国家安全审查涉及的股权变更

一、哪些交易会触发“安审”？

这是所有问题的起点。很多客户第一反应是：“我们就是两家国内公司之间转股，或者引入个外资小股东，不涉及军工、能源，应该没事吧？”这种想法在当下已经非常危险了。触发安审的股权变更，范围远比想象中广。核心是看“控制权”是否发生或可能发生变化，以及是否涉及“敏感领域”。具体来说，第一类是明确的外商投资，特别是取得控制权的情形。第二类容易被忽略的，是“境内企业通过境外交易实现控制权变更”，比如一家中国公司的实际控制人是个外籍人士，他在境外转让其持有的离岸控股公司的股权，从而导致境内运营实体的最终控制人变更，这种“曲线救国”的方式现在已被明确纳入审查范围。第三类，是内资企业之间的股权变更，但如果资金来源“穿透”后涉及境外敌对势力或敏感主体，也可能被关注。我印象很深的一个案例，一家做地理信息系统（GIS）软件的国内“小巨人”企业，计划引入一家注册在开曼的基金。表面看是VIE架构下的常规操作，但在尽调中发现，该基金的主要LP（有限合伙人）中，有某国政府背景的养老金。虽然投资比例不大，但最终这笔交易在申报阶段就被建议主动申请安全审查，因为GIS数据涉及地理信息安全。这个案例告诉我们，“敏感领域”的定义在不断扩展，早已不限于传统军工，而是覆盖了信息技术、互联网数据、人工智能、高端装备、农业种子等关键行业。

二、审查的核心关注点：穿透与实质

一旦交易进入审查视野，监管机构看什么？绝不是只看股权结构图的第一层。他们的“火眼金睛”会进行“穿透式审查”。第一，穿透看最终投资人。会一直追溯到自然人或最终受政府控制的实体，识别其国籍、背景、是否与敏感国家或组织有关联。第二，穿透看资金来源。钱的来路是否清晰，是否涉及洗钱或非法资本。第三，也是我个人认为最具挑战性的，是穿透看“实质运营与数据控制”。比如，一家外资通过协议控制（VIE）境内一家拥有大量用户出行数据的平台，即使股权上是内资，但其董事会构成、核心技术决策、数据服务器的实际管理和访问权限如果被外资实质影响，就会被认定为取得了控制权。我们曾协助一家新能源汽车零部件企业处理外资并购案，审查问询函里详细到了要求提供“外资方能否通过云平台远程访问生产线的实时工况数据”的说明。这已经远远超出了所有权的范畴，进入了“运营控制权”和“数据主权”的深水区。行政工作中最大的挑战莫过于此：如何向客户解释，仅仅法律文件上的“干净”远远不够，必须从业务、技术、数据流等多个维度去评估和准备应对方案。

三、不同主体与模式的审查差异

不是所有涉及外资的股权变更都“一刀切”。审查的强度和侧重点，因主体和模式不同而有显著差异。私募股权（PE/VC）投资与产业战略投资就被区别对待。对于纯财务投资的PE基金，审查重点在于其资金来源和最终出资人背景，以及其是否谋求对企业战略决策和日常运营的干预。而对于产业投资者，特别是同行业或上下游的巨头，审查则会异常严格，会深入分析并购后是否可能导致核心技术的流失、市场垄断或供应链安全隐患。另外，“绿地投资”（新建）和“褐地投资”（并购）的审查逻辑也不同。新建项目相对清晰，关注点在于拟从事的业务本身是否敏感。而并购项目则复杂得多，因为它改变了现有企业的控制权，审查方必须评估这种改变带来的累积效应和潜在风险。我们遇到过一个典型案例，某欧洲工业集团想收购一家国内细分领域的隐形冠军。该集团本身在业内声誉良好，但审查中发现，该集团在五年前收购过一家美国公司，而这家美国公司恰好为某国军方提供过非核心零部件。尽管关联度不高，但这个“历史污点”使得审查周期被大大拉长，最终通过了一系列苛刻的补救措施（如设立隔离防火墙、确保中国公司数据独立存储等）才得以放行。这提醒我们，在全球化背景下，投资者的“历史清白”同样重要。

