一、港股上市應當進行網絡安全審查的依據

結合第一篇中對網絡安全審查制度演進的梳理，本篇中我們將赴港股上市企業與網絡安全審查相關的法律依據再次進行梳理，具體可以參考如下：

國家互聯網信息辦公室（簡稱“網信辦”）于2021年7月10日發布的《網絡安全審查辦法（修訂草案征求意見稿）》（簡稱“《修訂草案征求意見稿》”）第二條規定，關鍵信息基礎設施運營者采購網絡產品和服務，數據處理者開展數據處理活動，影響或可能影響國家安全的，應當按照本辦法進行網絡安全審查。第六條規定，掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。

網信辦于2021年11月14日發布的《網絡數據安全管理條例（征求意見稿）》（簡稱“《網數條例（征求意見稿）》”）第十三條規定，數據處理者開展以下活動，應當按照國家有關規定，申報網絡安全審查：（一）匯聚掌握大量關系國家安全、經濟發展、公共利益的數據資源的互聯網平臺運營者實施合并、重組、分立，影響或者可能影響國家安全的；（二）處理一百萬人以上個人信息的數據處理者赴國外上市的；（三）數據處理者赴香港上市，影響或者可能影響國家安全的；（四）其他影響或者可能影響國家安全的數據處理活動。

2022年2月15日實施的《網絡安全審查辦法》（簡稱“《審查辦法》”）第二條規定，關鍵信息基礎設施運營者采購網絡產品和服務，網絡平臺運營者開展數據處理活動，影響或者可能影響國家安全的，應當按照本辦法進行網絡安全審查。第七條規定，掌握超過100萬用戶個人信息的網絡平臺運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。第十六條第一款規定，網絡安全審查工作機制成員單位認為影響或者可能影響國家安全的網絡產品和服務以及數據處理活動，由網絡安全審查辦公室按程序報中央網絡安全和信息化委員會批準后，依照本辦法的規定進行審查。

結合以上梳理可知，網信辦在《網數條例（征求意見稿）》中對赴“香港上市”與“國外上市”是區分兩種情形進行分別規定的，且《審查辦法》在《網數條例（征求意見稿）》之后正式頒布，我們理解監管部門的態度已相對明確，即《審查辦法》規定的“國外上市”應該不包括“香港上市”，企業即使被認定為掌握超過100萬用戶個人信息的網絡平臺運營者，其赴香港上市并不適用《審查辦法》中有關赴“國外上市”的網絡安全審查申報要求。

但與此同時，我們認為赴港上市的企業、已赴國外上市的企業進行網絡安全審查的可能性并未完全排除。一方面，《網數條例（征求意見稿）》第十三條中將“數據處理者赴香港上市，影響或者可能影響國家安全的”列為應當由發行人主動向網絡安全審查辦公室申報網絡安全的情形之一；另一方面，根據《審查辦法》第十六條第一款，如監管部門認為相關企業所采購的網絡產品和服務以及開展的數據處理活動影響或可能影響國家安全，監管部門可依職權對企業發起網絡安全審查。綜上，我們理解監管部門并未明確界定應當進行網絡安全審查或無需進行網絡安全審查的主體范圍，而是對應當進行網絡安全審查的主體以及情形進行了較為宏觀的規定。對于擬赴港上市企業而言，掌握用戶個人信息的數量并非決定其是否觸發網絡安全審查的法定條件，企業關注的重點仍應為赴香港上市是否“影響或可能影響國家安全”。

二、重點問詢問題總結

自《修訂草案征求意見稿》發布以來，網絡安全審查問題即成為上市監管部門關注的重點?！毒W數條例（征求意見稿）》與《審查辦法》的發布則進一步明確了網絡安全審查的適用主體與情形。在此背景下，香港聯交所對擬上市企業有關網絡安全審查的問詢尤其值得關注。

目前，香港聯交所涉及網絡安全審查的一般性問詢可歸納為以下幾方面：第一，擬上市主體過往是否出現過數據不合規的情況，包括被網信辦通報的有關事宜；第二，擬上市主體是否向網信辦告知港股上市計劃，是否主動申報網絡安全審查或具有主動申報義務；第三，有關網絡安全審查的規定是否會對公司的上市產生重大不利影響。

對此，擬赴港上市主體公司可注意以下答復要點：

第一，針對是否曾出現數據不合規并被通報的情況。

擬上市主體應如實回答具體情況，如是否就網絡安全審查收到任何通知、警告、問詢。目前，網信辦依職權主動啟動網絡安全審查的案例較少，但包括國家工信部在內的有關監管機構則會依據《中華人民共和國網絡安全法》《中華人民共和國個人信息保護法》等法律法規對相關移動互聯網應用程序（簡稱“App”）的不合規情況進行通報并要求整改，若逾期不整改，則App運營主體將面臨下架等處置措施。因此，擬上市主體除應關注監管機構是否依職權發出網絡安全審查的有關通知外，還應重點關注自身業務及產品在網絡安全、數據安全與個人信息保護方面的合規落實情況。

