前言
植德数据合规组长期跟踪研究境内外证券市场的最新案例,对《网络安全审查办法》修订前后的落地实施情况十分关注,于2022年1月发布了系列文章之一——《<网络安全审查办法>对企业资本运作的影响(一):四问四答》。在此基础上,我们对近期四则境内IPO案例所遇到的网络安全审查相关问题及反馈思路进行了总结、提炼,以期为相关企业境内上市中,可能遇到的网络安全审查问题,提前做好合规自查准备。后续植德数据合规组将继续发布《网络安全审查办法》对境外IPO的影响及其案例分析。
目录
一、近期境内IPO案例问询的网络安全审查问题一览
二、案例分析:企业面临“网络安全审查”相关问询的自查方法论探讨——以IPO问题反馈场景为例
1. 主体判断:企业是否适用《办法(2022年版)》?
2. 产品判断:企业的产品和服务是否应适用网络安全审查?
3. 客户判断:发行人的客户是否可能导致企业被要求配合进行网络安全审查?
4. 数据处理合法性判断:企业是否存在不满足监管要求的风险?
5. 经营业绩影响判断:网络安全审查对发行人经营业绩的影响?
三、中介机构针对拟国内IPO企业开展尽调的注意事项
1.充分重视前期尽调工作
2.尽调前对发行人开展《网络安全审查办法》专题培训
3.尽调的时间维度要拉长,重点关注企业内部的数据资产、关联公司剥离方案合法性等问题
4.预评估网络安全审查对自身经营业绩的影响
四、结语:趋势与建议
一、近期境内IPO案例问询的网络安全审查问题一览
2020年6月1日,《网络安全审查办法》正式实施。2022年2月15日,《网络安全审查办法2022年版)》(以下简称“《办法(2022年版)》”)修订后正式生效。以下为《网络安全审查办法》公布、修改、修订后生效过程中,证监会、证券交易所等对数家企业的问询情况:
二、案例分析:企业面临“网络安全审查”相关问询的自查方法论探讨——以IPO问题反馈场景为例

1.主体判断:企业是否适用《办法(2022年版)》?
旷视科技和赛特斯在落实函回复中均优先进行了主体判断,讨论企业是否属于应适用网络安全审查的主体。如何进行主体判断?以上述公司的反馈思路为例,根据现行法规,发行人未被相关部门认定为“关键信息基础设施运营者”,未被通知拥有任何关键信息基础设施,不构成“数据处理者(网络平台运营者)”开展数据处理活动影响或可能影响国家安全,无境外上市安排等,则可在主体上初步判断不适用网络安全审查。
在回复企业主体开展数据处理活动是否影响或可能影响国家安全方面,可包含以下几个要点:
(1)总结发行人的商业模式,有利于后续进一步描述数据处理活动内容。比如,旷视科技的落实函回复中提炼出旷视科技是一家聚焦物联网场景的人工智能公司,为客户提供软件和硬件一体化的产品及解决方案。
(2)发行人是否会接触客户数据,是否会进行数据处理活动,是需要论述的关键问题之一。以旷视科技为例,当产品交付给客户后,相关产品即处于客户的运营和使用过程中,企业并不直接参与客户的运营和使用过程,对客户使用发行人产品过程中获取的数据并无所有权,发行人无权也无需在此情形下进行数据采集、清洗、管理、运用。也就是说,发行人不会直接接触客户数据,也不会进行数据处理活动。
2.产品判断:企业的产品和服务是否应适用网络安全审查?
根据对赛特斯和青云科技案例的总结,回复要点包含以下几大方面:
(1)总结发行人的商业模式及产品服务特点。比如,赛特斯的问询函回复中提炼出发行人是国内领先的软件定义通信产品和解决方案提供商,主要产品和服务包括云平台产品、云技术服务、虚拟路由器、SD-WAN产品、边缘计算产品、IPTV监测监管系统、业务运营支持系统、监控巡检系统。由此可以下一个判断:发行人提供的主要产品服务属于《办法(2022年版)》第二十一条[5]规定的“网络产品和服务”。
(2)判断产品和服务投入使用后,是否可能带来的国家安全风险,仍需要结合具体个案判断,很难做出绝对性的结论意见。以青云科技为例,尽管落实函回复中承认企业的云计算产品和服务属于上述法律规定的“网络产品和服务”,但同时也表示由于产品和服务是否影响或可能影响国家安全的标准未明,是否应当申请网络安全审查并不明确。虽然目前几家企业的反馈均以“‘影响或可能影响国家安全的数据处理活动的实质判断标准’有待国家主管机关进一步明确”作为概括性陈述,但一旦此类判断标准有了更明确的公示,企业针对网络安全审查问题的反馈思路需进行实时更新。
3.客户判断:发行人的客户是否可能导致企业被要求配合进行网络安全审查?