四、申报流程与时间线的现实挑战

理论上，安全审查有明确的申报、受理、初审、特别审查等阶段，并规定了大致的时间框架。但实操中，“时间不确定性”是最大的挑战之一。首先，“申报前商谈”环节变得至关重要。我们强烈建议企业在正式提交材料前，与监管部门进行非正式沟通，探明口风，明确材料准备的重点。这个阶段可能反复多次，本身就不计入法定审查时限。其次，一旦进入“特别审查”阶段（通常意味着存在重大疑虑），时间可以延长至数月甚至更久。这段时间里，交易处于“悬停”状态，可能产生高昂的财务成本（如过桥贷款利息）和商业机会损失。更棘手的是，审查过程并非单向提交材料，而是充满动态的“问询与反馈”。监管部门的问题往往非常具体和专业，需要企业调动技术、法务、业务等多个部门协同回答，一轮又一轮。我曾负责的一个涉及半导体材料企业的项目，在初审阶段就收到了长达三页、涉及二十几个具体技术参数和供应链细节的问题清单。组织内部专家回答、确保表述既准确又不泄露商业秘密，这个过程耗费了巨大的精力。因此，在交易时间表中，必须为安审留出充足的弹性空间，并做好全面的预案。

五、风险缓释与承诺措施

如果审查机构认为交易存在风险，但并非不可接受，往往会通过附加“限制性条件”或要求交易方作出承诺的方式予以批准。这是交易能否最终落地的关键谈判点。常见的风险缓释措施包括：业务隔离（如要求被收购的敏感业务独立运营，与外资股东的其他业务设立防火墙）、技术限制（如约定某些核心技术不得向境外转移或共享）、数据本地化（要求相关数据存储和处理服务器位于境内，并限制出境）、保持中方控制（如在董事会保留特定否决权，或确保关键岗位由中方人员担任）以及供应链安全承诺（保证关键原材料或部件的供应不因交易而中断）。这些承诺不是一纸空文，后续会有持续的监督和检查。企业必须评估这些条件对交易商业价值的实际影响。例如，如果外资投资的核心目的就是为了获取技术协同，而“技术限制”条款完全堵死了这条路，那么这笔交易可能就失去了意义。因此，在申报前期，就要与投资方一起，预先研判可能被施加的条件，并评估自身的底线在哪里。

六、违规后果与事后监管

千万别以为审查通过就万事大吉了。国家安全审查是“长牙齿”的，事后监管和违规处罚越来越严厉。对于“应报未报”或“骗取批准”的行为，监管机构可以责令终止交易、限期处分股权、恢复原状，并处以罚款。更重要的是，相关企业和责任人可能会被列入失信名单，影响后续所有融资和运营活动。我了解到一个未经官方证实但业内流传的案例：某互联网公司在外资股权变更后，未主动申报，后来因其业务涉及大量地图和位置数据，在后续的常态化核查中被发现。最终，不仅被要求外资方减持股份，公司本身也受到了严厉的行政处罚，品牌声誉严重受损。此外，即使通过了审查，如果企业后续的实际运营违反了当初作出的承诺，比如擅自将承诺本地化的数据传出境外，同样会面临被处罚的风险。这意味着，合规管理必须是一个持续的过程，需要将安审承诺融入公司的日常治理和内控体系之中。

七、企业的应对策略与建议

面对日益严格的国家安全审查，企业不能再被动应对。首先，要树立“安审优先”的思维。在筹划任何涉及控制权变更（尤其是涉外）的交易之初，就应将安全审查作为可行性分析的核心一环，进行自我预判。其次，组建跨职能团队至关重要。这个团队需要包含法务、财务、业务、技术（特别是数据安全负责人）等核心人员，确保能从多角度评估风险、准备材料。第三，善用专业中介。经验丰富的律师、财税顾问（比如我们加喜）熟悉审查的关注点和沟通渠道，能帮助企业更高效地 navigate（驾驭）整个流程。第四，保持透明、坦诚的沟通态度。向监管机构隐瞒或美化信息是最大的忌讳，一旦被发现，将直接导致信任破产。最后，要有“B计划”。在交易协议中，要充分考虑安审不通过或附条件通过的各种情形，设计好交易终止、价格调整、费用分担等条款，以最大限度降低不确定性带来的损失。