赴香港上市企业的网络安全和数据合规能力已成为联交所关注重点,数据出境合规正是其中的重要一环。通常来说,境内企业赴港上市过程中的数据出境情形包括向境外的证券公司、证券服务机构或监管机关提供文件或资料或境外机构访问境内企业存储在境内的数据等。目前,我国对于境内企业境外发行的数据安全管理趋严,《关于依法从严打击证券违法活动的意见》要求完善有关数据安全、跨境数据流动和涉密信息管理的法律和法规,建议修改关于加强境外证券发行上市保密和档案管理的规定,压实境外上市公司信息安全责任,加强跨境信息提供机制与流程的规范管理。《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》将境内企业境外直接和间接发行上市纳入统一监管,要求建立完整保密制度,境内企业境外发行上市涉及向境外提供个人隐私信息和重要数据的,应当符合国家法律和法规和有关法律法规。《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(下称“《保密和档案管理规定(征求意见稿)》”)衔接前述规定,进一步为境内企业境外发行上市活动在保密和档案管理和向境外提供方面提供更清晰明确的指引。
《数据安全法》将数据定义为任何以电子或者其他方式对信息的记录,同时该法第五十三条规定,开展涉及国家秘密的数据处理活动,适用《保守国家秘密法》等法律、行政法规的规定。在统计、档案工作中开展数据处理活动,开展涉及个人隐私信息的数据处理活动,还应当遵守有关法律、行政法规的规定。可见《数据安全法》所界定的数据涵盖的范围十分普遍,包括重要数据、档案、国家秘密和个人隐私信息等以电子或其他方式对信息的记录。但由于涉及国家秘密的数据处理活动,统计、档案工作中的数据处理活动以及涉及个人隐私信息的数据处理活动具有其特殊性,《数据安全法》排除涉及国家秘密的数据处理活动的适用,并要求在统计、档案工作中开展数据处理活动及开展涉及个人隐私信息的数据处理活动时既要遵守《数据安全法》,又要遵守《统计法》《档案法》和《个人隐私信息保护法》等法律、行政法规的规定。
基于上述分析并结合《保密和档案管理规定(征求意见稿)》,可将赴香港上市过程中涉及的主要数据出境活动分为如下三种场景:
(1)境内企业在境外直接发行上市或间接发行上市过程中向境外有关证券公司、证券服务机构披露有关数据;
(2)境外会计师事务所从事境内企业境外发行证券和上市相关审计业务,查看境内企业在境内收集和产生的数据;
(3)境内企业申请境外发行上市过程中及上市后履行披露义务并接受监管,向境外监管机关提供有关数据。
在赴香港上市这个特定场景中,除遵守《网络安全法》《数据保护法》《个人隐私信息保护法》《数据出境安全评估办法(征求意见稿)》及《网络数据安全管理条例(征求意见稿)》等法律和法规规定的一般性要求外,发行人或境内企业开展数据出境活动还需符合《证券法》《关于依法从严打击证券违法活动的意见》《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》与《保密和档案管理规定(征求意见稿)》等法律和法规对涉密文件、资料,会计档案及工作底稿等提出的特别要求。下表梳理了在赴香港上市过程中可能涉及的不同数据类型应遵守的出境要求:
(1)CIIO和处理个人隐私信息达到国家网信部门规定数量的个人隐私信息处理者在中国境内收集和产生的个人隐私信息原则上存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估;
(3)其他个人信息处理者在满足通过安全评估、个人信息保护认证、签署标准合同及法律、行政法规或国家网信部门规定的其他条件之一时,方可向境外提供个人信息。
属于国家所有的档案和对国家和社会具备极其重大保存价值或者应当保密的档案及其复印件
非国有企业、社会服务机构等单位和个人形成的档案,对国家和社会具备极其重大保存价值或者应当保密的档案严禁出卖、赠送给外国人或者外国组织。
属于国家所有的档案和对国家和社会具备极其重大保存价值或者应当保密的档案及其复印件禁止擅自运送、邮寄、携带出境或者利用互联网传输出境。
境内企业依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案。
境内企业经履行相应程序后,向有关证券公司、证券服务机构等提供涉及国家秘密、机关单位工作秘密的,双方应当依照《中华人民共和国保守国家秘密法》等法律和法规及本规定,签订保密协议,明确有关证券公司、证券服务机构等承担的保密义务和责任。
证券公司、证券服务机构应当遵守我国保密及档案管理的要求,谨慎保管获取的上述文件、资料。
