境外上市之国家安全审查简介

证监会颁布并于2023年3月31日施行的《境内企业境外发行证券和上市管理试行办法》（以下简称“《管理施行办法》”）规定，境内企业境外发行上市活动，应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定，切实履行维护国家安全的义务。涉及安全审查的，应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序。境外发行上市的境内企业应当根据国务院有关主管部门要求，采取及时整改、作出承诺、剥离业务资产等措施，消除或者避免境外发行上市对国家安全的影响。

本文结合《管理施行办法》的相关规定，简要阐述境外上市备案与国家安全审查程序的关联、与境内企业赴境外上市密切相关的国家安全审查及其法规体系、不同领域国家安全审查相关要点以及相关注意事项，供有需要的人士参考。

一、境外上市备案与国家安全审查程序的关联

《管理施行办法》明确规定企业境外上市应当依法向证监会办理备案手续[1]以及履行相应的国家安全审查义务（如涉及）[2]。此外，《监管规则适用指引—境外发行上市类第2号：备案材料内容和格式指引》（以下简称“《指引2号》”）中也明确规定企业境外上市向证监会进行备案所需提交的材料包括国务院有关主管部门出具的安全评估审查意见（如适用）[3]，如果企业认为不适用该材料，应该向证监会提交不适用安全评估审查意见的书面说明[4]。

结合《管理施行办法》及下文所述有关国家安全审查的法规及相关规定，境外上市备案与国家安全审查属于两个独立的程序，但二者在履行上存在先后顺序。根据《管理施行办法》第九条规定，如拟上市的境内企业涉及国家安全审查的，应当在向境外证券监督管理机构、交易场所等提交发行上市申请前依法履行相关安全审查程序；而根据《管理施行办法》第十六条规定，发行人境外首次公开发行或者上市的，应当在境外提交发行上市申请文件后3个工作日内向中国证监会备案。因此，拟上市的境内企业应当在向证监会递交境外上市备案材料前，自行作出不适用审查意见的书面说明或者获得国家安全审查监管机构审查或无需审查的书面意见。

