国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知
为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见:
1.通过电子邮件将意见发送至:shujuju@cac.gov.cn。
2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络数据管理局,邮编:100044,并在信封上注明“网络数据安全管理条例征求意见”。
意见反馈截止时间为2021年12月13日。
附件:《网络数据安全管理条例(征求意见稿)》
国家互联网信息办公室
2021年11月14日
附件:
网络数据安全管理条例(征求意见稿)
第一章 总则
第一条为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。
第二条在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例:
(一)以向境内提供产品或者服务为目的;
(二)分析、评估境内个人、组织的行为;
(三)涉及境内重要数据处理;
(四)法律、行政法规规定的其他情形。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。
第三条国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。
第四条国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。
国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。
第五条国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。
第六条数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。
第七条国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。
第二章 一般规定
第八条任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动:
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密;
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等;
(三)通过窃取或者以其他非法方式获取数据;
(四)非法出售或者非法向他人提供数据;
(五)制作、发布、复制、传播违法信息;
(六)法律、行政法规禁止的其他行为。
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。
第九条数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。
数据处理者应当使用密码对重要数据和核心数据进行保护。
第十条数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。
第十一条数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等;
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。
第十二条数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定:
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外;
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督;
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。
第十三条数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(二)处理一百万人以上个人信息的数据处理者赴国外上市的;
(三)数据处理者赴香港上市,影响或者可能影响国家安全的;
(四)其他影响或者可能影响国家安全的数据处理活动。
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。
第十四条数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。
第十五条数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。
第十六条国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。
第十七条数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。
第十八条数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。
第三章 个人信息保护
第十九条数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求:
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的;
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式;
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。
第二十条数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。
个人信息处理规则应当包括但不限于以下内容:
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响;
