站在风口的SaaS行业——香港上市法律合规要点
前言
近几年来,中国SaaS行业获得了迅速发展,尤其是2020年至今,SaaS服务的商业价值被市场高度认可。从资本市场来看,无论是在一级市场还是二级市场,SaaS企业均受到热烈追捧。2021年伊始,站在风口的SaaS行业几乎每隔几天就会有一级市场融资消息被宣布,而在二级市场,“新经济SaaS第一股”的微盟集团(02013.HK)自2019年1月15日在香港上市至今,最近一个交易日的股价较IPO发行价已上涨超过4.5倍,其它的SaaS概念股例如明源云(00909.HK)、汇量科技(01860.HK)等近年来也有较大涨幅。
本文将结合SaaS行业的监管政策及我们的项目经验,着重分析SaaS行业的中国企业在香港上市过程中需关注的法律合规要点,供读者参考。
一、什么是SaaS?
SaaS是Software-as-a-Service(软件即服务)的简称,SaaS供应商通常可以为企业搭建信息化所需要的核心网络基础设施及软硬件运作平台等。
企业如果使用传统的软件,除了需要自行购买和不断升级软件外,还需要构建并长期维护自己独立的硬件设备等,综合成本会相对较高;而使用SaaS产品,则可以直接享受成熟的软件服务并通过互联网使用可共享的基础设备,且一般可根据对SaaS产品的订阅量付费,综合成本相对较低并可以根据企业自身需求进行灵活调整。
二、SaaS行业涉及的主要行业法规和监管部门
(一)行业法规
SaaS行业除了涉及软件产业法规,还因其互联网属性需要遵守信息服务、网络安全和信息安全等法规,此外在广告宣传等方面还应按照市场监督管理类法规予以规范,主要法规如下:
1. 国务院关于印发鼓励软件产业和集成电路产业发展若干政策的通知(国发〔2000〕18号),于2000年6月24日起实施;
2. 国务院关于印发进一步鼓励软件产业和集成电路产业发展若干政策的通知(国发〔2011〕4号),于2011年1月28日起实施;
3. 计算机软件保护条例(国务院令第632号)(2013年修订),于2013年3月1日起实施;
4. 全国人民代表大会常务委员会关于维护互联网安全的决定(2009年修正),于2009年8月27日起实施;
5. 中华人民共和国网络安全法(主席令第53号),于2017年6月1日起实施;
6. 中华人民共和国数据安全法(主席令第84号),于2021年9月1日起实施;
7. 网络安全审查办法(国家互联网信息办公室等十二部委令第6号),于2020年6月1日起实施;
8. 互联网安全保护技术措施规定(公安部令第82号),于2006年3月1日起实施;
9. 信息安全等级保护管理办法(公通字[2007]43号),于2007年6月22日起实施;
10. 贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见(公网安[2020]1960号),于2020年7月22日发布并开始执行;
11. 中华人民共和国电信条例(国务院令第666号)(2016年修订),于2016年2月6日起实施;
12. 互联网信息服务管理办法(国务院令第588号)(2011年修订),于2011年1月8日起实施;
13. 电信业务经营许可管理办法(工业和信息化部令第42号),于2017年9月1日起实施;
14. 规范互联网信息服务市场秩序若干规定(工业和信息化部令第20号),于2012年3月15日起实施;
15. 电信和互联网用户个人信息保护规定(工业和信息化部令第24号),于2013年9月1日起实施;
16. 中华人民共和国消费者权益保护法(主席令第7号)(2013年修订),于2014年3月15日起实施;
17. 中华人民共和国广告法(主席令第16号)(2018年修订),于2018年10月26日起实施;
18. 互联网广告管理暂行办法(工商行政管理总局令第87号),于2016年9月1日起实施。
(二)监管部门
SaaS行业首先受到工信主管部门的行业监管,同时通过互联网开展业务会涉及相关行业准入、网络安全和一般的日常经营规范等事项,因而也受到互联网行业监管部门、公安部门和市场监督管理等部门的多重监管,此外,如果涉及特殊业务还可能受到相应的行业主管部门监管。SaaS行业通常相关的主要监管部门及其职责如下:
1
工信部门
负责SaaS行业整体监管,并会同网信、电信、公安等部门开展综合治理工作。
2
通信部门
