2021年7月10日,国家互联网信息办公室(以下简称“网信办”)公布了《网络安全审查办法(修订草案征求意见稿)》(以下简称“《征求意见稿》”),向社会公开征求意见。由于该《征求意见稿》公布的时间特殊,引发了较多的社会关注。现就该《征求意见稿》中有关企业上市相关的若干问题,分析与讨论如下。
一、该《征求意见稿》何时会变为正式的部门规章
目前,考虑到政策的不确定性,大多数中国企业的美国IPO工作都处于观望状态,很多可能涉及网络与数据安全的企业都在等待明确的政策出台,以避免出现违规上市的情况。该《征求意见稿》的出台可以算是一只靴子落了地。相比于《征求意见稿》的内容,人们首先会关注该《征求意见稿》何时会变为正式的部门规章。
在笔者看来,该《征求意见稿》变更为正式部门规章的时间,应不会早于2021年9月1日。原因很简单,相比现行有效的《网络安全审查办法》(以下简称“现行办法”),该《征求意见稿》增加了一个规章制定依据,即《中华人民共和国数据安全法》(以下简称“《数据安全法》”)。《数据安全法》规定了数据处理的概念,并对数据处理者的责任进行规定,这对于该《征求意见稿》非常重要。因为相比现行办法,《征求意见稿》最显眼的变化之一,就是将“数据处理者”追加为可能需要网络安全审查的“运营者”。
《数据安全法》于2021年6月10日通过,其生效日为2021年9月1日。有鉴于此,考虑到《征求意见稿》的重要法律依据之一便是这个《数据安全法》,而《征求意见稿》本身规定的征求意见的截止日期是2021年7月25日,那么,在征求意见截止日至9月1日之间,不过是一个月的时间,网信办没有道理让《征求意见稿》在《数据安全法》生效之前抢跑成为正式规章从而引发较为严重的法律争议。
因此,笔者判断《征求意见稿》最早会在2021年9月1日成为规章。而在2021年9月1日之前,现行办法仍然是有效的规章。
二、掌握超过100万用户个人信息的运营者上市问题
《征求意见稿》最引人关注的是第六条“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”。就该条而言,有以下几点值得讨论:
1.“国外上市”还是“境外上市”
《征求意见稿》第六条的“国外上市”,是以前的证券法律、法规很少见的用法。以前的证券法律、法规最常用的词是“境外”。例如,《证券法》第二百二十四条规定,“境内企业直接或者间接到境外发行证券或者将其证券在境外上市交易,应当符合国务院的有关规定”,其用词为即“境外”。“国”外和“境”外,一字之差,天壤之别。
在中国的法律体系下,“国外”是“境外”的子集,“境外”包括了中华人民共和国香港特别行政区、澳门特别行政区、台湾地区这三个中国领土不可分割的部分,以及“国外”。虽然很多香港澳门同胞经常喜欢用“国内”来指代相对于香港的中国内地地区,但是从法律角度来看,香港根本不可能是“国外”。这是一个涉及国家根本的问题,因此,这里的国外上市,只可能指的是企业在美国、英国、新加坡等外国的资本市场上市。香港特别行政区不是国外,所以企业赴香港联交所上市,不是“赴国外上市”,无须“向网络安全审查办公室申报网络安全审查”。
我相信,《征求意见稿》的起草者,不可能在这种涉及国家主权和领土完整的大是大非问题上有半点含糊的,至少从他们的立场来看,他们是不希望将企业去香港上市纳入安全审查范围的,所以才会在字斟句酌的时候,没有用“境外”而用了“国外”。
然而,也有部分证券业内人士对此仍有疑虑,理由是:
第一,《证券法》的用词是“境外”,“国外”这个词,确实系首次出现什么的,“没有先例”。此外,《数据安全法》的规定也有点“冲突”,一方面,《数据安全法》第三十一条在提到“关键信息基础设施运营者“和”“其他数据处理者“的数据出境的时候,用的是“境外”,而第三十六条涉及外国司法和执法机关调查的时候,用的又是“国外”。两边都有点关系,两边范围略有不同。这可能引发了一些业内人士的困扰(如果他们在解读《征求意见稿》的时候时候同时也看了《数据安全法》的话)
第二,现在《征求意见稿》毕竟只是征求意见稿,正式生效后,为了堵上香港上市这个“口子”,上述第六条会从“国外”改为“境外”,或者在规章结尾加个港澳台地区参照适用的补丁,届时,赴香港上市就同样要纳入网络安全审查了,这就会对中国互联网行业产生极其深远的影响了。
在我看来,这样的担心有一定道理,但可能性不大,具体原因如下:
