原标题:21深度丨零氪科技IPO临门刹车:这类医疗企业赴国外上市路断?
(作者:朱萍,见习记者,魏笑 编辑:徐旭)
赴美上市还有机会吗?
日前,零氪科技向美国证券交易委员会更新招股书,拟发行1082.5万股ADS,发行价区间为17.50-19.50美元,公司原计划于7月9日在纳斯达克挂牌上市。但7月9日晚,医疗大数据公司零氪科技紧急暂停IPO,上市计划被延期。后续一直未披露相关原因及相关进程。
零氪科技于2014年成立,专注于大数据治理与应用的医疗科技公司,依托AI数据治理系统,在肿瘤、罕见病等重大疾病领域提供个性化的大数据与人工智能解决方案。7月20日,零氪科技相关负责人向21世纪经济报道记者表示近期进展不便对外,有消息会进一步公开。
在零氪科技叫停赴美IPO的同时,中国健身应用Keep、中国最大的播客平台喜马拉雅均已于最近几周取消赴美IPO计划。近日,一位正在做股权架构调整的互联网医疗企业负责人向21世纪经济报道记者表示,目前在做股东结构调整,拟境外上市的计划也大概率调整。
在此之前,7月4日,国家网信办明确滴滴存在“严重违法收集使用个人信息”问题,被责令下架整改。7月6日,国务院发布严打证券违法活动的通知,核心就是“加强境外上市中概股监管”,关键词有“数据安全法规”、“涉密信息管理”等。
7月10日,国家网信办发布《网络安全审查办法(修订草案征求意见稿)》(下称《意见稿》),《意见稿》显示:掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
浙江京衡(宁波)律师事务所律师章李向21世纪经济报道记者指出,未来将更加强化信息保护,只要涉及掌握个人信息超过法定人数的互联网行业都要受到制约,医疗行业数据更为敏感,后续相关互联网医疗企业国外上市或更为艰难。
相关新规
近年来互联网医疗行业不断发展,艾媒咨询数据显示,2020年中国移动医疗用户规模达到6.61亿人,2020年中国移动医疗市场规模已达到544.7亿元。在2020年新冠疫情影响下,居民对于医药电商、互联网医疗平台使用需求进一步提升,推动用户规模快速增长。
艾媒咨询分析师认为,国内“互联网+”在医疗领域的应用规模也逐步扩大,医疗器械设备与电商行业发展使中国互联网医疗行业市场迎来新的机遇。
在大数据、人工智能、云计算等先进技术的支撑下,互联网医疗得到更深层次的发展,涌现了医渡科技、零氪科技等一批提供大数据医疗解决方案的企业。根据艾瑞咨询数据显示,2020年中国健康大数据解决方案市场规模达到178亿元,预计将以39.3%的复合年增长率增至2026年的1303亿元。
然而在伴随互联网医疗市场发展的同时,健康医疗对数据抓取以及采集的精度挑战很大,数据分析和加工的难度不小,需要跨界融合。并且这涉及健康医疗数据安全问题,数据的泄露会导致个人隐私信息丢失。此外,AI、大数据在医疗方面的应用才刚刚起步,数据化、新兴技术审评审批程序及相关监管政策仍有待完善。基于此,目前行业整体集中度较低,且新进入者较多。
中国政法大学教授、中国政法大学互联网金融法律研究院院长、北京市法学会网络法学研究会会长李爱君向21世纪经济报道记者指出,健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。医疗大数据是国家重要基础性战略资源,它涉及国家战略安全、人民群众生命安全和个人信息安全。
“医疗数据可分为个人信息数据和非个人信息数据,个人信息数据包括隐私数据或敏感数据;非个人信息数据包括重要数据和其它数据。因此医疗数据的处理应遵守已出台的《网络安全法》、《数据安全法》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进‘互联网+医疗健康’发展的意见》的规定及部门规章。”李爱君向21世纪经济报道记者分析说。
根据《数据安全法》规定:“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定,在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定,负责统筹协调网络数据安全和相关监管工作。”
对于互联网医疗的数据安全问题,国家卫生健康委员会也于2018年7月12日颁布《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称《管理办法》),对互联网医疗的安全问题及相关标准进行规定,这其中也包括向境外提供医疗数据方面的相关管理措施。
