【編者按】受中美地緣政治問題影響,近段時間以來中企赴美IPO受到抑制。
根據投中集團統計,2022上半年,僅4家中企在美國資本市場IPO,數量和募資金額均同比降低九成以上。
不過,赴美上市的頹勢進入7月出現轉機。根據《互聯網法律評論》不完全統計,截止7月18日,已有大健雲倉、中喜文化、譽凱健康集團、群核科技4家中國企業在7月向正式向美國證券交易委員會(SEC)遞交了上市文件;豪微科技母公司 Nano Labs、中國機械鎖具和智能安全系統制造商Intelligent Living2家中國企業登陸納斯達克。
2022年3月底,中國證監會明確表態,支持中國公司在海外股票市場上市。赴美上市仍是中國企業的上市選擇之一。今日,《互聯網法律評論》獲授權轉載環球律師事務所兩位律師的專業分析文章,爲赴美IPO涉及網絡安全審查的企業提供應對策略。
本文爲環球律師事務所律師團隊全面分析網絡安全審查制度的第三篇文章。
網絡安全審查系列評論:
NO1:企業網絡安全合規新課題:網絡安全審查適用主體、流程及要點分析
NO2:擬赴香港上市企業的網絡安全審查應對
經修訂的《網絡安全審查辦法》(簡稱“《審查辦法》”)于2021年12月28日由國家互聯網信息辦公室(以下簡稱“網信辦”)發布,並自2022年2月15日起施行。自施行以來,赴國外上市中概股企業的網絡安全審查的要求明朗化,已有企業通過網絡安全審查並順利上市或在上市准備過程中。網絡安全審查對于絕大多數赴國外上市企業來說,預計將不會成爲實質性的上市障礙。本文將結合我們服務客戶的經驗,對網絡安全審查適用範圍、審查可能結果及其他赴美上市網絡安全審查所涉及的特殊事項(包括VIE架構、PCAOB問題等),爲赴美上市中概股企業的網絡安全審查問題提供應對思路。
一、關于赴美上市網絡安全審查適用範圍需要明確的幾點概念
(一)如何理解“100萬用戶個人信息”?
如《企業網絡安全合規新課題:網絡安全審查適用主體、流程及要點分析》所述,《審查辦法》明確了“掌握超過100萬用戶個人信息的網絡平台運營者”赴國外上市,須主動申報網絡安全審查。
我們在《企業網絡安全合規新課題:網絡安全審查適用主體、流程及要點分析》已對網絡平台和運營者的定義做了詳細闡述,這裏主要說明100萬用戶應如何理解?此處的“用戶”,我們認爲與《國家網絡安全檢查操作指南》中提到的“注冊用戶”是同一個概念,即既包括了C端用戶,也包括了B端用戶,既包括了境內用戶,也包括了境外用戶。雖然B端用戶的個人信息通常是B端最終用戶提供的,但也由網絡平台運營者“掌握”,因此需要計入100萬的範圍。另外,從目前中國網絡安全審查技術與認證中心(以下簡稱“認證中心”)提供的申報文件模板來看,境外用戶情況需要專項填報,因此此處的“用戶”既包括境內用戶,也包括境外用戶。
(二)如何理解“上市”?
