2023年度，數字經濟領域在全球範圍内繼續以前所未有的速度演化和深化，IPO作(zuò)為(wèi)驅動企業創新(xīn)與增長(cháng)的核心動力，在數據合規監管環境不斷升級的背景下，挑戰與機遇并存。較于2022年，境内A股、港股和美股三大市場對拟上市企業的數據合規要求更為(wèi)精(jīng)細且嚴格，呈現出了新(xīn)的關注焦點和趨勢變化。本文(wén)聚焦2023年度三個主要市場的IPO數據合規問題，從實務(wù)應對角度提出應對建議，為(wèi)拟IPO企業後續的運營合規提供參考。

一、境内IPO數據合規觀察

（一）審核經緯線(xiàn)：新(xīn)規則照亮IPO數據合規之路

随着數字經濟時代的全面鋪開及數據處理(lǐ)實踐的日益普及，數據安(ān)全與個人信息保護議題已躍升至資本市場關注的焦點位置，其重要性不容小(xiǎo)觑。步入2023年，數據合規已然确立為(wèi)上市項目審查的核心标準之一。深圳證券交易所與上海證券交易所分(fēn)别發布了新(xīn)的審核指南，明确要求在上市項目的審核過程中，保薦人、發行人律師應當對公司相關經營是否符合《個人信息保護法》《數據安(ān)全法》《網絡安(ān)全法》等法律法規進行核查，并發表明确意見。

這一變革标志(zhì)着數據合規已由以往上市流程中的隐性考量或待查隐患，轉變為(wèi)保薦人與發行人必須在申報階段即着手深度剖析、嚴謹自糾并提前備足合規證據的硬性指标之一，其重要性可(kě)與勞動管理(lǐ)、稅收合規、産權明晰等傳統上市必備條件平齊，同樣需要專業人士以權威法律意見的形式予以确認。

這一變化深刻彰顯出監管層面對數據合規問題的重視，以及對申請上市企業在籌備上市階段即構建完備數據合規架構、前瞻性防範合規風險的嚴苛要求。律師在此過程中扮演關鍵角色，其發表的專業法律意見不僅是對上市公司合規狀況的權威認證，更是監管機構判斷企業是否具備上市資格的重要依據。

（二）恒久考題：常規與特定場景下的合規探針

1、聚焦核心：數據合規問詢的常規焦點

1）拟上市企業經營中對數據合規相關法律法規的符合性：如三法（指《個人信息保護法》《數據安(ān)全法》《網絡安(ān)全法》）的符合性、其他(tā)數據合規相關法律法規的符合性，該問題也與上文(wén)提及的滬深交易所的問詢要點一緻；

2）拟上市企業數據全生命周期管理(lǐ)的合規性：包括拟上市企業是否涉及數據處理(lǐ)活動，以及數據收集、存儲、使用(yòng)、對外提供、删除等數據處理(lǐ)環節的合規性，在這一問題下，又可(kě)細化問詢例如數據來源的合法性、數據開發利用(yòng)的合規性、數據對外提供和流轉的問題等；

3）拟上市企業數據合規内控：包括拟上市企業的數據合規内部管理(lǐ)機制是否建立及有效性，部分(fēn)細化問詢會要求拟上市企業從制度、組織架構、技(jì )術管控等維度予以詳細說明，如何确保、證明相關數據合規管理(lǐ)制度的有效執行已經成為(wèi)較為(wèi)常規的問詢事項之一。

2、特定場景下的具體(tǐ)問題

1）APP合規：涉及運營APP的，可(kě)能(néng)被問詢其APP的合規性；涉及被通報的APP，可(kě)能(néng)會被問詢APP的合規整改情況；

2）網絡安(ān)全審查：涉及為(wèi)CIIO提供網絡産品或服務(wù)的，可(kě)能(néng)被問詢其是否需要配合CIIO進行網絡安(ān)全審查；

3）境外業務(wù)開展的數據合規性：涉及在境外開展業務(wù)且有數據處理(lǐ)的企業，部分(fēn)問詢會要求回應境外業務(wù)的數據合規性；

4）媒體(tǐ)質(zhì)疑、特定監管事件引發的數據合規問詢：如拟上市企業涉及負面輿論或涉及特定監管事件等。

（三）趨勢變化： 合規風向标與企業應對策略梳理(lǐ)

