《网络安全审查办法》对赴香港上市企业的影响

来源:大数据法律研究

文章摘要
在“滴滴出行”被网络安全审查办公室发起网安审查后,《网络安全审查办法》的适用一直牵动着拟赴境外上市企业的神经。

在“滴滴出行”被网络安全审查办公室发起网安审查后,《网络安全审查办法》的适用一直牵动着拟赴境外上市企业的神经。虽然2022年2月15日起施行的《网络安全审查办法》(下称“《办法》”)未对赴香港上市企业设置主动申报网安审查义务,但从近期联交所上市公司招股说明书对《办法》的分析来看,公司是否构成CIIO以及赴香港上市是否属于“赴国外上市”成为业务持续经营风险分析的重点。此外,《网络数据安全管理条例(征求意见稿)》(下称“《数安条例》”)中“数据处理者赴香港上市,影响或者可能影响国家安全的”属于主动申报范畴的规定亦让申报标准显得“扑朔迷离”。下文将在《办法》等法律法规基础上,结合近期赴香港上市案例,分析网安审查对赴香港上市企业可能带来的影响。
一、赴香港上市企业是否应当主动申报网安审查?

(一)被认定为CIIO的企业可能需要主动申报网安审查
根据《办法》第五条,采购网络产品和服务影响或可能影响国家安全的关键信息基础设施运营者(CIIO)应当主动申报网安审查。《办法》删除对CIIO的定义,并将《关键信息基础设施安全保护条例》明确为立法依据,实践中可援引该条例相关规定界定《办法》的适用范围。此外,《办法》将“重要通信产品”纳入“网络产品和服务”范畴。
《关键信息基础设施安全保护条例》第十条规定,关键信息基础设施保护工作部门根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者,并通报国务院公安部门。鉴于CIIO对于国家安全、国计民生及公共利益的重要作用,目前我国尚未向社会公开披露CIIO名单。如企业未被关键信息基础设施保护工作部门通知其属于CIIO,可以初步判断其无需按照《办法》第五条履行主动申报网安审查义务。
(二)现行法要求赴香港上市企业承担主动申报网安审查义务
《数安条例》明确区分“赴国外上市”与“赴香港上市”两种情形。正式发布的
《办法》第七条延续《网络安全审查办法(修订草案征求意见稿)》的表述,要求符合条件的赴国外上市企业履行主动申报网安审查的义务,未对赴香港上市企业设置该义务。那么,后续出台的《数安条例》是否可能对赴香港上市企业施加该项义务呢?
《办法》由国家网信办、国家发展和改革委员会、中国证券监督管理委员会等13个部门联合印发,这表示与网安审查工作密切相关的政府部门已达成一致意见。同时,《办法》与《数安条例》的起草单位皆为国家网信办。基于前述情况,我们有理由认为,正式出台的《数安条例》很可能修改相关条款,不再对赴香港上市企业设置主动申报义务,以与《办法》保持一致。当然,如赴香港上市企业属于CIIO,其采购和将网络产品和服务投入使用影响或可能影响国家安全的,亦可能需按照《办法》第五条主动申报网安审查。
二、赴香港上市企业是否适用《网络安全审查办法》

(一)赴香港上市企业可能因影响或可能影响国家安全而被网络安全审查办公室启动网安审查
网安审查的关键在于“产品和服务以及数据处理活动安全性、可能带来的国家安全风险”,而非主体是否属于CIIO抑或网络平台运营者。
这一点亦可从《办法》第十六条赋予监管部门的主动启动网安审查权力中看出——即使不属于《办法》所规定的具有主动申报义务的主体,亦可能被启动网安审查。因此,不要求主动申报不等于不审查,赴香港上市企业仍可能适用《办法》的相关规定。如网络安全审查工作机制成员单位认为某企业赴香港上市活动影响或者可能影响国家安全,待网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,仍可能进入网安审查程序。因此,我们建议赴香港上市企业提前做好自评估工作,事前判断赴香港上市是否存在影响国家安全的可能。
(二)企业可能需要配合客户开展网安审查
如采购企业网络产品和服务的客户属于CIIO,且该产品和服务投入使用后影响或可能影响国家安全的,企业可能需配合客户开展网安审查工作。《办法》第六条规定,对于申报网安审查的采购活动,CIIO应当通过采购文件、协议等要求产品和服务提供者配合网安审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。
企业需考虑因客户开展网安审查对其经营业绩的影响。如北京青云科技股份有限公司在回复上海证券交易所下发的《发行注册环节反馈意见落实函》时提到,其已与被访客户确认,向发行人采购产品和服务不存在因未能通过安全审查、或者因应履行而未履行网安审查而被有关部门责令停止使用相关产品或服务,导致被访客户与发行人已签署的采购合同存在违约的情形。网安审查相关规定及政策亦不会影响被访客户与发行人后续采购合同的签署和履行。
三、如何判断企业是否影响或可能影响国家安全?