雖然《審查辦法》在第八條“運營者申報網絡安全審查應當提交的材料中”包括“擬提交的首次公開募股(IPO)等上市申請文件”,但根據我們理解“上市”的概念比“IPO”更爲寬泛,目前市場上常見的美股De-SPAC交易、借殼上市(RTO)、直接上市(DPO)等屬于“上市”範疇並需要按照《審查辦法》第八條的規定提交上市申報材料,從目前認證中心提供的申報文件模板來看,擬上市方式也包括了上述SPAC、RTO、DPO的上市方式。
二、赴美上市網絡安全審查的可能結果
《企業網絡安全合規新課題:網絡安全審查適用主體、流程及要點分析》已對網絡安全審查的流程做了詳細介紹,本文不再贅述。本文將結合案例對赴美上市網絡安全審查的可能結果進行分析。
根據《審查辦法》的相關規定,申報網絡安全審查可能有以下三種情況:一是無需審查;二是啓動審查後,經研判不影響國家安全的,可繼續赴國外上市程序;三是啓動審查後,經研判影響國家安全的,不允許赴國外上市。
據此,即使赴美上市的中概股企業被認定爲《審查辦法》規定的需要主動申報的掌握超過100萬個人信息的網絡平台運營者,但實踐中存在被認定爲無需審查的可能性,且該等無需審查的決定會在網絡安全審查辦公室自收到符合要求的審查申報材料起10個工作日內作出,較之觸發網絡安全審查程序的55-160個工作日的時間將大幅度縮短。從我們經辦的項目來看,實踐中確已存在主動申報後被認定爲無需審查的案例。這是因爲雖然觸發網絡安全審查的要件之一是掌握100萬用戶個人信息,但審查本身關注的是網絡平台運營者開展數據處理活動是否影響或者可能影響國家安全。因此,企業應當重點結合《審查辦法》第十條規定的網絡安全審查重點評估的國家安全風險因素,就企業自身掌握的數據是否可能會危害國家安全提前規劃審慎核查。
此外,雖然《審查辦法》已于2022年2月15日正式生效,但鑒于《審查辦法》相關定義還存在不確定性、《網絡數據安全管理條例(征求意見稿)》尚未生效等原因,仍有企業披露網絡安全審查風險但並未向監管部門申請網絡安全審查,並成功上市的案例。相關披露梳理如下:
(一)蔚來汽車
蔚來汽車(股票代碼:NIO)于2022年5月20日在新加坡交易所主板上市,其招股說明書中與網絡安全審查有關的披露如下:[1]
|
“概要” 章節 |
2021年7月10日,網信辦發布了《網絡安全審查辦法(修訂草案征求意見稿)》。2021年12月28日,網信辦、發改委、工信部、公安部、國家安全部、財政部、商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視管理局、中國證監會、國家保密局和國家密碼管理局聯合發布了《網絡安全審查辦法》,于2022年2月15日生效。根據《網絡安全審查辦法》,個人信息超過100萬用戶的網絡平台經營者在國外上市前應申報網絡安全審查。目前,“網絡平台運營者”的定義和“用戶個人信息”的標准仍存在不確定性,中國政府有關部門將如何解釋和實施尚不清楚。我們會繼續密切關注網絡安全審查措施的進一步發展。網絡安全審查將重點關注網絡平台運營者的數據處理活動是否影響或可能影響國家安全,評估關鍵信息基礎設施、核心數據、重要數據的風險,或大量個人信息公開後被外國政府影響、控制或惡意使用的風險,網絡信息安全風險等。鑒于《網絡安全審查辦法》是最近頒布的,其解釋、適用和執行仍存在很大的不確定性。 2021年11月14日,網信辦發布了《網絡數據安全管理條例(征求意見稿)》,重申在何種情況下數據處理者應適用網絡安全審查,包括處理一百萬人以上個人信息的數據處理者赴國外上市的情況。截至本招股說明書發布之日,該征求意見稿尚未正式通過。該條例何時出台、何時生效、如何制定、如何解釋、如何實施、是否會對我們産生影響,都是未知數。業務經營情況和融資活動是否將受到該征求意見稿的影響尚不清楚。 自本招股說明書發布之日起,(i)我們未因違反網絡安全與數據保護法律法規而受到任何主管監管部門的重大罰款或行政處罰、強制整改或其他制裁;(ii)我們不存在會對我們的業務運營産生重大不利影響的數據或個人信息的重大泄漏或違反網絡安全和數據保護及隱私法律法規的行爲;(iii)不存在重大網絡安全與數據保護事件或對任何第三方權利的侵犯,或其他未決的或據本公司所知可能針對本公司或與本公司有關的法律程序、行政或政府程序;以及(iv)我們已實施全面的網絡安全和數據保護政策、程序和措施,以確保數據的安全存儲和傳輸,並防止未經授權的訪問或使用數據。有關這些新法律法規對我們業務運營風險的詳細分析,請參見“風險因素-與我們的業務和行業相關的風險-我們的業務受各種法律、法規、規則、政策和其他有關網絡安全、隱私、數據保護和信息安全的約束。”任何不遵守這些法律、法規和其他義務的行爲,或機密信息或個人數據的任何損失、未經授權的訪問或發布,都可能使我們在聲譽、財務、法律和運營方面面臨重大後果。” |