根据对赛特斯案例的总结,回复要点包含以下几大方面:
(1)客户群体是否包含关键信息基础设施运营者(以下简称“CIIO”)。根据《关键信息基础设施安全保护条例》第二条的规定,若企业的一类或多类客户分布于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,则其客户群体有可能包含CIIO。此外,《关键信息基础设施安全保护条例》第二章明确了关键信息基础设施的认定程序,若客户所运营的网络设施、信息系统等属于相关监管部门所认定的关键信息基础设施范围,则其属于CIIO[6]。为此,在对客户进行尽职调查过程中,企业需要识别客户所运营的网络设施、信息系统等是否属于关键信息基础设施,以提前判断其是否属于CIIO。
(2)客户产品是否属于《网络安全审查办法》规定的产品和服务。产品和服务可依据《办法(2022年版)》第二十一条进行判断,但由于国家安全风险标准预判指南尚未对外公示,客户产品是否影响或可能影响国家安全及是否需要进行网络安全审查尚不清晰,因此,难以下准确定论。此外,企业也可以未收到网信部门书面通知、客户要求其配合进行网络安全审查予以说明。
(3)发行人过往是否存在配合网络安全审查的情况。是否曾存在配合网络安全审查的情形一般属于事实性陈述。在尽职调查阶段,建议中介机构向企业的前十大客户(主要是CIIO、网络平台运营者)通过发确认函、得到客户明确书面反馈意见作为判断标准。
综合上述分析,才便于对“企业的产品及服务是否必须进行网络安全审查”做出判断。
4.数据处理合法性判断:企业是否存在不满足监管要求的风险?
在判断企业是否存在不满足监管要求的风险方面,需重点关注:
(1)企业是否对目前法律法规及监管要求做到充分的遵守。以赛特斯为例,其问询函回复中对企业是否非法获取用户数据、是否通过网络非法控制和操纵用户设备、是否限制用户选择使用其他产品和服务、是否损害用户的网络安全和利益等方面进行了充分阐述。该问题的阐述可能会作为企业在数据处理活动方面是否影响国家安全的判断依据,为此,企业需要对自身数据处理活动的合法性提前做好自查。
(2)是否出具相关承诺。因数据处理活动的非法性存在一定隐蔽性,且国家安全风险的判断也很难下定论,为此,通过承诺函的方式可以一定程度降低监管部门对企业数据处理活动合法性的顾虑。比如,承诺若未来根据相关法律法规、主管部门或客户的明确要求需要配合网络安全审查的,企业将按照相关法律法规的规定积极配合。
5.经营业绩影响判断:网络安全审查对发行人经营业绩的影响?