首先,从法律上看,《中华人民共和国香港特别行政区维护国家安全法》(以下简称“《港区国安法》”)已经生效并有效实施,香港证监会、香港联交所以及香港上市过程中的相关香港中介机构作为香港特区的机构、组织和个人,都有义务遵守《港区国安法》。《港区国安法》第二十九条规定“为外国或者境外机构、组织、人员窃取、刺探、收买、非法提供涉及国家安全的国家秘密或者情报的……属犯罪”。《征求意见稿》对运营商所拥有的信息,完全可以界定为涉及国家安全的国家秘密或情报,那么香港方面的证券监管机构以及证券中介机构和个人,也都附有对该等信息保密的义务。这和美国SEC等国外证券监管机构等有根本区别。从这个意义上来看,《港区国安法》确实给香港资本市场设定了相对于外国资本市场更高的义务,但也相应的赋予了香港方面外国证券市场所没有的“特权”。
其次,从政治上来看,香港特别行政区虽然属于“境外”,但毕竟仍然是一个中国政府有效行使主权的特别行政区。尤其是在当下,如果把香港证监会和香港联交所和国外的证券监管机关以及证券交易所同等对待,那么看起来就有点像是否定《港区国安法》对立法和实施成果了。尤其是在《征求意见稿》已经明确限定在“国外”上市的情况下,如果最终生效版本把“国外”改为“境外”,那么难免会给境外敌对势力借题发挥、造谣生事、挑拨离间创造了机会。这就等于是给境外敌对势力递刀子了。
接下来,从规章修改的起因来看,直白说就是为了应对来自美国方面对在美上市的“中概股”所提出的各种挑战。香港证监会、香港联交所与此毫不相关,而且香港方面和内地方面也有着顺畅的沟通和配合机制,没有道理把针对美国方面的挑战而设定的网络安全审查机制扩展到香港。
最后,从反垄断的角度来看,还是要给《征求意见稿》所监管的企业留有发展空间。虽然这些年,部分企业在隐私保护、数据安全等方面也发生过这样那样的问题,但是从生产力发展的角度来看,整个行业仍然还是有存在和发展必要的,也还是应该给业内企业一条出路。在腾讯、阿里等行业巨头已经上市并发展成接近垄断等巨无霸企业等情况下,如果对于行业内未上市的新兴公司的上市相关审查过于严苛,那么也就意味着行业内将很容易维持强者恒强的垄断局面,并进而形成一些企业“大到不能倒”,反而不利于国家安全。如果能够在政策上保留一定的灵活性,即对确实可能存在安全风险的国外上市,进行事先的国家安全审查,对于已经有《港区国安法》保障国家安全的香港上市不做事先的国家安全审查,可能从整体来说,对整个行业更为有利。
因此,我理解,现有《征求意见稿》的“国外上市”不可能包括香港上市,这是大是大非问题,根本无需讨论。其次,综合以上分析,我认为未来《征求意见稿》将审查范围扩展到香港的可能性也不大。
如果说有什么地区需要关注的话,那可能就是台湾地区。台湾地区毫无疑问是“国内”,台湾地区同样也有证券交易所。目前,台湾地区证券交易所并不接受实际控制人为大陆人的公司去台湾证券交易所上市,但是却不禁止在大陆地区有业务的台资企业回台湾证券交易所上市。这些台资企业虽然不至于经营关键网络基础设施相关的业务,但是以目前大陆地区的电子商务发达程度和对外开放程度,难免有台资企业“掌握超过100万用户个人信息”。考虑到目前两岸关系,从数据隐私安全等角度来看,这些台资企业的风险可能远高于在美国上市的普通红筹/VIE结构企业。因此,建议在规章的最后,将赴台湾地区做参照性规定,以避免出现监管漏洞。
2.“上市”?
人们常说的“上市”,比如,BB公司赴美“上市”,其实是狭义理解的上市,其实际上分成了两个阶段,第一个阶段是BB公司的股票/ADR首次在境外的市场上公开发行(就是IPO),第二个阶段是完成了公开发行后的BB公司的股票/ADR在美国的证券交易所上市(就是Listing)。A股也是这样的,我们的A股主板“上市”的重要的规章叫什么?——《首次公开发行股票并上市管理办法》。
然而,如果上市做广义的,或者法律意义上的理解,可就宽泛了。首次公开发行股票之后,股票上市,这是上市。公司在“上市之后”增发新股,然后新股在证券交易所上市,这也是上市。公司发行了股票期权之类的衍生品,这些衍生品也可以在证券交易所上市。最后,更重要的是,公司如果发行的不是股票而是债券,这些债券还是会在交易所上市。外国交易所里的新加坡交易所和爱尔兰交易所,就承揽了挺多中国公司的美元债券或欧元债券的上市,而且还是国外上市。
那么问题来了,这些“首次公开发行股票并上市之后”的国外上市,尤其是公司债券的国外上市,《征求意见稿》第六条及相关条款是否适用呢?如果也适用,可就不是简单的互联网公司的事了。比如说,中石油、 中石化这些央企以及中国银行这样的商业银行就经常在境外发行美元债、欧元债并在国外的交易所交易,这些机构就算不是关键信息网络基础设施运营商,但就掌握100万用户个人信息来说,是非常简单的事儿(不说别的中石油、中石化的加油卡就包含了多少人的多少信心?),他们的每次的债券发行后,如果在新加坡、爱尔兰这样的交易所上市,需要适用《征求意见稿》第六条么和相关配套规定么?