负责互联网(含移动互联网,下同)信息通信准入管理,与网信、公安部门配合做好监管工作。
3
网信部门
负责互联网信息内容管理和监督管理执法工作,与通信、公安部门配合做好监管工作。
4
公安部门
负责网络安全防护、用户信息保护制度和接入用户身份管理等的备案审查等,与网信、通信部门配合做好监管工作。
5
市场监督管理部门
负责SaaS行业企业的登记管理,依法查处违规收费,虚假、违法广告等行为。
三、SaaS行业中国企业可能需要取得的资质证照
(一)无需取得特殊资质证照的情况
在不涉及经营性互联网信息服务业务和其它特殊业务的情况下,SaaS行业的企业例如微盟集团(02013.HK)、汇量科技(01860.HK)和兑吧集团(01753.HK)只需要取得适当的《营业执照》即可,但从香港上市角度,可能也需要根据企业具体情况应证券监管机构的要求在招股书中解释企业为何无需取得互联网信息服务业务这一类别下的《增值电信业务经营许可证》(“ICP证”)和经营性互联网文化活动下的《网络文化经营许可证》(“文网文”)等。
例如,微盟集团(02013.HK)在招股书中披露了中国法律顾问认为其无需取得ICP证并得到了省级通信管理局的确认;汇量科技(01860.HK)在招股书中从法律适用的角度详细分析了其为何无需取得文网文并向省级文化主管部门寻求了确认。
(二)需要取得特殊资质证照的情况
但是,如果涉及互联网信息服务业务和其它特殊行业监管,则可能涉及需要取得以下资质证照:
1、ICP证
根据《互联网信息服务管理办法》,经营性互联网信息服务,是指通过互联网向上网用户有偿提供信息或者网页制作等服务活动,国家对经营性互联网信息服务实行许可制度。
如果企业除了SaaS业务,还涉及经营性互联网信息服务业务,则需要取得ICP证。例如,明源云(00909.HK)主要为中国房地产开发商及房地产产业链其他参与者(如建筑材料供应商和房地产资产管理公司)提供企业级ERP解决方案及SaaS产品,其招股书披露深圳市明源云采购科技有限公司“经营采购及供应链管理平台涉及有偿为房地产开发商及供应商提供采购信息”,该公司与当地通信管理局市场监管处(互联网管理处)咨询确认经营该等业务属于向客户提供“收费信息服务”而应当取得ICP证。
2、网络安全等级保护备案证明
根据2007年生效实施的《信息安全等级保护管理办法》,国家信息安全等级保护坚持自主定级、自主保护的原则。信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定,信息系统的安全保护等级分为五级,信息系统安全等级保护机制,被称为“等保1.0”。
根据《信息安全等级保护管理办法》的相关要求,已运营(运行)的第二级以上信息系统,应当在安全保护等级确定后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。新建第二级以上信息系统,应当在投入运行后30日内,由其运营、使用单位到所在地设区的市级以上公安机关办理备案手续。
例如,医渡科技(02158.HK)在其招股书中披露了两家境内运营实体取得了信息系统安全等级保护备案证明。
值得注意的是,《中华人民共和国网络安全法》第二十一条确立了网络安全等级保护制度(又被称为“等保2.0”),以替代原有的信息系统安全等级保护制度,将等级保护的对象从原有的信息系统扩展到所有的网络,特别是将云计算、物联网、移动互联、工业控制系统等纳入了保护范围。虽然新的《网络安全等级保护条例》仍在起草过程中,但自2019年以来,等保2.0的五项主要国家标准已经陆续颁布实施,并全面替代了等保1.0的原有标准。2020年7月22日,公安部发布了《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》,明确要求网络运营者全面梳理其各类网络情况,并根据网络的功能、服务范围、服务对象和处理数据等情况,确定其网络的安全保护等级,就第二级以上网络向公安机关备案,并向行业主管部门报备。同时,公安部门也开始对符合备案条件的网络出具网络安全等级保护备案证明,以替代原有的信息系统安全等级保护备案证明。
因此,建议企业根据自身所管理和运营的网络情况和业务开展需求,按照等保2.0的标准确定其所运营的网络的安全保护等级,并据此评估是否需要履行相应的备案手续及其他等保义务。
3、其它特殊资质证照
如果企业主要面向金融、医疗等特殊行业开展SaaS业务,则有可能根据其业务需要同时取得ICP证和相关的特殊业务许可证或资质。