以青云科技为例,其落实函答复中特别考虑到企业的合同签署对象是否因网络安全审查而导致违约,企业的业务模式是否会因客户违约而对经营业绩产生重大不利影响。因此,我们建议,对“经营业绩的影响的判断”应综合考量企业的上下游客户及合作伙伴是否会受到网络安全审查的影响,受到影响后是否会导致违约结果,是否会实质性影响企业经营业绩等多种因素。同时,可以就上述违约导致的具体后果,进行预判。为此需要企业、中介机构结合合同的具体情形(如违约条款、合同金额、救济措施等),以及企业与不同客户合作金额的占比进行预判。
三、中介机构针对拟国内IPO企业开展尽调的注意事项
1.充分重视前期尽调工作
中介机构进场后的前期尽职调查及其拟在一年内提交申报材料这段期间,都应重视企业及其供应商、客户的变化情况,该变化可能会对企业所面临的网络安全审查相关问题的回复产生较大影响。具体建议如下:
(1)应优先关注企业的主体身份及商业模式,比如企业的商业模式是否符合CIIO认定、是否属于网络平台运营者等。
(2)应关注企业产品和服务是否符合《办法(2022年版)》第二十一条关于“网络产品和服务”的规定,是否影响或可能影响国家安全。尽管在IPO案例中,影响国家安全方面的标准尚不清晰,但后续可能会有更明确的被否案例及其认定标准,值得进一步关注。
(3)应通过尽调的方式,了解企业客户是否可能成为网络安全审查的重点关注对象,企业是否具有配合审查的义务。比如其服务的前十大客户中,尤其是合同收入占比较大的客户,是否属于CIIO或者网络平台运营者,是否曾经面临过网络安全审查等,为此可通过“问询函”或者“确认函”的方式予以核实。
(4)应关注企业是否遵守所有网络安全和数据安全相关的监管规定,企业与其供应商之间,是否签署了供应商应配合企业完成网络安全审查的条款,以及企业与其客户之间是否签署了企业不配合网络安全审查可能面临的高额违约金条款等。
2.尽调前对发行人开展《网络安全审查办法》专题培训
做好网络安全审查尽调工作,不仅要提高企业领导层的意识,还应打通企业各部门之间合作协助的脉络。因此,建议通过邀请企业领导及各部门重点人员参加《网络安全审查办法》专题培训的方式,为后续良好开展尽调工作进行充足铺垫。
通过专题培训,各部门可对《办法(2022年版)》有着更清晰的认识,更好理解CIIO及网络平台运营者的认定标准,通过学习法律法规和规范性文件、企业IPO问询及答复案例的方式,进一步了解国家安全风险,明白自身产品和服务面临网络安全审查的可能性。同时,企业也可了解如何梳理客户关系及把控客户面临网络安全审查的风险。
3.尽调的时间维度要拉长,重点关注企业内部的数据资产、关联公司剥离方案的合法性等问题
我们建议在进行尽调工作的时候,应拉长关注的时间范围,不限于报告期2年或者3年内,尽可能了解企业在其成立及其发展过程中,其自身和其客户的变化情况,尽可能全面掌握企业及其重要客户是否曾经或者即将面临网络安全审查的可能性。此外,还需要特别关注,如企业为了IPO上市,在报告期内曾经或者拟对其核心数据资产或者相关关联公司进行剥离,则需要进一步确认该剥离行为是否合法合理,是否存在恶意规避网络安全审查的情形。
4.预评估网络安全审查对自身经营业绩的影响
企业可能因为“不确定性风险”而面临网络安全审查,或者可能因其上下游企业、客户面临网络安全审查,导致企业运营出现较大风险。为此,企业应该在报告期内提前评估,这种可能性一旦触发,对于自己的业绩造成的冲击到底有多大,是否可以仍然满足相关上市板块的要求。为此中介机构需要协助企业关注其自身对相关重大客户的依赖,以及违约金条款的设置等。
四、结语:趋势与建议
《办法(2022年版)》生效后,各大证券交易所就网络安全审查相关的问询可能呈现以下几大趋势:
1.关注发行人的定位与网络安全审查的关系。将会继续重点关注企业的主体、产品、客户、经营业绩、数据处理合法性等几大方面,并在上述范围内进行提问;
2.关注发行人的上下游。所问询的范围将更广,不仅关注企业主体,还会关注企业的上下游情况;
3.数据合规逐步成为必答题,网络安全审查是其中一个重要考量因素之一。问询及答复可能会比以往更频繁,比如2022年2月便已有两家企业就网络安全审查的相关问题进行答复,相比起2020年至2021年偶尔出现的问询及答复情况,频率明显加快;
4.问询的问题将会更严格、更专业、更深入。随着网络安全审查机制的健全,案例的公开等,该类问题的询问方式会更加体现专业性,折射出证监部门对企业商业模式的深入研究。
因此,我们建议中介机构在服务发行人过程中:
1.针对网络安全审查应做专项培训、专项核查,提高企业对该问题的重视程度;
2.结合最新IPO审核问询趋势,设计好全面、细致的《核查验证方案》;
3.尽职调查需要动态开展,并非进场的一次尽调即可,还要考虑在报告期最后一年,企业自身业务模式、客户、收入、监管政策等变化情况,对网络安全审查问题判断的影响;
4.从时间的广度、企业定位、企业业务模式、企业上下游情况、企业业绩受影响的情况、企业处理数据的合法性等多个维度,充分预判其上市的风险,提前做好防范措施(如剥离方案的设计等)。
(完)