第二，針對擬上市主體對網信辦有關網絡安全審查的告知與申報。

擬上市主體應明確自身是否屬于應主動申報網絡安全審查的范圍，論述公司不屬于赴“國外上市”的情形。同時，對自身是否屬于關鍵信息基礎設施運營者作出回復。此外，擬上市主體可向當地省級網信部門申請開具合規函，以此告知網信部門上市計劃并取得合規意見。

第三，針對網絡安全審查的規定是否會對公司造成重大不利影響。

擬上市主體應結合公司收集并處理的數據類型和性質，論證在目前監管要求下，尚不存在數據處理及網絡安全方面不符合法律法規要求的情況。同時，擬上市主體也應注意判斷，若其所涉及的正處于征求意見階段的法律法規有所更新，或相關的監管要求有進一步發展時，其可能觸發網絡安全審查的可能性以及是否需要履行其他合規義務。例如，一旦《網數條例（征求意見稿）》正式生效，則公司是否可以確保落實所有相關義務以確保符合要求。

三、赴港上市案例中有關網絡安全審查的披露

（一）對“影響或者可能影響國家安全”的披露

通過對目前已公開的2022年后赴港上市企業的招股書的梳理，我們發現在“風險因素”章節，企業除了說明自身不屬于赴“國外上市”的情形外，大多披露了目前監管下“影響或者可能影響國家安全”標準的不確定性。典型的表述如下：

（二）對自身業務及未來可能調整合規措施的披露

針對目前《審查辦法》與其他規范性文件暫無詳細說明“影響或者可能影響國家安全”的標準，部分已赴港上市企業通過在招股書中披露過往合規歷史、自身業務的數據保護措施以及倘若法律法規發生調整情形下企業的應對措施等內容，說明自身暫不存在因“影響或者可能影響國家安全”而需進行網絡安全審查。典型的表述如下：

（三）對《審查辦法》第十條的論證

《審查辦法》第十條是網絡安全審查制度運行的重要條款，其對于網絡安全審查中重點評估的國家安全風險因素進行了說明。針對上述有關“影響或者可能影響國家安全”的標準，可通過對《審查辦法》第十條逐條論證的方式予以說明。例如，已于2022年成功赴香港上市的知乎（HK.02390）在招股書中論證了其認為自身未參與任何可能導致國家安全風險活動：

通過知乎的招股書可以發現，即便赴港上市無需主動申報網絡安全審查，擬上市主體也應當針對《審查辦法》第十條所述的七種情形（影響或者可能影響國家安全的風險因素）逐條論述，以最大程度說明企業自身的上市行為及上市前后的業務運作均不涉及“影響或者可能影響國家安全”。

四、擬赴港上市企業的其他數據合規要點

根據監管實踐，對于擬赴香港上市的企業主體而言，除關注可能面臨網絡安全審查的風險外，還應關注以下要點，盡早打造符合企業自身情況的合規計劃。

（一）完善數據安全與內控管理體系

對于擬赴港上市的企業主體而言，建立健全數據安全與內控管理體系是監管機構的關注重點。例如，上市審查機構在數據內控體系方面的部分問詢示例如下：（1）請發行人說明數據獲取、使用、處理等內部控制制度及執行情況；（2）發行人是否就業務所涉及的個人隱私信息、數據等建立了完整的制度，有效確保所管理信息的合規使用；（3）發行人是否建立完善的防泄漏和保障網絡安全的內部管理制度，制度是否有效。

有鑒于此，擬赴港上市企業主體應當建立包括但不限于以下網絡安全、數據安全與個人信息保護的有關制度，同時完善自身內控體系：數據保護組織架構及職責管理制度、網絡安全、數據安全、個人信息安全事件應急響應制度、數據處理權限管控制度、數據分類分級保護制度、數據（包括個人信息）共享（包括向第三方提供、從第三方獲?。┕芾碇贫?、數據（包括個人信息）出境管理制度、數據（包括個人信息）審計制度、重要數據保護制度、個人信息保護管理制度、個人信息安全影響評估制度等。

（二）將制度落實到具體的業務流程

除建立健全有關制度外，監管機構及上市審查機構均對制度的具體落實情況給予了重視，例如對部分發行人上市申請的審查問詢中直接問及“內部控制制度執行情況”以及“公司是否建立數據保護影響評估流程，并將該評估流程引入任何新的業務流程或系統。”