1、行業立法成為(wèi)細化問詢依據，部分(fēn)征求意見稿備受關注

以《工業和信息化領域數據安(ān)全管理(lǐ)辦法（試行）》《銀行業金融機構數據治理(lǐ)指引》等為(wèi)代表的行業立法也成為(wèi)了拟上市企業論證合規性的法律依據。暫未正式生效的征求意見稿也受到重點關注，如《網絡數據安(ān)全管理(lǐ)條例（征求意見稿）》《生成式人工智能(néng)服務(wù)管理(lǐ)辦法(征求意見稿)》《規範和促進數據跨境流動規定（征求意見稿）》等（《生成式人工智能(néng)服務(wù)管理(lǐ)暫行辦法》已在2023年7月發布；《促進和規範數據跨境流動規定》已于2024年3月發布）。

2、上下遊合作(zuò)中的數據合規成為(wèi)新(xīn)的審查重點

2023年度，上市監管機構對拟上市企業的審核焦點擴展至其與上下遊合作(zuò)夥伴（供應商、客戶）之間合同約定中關于數據責任分(fēn)配的問題，如在發生數據洩露等事件時，拟上市企業如何通過合同條款明确各方在數據安(ān)全、保護和處理(lǐ)方面的法律責任。

3、數據出境新(xīn)規引發新(xīn)焦點

2023年《數據出境安(ān)全評估辦法》下的安(ān)全評估路徑成為(wèi)上市審核的重點。監管機構要求拟上市企業明确其業務(wù)是否需要進行數據出境安(ān)全評估，以及相關審批程序和整改要求可(kě)能(néng)對拟上市企業的生産經營、業務(wù)發展帶來的影響，包括是否存在業務(wù)延誤或受限的風險，并且要求拟上市企業充分(fēn)揭示這些風險等。

2023年9月28日發布《規範和促進數據跨境流動規定（征求意見稿）》（以下簡稱“跨境新(xīn)規"），進一步調整了數據出境安(ān)全評估路徑的适用(yòng)範圍。對此，上市監管機構仍保持較為(wèi)謹慎的态度。要求部分(fēn)拟上市企業進一步說明“發行人認為(wèi)《規範和促進數據跨境流動規定（征求意見稿）》未來如出台對對發行人開展境外業務(wù)的影響将進一步減小(xiǎo)的依據是否充分(fēn)。"

4、數據商業利用(yòng)：“數據二十條"中立政策導向VS上市相對審慎問詢

“數據二十條"等國(guó)家政策倡導在合法合規的前提下推動數據利用(yòng)，但有關政策尚待進一步明确。在上市合規問詢環節，監管對于拟上市企業使用(yòng)客戶數據進行商業化的态度則表現出一定的審慎甚至負面傾向。拟上市企業在面對上市合規問詢時，仍普遍将數據商業化利用(yòng)視為(wèi)潛在的風險予以應對。

5、數據合規相關“資質(zhì)"的審核範圍拓寬

相較于2022年，2023年度對拟上市企業應當取得的數據合規監管部門審批、許可(kě)、備案、認證等“資質(zhì)"的審核範圍更加廣泛，涉及APP備案、算法備案、安(ān)全評估、網絡關鍵設備和網絡安(ān)全專用(yòng)産品認證或檢測等。

6、數據分(fēn)類合規的顆粒度更細

2023年的上市監管部門在數據合規審查中更加注重數據類型的細分(fēn)，不僅涵蓋了數據、個人信息、敏感個人信息等常規類别，還包括重要數據、核心數據、一般數據、國(guó)家秘密、遙感數據等。随着《工業和信息化領域數據安(ān)全管理(lǐ)辦法（試行）》《數據出境安(ān)全評估辦法》等生效，“重要數據"的判斷标準在不同行業的維度下顯得愈發清晰，且常與“100萬人以上個人信息"被同步問詢。