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式;
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法;
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则;
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等;
(六)个人信息安全风险及保护措施;
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。
第二十一条处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定:
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意;
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意;
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意;
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意;
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意;
(七)不得超出个人授权同意的范围处理个人信息;
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。
第二十二条有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理:
(一)已实现个人信息处理目的或者实现处理目的不再必要;
(二)达到与用户约定或者个人信息处理规则明确的存储期限;
(三)终止服务或者个人注销账号;
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。
法律、行政法规另有规定的从其规定。
第二十三条个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务:
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制;
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件;
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。
法律、行政法规另有规定的从其规定。
第二十四条符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务:
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息;
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息;
(三)能够验证请求人的合法身份。
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。
第二十五条数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。
法律、行政法规另有规定的从其规定。
第二十六条数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。
第四章 重要数据安全
第二十七条各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。
第二十八条重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责:
(一)研究提出数据安全相关重大决策建议;
(二)制定实施数据安全保护计划和数据安全事件应急预案;
(三)开展数据安全风险监测,及时处置数据安全风险和事件;
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;
(五)受理、处置数据安全投诉、举报;
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。
第二十九条重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
第三十条重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
第三十一条重要数据的处理者,应当优先采购安全可信的网络产品和服务。
第三十二条处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括:
(一)处理重要数据的情况;
(二)发现的数据安全风险及处置措施;
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;
(四)落实国家数据安全法律、行政法规和标准情况;
(五)发生的数据安全事件及其处置情况;
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况;
(七)数据安全相关的投诉及处理情况;
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。
数据处理者应当保留风险评估报告至少三年。
依据部门职责分工,网信部门与有关部门共享报告信息。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容:
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要;
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险;
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全;