隨著公司業務的逐漸信息化，幾乎所有公司的相關業務均涉及網絡和數據的處理。以往的傳統公司，例如酒類、奶粉、成衣類，也已紛紛推出自己的App、小程序來適應當前人們的購物習慣。而針對科技公司而言，其處理的個人數據量級往往更大、處理的字段、目的與方式更具備多樣性，則可能需要額外考慮所掌握的數據量級上是否會觸發認定為重要數據、字段類型上需要額外考慮是否會涉及敏感個人信息、生物識別信息等、處理個人信息的目的是否涉及自動化決策、算法等具有額外規定的情況。此外，對于擬赴港上市的企業應當注意在實際運營中落實公司制定的數據安全及內控制度，并根據各業務線具體情況推行制度落地。

同時，擬赴港上市企業應當格外重視法律法規所規定的有關制度落實的合規要求，此點也為各業務線落實數據合規制度的重中之重。例如，在涉及《個人信息保護法》所規定的相應情形時（如處理敏感個人信息、向第三方處理者提供個人信息），切實地推進個人信息保護影響評估，落實法律規定及自身制度要求。又如，按照《個人信息保護法》與審計制度要求，定期對企業各業務線的個人信息處理活動根據法律、行政法規的要求進行合規審計。

（三）關注國內外形勢以及相關監管政策變化

近年來，有關網絡安全、數據安全與個人信息保護的各層級規范性文件頻繁發布，擬赴港上市企業在關注自身合規建設的同時，應當關注監管部門對境內外資本市場的政策動向與執法動態。例如，除應當關注自身是否涉及申報網絡安全審查，還應當注意業務資質及業務合規性方面是否存在明顯瑕疵；對于明顯瑕疵，其可能構成相關行業主管部門提供“認可”意見的障礙，因而公司的“披露”并無法徹底解決問題，并可能進而導致公司無法完成境外上市備案。又如，在App的個人信息處理方面，除了需要繼續關注“App”的監管要求與合規措施外，根據監管部門已經發布的通報案例以及近期幾份監管文件中對“移動互聯網應用程序”屬性的確認來看，“小程序”也已經受到監管的高度關注。因此，建議相關運營主體也應當參照App監管要求落實小程序個人信息保護合規，以避免在上市前或上市過程中出現因小程序違法違規收集個人信息而被監管機構通報的事件。

同時，擬赴香港上市的企業也應當關注香港的相關法律規則。例如，香港聯交所指引信《有關在上市文件中披露不合規事項的指引》（HKEX-GL63-13）將不合規事件分為三類，即“重大不合規事件”、“系統性不合規事件”以及“非重要的不合規事件”，擬上市企業應當根據事件的具體分類采取“披露”或“修正”等應對措施?？傊?，及時關注我國與擬上市地監管機構的監管動態有利于企業評估潛在風險并作出更好的選擇。

（四）加強與監管機構的良性溝通

對于擬赴港上市的企業而言，除關注公開的監管動態與執法案例外，針對自身商業模式開展與監管機構的良性溝通也是明確監管具體要求的重要手段。目前，上市審查機構在審查擬上市公司涉及數據的業務經營風險方面，主要會關注數據使用權益、數據商業化模式的合規性，包括公司數據資產權益邊界界定的合法合規性，是否涉及侵犯公民個人信息犯罪，是否協助或變相協助客戶侵犯第三方商業秘密或個人信息安全等。

同時，企業應當就所處的行業領域與相關主管部門的監管機構保持溝通，針對不明確的重點難點問題及社會熱點問題，主動及時溝通以消除不確定性帶來的隱患。例如，汽車行業可能涉及地理位置數據、醫藥行業涉及人類遺傳資源數據、金融行業涉及經濟類數據、能源行業涉及國家資源與產能數據。相關領域的企業主體應當注意與網信部門、該企業行業主管部門、擬上市地監管部門以及其他相關部門開展綜合性的溝通，以避免因某一環節的遺漏而導致上市計劃遇挫或者延期。

五、總結

隨著《審查辦法》的正式生效并實施以及《網數條例（征求意見稿）》等規范性文件的發布，網絡安全審查制度的框架及要求均已逐漸清晰。對于擬赴港上市企業主體而言，應當注意比照《審查辦法》第十條審視自身業務是否涉及國家安全風險因素。網絡安全審查已成為擬赴香港上市的企業主體的必須面對的新課題，應當引起足夠的重視。

此外，企業也不能忽視上市前的數據合規實施工作、完善評估及內外部審計的制度和流程，同時，對監管政策動態的把握以及與監管部門展開積極有效的溝通也是擬上市企業應格外關注和采取的措施。這些工作的有效推進與落實，一方面，可以更好地促進企業在上市過程中與保薦人、中介機構展開溝通，另一方面，整體而全面地開展數據合規工作，可以助力企業較為從容地面對日益強勁且高發的數據合規監管。