专家解读｜《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线

《网络安全审查办法》正式实施后，企业赴国外上市融资需严格遵守国家安全审查要求，掌握超100万用户个人信息的网络平台运营者必须申报审查，未申报将承担法律责任。一、上市审查申报要求覆盖范围扩大：修订后的《办法》明确，掌握超过100万用户个人信息的网络平台运营者赴国外上市前必须申报审查。这一规定将审查对象聚焦于用户数据规模较大的企业，旨在防范数据泄露、滥用等风险对国家安全造成威胁。法律责任明确：运营者若应申报而未申报，需承担相应法律责任。例如，未履行申报义务的企业可能面临罚款、上市进程受阻等后果，具体处罚依据违规情节严重程度而定。赴港上市不例外：虽然《办法》规定的审查申报条件为“赴国外上市”，但赴香港上市的企业同样需重视网络安全、数据安全和国家安全风险。根据《办法》第十六条，若成员单位认为相关活动影响国家安全，网络安全审查办公室将按程序审查。已上市企业新活动需申报：对于《办法》实施前已在国外上市的企业，无需补报审查；但若涉及二次上市、双重主要上市等新发起的“国外上市”活动，且符合申报条件，应主动申报。二、上市审查申报时机申报材料要求：根据《办法》第八条，运营者申报时需提交申报书、分析报告及首次公开募股（IPO）等上市申请文件。这些材料需全面反映企业业务模式、数据流向及安全措施，为审查提供依据。申报时间节点：企业应在向国外证券监管机构提交上市申请前完成审查申报。例如，若企业计划在纽约证券交易所上市，需在正式提交招股书前向中国网络安全审查办公室申报。未完成上市企业的补报义务：对于《办法》实施前已提交上市申请但未完成上市的企业，若掌握超100万用户个人信息，需在上市前补报审查。例如，某企业于2023年1月提交申请，但因市场原因延迟至3月上市，则需在3月前完成申报。三、上市审查申报主体境内注册实体为申报主体：申报主体必须是在中国境内注册的网络平台运营者实体。例如，某互联网企业虽在开曼群岛注册，但其核心业务运营实体位于北京，则北京公司需作为申报主体。海外架构企业的实际运营实体：对于通过特殊目的公司（SPV）等海外架构上市的企业，申报主体应为境内实际业务运营实体。例如，某企业通过VIE架构在美上市，但境内运营公司负责数据收集和处理，则境内公司需申报。多种上市方式纳入审查范围：《办法》规定的审查范围不仅限于IPO，还包括特殊目的公司并购（SPAC）、反向收购（RTO）、直接上市（DPO）等方式。例如，某企业通过SPAC方式在纳斯达克上市，同样需申报审查。四、审查目的与合规建议维护国家安全：网络安全审查属于国家安全审查范畴，旨在防范数据跨境流动、网络攻击等风险对国家安全造成损害。例如，某社交平台若将用户数据存储于境外服务器，可能因数据泄露被利用而威胁国家安全。促进平台经济健康发展：审查并非限制企业上市，而是引导企业规范经营。国家鼓励企业通过融资、上市等方式发展，但要求其将安全作为发展驱动力。例如，某电商平台在上市前完善数据加密措施，既通过审查又提升用户信任度。企业合规建议：提前评估数据规模：企业应自查用户数量，若超100万需提前准备申报材料。建立安全管理体系：完善数据分类、加密、访问控制等措施，降低安全风险。关注政策动态：及时了解审查标准变化，避免因信息滞后导致违规。企业赴国外上市融资时，需以国家安全为底线，通过合规申报和安全措施建设，实现安全与发展的平衡。