7、網絡安(ān)全與APP違規成雙重警戒線(xiàn)

以公安(ān)機關為(wèi)代表的網絡安(ān)全監管機構，正基于《網絡安(ān)全法》《公安(ān)機關互聯網安(ān)全監督檢查規定》等相關法律法規，将常态化的網絡安(ān)全監督檢查和行政執法工作(zuò)納入日常管理(lǐ)範疇。其中，公安(ān)機關重點關注關鍵信息基礎設施以及重要信息系統的網絡安(ān)全保障問題，确保相關企業嚴格遵循網絡安(ān)全等級保護制度。

8、“匿名化"認定标準的寬泛解讀及潛在問題

目前，企業難以提供具有充分(fēn)說服力的證據以證明其已經實現“匿名化"，部分(fēn)上市問詢回複案例中呈現出一定的寬松傾向。某些拟上市企業的外部數據合規顧問基于特定判斷給出了關于匿名化處理(lǐ)完成的肯定意見，暫未見受到上市監管機構進一步追問或質(zhì)疑的情況。我們理(lǐ)解，未來随着個人信息保護法律法規、行業實踐的細化和完善，以及上市監管機構審核能(néng)力的加強，不排除匿名化問題可(kě)能(néng)成為(wèi)更細化審查的對象。

二、港股IPO數據合規觀察

（一）遵循先例：持續要求網絡安(ān)全審查合規披露

2023年的招股說明書在網絡安(ān)全審查披露方面延續了2022年的精(jīng)細趨勢。一方面，發行人繼續沿用(yòng)對中國(guó)網絡安(ān)全審查認證和市場監管大數據中心咨詢的途徑以獲得“港股上市并不等同于海外上市"的留痕證據；另一方面，發行人的中國(guó)法律師/數據合規顧問也對其是否屬于關鍵信息基礎設施運營者和其業務(wù)活動是否存在“影響或可(kě)能(néng)影響國(guó)家安(ān)全"的敏感因素作(zuò)出明确的論述。

我們注意到在2023年港股IPO招股書中，部分(fēn)發行人仍持續将《網絡數據安(ān)全管理(lǐ)條例（征求意見稿）》作(zuò)為(wèi)部署落實數據合規要求的重要依據。但我們認為(wèi)該條例的征求意見稿自發布以來已逾兩年時間，不僅遲遲未落地，且有些條款已經明顯不合最新(xīn)的發展趨勢。因此，在對發表内容的選擇上，我們建議上市中介機構需要重新(xīn)審視是否繼續将其視為(wèi)主要的法律基礎。

（二）曆史鏡鑒：發行人披露違規記錄的透明化實踐

随着全球監管環境對透明度要求的不斷提高，港股上市申請企業在披露合規記錄方面表現出更高的重視程度。多(duō)家公司在招股書中詳細列出了曆史違規行為(wèi)的具體(tǐ)内容，并詳盡闡述了針對這些事件所采取的系統性整改措施及其産生的積極成效。

因此，在當前嚴格的監管環境下，拟赴港上市的企業在籌備階段除了需要确保内部治理(lǐ)結構嚴謹、數據合規體(tǐ)系完善之外，更應充分(fēn)展現整改的決心與成果，以此向市場傳達企業在應對合規風險時的強大适應力和可(kě)持續發展潛力。

（三）第三方認證在一定程度上能(néng)起到提升作(zuò)用(yòng)

相較于2022年，2023年度的港股上市企業更加重視并積極采納國(guó)際權威第三方認證機構對其數據合規性的專業背書。例如，ISO國(guó)際标準系列中關于信息安(ān)全管理(lǐ)和個人隐私保護的關鍵性認證、STAR計劃認證、ISO27001信息安(ān)全管理(lǐ)認證等。