如前所述,如赴香港上市企业仍可能因影响或可能影响国家安全而被启动网安审查程序。《国家安全法》将国家安全定义为国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态的能力。但我国尚未就“影响或可能影响国家安全”相关活动的判断标准出台明确的认定规则,对国家安全风险的判断尚存在不确定性。本文选取了计划于4月底登陆港股的知乎和于3月29日重新递交招股书的喜马拉雅的招股书的相关内容,探讨国家安全风险的分析思路。
知乎在招股书中提出五项其认为自身未参与任何可能导致国家安全风险活动的理由:

1

已实施全面的数据收集、储存及保护程序;

2

并未发生任何数据泄露,或违反数据保护及隐私法律法规而对其业务经营造成重大不利影响的事件;

3

并未遭受来自网信办、中国证监会或任何其他相关政府部门与网络安全或数据隐私或任何网络安全审查有关的任何重大调查、问询或制裁;

4

并未被任何部门告知被列为一名关键信息基础设施运营者;

5

上市完成后,将继续受周先生(知乎创始人周源)控制,而非受任何外国政府控制


喜马拉雅则基于《办法》第十条列举的七项在网安审查中应重点评估的国家安全风险因素分析自身国家安全风险:

《办法》第十条

喜马拉雅情况

1

产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险

(1)第1至4种情形主要注重与CIIO采购特定的网络产品及服务有关的供应链安全风险。

(2)截至本文件日期,我们并未收到任何来自相关监管机构有关认定我们为关键信息基础设施的运营者的通知。因此,截至本文件日期,前述情形并不适用于我们。

2

产品和服务供应中断对关键信息基础设施业务连续性的危害

3

产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险

4

产品和服务提供者遵守中国法律、行政法规、部门规章情况

5

核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险

于往绩记录期间及直至本文件日期:

(1)并未发生任何重大网络安全及数据隐私事件;

(2)在中国大陆收集与生成的用户数据存储于中国大陆;

(3)核心系统已经满足等级保护制度的安全保护规定并持有等保第三级的认证;

(4)已制定全面且坚实的数据保护政策及措施;

(5)将继续关注网络安全及数据保护方面的立法和监管发展,以及时实现遵守规定从而杜绝或会引发前述情形的相关风险

6

上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险

(1)在中国大陆收集并生成的用户数据存储于中国大陆;

(2)已制定系统的合规措施并将继续竭力杜绝或会引发该情形的相关风险,引发情形的可能性较低;

(3)由于“网络信息安全风险”内涵的不确定性,不排除适用该情形的可能性

7

其他可能危害关键信息基础设施安全、网络安全和数据安全的因素

由于“可能损害关键信息基础设施安全、网络安全及数据安全的其他因素”内涵的不确定性,不排除适用该情形


结合上述案例及《办法》相关规定,企业在赴香港上市过程分析自身国家安全风险时可着重考虑如下因素:

1

企业是否被认定为CIIO?

2

企业所服务的客户是否被认定为CIIO?

3

企业所提供的产品和服务是否存在如下风险:

(1)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险;

(2)产品和服务供应中断对关键信息基础设施业务连续性的危害;

(3)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险?

4

企业是否已全面履行中国网络安全和数据合规相关法律法规规章所规定的各项义务,是否具备足够的网络安全和数据合规能力?

5

企业是否曾发生过重大的网络安全或数据安全事件,如核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境事件?

6

企业在中国境内收集和产生的数据(包括个人信息)是否存储于中国境内?

7

企业是否存在向境外提供在中国境内收集和产生的数据(包括个人信息)的情形,尤其是向外国司法或者执法机构提供的情形?

8

企业是否曾接受来自网信办、中国证监会或任何其他相关政府部门与网络安全或数据合规或任何国家安全有关的任何重大调查、问询或制裁?

9

在香港上市后,是否存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险?

10

在香港上市后,是否存在网络信息安全风险?


四、如何申报网安审查?

(一)由哪个部门负责开展网络安全审查工作?
《办法》建立了一个以中央网络安全和信息化委员会为领导,网络安全审查工作机制成员单位为支撑,网络安全审查办公室为执行主力的网络安全审查监管机制。其中,《办法》将中国证券监督管理委员会纳入网络安全审查工作机制成员单位,进一步完善国家网络安全审查工作机制。国家网信办在答记者问中正式明确“中国网络安全审查技术与认证中心”承担接收申报材料、对申报材料进行形式审查、提供咨询等任务,推动网安审查制度执行落地。

部门

具体职责

中央网络安全和信息化委员会

1.领导网络安全审查工作;

2.决定是否批准特别审查程序审查结论;

3.决定是否批准开展网络安全审查办公室依职权启动的网络安全审查

网络安全审查工作机制成员单位

国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局

对网络安全审查办公室的审查结论书面回复意见

相关部门

网络安全审查办公室

1.负责制定网络安全审查相关制度规范;

2.组织网络安全审查,对申报材料进行实质审查,如需开展网络安全审查的,进行初步审查工作;

3.组织开展特别审查程序

中国网络安全审查技术与认证中心

1.在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务;

2.设立网络安全审查咨询窗口


(二)网安审查周期与流程
相较《网络安全审查办法(修订草案征求意见稿)》,《办法》规定的网安审查流程未进行大幅调整。其中,特别审查程序的周期从“3个月”变更为“90个工作日”,且情况复杂的可以延长。
若企业主动申报网安审查,一般最长可在70个工作日(10+30+15+15)内结束。若进入特别审查程序,视实际情况复杂程度,所需时间将可能超过140个工作日。此外,网络安全审查办公室要求提供补充材料的时间不计入审查时间,网安审查周期可能进一步延长。因此,建议存在主动申报网安审查义务可能性的企业将网安审查申报纳入上市时间表,提前准备相关申报工作。
以下为企业主动申报网安审查的整体流程梳理:

结 语

技术的更新迭代在推动社会进步的同时,提升了引发当代社会风险的可能性,为了应对这一困境,需要法律的不断完善与发展,于2022年2月15日生效的《网络安全审查办法》正是通过完善法律控制技术风险这一路径的生动注脚。建议赴香港上市企业从自身及客户业务性质、网络安全和数据合规义务履行情况等维度考虑国家安全风险,持续关注网络安全和数据合规方面的立法和监管动向,提前做好防范措施。同时,他山之石,可以攻玉,借鉴类似项目的分析思路和联交所关注重点以查漏补缺不失为一种降低风险的方法。

技术驱动法律,专业成就未来