观韬视点 | 港股IPO系列——赴香港上市过程中的数据出境合规要点
作者:吴丹君 张振君
赴香港上市企业的网络安全和数据合规能力已成为联交所关注重点,数据出境合规正是其中的重要一环。通常来说,境内企业赴港上市过程中的数据出境情形包括向境外的证券公司、证券服务机构或监管机关提供文件或资料或境外机构访问境内企业存储在境内的数据等。目前,我国对于境内企业境外发行的数据安全管理趋严,《关于依法从严打击证券违法活动的意见》要求完善有关数据安全、跨境数据流动和涉密信息管理的法律法规,建议修改关于加强境外证券发行上市保密和档案管理的规定,压实境外上市公司信息安全责任,加强跨境信息提供机制与流程的规范管理。《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》将境内企业境外直接和间接发行上市纳入统一监管,要求建立健全保密制度,境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(下称“《保密和档案管理规定(征求意见稿)》”)衔接前述规定,进一步为境内企业境外发行上市活动在保密和档案管理和向境外提供方面提供更清晰明确的指引。
一、赴香港上市过程中主要涉及三种数据出境场景
《数据安全法》将数据定义为任何以电子或者其他方式对信息的记录,同时该法第五十三条规定,开展涉及国家秘密的数据处理活动,适用《保守国家秘密法》等法律、行政法规的规定。在统计、档案工作中开展数据处理活动,开展涉及个人信息的数据处理活动,还应当遵守有关法律、行政法规的规定。可见《数据安全法》所界定的数据涵盖的范围非常广泛,包括重要数据、档案、国家秘密和个人信息等以电子或其他方式对信息的记录。但由于涉及国家秘密的数据处理活动,统计、档案工作中的数据处理活动以及涉及个人信息的数据处理活动具有其特殊性,《数据安全法》排除涉及国家秘密的数据处理活动的适用,并要求在统计、档案工作中开展数据处理活动及开展涉及个人信息的数据处理活动时既要遵守《数据安全法》,又要遵守《统计法》《档案法》和《个人信息保护法》等法律、行政法规的规定。
基于上述分析并结合《保密和档案管理规定(征求意见稿)》,可将赴香港上市过程中涉及的主要数据出境活动分为如下三种场景:
(1)境内企业在境外直接发行上市或间接发行上市过程中向境外有关证券公司、证券服务机构披露有关数据;
(2)境外会计师事务所从事境内企业境外发行证券和上市相关审计业务,查看境内企业在境内收集和产生的数据;
(3)境内企业申请境外发行上市过程中及上市后履行披露义务并接受监管,向境外监管机关提供有关数据。
二、赴香港上市过程中的数据出境法律要求梳理
在赴香港上市这个特定场景中,除遵守《网络安全法》《数据保护法》《个人信息保护法》《数据出境安全评估办法(征求意见稿)》及《网络数据安全管理条例(征求意见稿)》等法律法规规定的一般性要求外,发行人或境内企业开展数据出境活动还需符合《证券法》《关于依法从严打击证券违法活动的意见》《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》与《保密和档案管理规定(征求意见稿)》等法律法规对涉密文件、资料,会计档案及工作底稿等提出的特别要求。下表梳理了在赴香港上市过程中可能涉及的不同数据类型应遵守的出境要求:
数据类型 | 出境要求 | 法律依据 |
个人信息 | (1)CIIO和处理个人信息达到国家网信部门规定数量的个人信息处理者在中国境内收集和产生的个人信息原则上存储在境内,确需向境外提供的,应当通过国家网信部门组织的安全评估; (2)满足告知和获取单独同意要求; (3)其他个人信息处理者在满足通过安全评估、个人信息保护认证、签署标准合同及法律、行政法规或国家网信部门规定的其他条件之一时,方可向境外提供个人信息。 | 《个人信息保护法》第三十八条、第三十九条、第四十条 《数据出境安全评估办法(征求意见稿)》 |
