外资并购涉及的安全审查流程

引言：安全审查，跨境并购的“隐形红线”

在财税服务行业摸爬滚打了这么多年，特别是盯着外资准入这块业务，我最大的感触是：外资并购早已不是“有钱就能进”的简单买卖了。 从2003年那个大家还不太懂什么叫国家安全审查的年代，到现在2025年监管体系已经细化到“穿透看实质”，变化可谓翻天覆地。很多老板找到我们加喜商务财税，上来就问流程，但往往会忽略一个核心问题——你的项目能不能过安全审查这道关？

政策背景很明确，《外商投资安全审查办法》2021年正式施行，后来不断细化，监管趋势是“宽进严管”，该放的放开，但涉及军工、关键基础设施、重要信息技术、粮食与能源资源这些领域，审查力度是逐年加码的。特别是当前国际地缘政治复杂，各国都在强化外资审查，中国也不例外。说白了，这不是刻意设障碍，而是在开放的同时守住自己的“家底”。今天我就结合亲身经手的案例，把外资并购安全审查的核心流程拆成七个方面，讲讲里面的门道和坑。

一、申报前：摸清门道

很多企业主第一步就卡住了。他们以为只要并购金额大、业务敏感才要申报，其实不然。根据《安审办法》，只要外国投资者通过并购等方式取得境内企业的实际控制权，且该企业涉及国家安全领域，哪怕交易额只有几百万，也得主动申报。我服务过一家以色列科技公司，想收购一家做数据中心运维的上海企业，他们一开始觉得只是做运维，不碰核心数据，应该没问题。结果一查，这家运维企业服务的客户里，有几家是国家级金融机构，这就属于“重要基础设施”范畴，根本绕不开。

所以第一步，我们得先做“定性预判”。自己掂量一下，目标企业是否属于《安审办法》规定的19个行业领域。别光看营业执照上的经营范围，要看实质运营——它实际在做什么？它的客户是谁？它掌握的数据有没有敏感性？我经常跟客户说，宁可多报，也不要漏报。因为一旦被认定应报未报，交易可能被叫停，甚至面临罚款和撤销行政许可的风险，那损失就不是几万块能打住的了。

在实践中，我还遇到过一种情况：外方投资者通过多层股权结构来规避审查，比如通过境外十几层的SPV（特殊目的公司）来控制一家境内敏感企业。但现在的监管手段也升级了，“穿透监管”是大趋势。你能穿透到几层？实际上，现在申报时就要主动披露最终实控人，以及每一层主体的性质和背景，一层层扒到底。所以别存侥幸心理，老老实实先做个尽职调查，把底子弄干净，再做申报方案。

这个阶段我的个人建议是：找一家像加喜这样既懂政策又懂实操的机构，花两三天时间做个预诊。 我们曾经帮一家制造业外企做预判，发现它的收购目标虽然不直接涉军，但其核心设备的操作系统版权方来自某个受管制的国家，后来我们帮它调整了交易架构，把资产收购改为业务合作，这才绕开了审查。预判这一步，省不了。

二、材料准备：别漏细节

材料准备环节，很多客户觉得就是填个表、交个协议，但实际上去年的一个案例让我印象特别深。有个美国基金想并购一家做网络安全软件的中国公司，他们提交的材料里，买了一个很完整的商业计划书，但唯独缺少了一份“实际控制人承诺函”。这份承诺函要说明收购后，公司的核心数据不会外传，并且要接受中国主管部门的定期检查。就少了这一页，整个审查流程被退回，重新补正用了将近两个月。

具体需要哪些材料？我列个清单：交易基本情况说明（包括并购方式、交易金额、股权结构）、外国投资者及实际控制人的身份证明与背景资料、目标企业的基本信息、财务报表、业务说明、涉及国家安全的专项说明（如数据安全、关键技术情况）、以及最重要的——承诺函。 这文件看起来很枯燥，但每个细节都可能成为被卡的点。比如背景资料，如果你实际控制人曾经在某个被制裁的实体任职过，哪怕离职多年，都要如实说明并解释为何不影响安全。隐瞒不报，一旦被查出来，后果很严重。

