摘要
随着全球经济一体化与数字经济的蓬勃发展,中国企业通过VIE(Variable Interest Entity,可变利益实体)架构赴境外上市已成为一种常见的融资路径。然而,近年来中国数据安全合规法律体系的日益完善,特别是《网络安全法》、《数据安全法》和《个人信息保护法》的相继出台,以及网络安全审查机制的常态化,给VIE架构企业的境外上市之路带来了前所未有的挑战。本文将从专业财经记者的视角,深度剖析VIE架构企业在数据安全合规背景下,如何应对网络安全审查对境外上市的影响,并提出相应的策略建议。
一、VIE架构的演进与境外上市的驱动力
1. VIE架构的定义与运作机制
VIE架构,俗称“协议控制”,是指境外注册的上市主体通过一系列协议,而非股权,实际控制境内运营实体的一种结构安排。这种架构通常用于规避中国对外资在特定行业(如互联网、教育等)的投资限制,使得境内企业能够获得境外融资并在国际资本市场上市。其核心在于通过一系列复杂的法律协议,将境内运营实体的经济利益和控制权转移至境外上市主体,从而实现“实质控制”而非“股权控制”。
2. 境外上市的吸引力与VIE架构的历史作用
对于中国企业而言,境外上市具有多重吸引力,包括更广阔的融资渠道、更高的估值、提升国际品牌形象以及更灵活的股权激励机制等。在过去二十余年间,VIE架构为众多中国互联网及高科技企业成功登陆国际资本市场(尤其是美国和香港)提供了有效途径,成为中国企业“走出去”的重要桥梁。新浪、阿里巴巴、腾讯等知名企业均曾采用或正在采用VIE架构实现境外上市,这充分证明了其在特定历史时期的重要作用。
二、中国数据安全合规法律体系的构建与深化
近年来,中国在数据安全和个人信息保护方面的立法进程显著加快,逐步构建起一套全面而严格的法律法规体系,旨在维护国家网络空间主权、保障数据安全和保护公民个人信息权益。这一体系的建立,对所有在中国境内运营的企业,包括VIE架构下的境内实体,都提出了更高的合规要求。
1. 《网络安全法》:奠定基础
《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式施行,是中国网络安全领域的基础性法律。它确立了网络安全等级保护制度、关键信息基础设施保护制度、数据跨境传输安全管理制度等基本原则和制度,为后续数据安全立法规制奠定了坚实基础。该法明确了网络运营者的安全保护义务,强调了数据分类分级管理的重要性,并对个人信息和重要数据的保护提出了具体要求。
2. 《数据安全法》:强化数据分类分级与全生命周期管理
《中华人民共和国数据安全法》(以下简称《数据安全法》)于2021年9月1日生效,进一步强化了国家数据安全保障体系。该法明确了数据分类分级管理制度,要求根据数据的重要程度和可能造成的危害,对数据进行分级保护。同时,它对数据处理活动的全生命周期(包括数据收集、存储、使用、加工、传输、提供、公开等)提出了安全管理要求,并设立了数据交易管理制度和数据出境安全管理制度。对于涉及国家核心数据、重要数据以及大量个人信息的企业而言,其数据合规义务显著增加。
3. 《个人信息保护法》:聚焦个人信息权益保护
《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)于2021年11月1日实施,是中国在个人信息保护领域的专门性法律。该法确立了以“告知-同意”为核心的个人信息处理规则,赋予个人在个人信息处理活动中的多项权利,并对个人信息处理者的义务进行了详细规定,包括建立健全个人信息保护制度、采取技术措施保障个人信息安全、定期进行个人信息保护影响评估等。对于拥有大量用户数据的互联网企业,其个人信息保护合规面临更为严格的挑战。
4. 其他相关法规与政策
除了上述三部核心法律外,中国还出台了一系列配套法规和政策,共同构筑了数据安全合规的法律屏障。其中,《数据出境安全评估办法》对重要数据和个人信息出境进行了严格规范,要求达到一定条件的数据出境活动必须进行安全评估。而《网络安全审查办法》则将网络平台运营者开展数据处理活动影响或可能影响国家安全的,特别是对于掌握大量用户数据或涉及关键信息基础设施的运营者赴境外上市,提出了网络安全审查的要求。
三、网络安全审查机制对VIE架构企业境外上市的冲击
《网络安全审查办法》的修订和实施,特别是将网络平台运营者赴境外上市纳入审查范围,对VIE架构企业的境外上市进程产生了深远影响。这不仅增加了上市的复杂性和不确定性,也对企业的合规运营提出了更高要求。
1. 网络安全审查的触发条件与审查范围
根据《网络安全审查办法》,关键信息基础设施运营者采购网络产品和服务,以及网络平台运营者开展数据处理活动影响或可能影响国家安全的,都可能触发网络安全审查。对于VIE架构企业而言,如果其境内运营实体被认定为关键信息基础设施运营者,或者其数据处理活动涉及大量用户数据、重要数据,且赴境外上市可能影响国家安全,则必须依法申报网络安全审查。审查范围主要包括国家政策要求、采购活动对关键信息基础设施安全的影响、产品和服务的安全性、数据处理活动对国家安全的影响、以及境外上市可能带来的国家安全风险等。
2. 审查流程与潜在风险
