丰习来:网络安全强监管如何影响香港资本市场?
网络安全审查加快企业重新布局融资方向
中国在2020年4月27日发布并于6月1日实施的《网络安全审查办法》(以下简称《办法》),是从保障国家安全的角度来制定的。《办法》指出关键信息基础设施的运营者采购网络产品和服务,“应当预判该产品和服务投入使用后可能带来的国家安全风险,影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。”
2021年7月10日中国发布《网络安全审查办法(修订草案征求意见稿)》[以下简称《网络安全审查办法(修订草案)》]。其中第六条特别强调“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”,这是因为考虑到“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。这就是为什么“滴滴出行”,这间在中国营运并拥有几亿网络客户的公司,受到了安全审查,成为《办法》实施后首例接受审查的公司。
对于计划上市的公司尤其是拥有庞大网络客户群的公司,若是不能通过国家网络安全审查,业务发展可能会受到阻碍,或者不能批准海外上市。所以已经在美国上市的或者计划赴美上市的公司,不得不考虑另一个融资地,来确保公司的未来发展和融资的可持续性。
公司在考虑海外上市地时或者是已经在海外上市的公司,首先要时刻跟踪和了解所面临的国内外监管风险(Regulatory Risks),这样才能规避和减少监管风险对公司的影响。
目前,对拥有百万以上网络用户的中国公司来说,中国的《网络安全审查办法(修订草案)》显然是他们要面对的头号监管风险。除此之外,若是已经海外上市或者计划海外上市,那么涉及所处海外上市地的监管风险都要考虑。
中国对《网络安全审查办法(修订草案)》的法例制定目的不是阻止公司海外上市,而是主要从国家网络安全和信息保密角度出发的。对于任何一间有国际视野的公司,都知道目前中美关系紧张,在政治、经济、贸易、金融和科技等领域都有摩擦。涉及处理跨国事务时,中国在法规设定方面常常本着互利互惠、共同发展的目标,同时也不得不保护和捍卫国家应有的权益和尊严。因而,中国公司也应该有义务、有责任去积极遵守国家的法律和法规,并且要明白,公司本身拥有的庞大网络数据不仅仅是公司自己的资产,而且也可能是国家的战略资产。因而遵守国家出台的法例并做好网络安全和信息保护,就是为保护国家的安全和利益贡献一分力量。
在此关口,对于拥有百万以上网络客户的上市公司或者是计划上市的公司,要考虑的是,如果继续寻求海外上市这个融资渠道,那么在上文引述《网络安全审查办法(修订草案)》时所提到的“国外”是否包括香港。如果香港不在“国外”范围之内,自然不用接受网络安全审查。有律师指出,在中国的法律体系下,“国外”并不包括香港。而且从《网络安全审查办法(修订草案)》考虑的主要因素来看,最担心的是上文刚刚提到的“国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用的风险”。当然,《网络安全审查办法(修订草案)》的第十条第五项也提到了这些数据“被窃取、泄露、毁损以及非法利用或出境风险”。“出境”的意思就是离开中国境内,香港属于“境外”,毕竟目前出入香港都需要在边境口岸办理出入境手续。我们理解这里所指的“出境风险”可能更是从技术层面上说的,也就是担心信息数据走到中国境外的网络下,由于境外网络安全要求和技术保障不同,可能会面临中国无法监管和治理的网络安全技术风险,这跟第十条第六项谈及的威胁国家安全的政治风险不太一样。但由于目前中国还未澄清《网络安全审查办法(修订草案)》中所提及的“出境”是否也涵盖香港,因而在此方面确实还有很大的不确定性。
可以肯定的是香港属于中国,是中国可以有效行使主权的特别行政区,不属于“海外”,因而来自国家主权层面上的政治风险应不在考虑之内。加上香港自己在网络安全和数据保护的技术层面上也紧贴国际原则和指引,因而,公司在考虑《网络安全审查办法(修订草案)》时,在香港上市要面临的网络安全和数据保护的监管风险应该是比在美国上市低一些。
与此同时,一家公司也要对海外上市地的当地网络安全和数据保护监管法规的发展和变化有充分的了解和认识,否则在海外若是成为当地监管目标,恐怕只有孤军作战,最后的结果可能因为巨额赔偿而元气大伤,或是面临被除名退市。
在国际纷纷加强网络数据安全和保护的同时,各国对网络和数据安全监管的法律适用范围扩大,甚至可能与另一个国家的法例出现竞争和冲突。
美国2019年底发布的《联邦数据战略与2020年行动计划》,把数据从“技术”提升到“战略资产”的层次。全文有15处重复提到“战略资产(Strategic Asset)”,81处提到“资产(Asset)”,重点指出数据资产的价值,并要推动有效合理的数据使用,从而符合“美国价值(American Value)”,最大化地推进“联邦机构任务(Agency Mission)”和公众利益等。这种有战略指导意义的“行动计划”其实是确保了之后各种相关法例设定的统一性,同时又允许了各种灵活性,从而令未来公布的法例适应各种发展变化。另外,所谓的“美国价值”和“联邦机构任务”的定义不清,其他国家是否也要接受美国制定的“游戏规则”?在2019年底提交国会的《国家安全和个人数据保护法》议案,提出禁止在美国提供服务的中国应用开发者在中国存储数据,但是这些中国公司的总部位于中国,受中国的司法管辖,这些企业也应履行其法定义务。若这个议案通过,可能会令中国企业在美发展受限制,或出现合规冲突,令企业面临进退两难的境地。