[1] 来自“北京青云科技股份有限公司首次公开发行股票并在科创版上市的补充法律意见书(五)”,链接:http://www.csrc.gov.cn/csrc/c100090/c1519811/1519811/files/%E8%A1%A5%E5%85%85%E6%B3%95%E5%BE%8B%E6%84%8F%E8%A7%81%E4%B9%A6%EF%BC%88%E4%BA%94%EF%BC%89%EF%BC%88%E4%B8%80%E8%BD%AE%EF%BC%89.pdf
[2] 来自“旷视科技有限公司一次问询回复“,链接:http://www.csrc.gov.cn/csrc/c100090/c1664898/content.shtml
[3] 来自“赛特斯信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函的回复”,链接:
https://xinsanban.eastmoney.com/Article/NoticeContent?id=AN202202171547574586
[4] 来自“熵基科技股份有限公司注册阶段问询问题”,链接:http://www.csrc.gov.cn/csrc/c100091/c1903141/content.shtml
[5] 《网络安全审查办法》第二十一条规定,“本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。”
[6] 《关键信息基础设施安全保护条例》第十条规定,“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。”
植德数据合规组长期跟踪研究境内外证券市场的最新案例,对《网络安全审查办法》修订前后的落地实施情况十分关注,于2022年1月发布了系列文章之一——《<网络安全审查办法>对企业资本运作的影响(一):四问四答》。在此基础上,我们对近期四则境内IPO案例所遇到的网络安全审查相关问题及反馈思路进行了总结、提炼,以期为相关企业境内上市中,可能遇到的网络安全审查问题,提前做好合规自查准备。后续植德数据合规组将继续发布《网络安全审查办法》对境外IPO的影响及其案例分析。
目录
一、近期境内IPO案例问询的网络安全审查问题一览
二、案例分析:企业面临“网络安全审查”相关问询的自查方法论探讨——以IPO问题反馈场景为例
1. 主体判断:企业是否适用《办法(2022年版)》?
2. 产品判断:企业的产品和服务是否应适用网络安全审查?
3. 客户判断:发行人的客户是否可能导致企业被要求配合进行网络安全审查?
4. 数据处理合法性判断:企业是否存在不满足监管要求的风险?
5. 经营业绩影响判断:网络安全审查对发行人经营业绩的影响?
三、中介机构针对拟国内IPO企业开展尽调的注意事项
1.充分重视前期尽调工作
2.尽调前对发行人开展《网络安全审查办法》专题培训
3.尽调的时间维度要拉长,重点关注企业内部的数据资产、关联公司剥离方案合法性等问题
4.预评估网络安全审查对自身经营业绩的影响
四、结语:趋势与建议
一、近期境内IPO案例问询的网络安全审查问题一览
2020年6月1日,《网络安全审查办法》正式实施。2022年2月15日,《网络安全审查办法2022年版)》(以下简称“《办法(2022年版)》”)修订后正式生效。以下为《网络安全审查办法》公布、修改、修订后生效过程中,证监会、证券交易所等对数家企业的问询情况:
问题 | 案例 |
网络安全审查对发行人经营/经营业绩的影响情况? | 2020年11月17日,上海证券交易所(以下简称为“上交所”)下发了致北京青云科技股份有限公司(以下简称“青云科技”)《发行注册环节反馈意见落实函》[1],要求青云科技说明应履行而未履行网络安全审查的产品或服务金额,是否存在因无法通过网络安全审查而违约的情况及应对金额,并补充披露网络安全审查对发行人经营业绩的影响情况。 |
2021年10月28日,上交所下发了致旷视科技有限公司(以下简称“旷视科技”)的《发行注册环节反馈意见落实函》[2],要求旷视科技说明报告期内应履行而未履行网络安全审查产品或服务对应的具体交易金额、其中尚未履行相关合同金额,是否存在因网络安全审查事项而导致违约情况,并补充披露网络安全审查对发行人经营的影响情况。 | |
发行人是否需要配合网络安全审查? | 2021年12月29日,上交所下发了致赛特斯信息科技股份有限公司(以下简称“赛特斯”)的《第二轮审核问询函》[3],要求赛特斯对照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及《网络安全审查办法》,说明发行人提供主要产品服务是否需配合网络安全审查及过往配合网络安全审查的情况,是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务,是否存在不满足监管要求的风险。 |
发行人是否需要通过网络安全审查? | 2022年02月15日,证监会下发了致熵基科技股份有限公司(以下简称“熵基”)的《注册阶段问询问题》文件,证监会采取了常规问法,例如:发行人产品是否需要通过网络安全审查及通过情况。[4] |
二、案例分析:企业面临“网络安全审查”相关问询的自查方法论探讨——以IPO问题反馈场景为例

1.主体判断:企业是否适用《办法(2022年版)》?