我还碰到过一家欧洲企业，他们很认真地准备了所有材料，但审计报告用的还是国际会计准则，没有按照中国会计准则进行转换。审查机构要求提供经中国注册会计师审计的报表，他们临时找事务所做翻译转换，又花了一笔冤枉钱。所以现在，我一般会提前告诉客户：材料里的所有文件，最好使用中文版本，或者提供经过公证的翻译件；财务材料最好用中国会计准则编制。 这种细节看起来不重要，但能省去来回沟通的时间成本。

说实话，准备材料的过程也是企业自我审视的过程。有些客户会抱怨材料太繁琐，但你站在监管的角度想想——审查的核心是判断这个交易会不会威胁国家安全。 你连自己是什么、要干什么都说不清楚，人家怎么敢批？所以心态上要摆正：这不是刁难，是程序正义。我们加喜在每个项目里都会配备专门的合规顾问，逐一核对材料清单，避免因为格式问题被退回。

三、受理环节：时间窗口

材料递交后，不是立马进入审查，而是先进入“受理环节”。这个阶段通常需要5-15个工作日，主要是形式审查——看材料齐不齐、格式对不对。如果材料不齐全，审查机构会发补正通知，给你15个工作日补充。别小看这个时间，很多项目因为补正材料来不及准备，交易就黄了。

我参与过一个新能源领域的并购案，一家德国企业想收购江苏一家做锂电池隔膜的企业。材料递上去第7天，收到了补正通知，要求补充“关键技术出口许可证明”。原来，这家目标企业的隔膜技术涉及到了某项国内专有技术，可能限制出口。但德国企业根本没有提前做技术出口申报，最后只能一边补材料，一边紧急跟主管部门沟通，整个流程拖了快两个月。这个时间窗口其实是“软性窗口”，你很早就可以通过咨询了解是否需要提前办理其他批文。

受理通过后，会有一个书面受理通知书，这个通知书的日期非常关键，它意味着正式审查周期开始。按照现行规定，一般审查期限是30个工作日，但特殊情况下可以延长至60个工作日。如果涉及特别复杂的国家安全问题，还可能再延15个工作日。所以从受理到出结果，理论上最快一个月，但通常需要两到三个月甚至更长。 我做过最快的一个项目是咨询类服务公司，没有敏感点，正好30天批下来；最慢的是一家涉及军工配套的精密机械公司，足足花了4个月。

不少客户在这个阶段焦虑得不行，天天打电话催。我的经验是：与其焦虑，不如把这段时间用来推进其他合规手续。 比如如果涉及反垄断审查，可以同步申报；或者办理外资企业备案。流程并联，效率更高。同时，我们也会建议客户保持与审查机构的适度沟通，但不要过度打扰。毕竟审查人员也希望早点结案，他们比你还急。

四、一般审查：核心判断

一般审查是常规流程的核心环节。在这个阶段，审查机构会重点评估：目标企业是否涉及国家安全领域？外国投资者的背景是否存在风险？交易完成后，是否会带来国家安全隐患？ 这里面，最让企业头疼的是对“行业安全性”的判断。比如一个做无线通信模块的企业，你说它算不算“关键信息基础设施”？按道理，现在通信基础设施基本都覆盖了，但它的模块是用在无人机上的，这就可能涉及敏感领域。

有一次，一家新加坡企业想收购深圳一家做传感器的公司，这个传感器用在高速公路的交通监测系统上。一般审查阶段，审查机构发函要求说明：这些传感器采集的数据是否涉及公民个人隐私？是否与政府交通系统直接联网？ 其实这个企业在技术上很普通，但因为它跟政府项目挂钩，被重点审查了。最后企业出具了数据不出境、且不保存原始数据的承诺书，才勉强过关。从这段经历里，我学到：任何与公共基础设施、公共数据沾边的业务，都要做好“被审查”的心理准备。