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务;
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。
第三十三条数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。
第三十四条国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
第五章 数据跨境安全管理
第三十五条数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:
(一)通过国家网信部门组织的数据出境安全评估;
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证;
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务;
(四)法律、行政法规或者国家网信部门规定的其他条件。
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。
第三十六条数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。
第三十七条数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估:
(一)出境数据中包含重要数据;
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息;
(三)国家网信部门规定的其它情形。
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
第三十八条中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。
第三十九条数据处理者向境外提供数据应当履行以下义务:
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息;
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据;
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全;
(四)接受和处理数据出境所涉及的用户投诉;
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任;
(六)存留相关日志记录和数据出境审批记录三年以上;
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示;
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救;
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。
第四十条向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况:
(一)全部数据接收方名称、联系方式;
(二)出境数据的类型、数量及目的;
(三)数据在境外的存放地点、存储期限、使用范围和方式;
(四)涉及向境外提供数据的用户投诉及处理情况;
(五)发生的数据安全事件及其处置情况;
(六)数据出境后再转移的情况;
(七)国家网信部门明确向境外提供数据需要报告的其他事项。
第四十一条国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。
境内用户访问境内网络的,其流量不得被路由至境外。
第四十二条数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。
第六章 互联网平台运营者义务
第四十三条互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。
第四十四条互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。
移动通信终端预装第三方产品适用本条前两款规定。
第四十五条国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。
第四十六条互联网平台运营者不得利用数据以及平台规则等从事以下活动:
(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为;
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为;
(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据;
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。
第四十七条提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。
第四十八条互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。
第四十九条互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求:
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意;
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数;
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。
第五十条国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。
第五十一条互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。
