境外上市备案的前置程序
发布时间:2024-03-06
文 | 徐丽仙 刘思韵 汇业律师事务所
根据《境内企业境外发行证券和上市管理试行办法》(“《管理试行办法》”)及其监管规则适用指引,行业主管部门等出具的监管意见、备案或核准等文件,以及国务院有关主管部门出具的安全评估审查意见均作为境外上市备案材料之一,即为境内企业境外上市备案的前置程序。行业主管部门的监管意见、备案或核准等文件作为企业上市所必须的外部批准和授权,主要适用于银行、保险、证券公司、期货公司、信托公司、非银行金融机构[1]、图书出版等受特殊行业监管的企业,该等企业基数较小,对股东资质审核较严,赴境外上市的不多。如企业涉及部分前述业务,对境外上市是否需取得行业主管部门的监管意见、备案或核准文件存疑的,建议提前与行业主管部门确认。
安全评估审查意见主要包括外商投资、网络安全、数据安全等方面的国家安全审查,以下逐一展开分析:
(一)外商投资安全审查
我国2015年颁布的《国家安全法》和2019年颁布的《外商投资法》均确立了外商投资安全审查制度,2020年出台的《外商投资安全审查办法》(“《安全审查办法》”)对审查机制进行了细化,在此之前外商投资安全审查主要依据的是《国务院办公厅关于建立外国投资者并购境内企业安全审查制度的通知》(国办发[2011]6号,以下简称“《安全审查通知》”)。《安全审查通知》目前仍然有效,效力层级为国务院其他规范性文件,《安全审查办法》为经国务院批准的部门规章,后者在生效时间和效力层级上均优于前者,因此下文根据《安全审查办法》进行论述:
1.适用情形
根据《安全审查办法》,“外商投资”是指外国投资者直接或间接在中华人民共和国境内进行的投资活动,包括(1)外国投资者单独或者与其他投资者共同在境内投资新建项目或者设立企业;(2)外国投资者通过并购方式取得境内企业的股权或者资产;(3)外国投资者通过其他方式在境内投资。
具体而言,安全审查申报范围内的外商投资可以分为“军工类”和“非军工类”,军工类包括外商投资军工、军工配套等关系国防安全的领域,以及在军事设施和军工设施周边地域投资;非军工类包括外商投资关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术以及其他重要领域,并取得所投资企业的实际控制权。因此,如境内企业直接境外上市(“H股”模式),则一般而言不会因上市本身触发非军工类项目的外商投资安全审查。
2.申报时间点及受理机构
国家建立外商投资安全审查工作机制(以下简称“工作机制”),负责组织、协调、指导外商投资安全审查工作。工作机制办公室设在国家发展改革委,由国家发展改革委、商务部牵头,承担外商投资安全审查的日常工作。
纳入安全审查申报范围的外商投资项目,外国投资者或者境内相关当事人应当在实施投资前主动向工作机制办公室申报。如相关当事人对外商投资是否属于安全审查申报范围存疑的,可以就有关问题向工作机制办公室进行咨询。尤其是存在协议控制架构的境外上市项目,根据监管规则适用指引第2号,发行人境内律师应当就境内运营主体是否属于外商投资安全审查范围发表明确意见。
因此,如境内企业间接境外上市(“红筹模式”),且主营业务为安全审查申报范围内的业务,则其在搭建红筹架构将境内资产外翻前,应当向工作机制办公室申报,在工作机制办公室作出决定前,不得实施资产外翻。即,尽管《管理试行办法》第九条规定涉及安全审查的,应当在境外提交发行上市申请前履行相关安全审查程序,红筹上市的企业应将外商投资安全审查的程序提前。
3.安全审查流程
工作机制办公室自收到申报材料之日起15个工作日内,对申报的外商投资作出是否需要进行安全审查的决定,并书面通知当事人。工作机制办公室作出不需要进行安全审查决定的,当事人可以实施投资。工作机制办公室决定对申报的外商投资进行安全审查的,分为一般审查和特别审查:
(1)一般审查,一般审查应当在30个工作日内完成,经一般审查,认为申报的外商投资不影响国家安全的,工作机制办公室应当作出通过安全审查的决定;认为影响或者可能影响国家安全的,工作机制办公室应当作出启动特别审查的决定。
(2)特别审查,应当自启动之日起60个工作日内完成,特殊情况下,可以延长审查期限。特别审查可能出现三种结果:(i)申报的外商投资不影响国家安全的,作出通过安全审查的决定;(ii)申报的外商投资影响国家安全的,作出禁止投资的决定;(iii)通过附加条件能够消除对国家安全的影响,且当事人书面承诺接受附加条件的,可以作出附条件通过安全审查的决定,并在决定中列明附加条件[2]。
(二)网络安全审查
《网络安全法》(2017年6月1日生效)首次以法律的形式规定了关键信息基础设施运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。
2020年6月1日实施的《网络安全审查办法(2020)》(已于2022年2月15失效)以部门规章的形式就关键信息基础设施运营者采购网络产品和服务的网络安全审查进行了细化,未包含网络平台运营者的网络安全审查要求。2021年7月2日,国家网络安全审查办公室依职权启动对“滴滴出行”的网络安全审查[3]。随后,2021年7月10日,国家互联网信息办公室(以下简称“网信办”)发布关于《网络安全审查办法(修订草案征求意见稿)》公开征求意见的通知,并于2021年12月28日发布正式的《网络安全审查办法(2021)》。《网络安全审查办法(2021)》为现行有效的网络安全审查制度的主要法律依据。
1.适用情形
根据《网络安全审查办法(2021)》,关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当进行网络安全审查,即,较《网络安全审查办法(2020)》新增将网络平台运营者的网络安全审查纳入适用范围。同时,该办法明确规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
