导言

一、境外上市网络安全审查的关注重点

2021年第四季度，国家互联网信息办公室（以下简称“国家网信办”）以“可能影响国家安全”为由对“滴滴出行”“运满满”“货车帮”“BOSS直聘”等多家赴美上市企业启动了网络安全审查，要求其在审查期间停止新用户注册。2021年12月3日，“滴滴出行”宣布启动在纽交所退市的工作。为避免重蹈覆辙，其他拟赴国外上市的企业陆续推迟或改变其上市地点和计划。商汤科技以及Keep Inc.在内的多家公司最终选择赴港上市，在其提交的招股说明书中增加披露了公司的数据合规章节，以回应外界和香港联交所针对国内网络安全审查的质疑。

中共中央办公厅、国务院办公厅2021年7月出台的《关于依法从严打击证券违法活动的意见》，明确“加强跨境监管合作、完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定，压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理……”。同年11月，国家网信办发布了新修订的《网审办法》，其中第七条明确规定：掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。网络安全审查申报后，可能存在以下三种结果：1、被判定无需审查；2、经研判不影响国家安全的，可继续赴国外上市程序；3、 经研判影响国家安全的，不允许赴国外上市。

我们理解，境外证券交易监管机构和投资者关注的是拟上市企业能否通过国内监管机构的网络安全审查，而国内监管机构关注重点是境外上市公司是否存在违规向境外传输重要数据和个人信息，威胁国家安全的情况。

二、是否适用《网络安全审查办法》

1、适用主体

《网审办法》的适用主体有两个，即关键信息基础设施运营者和（开展数据处理活动的）网络平台运营者。我们建议，企业拟赴境外上市应当在准备阶段评估确定其从事的业务是否存在关键信息基础设施？如果存在CII，则监管要求更高。

在立法层面，《网络安全法》第三十一条仅通过列举的方式对CII定义为：公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的设施。上述定义基本上覆盖了国民生活方方面面所必需的基础设施，从另一方面来讲，也似乎无限制地扩大了监管部门的“监管半径”。随后施行的《关键信息基础设施安全保护条例》（以下简称《关基条例》）除了在重要行业和领域添加列举了国防科技工业，也未再进一步明确CII的判定标准。

我们参考网信办《关于开展关键信息基础设施网络安全检查的通知》及附件《网络安全检查操作指南》（中网办发﹝2016﹞3号，简称“《操作指南》”）可以得出CII所涉及的行业和关键业务具体如下：

若企业所处行业属于CII的行业领域，应当根据企业所涉及的关键业务梳理出支撑其业务运行和关键业务相关的信息系统或工业控制系统，形成一整套详细的关键信息基础设施清单，如下图所示：

将本企业关键业务所涉及的所有信息系统和工业控制系统梳理完成后，根据《操作指南》的指引，按照“网站

类”“平台类”和“生产业务类”的标准分门别类地进行核查和确认。

从判定标准来看，掌握100万人个人信息的网站（平台）会被直接认定为CII。）

需要提请注意的是，《操作指南》只是国家网信办在2016年发布的一份工作通知的附件，上述确认流程和方法仅能作为参考，实务当中需要向相关主管部门进一步咨询沟通。

2、 适用地域

根据《网审办法》第七条，掌握超过100万用户个人信息的网络平台运营者触发申报网络安全审查的条件是：赴国外上市。从字面意思理解，该条款仅适用于国内企业选择前往美国等其他主权国家上市，而选择在香港联交所上市的企业则不需要直接适用于该条款。但根据网信办《网络数据安全管理条例（征求意见稿）》（以下简称“《数安条例》”）第十三条第三款的规定，数据处理者赴香港上市，影响或者可能影响国家安全的，应当申报网络安全审查。同时，《网审办法》第五条也要求关键信息基础设施运营者应主动预判相关产品和服务可能的国家安全风险，若影响或可能影响国家安全，则应主动申报网络安全审查。因此，我们理解，是否触发网络安全审查关键点并不在于其上市地点，其实质标准依旧是“是否影响或可能影响国家安全”。至于“CII购买相关产品和服务”以及“网络平台运营者携100万用户个人信息赴国外上市”只是可能影响国家安全的两个典型例子，只有在最大幅度内排除影响国家安全的可能性，才会避免网络安全审查。

在实务中，针对企业上市是否应申报网络安全审查，包括Keep在内的部分互联网企业的应对方案是，在招股说明书中阐明其赴港上市的行为不属于《网审办法》项下的“国外”上市；另一方面，也说明了根据《数安条例》，公司赴港上市存在由于影响或者可能影响国家安全而申报网络安全审查的可能性，但由于《数安条例》尚未施行，且对于“影响国家安全”的相关判定标准没有进一步明确，公司目前尚未收到监管机关有关国家安全的任何调查、通知、警告或制裁，因此，公司在港上市暂无法预测是否受到网络安全审查的影响。

三、触发网络安全审查的条件

根据《网审办法》的规定，触发网络安全审查的条件为如下四个：

1、网络平台运营者开展可能影响国家安全的数据处理活动；（第二条）

2、CII采购可能影响国家安全的网络产品和服务；（第五条）

3、掌握超过100万用户个人信息的网络平台运营者赴国外上市；（第七条）

4、网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动。（第十一条）

鉴于目前相关判定标准暂未出台，我们认为，企业拟赴香港上市虽不能直接触发“必须”申报网络安全检查，但仍然应当参照第五条的规定履行“主动预判”的义务。我们建议，拟赴境外上市的企业，无论其上市目的地为何处，均应当积极履行法律法规规定的各项安全检测和安全风险评估等工作。如果涉及数据必须出境的情况，则根据《个人信息保护法》《数据安全法》等规定，需要通过国家网信部门组织的安全评估，最后将相关检测、审查报告以及企业业务的实际数据安全监管情况和风险如实阐明和披露在招股说明书等文件中。

四、合规建议

中美关系日渐复杂，不少已经在美上市或者原本意向赴美上市的互联网企业纷纷采取措施改变上市地点。对此，我们建议，企业在上市前应根据自身业务的情况，采取如下措施：

1、确保在上市之前三年内，企业已经按照法律法规的规定进行了网络数据安全检测、审查和风险评估，并妥善保存了相关记录和材料；

2、企业申报上市材料之前，筛查整理企业业务所涉及的行业领域和关键业务，初步排查网络系统构成CII的可能性；

3、针对多领域覆盖的互联网平台企业，应当按照行业类型分门别类地进行梳理，并根据梳理结果，列出信息系统或工业控制系统，形成一套详细的CII清单和数据资产清单，并按照各清单内的系统和数据类型分析是否存在危害国家安全、数据安全以及个人信息保护的可能性和风险。

作者简介：廖江涛、刘家君