第五十二条国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。
第五十三条大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
第五十四条互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
第七章 监督管理
第五十五条国家网信部门负责统筹协调数据安全和相关监督管理工作。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。
第五十六条国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。
第五十七条有关主管、监管部门可以采取以下措施对数据安全进行监督检查:
(一)要求数据处理者相关人员就监督检查事项作出说明;
(二)查阅、调取与数据安全有关的文档、记录;
(三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测;
(四)核验数据出境类型、范围等;
(五)法律、行政法规、规章规定的其他必要方式。
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。
第五十八条国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。
第五十九条国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。
国家支持成立个人信息保护行业组织,开展以下活动:
(一)接受个人信息保护投诉举报并进行调查、调解;
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼;
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督;
(四)向有关部门反映个人信息保护情况、提供咨询、建议;
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。
第八章 法律责任
第六十条数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
第六十一条数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。
第六十二条数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。
第六十三条关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。
第六十四条数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
第六十五条违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。
第六十六条个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十七条互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第六十八条互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。
第六十九条互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
第七十条数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。
第七十一条国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。
第七十二条在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。
第九章 附则
第七十三条本条例下列用语的含义:
(一)网络数据(简称数据)是指任何以电子方式对信息的记录。
(二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据:
1.未公开的政务数据、工作秘密、情报数据和执法司法数据;
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据;
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等;
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据;
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据;
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据;
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。
(五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。
(六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。
(七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。
(九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。
(十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。
(十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。
(十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。