二、国家安全审查法律监管体系

如前所述，与境内企业赴境外上市密切相关的国家安全审查为外商投资、网络安全、数据安全三个领域，涉及的主要法规及相关规定如下：

审查领域	相关规定	主要内容	生效时间
总体国家安全[5]	《国家安全法》	《国家安全法》是国家安全审查的统领法规，明确提出国家负责建立国家安全审查制度和机制。中央国家机关可以依照法律、行政法规，针对外商投资、特定物项和关键技术、网络信息技术产品和服务、涉及国家安全事项的建设项目及其他重大事项和活动行使国家安全审查职责。	2015年7月1日实施，主席令第29号
外商投资	《国务院办公厅关于建立外国投资者并购境内企业安全审查制度的通知》	具体规定外国投资者并购境内企业的国家安全审查义务。	2011年3月3日实施，国办发〔2011〕6号
	《商务部实施外国投资者并购境内企业安全审查制度的规定》	具体规定外国投资者并购境内企业的国家安全审查义务。	2011年9月1日实施，商务部公告2011年第53号发布
	《海南自由贸易港法》	明确提出在海南自由贸易港依法实施外商投资安全审查制度。	2021年6月10日实施，主席令第85号发布
	《国务院办公厅关于印发<自由贸易试验区外商投资国家安全审查试行办法>的通知》	具体规定在海南自由贸易港依法实施外商投资安全审查制度。	2015年5月8日实施，国办发〔2015〕24号
	《外商投资法》	明确提出国家建立外商投资安全审查制度，对影响或者可能影响国家安全的外商投资进行安全审查。依法作出的安全审查决定为最终决定。	2020年1月1日实施，主席令第26号发布
	《外商投资安全审查办法》	《外商投资安全审查办法》总结了自2011年建立外国投资者并购境内企业安全审查制度近十年来的工作实践，统一适用于全国范围内的影响或者可能影响国家安全的各种形式的外商投资。	2021年1月18日实施，国家发展和改革委员会、商务部令第37号发布
网络安全	《网络安全法》	明确提出国家建立网络安全审查制度；关键信息基础设施的运营者采购网络产品和服务，可能影响国家安全的，应当通过国家网信部门会同国务院有关部门组织的国家安全审查；关键信息基础设施的运营者向境外提供信息的，应当进行安全评估。	2017年6月1日实施，主席令第53号发布
	《关键信息基础设施安全保护条例》	明确关键信息基础设施定义；明确关键基础设施由重要行业和领域的主管部门、监督管理部门负责制定认定规则，并报国务院公安部门备案[6]。	2021年9月1日实施，国务院令第745号发布
	《网络安全审查办法》	明确规定需要进行网络安全审查的四种具体情形以及申报网络安全审查的流程。	2022年2月15日实施，国家互联网信息办公室令第8号发布
数据安全	《数据安全法》	明确规定国家建立数据安全审查制度，对影响或者可能影响国家安全的数据处理活动进行国家安全审查。	2021年9月1日实施，主席令第84号发布
	《数据出境安全评估办法》	具体规定数据处理者向境外提供数据需要进行安全评估的四种具体情形以及数据出境安全评估的程序。	2022年9月1日实施，国家互联网信息办公室令第11号发布
	《个人信息保护法》	明确个人信息的处理原则、个人敏感信息认定与保护规则、个人信息跨境提供规则、个人在个人信息处理活动中的基本权利以及互联网平台的责任。	2021年11月1日实施，主席令第91号发布
	《个人信息出境标准合同办法》	明确提出个人信息处理者向境外提供个人信息前，应当开展个人信息保护影响评估。	2023年6月1日实施，国家互联网信息办公室令第13号发布

三、不同领域国家安全审查具体规定

1. 外商投资

境内企业赴境外上市活动中，涉及外商投资领域的国家安全审查主要由《外商投资安全审查办法》规定，主要内容如下：

外商投资	具体规范
涉及国家安全审查的外商投资类型	影响或者可能影响国家安全的外商投资。注：外商投资，即外国投资者直接或者间接在中华人民共和国境内进行的投资活动，包括并购、绿地投资以及其他投资行为，包括：（1）外国投资者单独或者与其他投资者共同在境内投资新建项目或者设立企业；（2）外国投资者通过并购方式取得境内企业的股权或者资产；（3）外国投资者通过其他方式在境内投资。
需要进行国家安全审查的外商投资	（1）第一类：投资军工、军工配套等关系国防安全的领域，以及在军事设施和军工设施周边地域投资（无论是否取得控制权）；（2）第二类：投资关系国家安全的重要农产品、重要能源和资源、重大装备制造、重要基础设施、重要运输服务、重要文化产品与服务、重要信息技术和互联网产品与服务、重要金融服务、关键技术以及其他重要领域，并取得所投资企业的实际控制权（《外商投资安全审查办法》并未对“重大”、“重要”、“关键”领域的概念进行进一步解释）。注：取得所投资企业的实际控制权，包括：（1）外国投资者持有企业50%以上股权；（2）外国投资者持有企业股权不足50%，但其所享有的表决权能够对董事会、股东会或者股东大会的决议产生重大影响；（3）其他导致外国投资者能够对企业的经营决策、人事、财务、技术等产生重大影响的情形。
审查机关	外商投资安全审查工作机制办公室设在国家发展改革委，由国家发展改革委、商务部牵头，承担外商投资安全审查的日常工作。