基于蔚來汽車于招股說明書中的披露,其暫未根據《審查辦法》或《網絡數據安全管理條例(征求意見稿)》向監管部門申請網絡安全審查。其主張的理由如下:“網絡平台運營者”的定義和“用戶個人信息”的定義還存在不確定性;現階段《網絡數據安全管理條例(征求意見稿)》尚未生效。
(二)奧斯汀科技
奧斯汀科技(股票代碼:OST)于2022年4月27日在納斯達克上市,其招股說明書中與網絡安全審查有關的披露如下:[2]
|
“風險 因素” 章節 |
2021年7月10日,網信辦發布了《網絡安全審查辦法(征求意見稿)》(以下簡稱《征求意見稿》),提出授權相關政府部門對一系列影響或可能影響國家安全的活動進行網絡安全審查,包括處理一百萬人以上個人信息的數據處理者赴國外上市的情況。2021年12月28日,《網絡安全審查辦法》(2021版)發布並于2022年2月15日生效,其中重申,任何掌握超過100萬用戶個人信息的“網絡平台運營者”赴國外上市的也應接受網絡安全審查。《網絡安全審查辦法》(2021年版)進一步闡述了評估相關活動的國家安全風險時應考慮的因素,其中包括:(一)核心數據、重要數據或大量個人信息被盜、泄露、銷毀、非法使用或出境的風險;(二)關鍵信息基礎設施、核心數據、重要數據或大量個人信息在境外上市後被外國政府影響、控制或惡意利用的風險。網信辦表示,根據擬議的規定,持有超過100萬用戶數據的公司在尋求在其他國家上市時,現在必須申請網絡安全審查,因爲這些數據和個人信息可能會“受到外國政府的影響、控制和惡意利用”。網絡安全審查還將調查海外上市可能帶來的國家安全風險。 根據我們的中國法律顧問的建議,我們不屬于上文所述的“關鍵信息基礎設施運營者”或“網絡平台運營者”。公司通過江蘇奧斯汀及其子公司作爲中國的顯示屏模組和偏光片供應商,從事TFT-LCD液晶顯示模組的設計、開發及生産,公司及其子公司也不存在《個人信息保護法》定義下的收集、存儲、使用、處理、傳播個人信息的活動。此外,公司及其子公司均不是《網絡安全法》及《關鍵信息基礎設施安全保護條例》中定義的任何“關鍵信息基礎設施”的運營者。但是,《網絡安全審查辦法》于近期通過,《網絡數據安全管理條例(征求意見稿)》正在制定過程中,相關中國政府部門將如何解釋、修訂及實施仍不明確。 |
基于奧斯汀科技于招股說明書中的披露,其暫未根據《審查辦法》或《網絡數據安全管理條例(征求意見稿)》向監管部門申請網絡安全審查。其主張的理由是其不屬于“關鍵信息基礎設施運營者”或“網絡平台經營者”。
綜上,我們認爲《審查辦法》實施以來,對于如何理解“網絡平台運營者”和“用戶個人信息”尚存在不同的解釋空間,企業也存在不同的操作路徑,後續有賴于監管的進一步明確。在可預期的未來,在啓動網絡安全審查後,經研判影響國家安全的,不允許赴國外上市的情況屬于極少數個案,對于絕大多數企業,即使按照《審查辦法》屬于掌握超過100萬個人信息的“網絡平台運營者”,若能預留好網絡安全審查的申請時間,並充分准備申報材料,則順利通過網絡安全審查的可能性較大,網絡安全審查將不會是絕大多數赴美上市的中概股企業的上市實質障礙。
三、其他與赴美上市網絡安全審查相關的問題
(一)VIE架構問題
結合我們經辦的相關案例,若赴美上市企業存在VIE架構,則需要在網絡安全審查的申報文件中予以披露,但VIE架構本身並不會影響網絡安全審查的具體結果。
但提示關注的是,SEC近年來始終關注VIE架構的相關風險,特別是在2021年底《國務院關于境內企業境外發行證券和上市的管理規定(草案征求意見稿)》(以下簡稱“《管理規定》”)以及《境內企業境外發行證券和上市備案管理辦法(征求意見稿)》(以下簡稱“《備案辦法》”,《備案辦法》及《管理規定》以下統稱“《境外上市新規》”)及《外商投資准入特別管理措施(負面清單)》(2021年版)發布以來,SEC對于VIE架構的審核更爲謹慎,預計在《境外上市新規》正式稿落地前,存在VIE架構的赴美上市企業通過SEC審核仍將面臨較大障礙。基于上述,存在VIE架構的赴美上市中概股企業應當對上述風險予以關注。