第七十四条涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。
第七十五条本条例自 年 月 日起施行。
Posted from SLPRO Z
国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)
第一章 总则
第一条为规范境内企业直接或间接在境外发行证券或者将其证券在境外上市交易(以下简称境内企业境外发行上市)相关活动,促进境内企业依法合规利用境外资本市场实现规范健康发展,根据《中华人民共和国证券法》《中华人民共和国公司法》等法律,制定本规定。
第二条境内企业在境外发行股票、存托凭证、可转换为股票的公司债券或者其他具有股权性质的证券,或者将其证券在境外上市交易的,适用本规定。
境内企业直接在境外发行证券或者将其证券在境外上市交易(以下简称境内企业境外直接发行上市),是指注册在境内的股份有限公司在境外发行证券或者将其证券在境外上市交易。
境内企业间接在境外发行证券或者将其证券在境外上市交易(以下简称境内企业境外间接发行上市),是指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在境外发行证券或者将证券在境外上市交易。具体标准由国务院证券监督管理机构规定。
第三条境内企业境外发行上市的,应当依法合规经营,遵守外商投资、国有资产管理、行业监管、境外投资等国家法律法规和规定要求,不得扰乱境内市场秩序,不得损害境内投资者合法权益和社会公共利益。
第四条国务院证券监督管理机构依法对境内企业境外发行上市活动实施监督管理。国务院有关主管部门依法在各自职责范围内对境外发行上市的境内企业及提供相应服务的证券服务机构实施监督管理。
国务院证券监督管理机构会同国务院有关主管部门建立境内企业境外发行上市监管协调机制,加强政策规则衔接、监管协调和信息共享。
第五条国务院证券监督管理机构、国务院有关主管部门按照对等互惠原则,加强与境外证券监督管理机构、有关主管部门的跨境监督管理合作,实施跨境监督管理。
第二章 境外发行上市
第六条境内企业境外发行上市的,应当向国务院证券监督管理机构履行备案程序,报告有关信息。具体备案办法由国务院证券监督管理机构规定。
第七条存在下列情形之一的,不得境外发行上市:
(一)存在国家法律法规和有关规定明确禁止上市融资的情形;
(二)经国务院有关主管部门依法审查认定,境外发行上市威胁或危害国家安全的;
(三)存在股权、主要资产、核心技术等方面的重大权属纠纷;
(四)境内企业及其控股股东、实际控制人最近三年内存在贪污、贿赂、侵占财产、挪用财产或者破坏社会主义市场经济秩序的刑事犯罪,或者因涉嫌犯罪正在被司法机关立案侦查或涉嫌重大违法违规正在被立案调查;
(五)董事、监事和高级管理人员最近三年内受到行政处罚且情节严重,或者因涉嫌犯罪正在被司法机关立案侦查或涉嫌重大违法违规正在被立案调查;
(六)国务院认定的其他情形。
第八条境内企业境外发行上市的,应当严格遵守外商投资、网络安全、数据安全等国家安全法律法规和有关规定,切实履行国家安全保护义务。涉及安全审查的,应当依法履行相关安全审查程序。
国务院有关主管部门可以要求剥离境内企业业务、资产或采取其他有效措施,消除或避免境外发行上市对国家安全的影响。
第九条境外发行上市的境内企业应当根据《中华人民共和国公司法》《中华人民共和国会计法》等法律法规制定章程,完善内部控制制度,规范公司治理和财务、会计行为。
第十条境内企业境外发行上市的,发行对象应为境外投资者,但符合本条第二款规定或者经国务院批准的除外。
境内企业境外直接发行上市有下列情形之一的,可以向符合国务院证券监督管理机构规定的境内特定对象发行:
(一)实施股权激励;
(二)发行证券购买资产;
(三)国务院证券监督管理机构规定的其他情形。
境内国有企业依照前款规定向境内特定对象发行的,应当同时符合国有资产管理部门的相关规定。
第十一条境内企业境外直接发行上市的,持有其境内未上市股份的股东履行国务院证券监督管理机构备案程序后,可以依法将其持有的境内未上市股份转换为境外上市股份并到境外交易场所上市流通。
前款所称境内未上市股份,是指境内企业已发行但未在境内外交易场所上市或挂牌交易的股份。境内未上市股份应当在境内证券登记结算机构集中登记存管。境外上市股份的登记结算安排等适用境外上市地的规定。
第十二条境内企业境外发行上市,可以外币或者人民币募集资金、进行分红派息。
境内企业境外发行证券所募资金用途和投向,应当符合国家有关规定要求。
境内企业境外发行上市相关资金汇兑及跨境流动,应当符合国家跨境投融资、外汇管理和跨境人民币管理等规定。
第十三条国务院证券监督管理机构应当将境内企业境外发行上市备案情况向社会公开。
第三章 监督管理
第十四条境内企业境外发行上市的,备案材料应当真实、准确、完整,不得有虚假记载、误导性陈述或者重大遗漏。境内企业及其控股股东、实际控制人、董事、监事、高级管理人员应当依法履行信息披露义务,诚实守信、勤勉尽责,保证备案材料真实、准确、完整。
第十五条从事境内企业境外发行上市业务的证券公司、证券服务机构,应当遵守法律法规,遵循行业公认的业务标准和道德规范,建立并保持有效的质量控制体系,严格履行法定职责,保证所制作、出具文件的真实性、准确性和完整性。
证券公司、证券服务机构在境内开展境内企业境外发行上市业务,应当依法接受监督管理。
第十六条境内企业境外发行上市的,应当严格遵守国家法律法规和有关规定,建立健全保密制度,采取必要措施落实保密责任,不得泄露国家秘密,不得损害国家安全和公共利益。
境内企业境外发行上市涉及向境外提供个人信息和重要数据的,应当符合国家法律法规和有关规定。
第十七条国务院证券监督管理机构、国务院有关主管部门依法对境外发行上市的境内企业,以及证券公司、证券服务机构在境内开展的境内企业境外发行上市业务进行监督检查或者调查。
违反本规定的,国务院证券监督管理机构、国务院有关主管部门可视情节轻重采取责令改正、监管谈话、出具警示函等行政监管措施。
第十八条境内企业境外发行上市前,存在本规定第七条所列情形的,国务院证券监督管理机构、国务院有关主管部门应当要求境内企业暂缓或者终止境外发行上市,已经备案的,国务院证券监督管理机构可以撤销备案。