因此，综合前述规定，以及结合《管理施行办法》，境内企业申请境外上市的情况下，应当：

核查境内运营实体的业务是否属于涉及军工、军工配套等关系国防安全的领域，以及在军事设施和军工设施周边；如涉及，则在上市前，应当按照《外商投资安全审查办法》规定进行国家安全审查申报（无论外国投资者是否取得控制权）。
如不涉及前述领域，但涉及前述第二类领域的，外国投资人只有取得发行人控制权的情况下才需要根据《外商投资安全审查办法》进行国家安全审查申报。
如不确定是否属于国家安全审查范围的，则可以就具体项目情况咨询外商投资安全审查工作机制办公室，联系方式参见国家发展改革委2019年第4号公告。

2. 网络安全

境内企业赴境外上市活动中，涉及网络安全领域的国家安全审查主要由《网络安全审查办法》规定，主要内容如下：

网络安全	具体规范
需要进行网络安全审查情形	（1）关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的（主动申报情形）；（2）网络平台运营者开展数据处理活动，影响或者可能影响国家安全的（主动申报情形）；（3）掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查（主动申报情形）；（4）网络安全审查工作机制成员单位认为影响或者可能影响国家安全且报中央网络安全和信息化委员会批准的网络产品和服务以及数据处理活动（依职权审查情形）。
国家安全风险因素	（1）产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险；（2）产品和服务供应中断对关键信息基础设施业务连续性的危害；（3）产品和服务的安全性、开放性、透明性、来源的多样性，供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险；（4）产品和服务提供者遵守中国法律、行政法规、部门规章情况；（5）核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险；（6）上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险；（7）其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。
审查机构	网络安全审查工作机制办公室设在国家互联网信息办公室，其具体工作委托中国网络安全审查技术与认证中心（https://www.isccc.gov.cn）承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。

结合《管理施行办法》的规定，拟赴境外上市的企业，应当结合其业务领域、业务形态、掌握的个人信息数量等因素，自行评估其是否需要进行网络安全审查。如需，则应当在通过审查或网络安全审查办公室书面确认无需审查后，再向证监会递交境外上市备案资料。

值得注意的是，除掌握超过100万用户个人信息的网络平台运营者“赴国外上市”会直接触发网络安全审查义务外，境内企业境外上市并不当然触发其网络安全审查义务。如亚朵集团在招股说明书中披露，“作为一个拥有超过100万用户个人信息的网络平台运营者，根据《网络安全审查办法》，我们已经申请并完成了网络安全审查”[7]。

在境外上市的语境下，境内企业申请境外上市触发网络安全审查义务的，需要同时满足以下三个条件：

境内企业为“网络平台运营者”。现行有效的法律法规并未对网络平台运营者进行定义。但境内企业自行评估是否属于网络平台运营者时，可参照《网络数据安全管理条例（征求意见稿）》第73条的规定：互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。例如，环球墨非元宇宙有限公司在招股说明书中披露，“由于我们不是网络平台运营者，也不掌握超过一百万用户的个人信息，因此我们不需要根据《网络安全审查办法》申请网络安全审查”[8]。
境内企业掌握超过100万用户个人信息。虽《网络安全审查办法》并未对前述100万用户个人信息的计算及衡量标准进行明确规范，但实操中，通常采用个人信息主体数量进行计算，而非个人信息的条数。
赴国外上市。虽《网络安全审查办法》并未对“赴国外上市”作进一步定义，但国家互联网信息办公室在同一时期发布的《网络数据安全管理条例（征求意见稿）》第13条[9]明确对“赴国外上市”和“赴香港上市”概念进行了区分。实操中，境内企业赴香港上市参照该规定，论证其无需进行网络安全审查。例如，嘀嗒出行公司在招股说明书中披露，“尽管我们掌握超过100万用户个人信息，鉴于我们寻求在香港而非国外上市，该规定（指《网络安全审查办法》）对我们并不适用”。