《管理办法》在第十六条中,对健康医疗大数据安全管理进行定义,健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理。
在第三十条中,《管理办法》明确说明了健康医疗数据的储存管理和出境的相关规定。这其中提到健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。所以,未经安全审核的互联网医疗数据是无法出境的。
《管理办法》与《网络安全法》中数据出境的基本原则一致,即境内储存与出境安全评估相结合。同时,《管理办法》还要求责任单位委托他人运营储存数据时,委托单位与受托单位共同承担健康医疗大数据的安全责任。
除《管理办法》对互联网医疗数据的相关规定外,于2020年10月17日通过、自2021年4月15日起施行的《中华人民共和国生物安全法》,也有对生物信息对外使用的相关规定。
在《生物安全法》第五十六条中,规定了应当经国务院科学技术主管部门批准的相关活动。其中包括,利用我国人类遗传资源开展国际科学研究合作。在第五十七条中,也规定将我国人类遗传资源信息向境外组织、个人及其设立或者实际控制的机构提供或者开放使用的,应当向国务院科学技术主管部门事先报告并提交信息备份。
目前虽已存在关于医疗数据安全的相关法律规定,但这些都散见于医疗健康产业和数据安全的规范性文件、法律法规和行业政策中,与美国HIPPA相比,我国在医疗数据安全领域并无专门立法,也没有形成医疗数据立法的整体体系。目前的数据安全立法情况,也呈现出重视个人信息保护,而非个人信息类数据保护并不完善的局面。此外,相关法律规定中的监管主体也并不清晰。这些都会给互联网医疗企业的发展带来不确定性。
“跨境数据流动”或影响国家安全
数据安全、数据出境方面监管为何持续收紧?其或与国外上市后关键信息基础设施,核心数据、重要数据或大量个人信息被国外政府影响、控制、恶意利用,从而影响国家安全、公共利益和社会稳定有关。
2020年12月,美国国会最终通过《外国公司问责法案》并经总统签署后正式生效。浙江大学管理学院教授、博士生导师韩洪灵认为,该法案具有明显的证券监管政治化趋势。
其具体表现为,该法案对外国公司在美上市提出额外的信息披露要求,规定任何一家外国公司连续三年未能遵守PCAOB的审计要求将禁止上市,PCAOB要求享有定期检查在美注册的会计师事务所的权力,包括可以自由查阅审计工作底稿。此外,该法案还要求在美上市公司证明其“不是由外国政府拥有和控制”、要求“发行人必须在PCAOB无法进行上述检查的每一年份,向SEC披露国有股比例等信息”。
在某种程度上,美方对中概股的一系列监管的本质是裹挟于治理和管制外衣下对我国国家安全的潜在侵害。
例如滴滴,其在美国上市后,必须按照《外国公司问责法案》呈交审计底稿、亦或是用户数据和城市地图为代表的部分数据,而这些都是关乎国家数据主权的核心数据。海外上市后,不排除滴滴在美国监管压力下可能存在数据跨境流动的数据安全隐患,包括因高管人为的主动泄露和因海外监管压力、网络安全体系和技术能力不足而带来的被动泄露,这些都可能直接影响国家安全、公共利益和社会稳定。
实际上,“跨境数据流动”的概念最早于20世纪70年代由经济合作与发展组织(OECD)提出,对跨境数据流动进行监管的核心意义在于维护国家数据主权,保障国家数据安全。
为进一步维护国家数据主权,保障国家数据安全,7月10日,国家网信办发布通知称,国家网信办会同有关部门修订了《网络安全审查办法》,向社会公开征求意见。办法提出,掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
零氪科技所涉用户个人信息也超百万。根据招股书,该公司有超过250万名患者超过900万次纵向医疗记录。纵向记录是基于同一个患者不同时间的全面医疗记录。
此外,针对美国《外国公司问责法案》,我国监管则规定,企业不得擅自向境外提供与证券业务活动有关文件资料。例2020年3月正式实施的《中华人民共和国证券法》强调:“未经国务院证券监督管理机构和国务院有关主管部门同意,任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”
互联网医疗企业赴美IPO还有机会吗?