第十九条境内企业境外发行上市违反本规定的,国务院证券监督管理机构可以通过跨境监督管理合作机制通报境外证券监督管理机构。
境外证券监督管理机构对境内企业境外发行上市及相关活动进行调查取证的,可以根据跨境监督管理合作机制向国务院证券监督管理机构提出协查请求;国务院证券监督管理机构可以依法提供必要协助。境内单位和个人按照境外证券监督管理机构调查取证要求提供相关文件和资料的,应当向国务院证券监督管理机构报告,经国务院证券监督管理机构和国务院有关主管部门同意后方可提供。
第四章 法律责任
第二十条违反本规定第六条规定未履行备案程序,或者违反本规定第七条规定境外发行上市的,国务院证券监督管理机构、国务院有关主管部门对境内企业给予警告,并处以一百万元以上一千万元以下的罚款,情节严重的,责令暂停相关业务或者停业整顿、吊销相关业务资质许可或者吊销营业执照。对境内企业的控股股东、实际控制人、董事、监事、高级管理人员给予警告,单处或者并处五十万元以上五百万元以下的罚款。证券公司、律师事务所未严格履行职责、督促企业遵守相关规定的,给予警告,并处以五十万元以上五百万元以下的罚款。对有关责任人员给予警告,并处以二十万元以上二百万元以下的罚款。
第二十一条违反本规定第十四条规定,在备案材料中隐瞒重要事实或者编造重大虚假内容,尚未发行证券的,国务院证券监督管理机构对境内企业处以一百万元以上一千万元以下的罚款;已经发行证券的,对境内企业处以境外所募资金金额百分之十以上一倍以下的罚款。对境内企业的控股股东、实际控制人、董事、监事、高级管理人员给予警告,单处或者并处五十万元以上五百万元以下的罚款。
第二十二条证券公司、证券服务机构未勤勉尽责,在境内制作、出具的文件存在虚假记载、误导性陈述或者重大遗漏,或者在境外制作、出具的文件存在虚假记载、误导性陈述或者重大遗漏扰乱境内市场秩序,损害境内投资者合法权益的,国务院证券监督管理机构、国务院有关主管部门责令改正,给予警告,没收业务收入,并处以业务收入一倍以上十倍以下的罚款;没有业务收入或者业务收入不足五十万元的,处以五十万元以上五百万元以下的罚款;情节严重的,并处暂停或禁止在境内从事境内企业境外发行上市业务。对相关责任人员给予警告,并处以二十万元以上二百万元以下的罚款。
第二十三条违反本规定第三条、第八条、第九条、第十二条、第十五条、第十六条规定,国务院证券监督管理机构、国务院有关主管部门依法追究法律责任。
第二十四条违反本规定或其他法律法规,情节严重的,国务院证券监督管理机构可以对有关责任人员采取证券市场禁入的措施。构成犯罪的,依法追究刑事责任。
第二十五条国务院证券监督管理机构依法将有关市场主体遵守本规定的情况纳入证券市场诚信档案并共享至全国信用信息共享平台,会同有关部门加强信息共享,依法依规实施惩戒。
第五章 附则
第二十六条境内上市公司有控制权的所属企业到境外发行上市,以及境内上市公司以境内证券为基础在境外发行可转换为境内基础证券的存托凭证等证券品种,适用本规定,并应当符合国务院证券监督管理机构的其他相关规定。
第二十七条本规定所称境内企业,指注册在中华人民共和国境内的企业,包括境外直接发行上市的境内股份有限公司和境外间接发行上市主体的境内运营实体。
本规定所称证券公司、证券服务机构,指从事境内企业境外发行上市业务的境内外证券公司、证券服务机构。
第二十八条本规定自X年X月X日起施行。1994年8月4日国务院发布的《国务院关于股份有限公司境外募集股份及上市的特别规定》和1997年6月20日国务院发布的《国务院关于进一步加强在境外发行股票和上市管理的通知》同时废止。
Posted from SLPRO Z
中国证券监督管理委员会 (官方解读) 2021.12.24
2021年12月24日,证监会公布《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》(以下简称《管理规定》)和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(以下简称《备案办法》),向社会公开征求意见。针对各界关注的问题,记者采访了证监会有关负责同志。
一、问:请介绍完善企业境外上市监管制度的背景。
答:对外开放是我国的基本国策。近些年来,资本市场对外开放步稳蹄疾,以直接和间接形式在境外上市的企业家数不断增多,遍及香港、纽约、伦敦等多个境外市场。境外上市在支持我国企业利用外资、提高公司治理水平、深度融入世界经济等方面发挥了积极作用,境外上市企业为国家经济社会繁荣发展作出了积极贡献,境内外投资者也通过投资上市企业分享了中国经济长期稳定发展的红利。
完善企业境外上市监管制度是在资本市场深化对外开放的大背景下提出的,规范的目的是为了促进更加健康、更可持续、更为长远的发展。目前规范企业境外上市活动的法规基础主要是1994年发布的《国务院关于股份有限公司境外募集股份及上市的特别规定》(国务院令第160号,以下简称《特别规定》),其制定于我国资本市场发展初期,总体上已落后于市场实践,不能很好地适应市场发展和高水平对外开放需要。2019年12月,新修订《中华人民共和国证券法》(以下简称《证券法》)明确直接和间接境外上市应当符合国务院的有关规定。企业、中介机构、境内外投资者等市场主体十分关注境外上市监管制度的完善与改革,期待国家尽快出台制度规则进一步明确程序和要求,促进企业依法依规开展境外上市活动。
在此背景下,中国证监会会同有关部门对《特别规定》实施情况进行了认真总结和评估,针对现行制度短板和市场发展实际需要,提出了全面修订《特别规定》、统一制定规范境内企业直接和间接境外上市活动法规的工作思路,并起草形成了《管理规定》和与之配套的《备案办法》。
下一步,经履行公开征求意见等立法程序,在相关制度规则正式发布实施时,证监会还将制定发布备案指引,进一步细化备案管理的具体安排,确保市场主体在办理备案时有清晰明确的规则依据。
二、问:请介绍完善企业境外上市监管制度的必要性。
答:完善企业境外上市监管制度,不仅是助力构建国际国内双循环新发展格局的实际举措,也体现了我国深化“放管服”改革、推进资本市场扩大开放的坚定决心。