3. 数据安全

境内企业赴境外上市活动中，涉及数据安全领域的国家安全审查主要由《数据出境安全评估办法》规定，主要内容如下：

数据安全	具体规范
需要进行数据出境安全评估的情形	（1）数据处理者向境外提供重要数据。重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等，可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据；（2）关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；（3）自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息[10]的数据处理者向境外提供个人信息；（4）国家网信部门规定的其他需要申报数据出境安全评估的情形。
风险评估内容	（1）数据出境的目的、范围、方式等的合法性、正当性、必要性；（2）境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响；境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求；（3）出境数据的规模、范围、种类、敏感程度，出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险；（4）数据安全和个人信息权益是否能够得到充分有效保障；（5）数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务；（6）遵守中国法律、行政法规、部门规章情况；（7）国家网信部门认为需要评估的其他事项。
审查机关	数据安全审查由省级互联网信息部门向国家互联网信息部门申报数据出境安全评估。

值得注意的是，数据出境本身并不当然触发数据出境安全评估的义务。只有满足以下特定的三种情形数据出境的情形，才会触发数据出境安全评估的义务：

数据处理者向境外提供重要数据；
关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息；或
自2021年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。

此外，境内企业申请境外上市本身也通常不会触发数据出境安全评估的义务。在境内企业境外上市的语境下，境内企业上市本身，虽涉及数据出境，例如因监管、信息披露或业务需要向境外中介机构或监管机构提供公司资料、组织架构、财务资料等信息，但该等信息通常不属于个人信息、个人敏感信息或重要数据，不构成前述特定的三种数据出境情形。因此，上市本身通常不会触发数据出境安全评估的义务。但如拟上市的境内企业被认定为关键信息基础设施运营者的，且业务层面涉及向境外提供个人信息的，则不论该等数据是否构成重要数据或个人信息是否达到一定数量，均需要履行数据出境安全审查义务。

综上，境内企业应当从其业务层面，结合其行业属性及地位、规模、业务形态以及出境的数据类型及数量等因素，综合判断其是否需要履行数据出境安全评估义务。如触发该等义务的，则应当预留充足的申报时间，避免影响上市进程。

结语

企业境外上市应当遵守国家安全审查义务，根据三个主要监管领域的具体规范，评估是否涉及国家安全审查范围，并在履行备案管理程序时注意与国家安全审查程序的衔接问题。希望通过本文对外商投资、网络安全以及数据安全三个主要监管领域中境内企业赴境外上市国家安全审查相关要点以及相关注意事项的具体介绍，对企业境外上市依法遵守国家安全审查义务有所贡献。

脚注：

[1]《管理施行办法》第十三条规定，境外发行上市的境内企业，应当依照本办法向中国证监会备案，报送备案报告、法律意见书等有关材料，真实、准确、完整地说明股东信息等情况。

[2]《管理施行办法》第九条规定，境内企业境外发行上市活动，应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定，切实履行维护国家安全的义务。

[3]《指引2号》规定，首次公开发行或上市备案材料包括：

（1）备案报告及有关承诺；

（2）行业主管部门等出具的监管意见、备案或核准等文件（如适用）；

（3）国务院有关主管部门出具的安全评估审查意见（如适用）；

（4）境内法律意见书；

（5）招股说明书或上市文件。

[4]《指引2号》规定，发行人认为某些材料对其不适用的，应提交书面说明。

[5]中共中央政治局于2015年1月23日审议通过了以“总体国家安全观”为指导的《国家安全战略纲要》，就国家安全各领域做出宏观协调部署。

[6]关键信息基础设施，是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

[7]As a network platform operator who possesses personal information of more than one million users for purposes of the Cybersecurity Review Measures, we had applied for and completed a cybersecurity review.

[8]Since we are not an Operator, nor do we control more than one million users’ personal information, we would not be required to apply for a cybersecurity review under the Measures for Cybersecurity Review (2021).

[9]第十三条数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或者可能影响国家安全的；

（四）其他影响或者可能影响国家安全的数据处理活动。

大型互联网平台运营者在境外设立总部或者运营中心、研发中心，应当向国家网信部门和主管部门报告。

[10]根据《个人信息保护法》第28条规定，个人敏感信息是指，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。

往期合集文章推荐