的成员单位后，由其重新提出的审查结论意见，应提交给中央网络安全和信息化委员会审批。

二、境外上市网络安全审查要点

（一）赴境外上市的网络安全审查要点

网络安全审查的重点是审查上市情况、股权控制权、数据处理情况以及数据开放情况四项内容。对数据的处理要根据拟上市公司手中所拥有的数据来判断，这些数据是否涉及个人敏感信息、重要数据、数据出境情况等。《网络安全审查办法》第七条对“拥有百万以上用户数据的互联网平台经营者”在境外上市提出了要求，要求其在境外进行相关的审查，并提出申请，应着重注意三个方面。

第一，对“一百万用户”的识别问题。在网络安全审查申报书中，需填写用户类型，特别是要选择该用户是否属于企业用户或个人用户。我们所说的用户指的是C和B两种类型的用户。此外，由于发行人有境外业务，亦须特别说明，所以用户指的是发行人的国内及国外客户。

第二，对“互联网平台经营者”的认定问题。虽然《网络安全审查办法》并没有对“网络平台经营者”作出具体界定，但《网络数据安全管理条例（征求意见稿）》对此作出了界定，即“为使用者提供信息发布、社交和交易服务；从事支付、影音等网络平台业务的资料处理人员”。对“互联网平台经营者”这一概念的界定，其含义应更宽泛。

第三，对上市的范畴进行了界定。尽管《网络安全审查办法》第八条“运营商在进行信息安全审查时所应提交的资料”包含了“拟递交的IPO及其他上市资料”，但是对上市的认识远大于IPO。当前，在美国股市中经常出现的SPAC交易、借壳上市（RTO）、直接上市（DPO）等都是上市的一种，且都要求依据《网络安全审查办法》第八条递交上市资料，而从中国互联网信息安全审查技术和认证中心（CCRC）所发布的申报资料来判断，上述SPAC、RTO及DPO等上市手段也包含在内。

自《网络安全审查办法》颁布后，有关“互联网平台经营者”与“100万用户”这两种数据处理方式的界定尚需更多的规范解读。在实际工作中，有的企业会利用某些符合规定的操作途径，使其不属于第一点所涉及的认定范围，因此不会触发主动申报网络安全审查的条件。

总的来说，我国颁布了一套关于境外上市的体制和规定，规定了境外上市的公司必须要有相应的注册登记，这就表明了对境外上市公司的重视。《网络安全审查办法》《网络数据安全管理条例（征求意见稿）》等法律法规的出台也为我国互联网信息系统的建设提供了新思路。

（二）审查程序和步骤

按照《网络安全审查办法》的规定，网络平台运营商在向网络安全审查办公室递交资料后，需通过“确定是否需要审查”“初步审查”“复审”及“批准”四个阶段的审查程序。

以下是对网络安全性审查的总程序与时间规定：确定是否需要审查（10个工作日）：在接到复审申请资料合格后10个工作日之内，决定是否进行复审，并以书面方式告知有关方。

初步审查（30+15日）：经认定有必要进行NSA审查的，在30天之内，由NSA审查机构出具审查报告，并将其提交NSA审查工作机制各成员单位及有关部门，以征求其对NSA审查机构的看法。对于比较复杂的案件，可以将工作时间放宽15天。机制单位回复意见（15个工作日）：各机构及有关部门在接到评估结果的建议后15个工作日之内，以书面形式对评估结果进行反馈。如果有不同的观点，将会进行特殊的复审。如果双方不反对，且经过研究，认为对国家的安全没有威胁，就会告知该公司，处理就结束了。特别审查程序（90个工作日）：特别审查程序通常在90个工作日之内审理完毕，案件较复杂时，可适当延期审理。以上规定按照其应用对象和应用情况的不同，可以作以下简要划分（见表2）。

（三）违法后果

按照《网络安全审查办法》，对应提交信息而不提交信息的，或者在进行信息安全审查时不愿意提交信息的，将按照《中华人民共和国数据安全法》《网络安全法》《管理试行办法》等有关规定进行处置。

《管理试行办法》第八条规定：“对在国外进行公开募股，且经国务院相关部门审查认为对国家安全不构成威胁的，应当予以批准。”如果发现有任何违规行为，将被中国证券监督管理委员会按照《管理试行办法》第二十七条要求予以纠正，并对其处以100万元～1000万元的罚金。对该单位的直接负责人和其他直接责任人员，可以处以50万元～500万元的罚金。此外，还规定境外公司的控股股东和实际控制人将被处以100万元～1000万元的罚金。对单位或个人，处50万元～500万元的罚金。

三、网络安全审查并非阻止赴境外上市

对中国企业进行的网络安全审查不会阻碍其境外上市。根据启动审查的要求，只要拥有一百万以上的用户资料，就必须提交审查。事实上，没有达到这一要求的中国上市公司有许多。例如：根据中国在美国的上市公司在2022年公布的招股说明书，他们都声称自己没有受到过互联网安全的审查。就其目标而言，本研究注重对互联网平台经营者资料处理行为之影响，确保其对国家安全不会造成影响。

根据审查结果可分为三类。第一类，由互联网安全审查局认定无需实体评审的机构，于接到符合条件的申请后10个工作日之内，将申请通过的审查文件告知相关机构；第二类，在进行了大量的审查后作出了审查结果，通过了审查；第三类，在进行了大量的审查后，最终的审查结果是不准予发行。经过4个多月的互联网安全审查，根据可以查询到的信息，很多企業都已经过了互联网安全审查。在申请期间，通过与以认证中心为窗口的监督部门的交流，可以看出监督部门的工作非常专业，效率也非常高，针对客户在办理业务过程中所遭遇的现实困境将提供行之有效的处理办法。

总而言之，尽管对中概股赴境外上市增加了对网络安全的审查，但是只要事先进行沟通，按照要求进行申报，在进行数据处理的过程中不会出现对国家安全造成威胁的情况，得到批准的概率还是比较高的。

（作者单位：北京市泽文律师事务所）