境外上市数据安全问题即将被纳入监管。历经三个多月的草案修订，日前国家互联网信息办公室(下称“网信办”)公布了《网络数据安全管理条例(征求意见稿)》(下称《征求意见稿》)，不仅规定了国家要建立数据分类分级保护制度，对于数据处理者如何处理数据、建立数据安全应急处置机制等问题给出了明确要求。还规定“处理一百万人以上个人信息的数据处理者赴国外上市的”需要进行网络安全审查。

今年以来，跨境数据安全成为了悬在中概股头上的达摩克利斯之剑。与此同时，美国证监会等政策的不确定性更是加大了赴美上市的监管成本。今年7月，SEC更是停止了对中国企业IPO的审查。

因此7月以来，近十家中国互联网公司取消了赴美上市计划。政策信号的收紧，也引发了资本市场的波动，不少中概股遭抛售。根据同花顺数据统计，中国互联网50指数年初至今跌幅达30%，较年内高点最大跌幅近五成。据新快报记者不完全统计，今年以来，超过50只中概股股价腰斩。

因此在业内看来中概股回归港股、中资企业赴港上市或将成为更好的选择。值得注意的是《意见稿》中对于“国外上市”和“香港上市”采取了不同的态度，其中规定了“掌握超过100万用户个人信息的运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。而对于香港上市作出了差异化的规定，仅规定在相应上市具有国家安全影响考量时才启动安全审查。

不过，征求意见稿并未对“影响或者可能影响国家安全的”范围和认定标准做出界定。汉坤律师事务所律师段志超表示，申报网络安全审查的主体限定在“数据处理者”，且对于100万用户个人信息的触发阈值使用了“掌握”这一相对模糊的概念，是否意味着在业务过程中主要接受委托处理数据第三方也需要纳入监管?比如各类云服务供应商，是否构成征求意见稿所述的“数据处理者”，仍有待监管的进一步明确。