重要数据 | (1)原则上存储于境内; (2)通过安全评估后方可出境。 | 《数据安全法》 第三十一条 《网络安全法》 第三十七条 《数据出境安全评估办法(征求意见稿)》 |
属于国家所有的档案和对国家和社会具有重要保存价值或者应当保密的档案及其复印件 | (1)原则上存储于境内 非国有企业、社会服务机构等单位和个人形成的档案,对国家和社会具有重要保存价值或者应当保密的档案严禁出卖、赠送给外国人或者外国组织。 属于国家所有的档案和对国家和社会具有重要保存价值或者应当保密的档案及其复印件禁止擅自运送、邮寄、携带出境或者通过互联网传输出境。 (2)申请批准 前述档案及其复印件确需出境的,按照国家有关规定办理审批手续。 | 《档案法》第二十二条 |
涉及国家秘密、机关单位工作秘密的文件、资料 | (1)申请批准及备案 境内企业依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案。 (2)签署保密协议 境内企业经履行相应程序后,向有关证券公司、证券服务机构等提供涉及国家秘密、机关单位工作秘密的,双方应当依照《中华人民共和国保守国家秘密法》等法律法规及本规定,签订保密协议,明确有关证券公司、证券服务机构等承担的保密义务和责任。 证券公司、证券服务机构应当遵守我国保密及档案管理的要求,妥善保管获取的上述文件、资料。 (3)提供书面说明 境内企业就申请批准和备案的执行情况提供书面说明。 证券公司、证券服务机构应当妥善保存上述书面说明以备查。 | 《保密和档案管理规定(征求意见稿)》 第三条、第五条、第六条 |
其他泄露后会对国家安全或者公共利益造成不利影响的文件、资料 | (1)按照国家有关规定,严格履行相应程序; (2)签署保密协议; (3)提供书面说明。 | 《保密和档案管理规定(征求意见稿)》 第三条、第四条、第六条 |
审计工作底稿和会计档案或复印件 | (1)审计工作底稿应当存放在境内 中国内地企业依法委托境外会计师事务所审计的,该受托境外会计师事务所应当与中国内地会计师事务所开展业务合作。双方应当签订业务合作书面协议,自主协商约定业务分工以及双方的权利和义务,其中在境内形成的审计工作底稿应由中国内地会计师事务所存放在境内。 (2)境内企业不得向未履行相应程序的境外会计师事务所提供会计档案。 (3)境内企业向有关证券公司、证券服务机构、境外监管机构等单位和个人提供对国家和社会具有重要保存价值的会计档案或会计档案复制件的,应当按照国家有关规定履行相应程序。 | 《会计师事务所从事中国内地企业境外上市审计业务暂行规定》 第五条 《保密和档案管理规定(征求意见稿)》 第五条、第八条 |
在境内形成的工作底稿等档案 | (1)以境内存储为原则 为境内企业境外发行证券和上市提供相关证券服务的证券公司、证券服务机构在境内形成的工作底稿等档案应当存放在境内。 (2)申请批准 未经有关主管部门批准,不得通过携带、寄运等任何方式将其转移至境外或者通过信息技术等任何手段传递给境外机构或者个人。 | 《保密和档案管理规定(征求意见稿)》 第九条 |
跨境监管所需数据 | (1)通过跨境监管合作机制获取 境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。 境外证券监督管理机构及有关主管部门提出就境内企业境外发行证券和上市相关活动对境内企业以及为该等企业境外发行证券和上市提供证券服务的证券公司、证券服务机构进行调查取证或开展检查的,应当通过跨境监管合作机制进行,证监会或有关主管部门依据双多边合作机制提供必要的协助。 (2)在获取批准后方可向境外提供与证券业务活动有关的文件和资料 未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。 境内有关企业、证券公司和证券服务机构,在配合境外证券监督管理机构或境外有关主管部门调查、检查或提供文件资料前,应当事先向证监会或有关主管部门报告。 | 《证券法》 第一百七十七条 《保密和档案管理规定(征求意见稿)》 第十一条 |