首先,这是支持企业依法合规利用境外资本市场融资发展的需要。中国证监会和有关主管部门尊重企业依法合规自主选择上市地的态度是一贯的、明确的,从来没有动摇。展望未来,扩大开放的方向不会改变,支持企业用好两种资源的态度也不会改变。完善企业境外上市监管制度,并不是对境外上市监管政策的收紧。我们将继续坚持在开放中谋发展、在规范中促发展,保持境外融资渠道畅通,为企业境外上市活动提供清晰、透明和可操作的规则,构建更加稳定、可预期的制度环境。
其次,这是推进制度型高水平对外开放的需要。境外上市作为中国资本市场双向开放的重要组成部分,应当体现高质量发展的要求。企业不管在哪里上市,遵守国家法律法规是最基本的要求。近年来,个别境外上市企业出现了财务造假等严重违法违规行为,损害了中国企业的整体国际形象,对中国企业境外融资产生了不利影响。完善企业境外上市监管制度,统筹开放和安全,提升我国企业境外上市的整体合规水平,有助于更好地发挥境外上市在促进科技进步、支持企业发展、参与国际竞争等方面的积极作用,也有利于保护境内外投资者合法权益,促进企业境外上市活动规范健康有序发展。
第三,这是深化境外上市监管“放管服”改革的需要。近年来,证监会积极推动境外上市监管“放管服”改革,精简申报文件和审核内容,大幅缩短审核周期,取得了较好的效果。备案管理将在现行境外上市监管实践的基础上坚持“放得开,管得住,服务好”,不对企业是否符合境外上市地发行上市条件等进行审查,也不搞变相审批,重在加强境内外监管协作,压实市场主体责任,在规范管理的同时放开搞活,使境外上市监管“放管服”改革持久落实见效。
三、问:请介绍境外上市备案管理平稳有序实施和过渡期的有关安排。
答:我们将坚持法不溯及既往的原则,坚持稳字当头、稳中求进,确保备案管理平稳实施。
在制度设计方面主要体现:一是先从增量开始。对增量企业和发生再融资等活动的存量企业,按要求履行备案程序;其他存量企业备案将另行安排,给予充分的过渡期。二是区分首发和再融资。充分考虑境外市场再融资便捷高效的特点,对再融资在备案时点、备案材料要求等方面作了差异化的制度安排,与境外市场实践做好衔接,减少对境外上市企业融资活动的影响。
四、问:请介绍境外上市备案管理主要流程。
答:证监会备案管理将重点关注境内企业合规情况,遵循必要、合理的原则设定备案程序和材料要求,避免过多增加企业负担,备案管理将比现行的行政许可更加高效便捷。按照备案管理制度要求,企业须对重点合规事项提交说明,中介机构须出具必要的核查意见。备案材料完备、符合规定要求的,证监会在20个工作日内出具备案通知书,如证监会认为材料反映的信息不完整、不充分,将要求企业进行补充说明。根据企业材料反映的情况,证监会视需征求有关主管部门意见,征求意见时间不计算在备案时限内,征求意见情况将及时反馈给申请人。
五、问:请介绍备案管理制度下加强境内监管协同有关考虑。
答:为保障备案管理顺利实施,证监会将与境内有关行业和领域主管部门建立监管协作机制,加强政策衔接、信息共享和监管协同,不会要求企业到多个部门拿“路条”、跑审批,尽可能减轻企业监管负担。
首先,对特定行业领域主管部门以制度规则明确要求企业境外上市前履行监管程序的,企业提交备案申请前应当取得主管部门出具的监管意见、备案或核准等文件。比如,根据《中资商业银行行政许可事项实施办法》等规定,中资商业银行境外上市前须履行银行业主管部门的审批程序。
其次,根据《管理规定》,证监会将牵头建立企业境外上市跨部门监管协调机制,在收到企业备案申请材料后,主动与有关主管部门加强沟通或征求意见,以提高备案效率。同时,证监会将配合推动有关主管部门明晰相关领域的监管制度规则,提高政策可预期性。
最后,对涉及外商投资安全审查、网络安全审查等法律法规规定范围内的企业境外上市,在提交备案申请前,企业应当依法申报安全审查。
六、问:请介绍完善跨境证券监管合作安排的有关考虑。
答:在资本市场高度全球化的今天,各国监管机构更需要加强监管合作和政策沟通。证监会将进一步推动与境外主要市场证券监管机构完善跨境证券监管合作安排。一是与境外证券监管机构建立备案信息通报机制,加强境外上市监管信息共享。二是加强跨境执法合作,共同打击企业财务造假等违法违规行为,维护市场公平和秩序,保护投资者合法权益。三是积极推进跨境审计监管合作,为企业境外上市营造良好的监管环境。
七、问:请介绍对协议控制(VIE)架构企业境外上市监管的考虑。
答:在遵守境内法律法规的前提下,满足合规要求的VIE架构企业备案后可以赴境外上市。
Posted from SLPRO Z
根据税务总局公告,四类集团内居民企业之间按照账面净值划转股权或资产的行为,暂不确认股权或资产转让所得,享受递延纳税优惠政策,同时简化征管流程,大大降低了集团企业内部交易的税收成本,进一步支持企业资源整合和做大做强,优化企业发展环境。
根据税务总局发布的《关于资产(股权)划转企业所得税征管问题的公告》(以下简称《公告》)。《公告》提出,包括母公司向子公司、子公司向母公司以及子公司之间等四种情形的股权或资产划转,可以享受递延纳税待遇,大大缓解了企业纳税资金压力,很大程度上节约了融资成本,有利于促进集团业务重组。
税务总局所得税司相关负责人表示,这一政策不仅适用于国有企业集团,也适用于其他企业集团内部的股权或资产划转交易,保证了不同所有制性质的市场主体在同一税收政策起跑线上公平竞争,有利于引导非公有制经济健康发展。
同时,按照放管结合的原则,《公告》明确,被划转股权或资产在一定时间内实质性经营活动发生改变的,应追回企业已享受的优惠待遇,防止企业出于偷逃税款的目的滥用该政策。
专家表示,近年来,我国企业兼并重组的步伐不断加快,但仍面临审批多、融资难、负担重等难题,国务院高度重视,持续优化企业兼并重组的市场环境,为企业兼并重组创造条件。税务总局此次发布公告是对此前支持企业兼并重组的税收优惠政策的进一步细化,有助于征纳双方更好地理解和执行政策,让政策红利惠及每一户纳税人,为企业做大做强、拓展国际国内市场、优化产业结构提供有力支撑。