旷视科技和赛特斯在落实函回复中均优先进行了主体判断,讨论企业是否属于应适用网络安全审查的主体。如何进行主体判断?以上述公司的反馈思路为例,根据现行法规,发行人未被相关部门认定为“关键信息基础设施运营者”,未被通知拥有任何关键信息基础设施,不构成“数据处理者(网络平台运营者)”开展数据处理活动影响或可能影响国家安全,无境外上市安排等,则可在主体上初步判断不适用网络安全审查。
在回复企业主体开展数据处理活动是否影响或可能影响国家安全方面,可包含以下几个要点:
(1)总结发行人的商业模式,有利于后续进一步描述数据处理活动内容。比如,旷视科技的落实函回复中提炼出旷视科技是一家聚焦物联网场景的人工智能公司,为客户提供软件和硬件一体化的产品及解决方案。
(2)发行人是否会接触客户数据,是否会进行数据处理活动,是需要论述的关键问题之一。以旷视科技为例,当产品交付给客户后,相关产品即处于客户的运营和使用过程中,企业并不直接参与客户的运营和使用过程,对客户使用发行人产品过程中获取的数据并无所有权,发行人无权也无需在此情形下进行数据采集、清洗、管理、运用。也就是说,发行人不会直接接触客户数据,也不会进行数据处理活动。
2.产品判断:企业的产品和服务是否应适用网络安全审查?
根据对赛特斯和青云科技案例的总结,回复要点包含以下几大方面:
(1)总结发行人的商业模式及产品服务特点。比如,赛特斯的问询函回复中提炼出发行人是国内领先的软件定义通信产品和解决方案提供商,主要产品和服务包括云平台产品、云技术服务、虚拟路由器、SD-WAN产品、边缘计算产品、IPTV监测监管系统、业务运营支持系统、监控巡检系统。由此可以下一个判断:发行人提供的主要产品服务属于《办法(2022年版)》第二十一条[5]规定的“网络产品和服务”。
(2)判断产品和服务投入使用后,是否可能带来的国家安全风险,仍需要结合具体个案判断,很难做出绝对性的结论意见。以青云科技为例,尽管落实函回复中承认企业的云计算产品和服务属于上述法律规定的“网络产品和服务”,但同时也表示由于产品和服务是否影响或可能影响国家安全的标准未明,是否应当申请网络安全审查并不明确。虽然目前几家企业的反馈均以“‘影响或可能影响国家安全的数据处理活动的实质判断标准’有待国家主管机关进一步明确”作为概括性陈述,但一旦此类判断标准有了更明确的公示,企业针对网络安全审查问题的反馈思路需进行实时更新。
3.客户判断:发行人的客户是否可能导致企业被要求配合进行网络安全审查?