一般审查过程中，有可能会召开专家评审会。这个会会邀请相关领域的专家，比如网络安全专家、军事问题专家，从专业角度发表意见。我记得有一次，一个做生物识别技术的并购，专家会上有专家提出，这家企业的算法可能被用于人脸识别安防系统，而该系统已经在边防口岸使用，涉及公共安全。后来外方投资者主动同意剥离了这项业务，只保留民用领域。所以说，专家评审虽然听起来可怕，但也是双方沟通的渠道，你可以带着方案去谈，而不是被动挨打。

这个阶段还有一个容易被忽视的挑战：信息保密。 很多企业在这个环节要提供大量商业秘密，比如核心技术参数、客户名单等，担心泄密。但实际上，审查机构有严格的保密义务，我们可以要求签署保密协议。此外，对于极度敏感的信息，可以用“在保密前提下提供摘要”的方式。总之，保护自己利益的同时，配合审查是上策。

五、特别审查与联合评估

如果一般审查中发现问题，或者涉及特别重大敏感领域，就会进入特别审查阶段。这个阶段的周期更长，一般是30个工作日起，可延长到120个工作日。实际上，我经手的特别审查项目，平均耗时在3-5个月。特别审查通常会联合多个部门，比如发改委、商务部、工信部、科技部、公安部、国安部等，进行联合评估。

我记忆很深的一个案例：一家美国上市公司想收购一家做量子通信核心器件的初创公司。这家初创企业虽然规模很小，但技术是全球领先的。联合评估时，专家们分成了两派，一派认为只要控制好技术流向，可以收购；另一派认为量子通信是国家未来信息安全的命脉，应该限制外资介入。最后审查意见是“附条件通过”——核心要求是，外方不能接触核心研发团队，且公司必须设立一个由中方主导的安全委员会。这个案例告诉我们，特别审查不是“不通过”，而是可以谈条件的。但条件是极其严格的，有时甚至相当于实质上的不能通过。

在联合评估阶段，企业要做的最重要的事情就是拿出一套令人信服的风险防控方案。比如，承诺不接触涉密人员、数据本地化存储、接受定期检查、甚至在企业内部设立合规职位。我通常会建议客户：把最坏的情况想到，主动提出比制度要求更严格的承诺。 比如制度要求数据本地化，你可以承诺所有数据只在中国境内处理和存储，且每季度接受第三方审计。这种姿态往往能让审查机构觉得“有诚意”，增加通过概率。

说实话，特别审查折磨的不仅是时间，还有企业的资金和信心。我曾经有客户在审查中期因为资金链断裂，不得不放弃交易，白白浪费了前期投入的好几百万。所以，我每次都会提醒客户：在启动并购前，一定要预留充足的时间预算和资金预算，别把宝全押在“一个月能批下来”的假想里。 现在的市场环境，做好最坏的打算，才能全力以赴。

六、通过与不通过：应对策略

审查结果有三种可能：通过；附条件通过；不通过。 通过的情况相对简单，拿到批文后就可以按原计划交易。但即使通过，也并不意味着万事大吉，你拿到的批文里很可能附带了持续性的合规义务，比如每半年提交一次安全运营报告，或者关键岗位必须由中方人员担任。如果不遵守这些义务，批文可能被撤销。

附条件通过是最常见的。比如前面说的量子通信案例，还有我处理过的一个农业科技公司并购，条件是不能控制种子基因库，只能使用商业化种子品种。对于附条件的交易，谈判的空间是有限的，但可以尝试与审查机构沟通条件的合理性与可执行性。有一次，一家外企被要求提供所有核心算法的源代码，但这涉及公司的知识产权核心。后来我们跟审查机构反复沟通，换成“提供算法原理说明和第三方安全评估报告”，最后双方妥协。这样既满足了安全要求，又保住了商业秘密。

不通过的情况相对少，但一旦发生，对交易影响很大。如果是不可抗力或者无法协商的条件，企业有两种选择：一是放弃交易，二是调整交易架构再尝试。 比如，可以把股权收购改成资产收购，或者成立合资企业由中方控股。我见过最巧妙的一个案例：一家日本企业想收购一家做铁路信号系统的公司，被否决后，他们转而跟目标公司的母公司合作，成立了一家合资企业，日方只占49%股份，不构成实际控制，成功绕过了安全审查。但这里要注意，如果是故意构造交易规避审查，可能被追溯。 所以调整架构一定要合规、透明。

