在全球资本互联互通与地缘政治博弈交织的背景下,互联网企业赴境外上市的合规门槛持续提升,网络安全审查与数据安全审查已成为决定上市进程的核心关卡。数据作为国家战略资源,其安全管控直接关联国家安全,我国逐步构建起全链条监管体系,倒逼企业在境外上市进程中筑牢网络与数据安全防线。本文从法律依据、审查流程、核心要点、合规路径、启动时机、时限要求及违规案例七大维度,全面拆解相关合规要点,为互联网企业境外上市提供参考。
一、网络与数据安全审查的法律及行政依据
我国针对互联网企业境外上市的网络与数据安全审查,形成了“法律+行政法规+部门规章”的多层次监管体系,核心依据围绕国家安全、网络安全、数据安全三大维度展开,明确了审查的强制性要求与执法边界。
(一)核心法律依据
•《中华人民共和国国家安全法》:作为顶层法律,明确规定国家加强网络安全和数据安全保护,防范和抵御网络攻击,维护网络空间主权,为网络与数据安全审查提供根本法治支撑,是审查工作的核心立法遵循。
•《中华人民共和国网络安全法》:确立网络安全保护的基本框架,明确关键信息基础设施运营者的安全义务,规范网络产品和服务的安全审查规则,为境外上市企业的网络安全管控划定底线。
•《中华人民共和国数据安全法》:我国首部数据安全专门法律,规定数据分类分级保护、重要数据管理、数据跨境流动规则,明确数据处理者的合规义务及政府监管职责,是数据安全审查的核心法律依据。
•《中华人民共和国个人信息保护法》:聚焦个人信息权益保护,规范个人信息处理全流程活动,明确个人信息出境的合规要求,与数据安全审查形成协同,覆盖境外上市中个人信息相关的审查要点。
(二)核心行政与部门规章依据
•《网络安全审查办法》:由国家网信办联合发改委、工信部、证监会等13部门发布,自2022年2月15日起施行,明确网络平台运营者赴国外上市的审查要求,细化审查流程、重点及责任追究,是境外上市网络安全审查的核心规章。
•《境内企业境外发行证券和上市管理试行办法》:2023年3月31日生效,统一实施境外上市备案制,要求涉及数据安全的企业履行国家安全审查义务,明确禁止境外上市的情形(如危害国家安全)。
•《数据出境安全评估办法》《个人信息出境标准合同办法》:细化数据及个人信息跨境传输的合规要求,明确出境安全评估流程、标准合同备案规则,是数据安全审查中跨境传输环节的重要依据。
•《关键信息基础设施安全保护条例》:明确关键信息基础设施的范围及运营者义务,规范安全保护与监督检查流程,为涉及关键信息基础设施的互联网企业境外上市审查提供具体指引。
此外,《网络数据安全管理条例》《个人信息保护合规审计管理办法》等规范性文件,进一步完善了审查细则,构建起覆盖上市前备案、上市中审查、上市后监管的全链条监管网络。
二、网络与数据安全审查的核心流程
互联网企业境外上市的网络安全审查与数据安全审查协同推进,以《网络安全审查办法》为核心,形成“申报—初审—征求意见—审查结论—持续监管”的标准化流程,部分复杂案件需进入特别审查程序。
(一)主动申报环节
审查采取“强制申报+主动申报”相结合的模式:掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报审查;掌握核心数据、重要数据,或涉及禁止/限制出口技术的企业,无论用户规模大小,均应主动申报。企业需提交申报书、国家安全风险分析报告、上市申请文件、数据安全合规方案等材料,确保材料真实完整。
(二)初审及受理环节
网络安全审查办公室自收到符合要求的申报材料起10个工作日内,确定是否需要审查并书面通知企业。若材料不齐全,会要求企业补充提交,补充材料的时间不计入审查时限。
(三)初步审查环节