对于已经在国外上市的互联网公司等大量掌握用户个人信息的公司,他们在国外每次增发股票和上市,也需要适用《征求意见稿》第六条和相关配套规定么?
单看《征求意见稿》的第六条,在国外的债券上市和增发股票上市,都需要申报安全审查。但是如果综合征求意见稿上下文来看,似乎立法本意是——不需要。
《征求意见稿》第八条提到,“运营者申报网络安全审查,应当提交以下材料“(三)采购文件、协议、拟签订的合同或拟提交的IPO材料等”。这里的用词是,“IPO”,也就是我前面说的,“首次公开发行股票”(没有人把首次公开发行债券叫IPO)。用的措辞并不是“发行上市资料”。
至于为什么这么写,我不做评论,但是从这一条可以看出,网信办在起草征求意见稿的时候,其脑海中想的新加坡公司维护方案怎么写,或者说“立法本意”,其实管的是“首次公开发行股票并上市”。应该没有想过要管其他证券在国外发行上市。
这是有道理的。
首先,就在国外公开发行债券并上市来说。我相信这不是立法本意,而且业务监管必要。债券发行的信息披露极其有限,核心在于还本付息,这和高度依赖信息披露,证券价值与信息披露质量高度相关的股票还是有本质区别的。目前发改委、国家外管局等机关对于企业在国外的债券发行和上市已经有了比较成熟的事前审核,应当无需再增加审核环节。如果真要每次债券发行上市都要披一次,那么几乎每年都要发行债券,借新债还旧债的的那些掌握大量用户信息的巨无霸和证券公司们,估计都要崩溃掉。网信办的工作压力也会骤增。
其次,就在国外公开增发股票或存托凭证或者期权之类的衍生品并上市来说。增发时的信息披露和IPO时差别也很大。比如在美国增发股票并上市的时候甚至都无需审计师出具正式审计报告,只要出具个审阅稿即可,相关信息披露也极有限,简单说,增发的时候实在是审不出来什么东西。而且,公司IPO了,已经纳入外国证券监管部门监管了,“风险”已经形成了,重点就真的不应该是怎么管公司再融资了,而是怎么防范风险的真的发生。
然而,这一条还真的得改一下。立法本意是一回事儿,规章的文本解释又是另一回事。如果这一条在正式版的时候不改动,网信办又不做书面的解释说明(最好别是很难评估其效力的答记者问),那么将来一定乱套了。中石油、中石化公开发行债券和上市的时候,所有人一定都会难为律师,让律师出意见。而且一定是有的律师敢出意见、有的律师不敢出意见。券商经历了这么多事件后,估计也不敢大意,肯定还是会要求发行人安排去访谈一下网信办。但是访谈谁、什么流程、怎么接待?经历了这么多事儿后,可能也没那么简单。而且,万一遇到网信办相关部门的同志因为各种客观原因来不及接待怎么办(比如集中学习、出差什么的)?等着么?中石油、中石化这样的向来硬气,估计该上还是会上。那些民营企业咋办呢?
从避免混乱,以及避免相关部门具体工作的同志犯错误的角度出发,我建议这一条还是从简单的“上市”,修改为“首次公开发行股票或存托凭证并上市”。相应的,第八条的“IPO”也改为“首次公开发行股票或存托凭证并上市”。因为IPO从严格意义上来说,只包含股票发行,不包含上市,而股票发行完毕到上市期间,企业还是可能调整信息披露文件,回答国外证券监管机关问题的。
3.“掌握超过100万用户个人信息的运营者”?
为了上市,需要申报安全审查的主体是“掌握超过100万用户个人信息的运营者”。这一条很有意思,和我之前预测的不大一样。
在《征求意见稿》出来之前,我以为,在现在的形势下,“关键信息基础设施运营者”,要到“国外”上市,都应该管起来。“数据处理者”,如果要管,应该根据数据收集的性质、体量等因素,区别对待。最科学的做法是把达到一定体量、处理一些特定性质数据的“数据处理者”定义为“关键信息基础设施运营者”。现在看起来新加坡公司维护方案怎么写,网信办比较在乎的是“个人信息”,他们概念里的一定体量,是“100万用户”。那么问题来了,会不会有不收集用户个人信息,但又很关键的关键信息基础设施运营者呢?这些企业如果去国外上市,就可以不用网信办审查么?还是说,这些企业,基本上按照国家现行的市场准入的规则或者惯例,其实也不会像某公司那样去国外上市?