(二)PCAOB相關問題
結合我們經辦的相關案例,在對網絡安全審查的申報文件中應對上市地司法管轄與國內法律存在潛在沖突情況進行風險分析後,提出如下風險應對方案及措施。對赴美上市的中概股企業而言,如果遵守美國的《外國公司問責法案》,意味著中概股企業需要接受美國公衆公司會計監督委員會(PCAOB)對會計底稿的審查,若相關中概股企業不提交審計底稿,則預計會在2024年4月左右被迫從美股退市,但PCAOB對底稿的審查要求可能與中國法律和監管部門現行規定相抵觸。
我國《證券法》第177條規定,任何單位和個人不得擅自向境外提供與證券業務活動有關的文件和資料。財政部在2015年印發的《會計師事務所從事中國內地企業境外上市審計業務暫行規定》第四條規定,中國內地公司依法委托境外會計師事務所審計的,其在中國境內形成的底稿應當存放在境內。我國 2009 年頒布的《關于加強在境外發行證券與上市相關保密和檔案管理工作的規定》更對中國企業的審計底稿的保密工作做出了以下具體規定:
(1)中國公司在境外發行證券與上市過程中,其在境內形成的底稿等檔案應當存放在境內;(2)境外監管機構只有在獲得中國證監會以及有關部門批准的基礎上,才能實施現場檢查。
從筆者經辦的相關案例來看,赴美上市中概股企業在網絡安全審查申報文件中,如實披露前述PCAOB跨境底稿審查相關的退市風險即可,該等風險並不會影響網絡安全審查的具體結果。
此外,需要關注的是,中國證監會一直在關注《外國公司問責法》和後續SEC以及PCAOB監管規則的制定。在《外國公司問責法》、SEC關于《外國公司問責法》的正式實施細則、PCAOB的《〈外國公司問責法〉認定報告》通過或發布的次日或隔日,中國證監會都安排答記者問表明立場和態度。此外,2021年12月24日,中國證監會就中國企業境外上市相關制度規則公開征求意見。這些都表明中國相關主管部門持續關注中國企業境外上市和跨境監管合作問題並著手相關法規和規則的制訂和修訂工作。
2022年4月2日中國證監會公布《關于加強境內企業境外發行證券和上市相關保密和檔案管理工作的規定(征求意見稿)》(以下簡稱“《規定》”),也是對相關事項的回應。首先,按照中國證監會目前開展的境外上市制度改革的相關原則,本次修訂將間接境外上市也包含《規定》之中。第二,在備受關注的跨境取證和檢查方面,刪除了原《規定》中“現場檢查應以我國監管機構爲主進行,或者依賴我國監管機構的檢查結果”的表述,代以“(跨境調查取證或開展檢查)應當通過跨境監管合作機制進行,證監會或有關主管部門依據雙多邊合作機制提供必要的協助”。如中國證監會在答記者問中所述,該修訂體現了中國監管部門對跨境審計監管合作的開放態度。這意味著中美證券監管合作之門沒有關上,是一個積極的信號。但是本次修訂帶來的更多是市場情緒的緩解,而中概股退市危機是否實質解決還需要看中美跨境監管合作機制的後續落地情況。
四、總結
本文從我國網絡安全審查的相關規定以及中美兩國關于中概股赴美上市的相關要求入手,結合已披露的中概股美股上市案例及項目經驗,總結出擬赴美上市在面對網絡安全審查時的注意要點與應對措施。
總體而言,針對掌握超過100萬個人信息的擬赴美上市企業,應當注意安排網絡安全審查的申請時間,充分准備申報材料及申報文件披露事宜,針對《審查辦法》列出的網絡安全風險因素認真評估並采取相應合規措施。在此基礎上,擬赴美上市企業即使因掌握用戶個人信息數量達到100萬的法定標准而觸發網絡安全審查,目前監管要求下的網絡安全審查也不會成爲企業上市的實質性障礙。
注釋:
[1]https://links.sgx.com/FileOpen/NIO%20Inc.%20-%20Introductory%20Document%20dated%2013%20May%202022.ashx?App=Prospectus&FileID=55564。爲了便于閱讀,招股書中的表述已被翻譯成中文。
[2] https://sec.report/Document/0001213900-22-022398/。爲了便于閱讀,招股書中的表述已被翻譯成中文。
作者:
張真真 環球律師事務所合夥人
李來祥 環球律師事務所律師
審校:孟潔 《互聯網法律評論》特約專家、環球律師事務所合夥人
【免責聲明】此文僅代表作者個人觀點,與本平台無關。本平台對文中陳述、觀點判斷保持中立,不對所包含內容的准確性、完整性或可靠性提供任何明示或暗示的保證。