若确定需要审查,审查办公室自发出书面通知之日起30个工作日内完成初步审查,形成审查结论建议,并发送至网络安全审查工作机制成员单位及相关部门征求意见;情况复杂的,可延长15个工作日。此环节重点核查企业申报材料的真实性、数据资产梳理的完整性及合规方案的可行性。
(四)意见汇总及复核环节
各成员单位及相关部门自收到审查结论建议之日起15个工作日内书面回复意见。意见一致的,审查办公室直接出具审查结论并书面通知企业;意见不一致的,启动特别审查程序。
(五)特别审查环节
特别审查程序需听取多方意见、开展深入风险评估,再次形成审查结论建议并征求各方意见,最终按程序报中央网络安全和信息化委员会批准。该程序一般在90个工作日内完成,情况复杂的可延长。
(六)持续监管环节
审查通过后,企业需履行审查中作出的承诺,接受审查办公室的持续监管,包括定期提交合规报告、配合现场核查等。审查办公室通过接受举报等形式,加强事前事中事后全流程监督。
三、审查核心要点
网络安全审查与数据安全审查聚焦“国家安全风险防控”,核心围绕网络安全、数据安全两大维度展开,覆盖企业运营全流程及数据全生命周期。
(一)网络安全审查要点
•关键信息基础设施安全:核查企业是否属于关键信息基础设施运营者,网络设备、系统的安全性,是否存在被非法控制、遭受干扰或破坏的风险,以及供应链安全是否可控。
•网络产品与服务合规:审查企业采购的核心网络设备、云计算服务等是否符合安全标准,提供者是否遵守我国法律法规,是否存在供应中断的风险(包括政治、外交、贸易等因素导致的中断)。
•上市相关网络安全风险:评估企业境外上市后,关键信息基础设施是否可能被外国政府影响、控制,网络安全防护体系是否能抵御跨境网络攻击。
(二)数据安全审查要点
•数据主体与范围界定:明确企业掌握的数据类型及规模,重点核查敏感个人信息、重要数据、核心数据的梳理情况,是否覆盖审计底稿、招股书涉及的各类业务数据。
•数据全生命周期合规:采集环节是否遵循“最小必要”原则、获得用户明确授权;存储环节是否实现重要数据本地化存储,存储设备是否符合安全标准;使用环节是否存在滥用、过度分析等问题;销毁环节是否建立完善流程,确保数据不可恢复。
•数据跨境传输安全:这是审查核心焦点,核查数据出境是否通过安全评估、标准合同备案等法定路径,是否对出境数据进行脱敏、加密处理,境外接收方的安全保护能力及可控性,是否能防范数据二次泄露。
•数据安全风险防控:评估核心数据、重要数据或大量个人信息被窃取、泄露、非法利用的风险,以及境外上市后数据被外国政府恶意利用的可能性,是否危害国家经济安全、公共利益。
四、企业合规路径
互联网企业境外上市的网络与数据安全合规,需贯穿上市筹备、申报、持续运营全流程,构建“制度+技术+管理”的三维合规体系,实现风险事前防控、事中管控、事后整改。
(一)前期合规筹备
1.全面梳理资产与风险:开展网络资产、数据资产全面盘点,明确数据分类分级(核心数据、重要数据、一般数据、个人信息),识别网络安全漏洞及数据合规瑕疵,形成风险评估报告。
2.完善合规管理制度:制定网络安全管理制度、数据安全管理制度、个人信息保护制度等,明确各部门及岗位的合规职责,建立数据全生命周期管理流程,规范数据跨境传输、共享、委托处理等环节的操作规范。
3.强化技术防护能力:部署网络安全防护设备,构建入侵检测、数据加密、安全监控等技术体系;针对重要数据和核心数据,落实本地化存储要求,对确需出境的数据采用脱敏、零知识证明等技术,实现“可用不可见”;利用区块链技术构建合规证据链,实现数据处理活动可追溯。
(二)申报及审查阶段合规
1.精准完成申报材料筹备:按照审查要求准备申报书、风险分析报告等材料,确保数据梳理真实完整,风险分析全面深入,合规方案具备可落地性,避免因材料瑕疵导致审查延误。