网络安全审查的流程通常包括申报、受理、初审、专家评审、特别审查等环节,整个过程可能耗时较长。对于急于境外上市的企业而言,审查周期的延长无疑增加了上市的不确定性和时间成本。此外,审查结果可能导致企业被要求暂停或终止上市进程,甚至被要求采取整改措施,这都可能对企业的融资计划和市场估值产生负面影响。例如,滴滴出行在美上市后因网络安全审查问题被要求下架App并进行整改,对其业务和股价造成了巨大冲击,成为VIE架构企业境外上市面临网络安全审查风险的典型案例 [1]。
3. 重点关注的数据类型与国家安全考量
在网络安全审查中,监管机构将重点关注企业所处理的数据类型及其对国家安全的影响。这包括但不限于:大规模用户个人信息、地理信息、生物识别信息、涉及国家经济运行、科技发展、国防军事等领域的重要数据。如果企业掌握的数据被认为具有国家安全敏感性,或者其数据出境活动可能被境外政府或机构利用,则其通过审查的难度将显著增加。监管机构会综合评估企业的数据处理能力、数据安全保护措施、数据出境风险以及境外上市后数据被滥用的可能性等因素。
四、VIE架构企业应对数据安全合规与网络安全审查的策略
面对日益严格的数据安全合规要求和网络安全审查机制,VIE架构企业应积极调整策略,构建全面的数据安全合规体系,以降低境外上市风险。
1. 建立健全数据安全管理体系
企业应建立完善的数据安全管理制度,明确数据安全责任人,设立专门的数据安全管理部门。这包括制定数据分类分级管理规范、数据全生命周期安全管理流程、数据安全应急响应预案等。通过制度建设,确保数据处理活动符合法律法规要求,并能够有效应对各类数据安全风险。
2. 开展数据安全风险评估与合规自查
定期开展数据安全风险评估,识别和评估企业在数据收集、存储、使用、传输、共享等环节可能存在的安全风险。同时,对照《网络安全法》、《数据安全法》、《个人信息保护法》以及《网络安全审查办法》等法律法规,进行全面的合规自查,及时发现并纠正不合规行为。对于关键信息基础设施运营者,更应严格按照要求进行安全评估和备案。
3. 优化数据出境合规路径
对于涉及数据出境的VIE架构企业,应审慎评估数据出境的必要性和合规性。优先选择通过国家网信部门组织的安全评估、专业机构认证或与境外接收方签订标准合同等合法路径进行数据出境。对于敏感数据,应尽量避免出境,或采取匿名化、去标识化等技术手段降低风险。在境外上市过程中,应充分披露数据出境情况及合规措施,争取监管机构的理解和支持。
4. 积极与监管机构沟通,寻求专业法律意见
在境外上市前,VIE架构企业应积极与中国证监会、国家网信办等相关监管机构进行沟通,了解最新的监管政策和审查要求。同时,聘请专业的法律顾问和网络安全专家,对企业的VIE架构、数据处理活动和境外上市计划进行全面评估,获取专业的法律意见和合规建议,确保上市方案符合中国法律法规的要求。
五、案例分析与行业影响
1. 典型案例(如滴滴事件)的启示
滴滴出行事件是网络安全审查对VIE架构企业境外上市产生重大影响的典型案例。2021年,滴滴在美上市后不久,因涉嫌严重违法违规收集使用个人信息被立案调查,并被要求下架App。随后,国家网信办对其启动网络安全审查。这一事件不仅导致滴滴股价暴跌,也对其业务发展造成了严重打击,并最终从纽交所退市。滴滴事件深刻警示VIE架构企业,在追求境外资本的同时,必须将数据安全合规置于核心地位,否则将面临巨大的法律和商业风险 [1]。
2. 对不同行业(如互联网、科技)VIE架构企业的影响
网络安全审查对不同行业的VIE架构企业影响程度不一。对于互联网平台、大数据、云计算等数据密集型行业,以及涉及关键信息基础设施的科技企业,其数据安全合规和网络安全审查的压力尤为突出。这些企业通常掌握海量用户数据和重要敏感数据,一旦赴境外上市,更容易触发网络安全审查。相比之下,传统制造业或数据敏感性较低的行业,受到的直接影响可能相对较小,但仍需关注数据出境和个人信息保护的合规要求。
六、展望:合规新常态下的发展机遇与挑战
在数据安全合规和网络安全审查日益严格的新常态下,VIE架构企业境外上市面临的挑战是显而易见的。然而,这也促使企业更加注重内生合规建设,提升数据治理能力,从而为企业的长期健康发展奠定基础。未来,VIE架构企业在境外上市时,将更加强调合规先行,将数据安全和网络安全视为企业核心竞争力的一部分。那些能够有效管理数据风险、积极履行合规义务的企业,将在国际资本市场中获得更多信任和发展机遇。同时,随着中国监管政策的不断完善和透明化,VIE架构的合规路径也将逐步清晰,为中国企业在全球化进程中提供更为稳健的支撑。
关于我们:
Diyang Group 笛杨集团深耕离岸跨境服务,以创业者的思维服务客户。在企业服务领域,我们提供海外主体与SPV架构搭建、跨境合规服务、银行开户等业务。私人业务涵盖公司设立与管理、信托服务、家族办公室服务、家族传承规划以及慈善工具服务。基金服务覆盖各类基金,如对冲基金、私募股权/风险投资基金以及加密货币基金。
笛杨集团拥有广泛的全球合作伙伴网络,并与多个政府和监管机构保持良好的合作关系,确保为客户提供合规、高效的服务。我们致力于成为客户最值得信赖的跨境服务伙伴,助力客户在全球市场中稳健发展。
联系方式:
电话:+86 176 2185 8805(微信同号)
邮箱:dicong@diyangsh.com
References
[1] 数据合规| 从滴滴事件看隐私保护和数据博弈. https://www.hengtai-law.com/insight/research/data_69.html