2020年12月美国通过了《外国公司问责法案》(HFCAA),要求证券发行人需向美国上市公司会计监督委员会(PCAOB)证明其不受外国政府拥有或掌控,而且要履行提交审计底稿受查义务;此外,若发行人连续三年不能满足PCAOB的审计要求,将面临强制退市。2021年8月16日,美国证监会(SEC)主席要求SEC工作人员暂停中国公司使用壳公司赴美IPO,并要求工作人员对那些与中国实体运营公司相关的(离岸空壳企业)境外发行人在赴美上市之前,提出额外的信息披露要求,必须允许美国官员检查中国公司的财务审计,并重申HFCAA在审计方面的要求及会被强制退市的结果。
对中国公司海外上市的工作底稿方面,财政部早在2015年就公布了《会计师事务所从事中国内地企业境外上市审计业务暂行规定》,其中有明确规定,“中国内地企业依法委托境外会计师事务所审计的,该受托境外会计师事务所应当与中国内地会计师事务所开展业务合作……其中在境内形成的审计工作底稿应由中国内地会计师事务所存放在境内”。2020年3月实施的《中华人民共和国证券法》第一百七十七条就明确指出,境外证券监督管理机构不得在中国境内直接进行调查取证等活动,未经中国证监会等部门同意,任何单位和个人不得向境外提供与证券业务活动有关的文件和资料。
由此可见,中美两国就赴美上市公司的信息披露和审计底稿检查权方面的冲突在过去几年逐步升温,虽然中国表示希望双方加强沟通,找到妥善解决的办法,但是在原则上的问题不曾让步。《网络安全审查办法(修订草案征求意见稿)》的公布是中国在中美关于网络安全和金融科技方面摩擦中的最新举措。
随着中国对海外上市公司网络安全的监管加强以及和美国监管的摩擦日益显著,已在美国上市的中国企业赴香港二次上市进一步升温。二次上市可以增加新的融资渠道,分散融资风险以及减少不可控的政治风险。2019年阿里巴巴赴港二次上市集资880亿港元,是全球规模第二大新股上市,也是香港9年来最大的上市交易。自此,中概股回归热潮持续,港交所数据显示,截至2021年8月底,近三年来,共18家海外上市的中概股到香港市场二次上市或双重上市(见表1)。
香港作为国际金融中心,金融服务业在本质上就容易受到网络安全风险的影响。国际货币基金组织和第三方的联合统计指出,2020年美国、英国和俄罗斯的金融机构受到的网络攻击分别占全球数量的39%、28%和7%。而香港位列全球第四,受到的网络攻击事件占全球的6%。就网络安全而言,香港已制订多项监管指引。香港金融管理局(以下简称金管局)、保险业监管局及证券及期货事务监察委员会各有其相关指引/通告,协助其监管的持牌/认可机构处理网络安全问题。2021年金管局推出《网络防卫计划2.0》,提升香港银行体系的网络防卫能力。
在数据信息保护方面,香港早在1996年12月生效了《个人资料(私隐)条例》。这是亚洲区最早全面保障个人资料私隐的条例,以经济合作与发展组织1980年的私隐指引为基础而立法,并参考了欧盟《数据保护指令》,其后的条例修订都紧贴全球数据保护标准条例。因此,参与香港资本市场的机构或者企业的各种资源(包括数字资源)以及所涉及的各方利益,在这样的法律环境下都能得到充分的保护;如业务涉及欧盟国家,香港的机构或者企业亦需遵守欧盟的GDPR条例。总体而言,机构或企业在香港所面临的数据保护相关法规要求,具有较高的确定性,有关风险及合规成本可控性高。
香港在个人数据私隐保护方面有严格的要求,因而中国公司在香港上市也会受益当地安全和稳定的监管环境,可继续延续其成功的商业模式。香港有亚洲排名第一的数据中心和世界一流的技术硬件支持。最近亚洲云端运算协会发表的《2020年云端计算准备充足指数》中,香港排名第一,其中国际连通性、数据中心安全性和私隐保障都是排名第一。
再次,香港有健全的法律制度与国际接轨,是普通法司法管辖区,有严谨的商业法和财产法,并拥有声誉良好的司法机构和国际仲裁中心。整体而言,香港金融市场完善的监管和法律制度以及高度完善的数据私隐保护条例,为中国公司以至全球公司提供了一个安全、稳定、高度完善的融资平台。
港交所是香港证券市场的营运和前线监管机构,经过三年改革,香港资本市场的优势日渐加强,中资企业回港上市将是大势所趋。
香港2018年推行上市制度改革,对寻求二次上市的申请人,港交所采取相对宽松的审核标准(只有市值和收入要求,没有盈利要求),而且有多项豁免和优待政策,也就是允许具有同股不同权架构的新经济企业、尚未盈利的生物科技企业以及符合资格的公司进行二次上市,这就为新经济公司打造了回港二次上市的机会,为它们营造了可持续发展和投资的生态系统。
上市新规实施三年以来,新经济公司的新股融资额占比不断上升。截至2021年7月底,港交所的数据显示共有163家新经济公司于香港上市,总融资额达9260亿港元,占期内香港新股融资额的74%。2021年前7个月,新经济公司集资金额为2290亿港元,占新股总集资额高达90%,高于2020年的64%和2019和2018年的49%。同时,香港已成为全球第二大生物科技融资中心,吸引了众多生物科技公司来港上市融资。自上市新规生效以来,有73家医疗健康公司在香港上市,集资额超过2270亿港元。
微信公众号
微博