2.配合审查及整改:主动配合审查办公室的核查工作,及时响应补充材料、说明情况的要求;针对审查中提出的问题,制定专项整改方案,明确整改时限及责任人,确保整改到位。
3.规范跨境传输流程:提前完成数据出境安全评估或标准合同备案,与境外接收方签署安全协议,明确双方权利义务,建立跨境数据传输的安全监控及应急处置机制。
(三)上市后持续合规
1.建立常态化合规机制:定期开展网络安全检测、数据安全审计,及时修复安全漏洞,更新合规管理制度,适配监管政策变化;每年开展数据安全风险评估,形成评估报告并按要求提交。
2.强化人员合规管理:开展网络安全、数据安全合规培训,提升员工合规意识;明确核心岗位人员的安全职责,建立岗位制衡机制,防范内部数据泄露风险。
3.应对跨境监管冲突:平衡境内监管要求与境外上市信息披露义务,在满足境外证券监管机构要求的同时,严格遵守我国关于数据出境、信息保密的规定,避免违规向境外提供敏感数据及审计底稿。
五、审查启动时机与时限要求
(一)启动时机
企业需将网络与数据安全审查纳入境外上市整体规划,最优启动时机为上市筹备初期(IPO申报前6-12个月),具体可分为三个阶段推进:
1.筹备启动阶段:上市决策确定后,立即开展网络资产、数据资产盘点及合规自查,识别合规风险,启动整改工作,同步组建合规团队或委托专业机构提供支持。
2.申报准备阶段:自查整改完成后,梳理申报材料,提前与网络安全审查办公室沟通申报事宜,确认申报材料的完整性及合规性,避免因准备不足延误申报。
3.正式申报阶段:在境外上市申报材料提交前,完成网络安全审查申报,确保审查流程与上市流程协同推进,避免因审查未完成导致上市进程中断。
需特别注意,强制申报企业(掌握超100万用户个人信息)不得规避申报义务,若未提前启动审查,可能导致上市进程暂停、APP下架等严重后果。
(二)时限要求
审查时限受材料完整性、案件复杂程度影响,整体周期可分为常规审查与特别审查两类,具体如下:
•常规审查周期:从提交完整申报材料起,10个工作日内完成受理审核;受理后30个工作日内完成初步审查,复杂情况可延长15个工作日;初步审查后15个工作日内汇总各方意见,出具审查结论。常规审查整体周期约45-70个工作日(不含材料补充时间)。
•特别审查周期:意见不一致需启动特别审查的,一般90个工作日内完成,情况复杂的可延长,整体周期可能超过120个工作日。
企业需预留充足时间,若存在大量合规瑕疵需整改,或数据跨境传输流程复杂,需适当延长筹备及审查周期,避免与上市申报节点冲突。
六、违规案例解析
近年来,多家互联网企业因未履行网络安全、数据安全审查义务,或存在合规瑕疵,遭遇审查、处罚、上市中断等后果,以下结合典型案例拆解违规要点及警示意义。
(一)网络安全审查违规案例:滴滴出行赴美上市未履行强制申报义务案
1. 案例背景
2021年6月30日,滴滴出行未经网络安全审查,擅自在美国纽约证券交易所上市,发行3.17亿股ADS,募资超44亿美元,估值超过670亿美元。滴滴作为国内最大的出行平台,属于关键信息基础设施运营者,掌握海量用户个人信息及全国城市出行、地理街景数据,这些数据经分析后可能涉及国家安全。
2. 违规事实
一是未履行强制申报义务,滴滴掌握超100万用户个人信息,赴境外上市需强制申报网络安全审查,但未提前申报,擅自推进上市进程;二是网络安全防护存在漏洞,涉嫌违法违规收集使用个人信息,存在核心数据被境外势力获取、利用的风险;三是未落实关键信息基础设施安全保护义务,未建立完善的网络安全防控体系,无法有效防范跨境网络攻击及数据泄露风险。
3. 处理结果