例如,百融云创(06608.HK)在招股书中披露其主要面向金融行业开展数据分析和精准营销业务,该等业务涉及需要取得ICP证的经营性互联网信息服务业务,同时,该公司的保险分销业务也完全融入在上述业务中无法单独分离出来,该公司也需要就其保险分销业务取得《经营保险经纪业务许可证》。
医渡科技(02158.HK)在招股书中披露其基于大数据和人工智能(AI)技术提供医疗健康大数据和软件技术解决方案,与之相关衍生出的部分业务相应取得了资质证照包括医疗器械经营许可证、第二类医疗器械经营备案、药品经营许可证、药品经营质量管理规范认证证书、互联网药品信息服务资格证书等。
四、SaaS行业中国企业香港上市的法律关注要点
从上市合规和防范法律风险的角度而言,除了上述经营资质证照,建议SaaS行业的企业重点关注以下法律事项:
(一)知识产权
根据《计算机软件保护条例》,软件著作权自软件开发完成之日起产生。法人或者其他组织的软件著作权,保护期为50年,截止于软件首次发表后第50年的12月31日,但软件自开发完成之日起50年内未发表的,该条例不再保护。
对SaaS行业的企业而言,计算机软件著作权是核心资源,应及时就软件著作权向国家版权局申请登记和适时发表。同时,也建议企业做好域名注册和专利权、商标专用权的申请登记等知识产权保护措施。
另外,也建议企业避免侵犯第三方的知识产权,在日常运营中为员工配置正版软件,以免在申请香港上市过程中被权利人投诉至证券监管机构。
(二)网络安全
根据《中华人民共和国网络安全法》,建设、运营网络或者通过网络提供服务,应当依法采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
SaaS企业在网络安全方面,应注意满足如下要求:
1、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
2、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
3、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;及
4、采取数据分类、重要数据备份和加密等措施等。
(三)数据和信息安全
根据《中华人民共和国网络安全法》和《中华人民共和国数据安全法》等法规,SaaS企业在在数据和信息安全方面,应注意满足如下要求:
1、网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守《中华人民共和国个人信息保护法》和有关法律、行政法规关于个人信息保护的规定。
2、网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
3、开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。
此外,如果涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的重要网络设施、信息系统等关键信息基础设施的运营,企业还应当自行或者配合关键信息基础设施运营者落实《关键信息基础设施安全保护条例》等法规规定的责任义务。
(四)与渠道合作伙伴的关系
SaaS企业的销售模式之一是通过渠道合作伙伴拓展客户,在与渠道合作伙伴的关系方面,部分企业已经引入渠道合作伙伴作为股东实施了股权激励或者提出了相关计划。
例如,明源云(00909.HK)在招股书中披露引入13名个人(为41个区域渠道合作伙伴的股东)共计持有该公司不到2%的股权,以此激励该等人士的营销工作。在向该等人士授出有关股权激励时,该公司考虑了诸多与区域合作伙伴有关的因素,包括合作年期、战略关系、收入贡献及地理覆盖范围。
该公司招股书也披露,上述获得激励人士的相关区域渠道合作伙伴需要与公司签署独立性确认条款,确认其与该公司交易时未利用前述股东身份关系谋取利益,在日常业务经营中,股东身份关系没有影响其业务独立性。该公司也确认,其与上述获得激励人士的相关区域渠道合作伙伴前述的业务合同,与其他的渠道合作伙伴的合同条款完全相同。
(五)其它合规问题
基于SaaS企业的人员结构和业务模式特点,该等企业的销售业务涉及的地域和需要雇佣的人员可能较为分散,也由此增加了在社会保险费和住房公积金缴纳方面存在不合规(例如缴费基数不足或者存在第三方代缴情形等)的风险,以及租赁办公场地较多但未能及时办理租赁登记备案的风险。