我们理解,“国外”有别于“境外”,国外是指中华人民共和国主权之外(香港特别行政区、澳门特别行政区、台湾地区均非国外),境外一般是指中国大陆之外(香港特别行政区、澳门特别行政区、台湾地区均为境外)。如《管理试行办法》适用于境内企业赴港上市,再如根据网信办2011年11月14日发布的《网络数据安全管理条例(征求意见稿)》第十三条,“国外”上市与“香港”上市并列。考虑到网络安全审查由网信办下设的网络安全审查办公室负责组织实施,我们理解,根据现行有效的法律规定,掌握超过100万用户个人信息的网络平台运营者赴“香港”上市不必然触发网络安全审查[4]。
2.申报时间点及受理机构
网络安全审查由网络安全审查办公室负责组织实施,网络安全审查办公室设在网信办。当事人申报网络安全审查,应当提交以下资料:(一)申报书;(二)关于影响或者可能影响国家安全的分析报告;(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件;(四)网络安全审查工作需要的其他材料。
除当事人主动申报外,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依职权主动进行审查。
根据《管理试行办法》,企业境外上市应当于在境外提交发行上市申请前依法履行相关安全审查程序,并将安全评估审查意见均作为境外上市备案材料之一。因此,就网络安全审查意见的时间安排,发行人应当于提交境外上市申请前启动网络安全审查程序,并最晚于提交境外上市申请后三个工作日内取得网络安全审查意见,尽管如此,发行人应当尽早就其境外上市是否需履行网络安全审查程序进行确认,以预留合理的时间展开该项工作,避免因此影响上市申报。
3.网络安全审查流程
网络安全审查办公室自收到申报材料之日起10个工作日内,确定是否需要审查并书面通知当事人。
(1)初步审查:网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。
网络安全审查工作机制成员单位和相关部门自收到审查结论建议之日起15个工作日内书面回复意见。网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。
(2)特别审查:特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。
(三)数据安全审查
1.数据安全审查
数字时代大数据已经成为国家的重要战略资源,数据安全对国家发展和社会稳定有重大影响。中国证监会披露的境外发行上市备案补充材料显示,有三分之一以上的发行人被反馈上市前后个人信息保护和数据安全的安排或措施。
《数据安全法》第二十四条确立了国家数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查,依法作出的安全审查决定为最终决定。但是,目前尚无法律规定明确具体需要进行数据安全审查制度的适用情形及相关制度细节,我们理解在数据安全审查制度专项规定出台之前,境外上市项目暂无需申报数据安全审查。
2.数据出境安全评估
《数据安全法》及《出境安全评估办法》分别确立和明确了数据处理者向境外提供数据的数据出境安全评估制度,如企业境外上市过程中涉及向境外提供数据且属于数据出境安全评估申报范围(具体如下文)内,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。
根据《数据出境安全评估申报指南(第一版)》,以下情形属于数据出境行为:(一)数据处理者将在境内运营中收集和产生的数据传输、存储至境外;(二)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出;(三)国家网信办规定的其他数据出境行为。因此,企业境外上市过程中应尽量避免非业务之需要将前述重要数据、个人信息、敏感个人信息等传输、存储在境外,或赋予境外机构、组织或者个人查询、调取、下载和导出的权限(未达到相应的数量要求除外),如此,则企业不会因赴境外上市本身触发数据出境安全评估。
综上,企业境外上市备案的前置程序包括两大类,即(1)行业主管部门等出具的监管意见、备案或核准等文件,以及(2)国务院有关主管部门出具的安全评估审查意见。其中,安全评估审查意见分成三小类,包括(i)外商投资安全审查,根据企业是否从事军工类业务对外国投资是否取得被投资企业的实际控制权的要求不同;(ii)网络安全审查,区分企业赴港上市和赴国外上市,掌握超过100万用户个人信息的网络平台运营者赴国外上市当然触发网络安全审查,但赴港上市不当然触发网络安全审查;及(iii)数据安全审查,因目前尚未具体细则暂无需申报,但发行人需注意是否涉及数据出境安全评估的适用。
注:
[1] 包括金融资产管理公司、金融租赁公司、汽车金融公司、货币经纪公司、消费金融公司等。
[2] 《管理试行办法》亦规定,境外发行上市的境内企业应当根据国务院有关主管部门要求,采取及时整改、作出承诺、剥离业务资产等措施,消除或者避免境外发行上市对国家安全的影响。
[3] 我们理解,2021年7月网络安全审查办公室对“滴滴出行”的网络安全审查应该是基于滴滴出行为关键信息基础设施运营者(因关键信息基础设施运营者名单涉及国家安全并不对外公开,仅为推测)。
[4] 根据《网络数据安全管理条例(征求意见稿)》,处理一百万人以上个人信息的数据处理者赴国外上市的,或数据处理者赴香港上市,影响或者可能影响国家安全的,应当申报网络安全审查。数据处理者是指“在数据处理活动中自主决定处理目的和处理方式的个人和组织”,该条例征求意见期限已届满,尚未发布正式稿。