对于互联网科技企业,美国股市往往会给予高估值。对于目标惠及全人类,目标对象区域性限制较小的医疗企业,境外上市也一直是不错的选择。美国股市全球体量最大、交易额最高,也有着更多的机会。
相较于中国股市,美国股市的发展已经很成熟,拥有多层次活跃的资本市场,其管理更加规范透明。美国上市股票溢价高于中国,同时也有着更大的市值增长空间。赴美上市有利于企业建立国际化的资本运作平台,提高企业声望,吸引高质量的管理和技术人才。
然而近年来,中美竞争加剧和关系恶化,也为赴美上市带来了很多不确定性。美国股市针对其海外上市企业的相关政策也在发生变化,在这些不确定性的影响下,赴美上市的流程可控和成本低廉的优势也不再明显。我国出于国家安全考虑,也在改变科技公司赴国外上市的规定。
目前,我国正在收紧科技公司海外上市审批规则。新修订的《网络安全审查办法》明确表示企业在海外IPO后,重要数据存在被窃取、“被外国政府影响、控制或恶意利用”等风险。由此规定掌握超过100万用户个人信息的公司赴海外上市前,必须进行网络安全审批。
我国现在高度警惕为外国利用数据的风险,除日前对滴滴进行的调查和整治外,调查范围还将扩展到滴滴以外的两家在美上市公司。监管机构还将会对规则进行完善,以弥补中国大型科技企业在海外上市中使用的漏洞。据熟悉情况的相关人士透露,即使在本土外进行的法人登记,也有义务从我国相关部门取得IPO授权。
对于数据出境的问题,我国在《网络安全法》明确规定,因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。
在今年6月10日通过的《中华人民共和国数据安全法》中,第三十三条规定了境外执法机构要求调取存储于中华人民共和国境内的数据的,有关组织、个人应当向有关主管机关报告,获得批准后方可提供。中华人民共和国缔结或者参加的国际条约、协定对外国执法机构调取境内数据有规定的,依照其规定。
《数据安全法》出台促进了医疗机构、产业对于数据安全的重视。众多人工智能、医疗大数据企业,医疗机构均在加强对《数据安全法》的学习,并开启内部数据合规性审查。“《数据安全法》是一部既讲保护又讲发展的法律,在法律规定上有不少创新,但同时给企业数据合规带来了一系列挑战。”商汤产业研究院相关负责人指出。
章李向21世纪经济报道记者指出,包括医疗行业在内的企业,只要是涉及掌握个人信息超过法定人数的互联网企业国外上市都将受到制约。
包括零氪医疗在内准备赴国外上市的互联网医疗企业直接受到影响,终止IPO,截至目前也没有相关进展及措施公布。另据21世纪经济报道记者了解,受此影响,一些仍在辅导前的互联网医疗企业近日也在调整相关架构,部分也在退出美元基金。
另有业内资深律师指出,国家未来在信息安全问题上,越来越走向高度的规范化、法治化,在海外证券机构要求中概股企业披露有关信息时,设立在中国境内的数据库资源必须按照中国法律进行规制,经评估后可以披露的,允许其披露。经评估不允许披露的,则坚决杜绝其披露。做好企业的数据安全评估,是国家管理的应有之责,有关企业均应无条件配合。