根据对赛特斯案例的总结,回复要点包含以下几大方面:
(1)客户群体是否包含关键信息基础设施运营者(以下简称“CIIO”)。根据《关键信息基础设施安全保护条例》第二条的规定,若企业的一类或多类客户分布于公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域,则其客户群体有可能包含CIIO。此外,《关键信息基础设施安全保护条例》第二章明确了关键信息基础设施的认定程序,若客户所运营的网络设施、信息系统等属于相关监管部门所认定的关键信息基础设施范围,则其属于CIIO[6]。为此,在对客户进行尽职调查过程中,企业需要识别客户所运营的网络设施、信息系统等是否属于关键信息基础设施,以提前判断其是否属于CIIO。
(2)客户产品是否属于《网络安全审查办法》规定的产品和服务。产品和服务可依据《办法(2022年版)》第二十一条进行判断,但由于国家安全风险标准预判指南尚未对外公示,客户产品是否影响或可能影响国家安全及是否需要进行网络安全审查尚不清晰,因此,难以下准确定论。此外,企业也可以未收到网信部门书面通知、客户要求其配合进行网络安全审查予以说明。
(3)发行人过往是否存在配合网络安全审查的情况。是否曾存在配合网络安全审查的情形一般属于事实性陈述。在尽职调查阶段,建议中介机构向企业的前十大客户(主要是CIIO、网络平台运营者)通过发确认函、得到客户明确书面反馈意见作为判断标准。
综合上述分析,才便于对“企业的产品及服务是否必须进行网络安全审查”做出判断。
4.数据处理合法性判断:企业是否存在不满足监管要求的风险?
在判断企业是否存在不满足监管要求的风险方面,需重点关注:
(1)企业是否对目前法律法规及监管要求做到充分的遵守。以赛特斯为例,其问询函回复中对企业是否非法获取用户数据、是否通过网络非法控制和操纵用户设备、是否限制用户选择使用其他产品和服务、是否损害用户的网络安全和利益等方面进行了充分阐述。该问题的阐述可能会作为企业在数据处理活动方面是否影响国家安全的判断依据,为此,企业需要对自身数据处理活动的合法性提前做好自查。
(2)是否出具相关承诺。因数据处理活动的非法性存在一定隐蔽性,且国家安全风险的判断也很难下定论,为此,通过承诺函的方式可以一定程度降低监管部门对企业数据处理活动合法性的顾虑。比如,承诺若未来根据相关法律法规、主管部门或客户的明确要求需要配合网络安全审查的,企业将按照相关法律法规的规定积极配合。
5.经营业绩影响判断:网络安全审查对发行人经营业绩的影响?
以青云科技为例,其落实函答复中特别考虑到企业的合同签署对象是否因网络安全审查而导致违约,企业的业务模式是否会因客户违约而对经营业绩产生重大不利影响。因此,我们建议,对“经营业绩的影响的判断”应综合考量企业的上下游客户及合作伙伴是否会受到网络安全审查的影响,受到影响后是否会导致违约结果,是否会实质性影响企业经营业绩等多种因素。同时,可以就上述违约导致的具体后果,进行预判。为此需要企业、中介机构结合合同的具体情形(如违约条款、合同金额、救济措施等),以及企业与不同客户合作金额的占比进行预判。
三、中介机构针对拟国内IPO企业开展尽调的注意事项
1.充分重视前期尽调工作
中介机构进场后的前期尽职调查及其拟在一年内提交申报材料这段期间,都应重视企业及其供应商、客户的变化情况,该变化可能会对企业所面临的网络安全审查相关问题的回复产生较大影响。具体建议如下:
(1)应优先关注企业的主体身份及商业模式,比如企业的商业模式是否符合CIIO认定、是否属于网络平台运营者等。
(2)应关注企业产品和服务是否符合《办法(2022年版)》第二十一条关于“网络产品和服务”的规定,是否影响或可能影响国家安全。尽管在IPO案例中,影响国家安全方面的标准尚不清晰,但后续可能会有更明确的被否案例及其认定标准,值得进一步关注。
(3)应通过尽调的方式,了解企业客户是否可能成为网络安全审查的重点关注对象,企业是否具有配合审查的义务。比如其服务的前十大客户中,尤其是合同收入占比较大的客户,是否属于CIIO或者网络平台运营者,是否曾经面临过网络安全审查等,为此可通过“问询函”或者“确认函”的方式予以核实。
(4)应关注企业是否遵守所有网络安全和数据安全相关的监管规定,企业与其供应商之间,是否签署了供应商应配合企业完成网络安全审查的条款,以及企业与其客户之间是否签署了企业不配合网络安全审查可能面临的高额违约金条款等。
2.尽调前对发行人开展《网络安全审查办法》专题培训
做好网络安全审查尽调工作,不仅要提高企业领导层的意识,还应打通企业各部门之间合作协助的脉络。因此,建议通过邀请企业领导及各部门重点人员参加《网络安全审查办法》专题培训的方式,为后续良好开展尽调工作进行充足铺垫。
