2月6日,中国内地第二大网上同城物流平台快狗打车 (Gogox)获香港交易所批准上市,拟赴港筹资最多31.8亿元。这是自滴滴出行美国上市以来,金额较高的一项互联网企业境外IPO活动。
2月15日起,由国家互联网信息办公室等十三部门联合修订了《网络安全审查办法》正式施行。网络安全监管新规下,互联网企业(以网络货运企业为例)——境外融资如何做好合规应对?
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:刘婧(《互联网法律评论》特约专家、大成律师事务所合伙人),原文标题:《《网络安全审查办法》明起生效,网企境外IPO的合规建议》,头图来自:视觉中国
2月15日起,由国家互联网信息办公室等十三部门联合修订的《网络安全审查办法》(以下简称《办法》)正式施行,为中国互联网企业境外上市融资设定了明确的数据安全审查规则。
政府出台相应监管政策并非阻拦企业融资,而是让互联网企业境外上市有法可依,有规可循。
中国监管部门也在释放积极信号。2021年12月24日,中国证监会公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,并向社会公开征求意见。同时,中国证监会表示将支持企业依法合规赴境外上市,赴境外上市将全面实行备案制。
下一步,经履行公开征求意见等立法程序,在相关制度规则正式发布实施时,证监会还将制定发布备案指引,进一步细化备案管理的具体安排,确保市场主体在办理备案时有清晰明确的规则依据。
互联网企业赴港、赴美IPO,如何做好数据安全合规管理?
本文以网络货运企业为例,分析该类企业赴港IPO需要面对的数据安全合规问题及应对策略,并对赴境外IPO的互联网企业给予安全审查通用性合规建议。
一、网络货运企业香港上市的数据安全合规问题
网络货运企业作为平台型企业,其业务开展过程中将收集或接收到大量且类型多样的数据,包括托运人及实际承运人的数据、司机个人数据、车辆数据、货物数据、运单轨迹数据等。
经过征求意见最终颁布的《网络安全审查办法》(于2022年2月15日生效)落笔在“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,且该新规下网络安全审查的具体程序以及通过的可能性暂时很难合理判断,类似企业考虑选择赴美上市的可能性变得很低,因此赴港上市已经成为相关企业的替代选择。
根据《网络平台道路货物运输经营管理暂行办法》的规定:“网络货运经营者应当采取有效措施加强对驾驶员、车辆、托运人等相关信息的保密管理,未经被收集者同意,不得泄露、出售或者非法向他人提供信息,不得使用相关信息开展其他业务”。
随着《数据安全法》的正式实施,进一步从法律层面明确了网络货运企业的数据处理合规要求,网络货运企业作为数据处理(包括数据的收集、存储、使用、加工、传输、提供、公开等)者应建立健全全流程数据安全管理制度,落实数据安全负责人和管理机构。
1. 内部数据分级
根据《网络安全法》的规定,“国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
而网络货运既提供信息服务亦提供交通运输服务,因此,网络货运企业收集的部分数据存在被列入“国家数据安全工作协调机制统筹协调有关部门制定重要数据目录”范畴的可能,对此,网络货运企业应持续关注并根据相应数据目录进行内部数据分级。
2. 个人信息处理合规
除《数据安全法》的规定外,从2012年《全国人民代表大会常务委员会关于加强网络信息保护的决定》,到2017年《网络安全法》出台,已确立了合法、正当、必要的收集原则、个人明确同意以及不得出售或者非法向他人提供个人电子信息等要求,且仍在逐步完善关于个人信息处理的细化规则。
鉴于个人信息处理监管的规则细化以及监管要求趋严,网络货运企业应及时调整并健全个人信息处理相关政策,以符合个人信息处理规定的要求。
另外,《中华人民共和国个人信息保护法》已经正式实施,网络货运企业还需要根据此法做到个人信息处理的合规。
香港上市对合规性、访谈、资质等都有一定要求,网络货运平台企业赴香港上市通常有一些特殊的合规性问题需要解决,例如司机个人实际承运合规问题、税务合规问题。(具体可以参见笔者发布的《网络货运企业香港上市法律问题分析》)
二、互联网企业赴美上市的三点建议
2021年6月30日,滴滴出行赴美IPO获670亿美元融资额,并随即因数据安全问题遭至中国政府监管。
此案之后,中国企业赴美IPO的声浪颇有偃旗息鼓之势。直至2022年春节前夕,有10家中国企业曝出向美国证券交易委员会(SEC)提交了招股说明书,传递出一丝回暖信息。
上述10家中国赴美IPO企业中,最具有平台企业特征的莫过于江苏优创易泊智能科技(YBZN)。
随着《办法》的实施,赴美IPO的互联网企业可以从以下三个方面做好安全审查应对措施:
第一、需提前对是否构成需申报网络安全审查以及在数据保护方面的合规性进行评估。
尽管《办法》第七条规定,需申报网络安全审查的对象为“网络平台运营者+掌握超过100万用户个人信息+赴国外上市(不包括香港)”,但是2021年11月14日网信办发布的《网络数据安全管理条例(征求意见稿)》对于应申报网络安全审查的情形列举其他三种情形(见下表),且所使用的“数据处理者”的范畴理解较“网络平台运营者”更为广泛。
且数据处理者在合规方面的程度,或瑕疵也可能对其开展境外上市活动是否引起监管的关注产生重要影响。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
处理一百万人以上个人信息的数据处理者赴国外上市的;
数据处理者赴香港上市,影响或者可能影响国家安全的;
其他影响或者可能影响国家安全的数据处理活动。
第二,应高度关注与监管部门的沟通。
拟赴美国IPO的企业应高度关注与监管部门的沟通。例如参考优创易泊招股书披露:
截至本招股说明书之日,本公司、子公司或VIE均未向中国任何主管部门申请、接受或拒绝批准在纳斯达克股票市场上市,本公司、我们的子公司或VIE也未收到中国证券监督管理委员会(CSRC)或任何其他中国政府机构关于我们计划在海外上市的任何询问、通知、警告或制裁。
该表述系从被动沟通的角度切入,即企业并未收到来自于监管机构阻碍或要求不得开展该境外上市活动的要求,亦未收到任何关于境外上市的问询、通知、警告或惩罚等。很难想象,在目前状况下,企业主动试图获得正面的回复。
但首先企业需关注是否曾收到该类意见,其次,若事实上已收到类似的问询或倾向性意见,相关的境外上市活动应考虑停止或调整。
第三、保持业务资质的有效性及业务在重大方面的合规性。
行业主管部门监管意见、备案或核准等文件是发行人向证监会申请备案的材料之一,但该事项备注为“如适用”,在实操中的适用范围将进一步观察;且若发行人可能存在证监会于2021年12月24日发布的《国务院关于境内企业境外发行证券和上市的管理规定 (草案征求意见稿)》第七条的情形,证监会将可能主动征求有关主管部门意见。
在此情况下,未来企业赴美国上市时,若业务资质及业务方面合规性若存在明显瑕疵,仅“披露”并无法解决问题,而是可能构成相关行业主管部门提供“认可”意见的障碍,并进而导致企业无法完成境外上市备案。
本文来自微信公众号:Internet Law Review(ID:Internet-law-review),作者:刘婧