建议企业也注意加强在人力资源和物业租赁方面的法律合规,满足香港上市的一般要求。
结语
作为中国的新经济产业,SaaS行业方兴未艾、前景广阔,机遇与挑战并存。我们相信,在巨大的市场需求推动下,SaaS行业将迎来新一轮爆发式增长。我们也希望,本文可为SaaS行业的中国企业加强法律合规管理提供一些有益的参考,助推业务长足发展,也为企业未来走向资本市场打好合规运营的坚实基础。
合规专栏往期文章
5. 新行政处罚时代的海关执法——解读《海关办理行政处罚案件程序规定》
8. 新冠肺炎疫情对商业合同履行的影响及其法律应对9. 新冠病毒疫情下电子签名的使用指南10. 外资券商“抢滩”A股——你所需要知道的证券合规风险11. Safe Landings: Navigating the Chinese Securities Market12. New Trends of CSRC Enforcement Against Securites Violations13. 美国司法部近日更新《企业合规体系评价指引》14. 教育培训机构广告合规风险防控
15. 中国特色证券集团诉讼制度前景观察16. Laying the groundwork for China's Securities Class Action System
合伙人
010-5809 1189
lang.yuanpeng@jingtian.com
郎元鹏律师先后毕业于西南政法大学、外交学院,分别获得法学学士学位、国际法硕士学位,并曾担任美国华盛顿大学法学院访问学者。郎律师具有22年以上的律师执业经验,系北京市朝阳区人民政府认定的“CBD国际高端商务人才(商务精英)”,先后被《国际金融法律评论》(IFLR1000)评为“知名律师”、《法律500强》(The Legal 500)“TMT领域特别推荐律师”,并在“证券与资本市场:境外发行”及“医疗与生命科学”领域获得国际法律媒体LEGALBAND“顶级律师”推荐。
郎律师自2000年初即开始从事中国企业的国际投资、融资与上市工作,先后作为合伙人或者项目律师参与了众多企业重组、私募融资、境内外上市、债券发行、并购和结构性融资项目,涉及的证券市场包括上海证券交易所、深圳证券交易所、香港联交所、新加坡交易所、美国纽约证券交易所、NASDAQ市场、日本东京证券交易所、英国伦敦交易所(包括主板和AIM市场)、吉隆坡证券交易所等,成功完成的IPO项目逾70家,具有丰富和全面的资本市场经验。
郎律师同时兼任北京市朝阳地区海外联谊会监事长、中国国际法学会会员、北京市律师协会公司法委员会副主任、北京海通国际知识产权研究院院长、对外经济贸易大学国际商学院MBA校外导师。
郎元鹏律师历史文章
1. 美妆电商的法律监管概览
4. 民营医疗机构:赴港IPO之合规注意事项探析
5. 沉者为金!一文读懂网络剧、网络大电影监管全流程6. 互联网文化行业法律监管要点观察
7. 新三板转板上市指导意见“征求意见稿”八大看点8. 【一带一路实现“中国梦”的世界篇章】“一带一路”项目实施中需知道的伊斯兰银行金融规则9. 【一带一路实现“中国梦”的世界篇章】印度全面开放外商投资10. 【一带一路特辑】沙特“2030愿景”:伊斯兰金融与“一带一路”市场的接轨11. 【一带一路特辑】2016年沙特新公司法—宣示沙特公司法的现代化12. 【一带一路特辑】沙特阿拉伯王国建设工程合同审查应注意事项和争端解决13. 让“一带一路”投资在中东和北非国家走得更稳更安全 -《迪拜国际仲裁中心规则》介绍
师卿
律师
010-5809 1094
shi.qing@jingtian.com
师卿律师的执业领域为境内外上市、债券发行、并购、投融资与公司日常法律事务等。
师律师专长于互联网、医疗/医药、教育、金融、物管、制造业等行业的资本市场业务,近期参与项目包括赛迪顾问(HK.2176)、中国科培教育(01890.HK)、友联融资租赁(01563.HK)、华检医疗控股(01931.HK)、爱康医疗(01789.HK)、齐鲁高速(01576.HK)、遊莱互动(02022.HK)、瑞斯康集团(01679.HK)等香港上市项目;第一高中教育(NYSE:FHS)、华富教育(NASDAQ:WAFU)等美国上市项目及多家知名企业的美元债发行项目、并购和投融资项目。