三、建议开展数据分类分级工作,制定数据出境计划并完善保密和档案管理制度
如证监会在《保密和档案管理规定(征求意见稿)》答记者问中所言,该稿的修订旨在进一步加强境内企业境外发行上市相关保密和档案管理工作,明确上市公司信息安全责任,维护国家信息安全,减少不必要的涉密敏感信息进入工作底稿。因此,建议发行人或境内企业采取如下措施防范在赴香港上市过程中的数据出境风险:
(一)开展数据分类分级工作
数据分类分级工作是落实数据安全管理义务的第一步,在开展数据出境活动时亦不例外。只有先识别数据的类型和风险等级,才能有的放矢地落实不同数据的各项出境要求。
(二)制定数据出境计划并与境外接收方签署保密协议
在识别并区分各类数据后,建议境内企业根据不同数据的涉密等级和泄露所可能带来的国家安全或公共利益的不利影响梳理具有提供和披露必要性的数据,并结合不同数据的出境要求制定数据出境计划,尽量避免涉密、涉安资料、重要档案、重要数据及大量个人信息等数据出境。
在确定数据出境计划后,建议境内企业与相应境外接收方签署保密协议或数据保护协议,明确各方的保密及数据安全管理义务,保障数据出境过程中及出境后的数据安全。
(三)履行相应数据出境程序
如前表所梳理,我国法律对不同类型的数据提出了申请审批、进行备案或通过安全评估等多项前置性要求。对于必须向境外提供的数据,建议发行人将相应数据出境程序的履行纳入上市时间表,提前准备无法通过相应程序的应对方案。
(四)完善保密和档案管理规章制度
证监会发布的《【2019年更新】股份有限公司境外公开募集股份及上市(包括增发)审核关注要点》将“发行人及各下属公司是否建立健全了完备、规范的保密和档案规章制度并落实到位”列为证监会的审核关注要点。《保密和档案管理规定(征求意见稿)》更是进一步细化境内企业境外发行证券和上市相关保密和档案管理要求。由于涉密数据、档案与一般数据在保密要求、处理目的和处理方式等方面存在较大不同,建议境内企业在建立通用数据安全管理制度的基础上,进一步建立健全保密和档案规章管理制度。
四、落实安全评估、网络安全审查及数据安全审查要求
根据《境内企业境外发行证券和上市备案管理办法(征求意见稿)》第五条,境内企业境外直接或间接发行上市的,发行人或发行人指定的一家主要境内运营实体应当在发行人在境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交备案材料,其中包括有关部门出具的安全评估审查意见(如适用)。这意味着若赴香港上市行为落入数据出境安全评估或网络安全审查、数据安全审查的适用范围之内,相应的安全评估和审查意见亦可能影响上市进程。
安全评估制度是我国数据出境制度的重要组成部分,前有《网络安全法》《数据安全法》《个人信息保护法》接连明确重要数据和个人信息出境的安全评估要求,后有《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《数据出境安全评估办法(征求意见稿)》《网络数据安全管理条例(征求意见稿)》不断探索数据出境安全评估制度建设。境内企业赴香港上市的,需考虑是否存在应申请安全评估的数据出境活动。鉴于目前该项制度的具体操作有待进一步细化,建议发行人可预先开展自评估,对存在较高风险的数据出境活动及时准备应对方案。
数据出境安全评估不同于网络安全审查或数据安全审查。在之前分享的《〈网络安全审查办法〉对赴香港上市企业的影响》一文中,我们分析了赴香港上市的非CIIO一般无需主动申报网络安全审查,但也同时提示仍存在被动网络安全审查的可能性。发行人是否适用网络安全审查也是证监会的关注点之一,比如在2021年圆心科技和珠海万达赴香港上市案例中,证监会国际部即要求补充说明是否适用网络安全审查。
此外,《数据安全法》第二十四条规定国家对影响或可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。当数据出境行为存在影响或可能影响国家安全的风险时,境内企业还可能被启动数据安全审查。