11月28日,爱尔兰数据保护委员会(Ireland’s Data Protection Commission,以下简称IDPC)宣布,因Facebook未能更好地保护其平台免受数据被“窃取”,致使5亿多Facebook用户包括其姓名、位置信息、出生日期等在内的个人信息被公布在一个网络黑客论坛上,违反了《通用数据保护条例》(General Data Protection Regulation,以下简称GDPR)中对企业保护个人信息的要求,因此决定对Facebook的母公司Meta处以2.75亿美元罚款。
这笔由IDPC开出的罚款,使欧洲监管机构自去年以来对Meta征收的罚款累计超过了 9 亿美元。今年9月,IDPC因该公司不当处理儿童数据对其罚款约4亿美元;去年10月,IDPC因WhatsApp相关的违规行为对Meta处以约2.35亿美元的罚款。
不断累积的罚款对于那些希望看到欧盟监管机构更积极地执行GDPR的隐私保护组织来说是个积极信号。GDPR于2018年生效时被誉为监管科技公司的里程碑时刻,但自那之后,欧盟监管机构就一直饱受执行GDPR不力的批评。IDPC也因在执行GDPR上扮演着关键角色而一直面临压力。
Meta在一份声明中表示,“未经授权的数据抓取是不可接受的,这违反了我们的规则。”该公司表示,其已经更改措施防止此类行为再次发生。但Meta没有说明是否会像Instagram和WhatsApp一样,对这一处罚决定提起上诉。
Meta并不是唯一一家面临审查的科技巨头。去年,Amazon因其在线广告行为被其欧洲总部所在地的卢森堡监管机构罚款近7.5亿欧元。今年1月,Google被法国监管机构罚款1.5亿欧元,原因是未能保障其用户具有充分的途径拒绝所谓的cookie追踪器。
信息来源:The New Yorks Times
内容来源及全文链接:金融监管研究院 资深研究员 杨瑾
2022年11月11日周五,金融行业重量级大法《银行业监督管理法(修订草案征求意见稿)》(以下简称“银监法”)隆重推出。
本次修订的主要内容
(一)完善银行业金融机构公司治理架构
在这方面主要增加了以下条款:
1、机构设立、变更监管机构审查条款
2、加强对股东的监管
3、高管任职资格审批范围扩大
4、重大股权投资和发行资本工具
(二)调整监管方式,加强监管力度
1、明确了银行业金融机构的范畴,界定监管边界
2、明确划分监管类型:审慎监管和行为监管
3、增加了对从业人员的监管规则
4、增加对第三方机构的监管规定
5、银行业金融机构向监管机关信息报送规定中增加了主要股东、实控人的报送义务
6、增加监管和解规定
7、增加了处罚时效的规定
8、加强处罚力度
主要包括三个方面:
(1)完善了处罚措施 (2)提高了处罚标准 (3)扩大了处罚范围
9、增加了人员和机构双罚制度
10、增加了对银行业监督管理机构工作人员的问责制度
11、增加了银行业监督机构两项新的监管职责
12、限制境外银行业金融机构代表机构行为,增加域外适用效力
13、放开了监管部门工作人员在银行业金融机构兼职的限制
(三)事先预防和出险后处置措施
1、事先预防机制
事先预防机制主要是设置早期预警系统,规范早期介入的实施来预防重大风险。主要包括恢复和处置计划、日常监管、早期干预几个部分。
2、出险后处置措施
当银行业金融机构已经或者可能发生信用危机,严重影响存款人和其他客户合法权益时,也即风险已经出现时,监管机构可以依法对该银行业金融机构实行接管、重组,托管、撤销或者申请破产,通过以上处置使被处置金融机构恢复正常经营或者平稳有序退出。
Posted from SLPRO Z
来源:IPO头条整理
2022年11月24日,上海健耕医药科技股份有限公司(下称“健耕医药”)科创板IPO获上交所受理,本次拟募资10.23亿元。IPO保荐机构为国金证券,会计师为大华,律师为上海市通力。
事实上,这不是健耕医药第一次闯关IPO,公司此前闯关科创板IPO,在上会前夕撤回上市申请,科创板IPO终止审核。
公司曾在2020年5月申报科创板上市,期间历经4轮问询,被安排在当年12月18日上会。不过,2020年12月17日晚间,上交所发布公告显示,健耕医药撤回了发行上市申请、国金证券撤销保荐,取消审议健耕医药的发行上市申请。
此次二度IPO,健耕医药保荐机构仍是国金证券。不过,相比前次IPO,健耕医药募资额出现缩水,由11.43亿元变更为10.23亿元。
健耕医药公司是器官移植领域全球领先的医疗器械产品及服务提供商,以“推动移植领域创新与发展,助力移植患者的长期存活”为使命,构建多个具有自主知识产权的技术平台,秉承全球化发展战略,建立了覆盖近40个国家和地区的销售网络。公司产品线包括了移植术中器官保存、运输、评估及修复的设备,移植医用配套耗材、体外诊断试剂等,覆盖了器官移植术前评估、围术期处理、术后长期管理的全阶段。
吴云林持有公司 19,729,987 股股份,占公司总股本的 28.02%,同时吴云林控制的持股平台上海晶晟投资企业(有限合伙)持有公司 3,157,330 股股份,占公司总股本的 4.48%,因此,吴云林直接和间接合计可以控制公司 32.51%的股份,为公司控股股东及实际控制人。
吴云林,1971年10月出生,中国国籍,无境外永久居留权,上海中医药大学本科学历,复旦大学-华盛顿圣路易斯大学奥林商学院,EMBA。曾任上海龙华医院外科医师、香港藤泽药品有限公司区域经理;2004 年至 2014 年 11 月任健耕有限董事长、总经理;2014 年 12 月至今任公司董事长、总经理。
公司2019年、2020年、2021年、2022年前3月营收分别为3.97亿元、4.21亿元、4.8亿元、1.14亿元;同期对应的归母净利润分别为9,714.84万元、5,009.92万元、4,996.30万元、1,219.69万元。
Posted from SLPRO Z
闫鹏和律师(Harvey YAN),中银律所总所高级合伙人(北京),毕业于北京大学法学院,中国并购公会并购专家委员会委员,中国国际商会专家委员会委员,全国工商联法律维权律师团成员,曾被中国并购公会授予“最佳并购律师”荣誉称号,荣膺“2022品牌影响力·十大领军人物”。
闫鹏和律师不仅精通国内外投资并购法律政策和实务技能,而且拥有杰出的商业智慧和经济头脑,兼有深厚资源和全球视野,服务过众多知名客户和有影响力的大型项目,擅长处理综合性疑难交易和重大复杂案件,拥有十分良好的口碑和信誉,是深受欢迎的法商融合专家型律师。