其实这一条这么写,有个好处,是什么好处呢?就是在一定意义上保护了我们的关键信息基础设施运营者。因为判断标准比较直接“100万用户个人信息”(具体怎么断句这个事儿我接下来再谈),所以境外敌对势力也搞不清楚,到底这去美国上市的,是关键信息基础设施运营者,还是数据处理者。如果非要明确告诉资本市场,这个上市公司是国家认定的关键基础设施运营者,那么万一三年后那个金头发的人又回华盛顿了……这里换一个标准,有价值。
接下来是,“100万用户个人信息”。友商们做了不少解读,我个人理解肯定是100万用户。但是等到真的IPO的时候,到底是100万个用户,还是100万条个人信息,这个还真是个问题,网信办最好到时候解释一下,或者最好根据立法本意打磨一下条款文本,我这里就不猜了。这次修改的条款文本要打磨的地方也不止这一处。
其实真正值得讨论的是,何为“掌握”?因为这直接影响到大方向。
收集用户数据等,不光是互联网公司,甚至是线下的杂货店、快餐店、玩具店这些零售企业,生产销售数码产品的硬件企业,甚至运动鞋生产企业,最低层次要注册个会员收集个姓名电话吧,更高级一点比如智能手表啥的,处理的信息海了去了,而且基本都是个人信息,数量随随便便就几千万上亿。这些企业如果去美国、新加坡之类的地方上市,都要经过安全审查么。如果,我是说如果,万一征求意见中有个如郭图般多智的谋士说服大家把“国外”改成“境外”,把香港上市也管起来,这动静就有点大了。
所以,包括我在内不那么足智多谋的律师们,第一时间想到一个笨办法,就是剥离数据。老师在那里嘛,在中国,有云上贵州和苹果,在美国,有TikTok。企业可以把数据,放到上市公司之外的机构来掌握。如果是去美国上市,对于什么关联交易、同业竞争、大股东依赖性通通不要求,只要披露即可通过的,那就由企业的创始人自己设立个全内资企业,也不签VIE协议,把数据签过去,做个关联交易就好了。美国律师们也别太push,逼着要这个要那个的(逼得很了以后也就没什么美国上市这个生意了)。
应该也就差不多了。香港上市,合规要求高,那就看看是不是找云上贵州之类安全可靠的供应商,学习苹果在国内的做法。应该是个出路。
那么就要看“掌握”怎么定义,或者说,什么样的情况,可以不算掌握。我理解,对于现在国内公司去美国上市,在判断“掌握”的标准时,拿云上贵州做个参考吧,也便于网信办的同志们把关。苹果是根蓝苗正的美国公司,也是上市公司,苹果掌握的数据理论上可以引导美国巡航导弹过来定点炸人了,如果苹果的云上贵州方案都可以被接受和认可,那么那些根红苗正的中国创业者的公司的类似方案,似乎也没有道理不被认可。
这可能是实务中真正值得讨论和关注的问题。
三、总结
由于时间关系,虽然《征求意见稿》里还有不少事项琢磨起来很有意思,但是我也不好意思找我团队的合伙人、律师和律师助理们捉刀(大家都忙得很,真强迫安排下去了估计也不会好好思考认真写),所以我对有关《征求意见稿的》的分析和建议也就是这些了,肯定不全面。接下来说点笼统的建议,针对市场从业者的。
第一,还是要去提意见。尤其是相对客观中立的律师们,还是要提意见。如果方向性的事情不方便议论,至少帮助网信办的同志,在文本上更好的打磨这个办法。比如说“第二条关键信息基础设施运营者(以下简称运营者)采购网络产品和服务,数据处理者(以下称运营者)开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查”,这样的虽然把事儿说清楚了,但是如果遇到处女座读者,肯定觉得要改改的。不如就再改一下。改成诸如“第二条关键信息基础设施运营者采购网络产品和服务,数据处理者开展数据处理活动,影响或可能影响国家安全的,应当按照本办法进行网络安全审查。前述关键信息基础设施运营者、数据处理者以下统称运营者”或者更精确的表述。诸如此类。
第二,要关注法律的体系,而不是规章本身。读这个规章,以后运用这个规章,一定要看上位法,比如《国家安全法》、《数据安全法》、《网络安全法》什么的。
第三,要关心政治、关心大趋势和大方向,别光顾学英语了,还是要多学习,做出的商业决定或者法律判断不要和主流不一致,更也不要逆主流来。尽量在符合主流大趋势的基础上寻找解决问题的办法。
以上,与大家共勉。
发布者:狮城强子,本文为作者独立观点,不代表本站立场。转载请注明出处:https://www.sgstarting.com/archives/10559