2021年7月2日,网络安全审查办公室对滴滴启动网络安全审查;7月4日,国家网信办责令滴滴APP下架,暂停新用户注册;7月16日,多部门联合进驻滴滴开展审查。此后,滴滴股价持续暴跌,截至2021年12月,股价较发行价跌去44.28%,总市值缩水至376.2亿美元。最终,滴滴宣布从美股退市,转战港股,同时面临巨额罚款及业务整改,上市进程严重受阻,企业品牌及市场信心遭受重创。此外,滴滴还遭遇美国投资者集体诉讼,最终以7.4亿美元达成和解,进一步增加了违规成本。
4. 案例警示
关键信息基础设施运营者及掌握海量用户信息的互联网企业,赴境外上市必须严格履行强制申报义务,不得规避审查;网络安全与国家安全紧密关联,企业需将网络安全防护纳入战略层面,提前落实合规要求,避免因违规上市导致重大损失。
(二)数据安全审查违规案例:某跨境互联网平台数据出境违规案
1. 案例背景
某跨境互联网平台主营社交及电商业务,计划赴港股上市,掌握超500万用户个人信息(含敏感个人信息)及大量业务核心数据,涉及用户消费记录、地理位置信息等。为满足境外上市信息披露及审计要求,该平台未经数据出境安全评估,擅自将核心业务数据及审计底稿传输至境外关联公司及审计机构。
2. 违规事实
一是数据跨境传输违规,未经数据出境安全评估,擅自向境外传输重要数据及敏感个人信息,未采取脱敏、加密等安全防护措施;二是数据分类分级管理不到位,未明确核心数据、重要数据的范围,未落实重要数据本地化存储要求;三是数据安全管理制度缺失,未建立数据跨境传输的审批流程及安全监控机制,无法防范数据泄露风险;四是未配合监管部门的数据安全核查,隐瞒数据传输相关情况。
3. 处理结果
监管部门启动数据安全审查后,责令该平台暂停境外上市进程,限期整改;对平台处以巨额罚款,没收违法所得;要求立即停止数据跨境传输行为,召回已传输至境外的敏感数据及重要数据;责令完善数据安全管理制度,落实数据本地化存储,完成数据出境安全评估及相关备案手续。该平台因整改延误上市进程,错失融资时机,同时承担了高额罚款及合规整改成本,品牌声誉受到严重影响。
4. 案例警示
数据跨境传输是境外上市数据安全审查的核心,企业需严格遵循“先评估、后传输”的原则,不得擅自传输重要数据及敏感个人信息;需建立完善的数据分类分级管理体系,落实本地化存储要求,构建全流程数据安全防控机制,主动配合监管核查,避免因数据合规瑕疵阻碍上市进程。
七、结语
随着全球数据监管趋严及我国网络安全、数据安全监管体系的不断完善,互联网企业境外上市的合规门槛持续提升,网络与数据安全审查已从“可选合规项”变为“必备生存项”。企业需摒弃“先上市、后合规”的侥幸心理,将合规理念贯穿上市全流程,提前启动审查筹备,精准把握审查要点,构建全方位的合规体系,在满足境外上市融资需求的同时,坚守国家安全底线。唯有实现合规与发展的协同,才能有效规避监管风险,实现企业的长期稳定发展。
Sterling Global Capital Investment(SGCI集团)
是一家全球注册的公司,总部位于德国法兰克福,国内总部位于上海, 并在全球超过15个城市设有分支机构。是一家为全球客户提供金融全产业链解决方案的金融控股集团,SGCI集团30多年间已为全球范围内上千家客户提供金融服务,并辅导超过230余家全球企业在全球主流资本市场成功上市。集团旨在为客户提供境外上市Pre-IPO、IPO、投资、融资、并购、市值管理、一级半二级融资等综合、全链路业务。集团拥有一支具有高水准的、卓越创新精神、出众业务能力以及成熟项目执行经验的运营团队,全球成员来自世界顶尖水平的律师事务所、咨询机构、教法专家委员会等。
联系我们
Rena: 18516014445 (业务:境外上市、境外上市公司再融资、市值管理; 欢迎联系)