中国内地企业依法委托境外会计师事务所审计的,该受托境外会计师事务所应当与中国内地会计师事务所开展业务合作。双方应当签订业务合作书面协议,自主协商约定业务分工以及双方的权利和义务,其中在境内形成的审计工作底稿应由中国内地会计师事务所存放在境内。
(3)境内企业向有关证券公司、证券服务机构、境外监督管理的机构等单位和个人提供对国家和社会具备极其重大保存价值的会计档案或会计档案复制件的,
为境内企业境外发行证券和上市提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。
未经有关主管部门批准,不可以通过携带、寄运等任何方式将其转移至境外或者通过信息技术等任何手段传递给境外机构或者个人。
境外证券监督管理机构及有关主管部门提出就境内企业境外发行证券和上市相关活动对境内企业和为该等企业境外发行证券和上市提供证券服务的证券公司、证券服务机构进行调查取证或开展检查的,应当通过跨境监管合作机制进行,证监会或有关主管部门依据双多边合作机制提供必要的协助。
未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。
境内有关企业、证券公司和证券服务机构,在配合境外证券监督管理机构或境外有关主管部门调查、检查或提供文件资料前,应当事先向证监会或有关主管部门报告。
如证监会在《保密和档案管理规定(征求意见稿)》答记者问中所言,该稿的修订旨在逐步加强境内企业境外发行上市相关保密和档案管理工作,明确上市公司信息安全责任,维护国家信息安全,减少不必要的涉密敏感信息进入工作底稿。因此,建议发行人或境内企业采取如下措施防范在赴香港上市过程中的数据出境风险:
在确定数据出境计划后,建议境内企业与相应境外接收方签署保密协议或数据保护协议,明确各方的保密及数据安全管理义务,保障数据出境过程中及出境后的数据安全。
如前表所梳理,我国法律对不一样的数据提出了申请审批、进行备案或通过安全评估等多项前置性要求。对于必须向境外提供的数据,建议发行人将相应数据出境程序的履行纳入上市时间表,提前准备无法通过相应程序的应对方案。
证监会发布的《【2019年更新】股份有限公司境外公开募集股份及上市(包括增发)审核关注要点》将“发行人及各下属公司是不是建立健全了完备、规范的保密和档案规章制度并落实到位”列为证监会的审核关注要点。《保密和档案管理规定(征求意见稿)》更是进一步细化境内企业境外发行证券和上市相关保密和档案管理要求。由于涉密数据、档案与一般数据在保密要求、处理目的和解决方法等方面存在较大不同,建议境内企业在建立通用数据安全管理制度的基础上,进一步建立健全保密和档案规章管理制度。
根据《境内企业境外发行证券和上市备案管理办法(征求意见稿)》第五条,境内企业境外直接或间接发行上市的,发行人或发行人指定的一家主要境内运营实体应当在发行人在境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交备案材料,这中间还包括有关部门出示的安全评估审查意见(如适用)。这在某种程度上预示着若赴香港上市行为落入数据出境安全评估或网络安全审查、数据安全审查的适合使用的范围之内,相应的安全评估和审查意见亦可能会影响上市进程。
安全评估制度是我国数据出境制度的重要组成部分,前有《网络安全法》《数据安全法》《个人隐私信息保护法》接连明确重要数据和个人隐私信息出境的安全评估要求,后有《个人隐私信息和重要数据出境安全评估办法(征求意见稿)》《个人隐私信息出境安全评估办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》不断探索数据出境安全评估制度建设。境内企业赴香港上市的,需考虑是不是存在应申请安全评估的数据出境活动。鉴于目前该项制度的具体操作有待进一步细化,建议发行人可预先开展自评估,对存在较高风险的数据出境活动及时准备应对方案。
数据出境安全评估不同于网络安全审查或数据安全审查。在之前分享的《〈网络安全审查办法〉对赴香港上市企业的影响》一文中,我们分析了赴香港上市的非CIIO一般无需主动申报网络安全审查,但也同时提示仍存在被动网络安全审查的可能性。发行人是否适用网络安全审查也是证监会的关注点之一,比如在2021年圆心科技和珠海万达赴香港上市案例中,证监会国际部即要求补充说明是否适用网络安全审查。
此外,《数据安全法》第二十四条规定国家对影响或可能会影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。当数据出境行为存在影响或可能会影响国家安全的风险时,境内企业还可能被启动数据安全审查。