通过专题培训,各部门可对《办法(2022年版)》有着更清晰的认识,更好理解CIIO及网络平台运营者的认定标准,通过学习法律法规和规范性文件、企业IPO问询及答复案例的方式,进一步了解国家安全风险,明白自身产品和服务面临网络安全审查的可能性。同时,企业也可了解如何梳理客户关系及把控客户面临网络安全审查的风险。
3.尽调的时间维度要拉长,重点关注企业内部的数据资产、关联公司剥离方案的合法性等问题
我们建议在进行尽调工作的时候,应拉长关注的时间范围,不限于报告期2年或者3年内,尽可能了解企业在其成立及其发展过程中,其自身和其客户的变化情况,尽可能全面掌握企业及其重要客户是否曾经或者即将面临网络安全审查的可能性。此外,还需要特别关注,如企业为了IPO上市,在报告期内曾经或者拟对其核心数据资产或者相关关联公司进行剥离,则需要进一步确认该剥离行为是否合法合理,是否存在恶意规避网络安全审查的情形。
4.预评估网络安全审查对自身经营业绩的影响
企业可能因为“不确定性风险”而面临网络安全审查,或者可能因其上下游企业、客户面临网络安全审查,导致企业运营出现较大风险。为此,企业应该在报告期内提前评估,这种可能性一旦触发,对于自己的业绩造成的冲击到底有多大,是否可以仍然满足相关上市板块的要求。为此中介机构需要协助企业关注其自身对相关重大客户的依赖,以及违约金条款的设置等。
四、结语:趋势与建议
《办法(2022年版)》生效后,各大证券交易所就网络安全审查相关的问询可能呈现以下几大趋势:
1.关注发行人的定位与网络安全审查的关系。将会继续重点关注企业的主体、产品、客户、经营业绩、数据处理合法性等几大方面,并在上述范围内进行提问;
2.关注发行人的上下游。所问询的范围将更广,不仅关注企业主体,还会关注企业的上下游情况;
3.数据合规逐步成为必答题,网络安全审查是其中一个重要考量因素之一。问询及答复可能会比以往更频繁,比如2022年2月便已有两家企业就网络安全审查的相关问题进行答复,相比起2020年至2021年偶尔出现的问询及答复情况,频率明显加快;
4.问询的问题将会更严格、更专业、更深入。随着网络安全审查机制的健全,案例的公开等,该类问题的询问方式会更加体现专业性,折射出证监部门对企业商业模式的深入研究。
因此,我们建议中介机构在服务发行人过程中:
1.针对网络安全审查应做专项培训、专项核查,提高企业对该问题的重视程度;
2.结合最新IPO审核问询趋势,设计好全面、细致的《核查验证方案》;
3.尽职调查需要动态开展,并非进场的一次尽调即可,还要考虑在报告期最后一年,企业自身业务模式、客户、收入、监管政策等变化情况,对网络安全审查问题判断的影响;
4.从时间的广度、企业定位、企业业务模式、企业上下游情况、企业业绩受影响的情况、企业处理数据的合法性等多个维度,充分预判其上市的风险,提前做好防范措施(如剥离方案的设计等)。
(完)
[1] 来自“北京青云科技股份有限公司首次公开发行股票并在科创版上市的补充法律意见书(五)”,链接:http://www.csrc.gov.cn/csrc/c100090/c1519811/1519811/files/%E8%A1%A5%E5%85%85%E6%B3%95%E5%BE%8B%E6%84%8F%E8%A7%81%E4%B9%A6%EF%BC%88%E4%BA%94%EF%BC%89%EF%BC%88%E4%B8%80%E8%BD%AE%EF%BC%89.pdf
[2] 来自“旷视科技有限公司一次问询回复“,链接:http://www.csrc.gov.cn/csrc/c100090/c1664898/content.shtml
[3] 来自“赛特斯信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函的回复”,链接:
https://xinsanban.eastmoney.com/Article/NoticeContent?id=AN202202171547574586
[4] 来自“熵基科技股份有限公司注册阶段问询问题”,链接:http://www.csrc.gov.cn/csrc/c100091/c1903141/content.shtml
[5] 《网络安全审查办法》第二十一条规定,“本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。”
[6] 《关键信息基础设施安全保护条例》第十条规定,“保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。”