另外，如果被否决，企业可以申请行政复议，但过程漫长且胜算不大。我的个人建议是：与其在否决后挣扎，不如在申报前就把架构设计好。 比如，一上来就设计成中外合资且中方控股，或者外方只作为财务投资人不参与经营决策。这种做法对于战略性新兴产业尤其适用。

七、后续监管与持续合规

很多人以为拿到审查批文就完事了，其实不是。外资并购安全审查的后续监管是持续的，而且越来越严。目前，不少地方设立了外资安全审查的年度报告制度，要求企业定期汇报运营情况，特别是是否发生与审查时承诺不符的变更，比如控制权是否变化、技术是否转移、核心人员是否变动等。

我接触过一个在2022年通过审查的外资企业，他们收购了一家生物医药公司，承诺三年内不将核心研发团队外调。结果第二年，因为业务调整，他们把研发团队的几个关键人员调到了海外总部。同年，企业在接受例行检查时被发现了，审查机构要求他们暂停在华业务，并限期整改。这个案例很典型，说明承诺不是签个字就完了，是要一直遵守的。 所以我给每个客户做合规手册时，都会把批文里的条件列成清单，提醒他们设置专人跟踪。

后续监管还包括不定期的现场检查。有时是书面检查，通知你交资料；有时是突击检查，直接到公司看运营、看数据、看人员。对于外资企业，尤其是涉及敏感领域的，建议设立一个内部的合规委员会，由法务、财务、技术负责人组成，定期自查。这个检查最好请第三方机构参与，我们加喜每年都会帮客户做这样的合规体检，帮他们识别潜在风险。

从我的经验看，被检查出问题最多的领域是“实质性运营”。比如，有些企业承诺在中国设立研发中心，但实际上只有几名员工，大部分研发还是在国外完成，这就是典型的虚假承诺。监管机构现在可以通过后台数据、银行流水、社保记录等多种方式核查，别存侥幸心。真正到被处罚甚至被要求退还股权的时候，代价是巨大的。

结语：合规不是成本，是保护

这些年下来，我最大的感悟是：外资并购安全审查看似是一道门槛，实际上是给双方的“保护网”。 对企业而言，它能帮你识别交易中的政治风险和法律风险；对国家而言，它能守住底线。作为服务了14年的服务商，我亲眼看过太多因为忽视合规而翻船的案例，也看过无数个在合规下顺利落地的项目。未来，我判断监管趋势只会更精细、更智能，尤其是数据安全和人工智能领域，审查的颗粒度会进一步细化。对企业的建议是：把安全审查当成并购的核心工作之一，而不是最后补的手续。 从交易架构设计之初，就考虑如何通过审查，这样才能少走弯路。

最后想说一点我的个人观察：在很多老板眼中，合规是成本，是麻烦，但好的合规恰恰是竞争力的体现。尤其在当前环境下，能够顺利通过安全审查的企业，往往在政府关系、风险控制上都是优等生。方向对了，多花点时间在合规上，其实是快。

加喜商务财税见解

作为在华深耕12年的财税服务团队，加喜商务财税对外资并购安全审查的体会是：“安全审查不是终点，而是企业合规化运营的起点。” 我们注意到，很多外企在通过审查后，反而因为承诺条件过于严格，导致后期运营成本激增，甚至无法兑现承诺而遭受二次处罚。因此，我们强烈建议企业在申报阶段不要为了快速通过而做出无法执行的承诺，比如“所有核心人员十年不离开”或“永远不向总部报告数据”等。更务实的做法是：提前进行合规可行性评估，与审查机构保持理性沟通，制定出既安全又可持续的合规方案。 同时，加喜提供从预审、材料编制、到后续合规巡检的全流程服务，帮助客户将安全审查从“麻烦”转化为“竞争优势”。选择加喜，就是选择稳健与安心。