可(kě)以看到，上市企業開始大規模引入專注于數據合規的第三方認證，向市場投資者展示自身超越規範之上、高标準構建的數據安(ān)全管理(lǐ)機制。盡管如此，我們理(lǐ)解第三方認證仍不能(néng)取代企業自身的合規管理(lǐ)和建設水平，尤其在個人信息和數據保護領域，如果不重視法律合規的落地和持續地精(jīng)進完善，第三方認證仍無法承擔合規“保護傘"的作(zuò)用(yòng)。

（四）市場應對新(xīn)法新(xīn)規的曲折之路

1、數據出境安(ān)全評估

随着《數據出境安(ān)全評估辦法》規定的2023年3月底數據出境安(ān)全評估申報寬限期結束，港股IPO項目對數據跨境合規性的詳盡披露成為(wèi)了一項突出特點。有的發行人明确聲明其業務(wù)活動不包含數據出境場景，有的則論證證明其向境外傳輸的信息不屬于個人信息或重要數據範疇，少數企業已成功完成了數據出境安(ān)全評估程序。

對于緊随其後出台并設置有截至2023年12月底寬限期的《個人信息出境标準合同辦法》，相關案例較少。我們預見到在2024年港股IPO項目中，關于數據出境合規性的信息披露将會更為(wèi)豐富且嚴謹。

2、算法合規

2023年下半年“算法合規"逐漸成為(wèi)企業數據合規的核心關注點。發行人頻繁引用(yòng)《互聯網信息服務(wù)算法推薦管理(lǐ)規定》及新(xīn)近頒布的《生成式人工智能(néng)服務(wù)管理(lǐ)暫行辦法》等關鍵法規，但在部分(fēn)企業的招股文(wén)件中對于如何具體(tǐ)執行和落地算法合規性的詳盡策略與實踐操作(zuò)方面卻相對匮乏，更多(duō)表現為(wèi)一種聲明性質(zhì)的表态或潛在風險提示。這一點和我們對2022年港股IPO市場的觀察相比并無太多(duō)變化。

随着2023年政府對AIGC産業加大政策扶持力度，并強化法律保護機制， 2024年，我們預計将有望在更多(duō)企業的招股書中看到他(tā)們如何深入解讀新(xīn)法新(xīn)規并翔實地展現他(tā)們在落實算法合規、安(ān)全評估以及迎戰人工智能(néng)監管挑戰上所做的不懈努力與實質(zhì)性成果。

三、美股IPO數據合規觀察

（一）防線(xiàn)升級：網絡安(ān)全審查權重攀升

在2023年的美股IPO市場，《網絡安(ān)全審查辦法》的重要性不減反增。尤其是考慮到部分(fēn)因未能(néng)通過網絡安(ān)全審查而影響上市進程的案例，使得所有拟赴美上市的企業對此高度警惕，并采取審慎應對策略。另一方面，用(yòng)戶個人信息數量未達到100萬門檻的企業，明确表示無需進行網絡安(ān)全審查，以避免不必要的合規負擔。

（二）審慎應對：負面言論與信息披露

在2023年出台的《境内企業境外發行證券和上市管理(lǐ)試行辦法》框架下，企業在披露可(kě)能(néng)存在的風險因素時，例如關于中國(guó)法規體(tǐ)系穩定性、政府幹預經濟程度、外彙管制制度、國(guó)際判決執行難易度等方面，需采用(yòng)更加謹慎和精(jīng)準的語言策略，以确保信息傳遞的真實性和合規性。

（三）監管鐵腕：證監會深度介入，全面加強備案管理(lǐ)

伴随《境内企業境外發行證券和上市管理(lǐ)試行辦法》的深入貫徹，中國(guó)證監會在境外上市企業的監管方面進入了全新(xīn)的全面備案時代。以下四大問題為(wèi)證監會一般關注的核心議題：

* 開發、運營網站、APP、小(xiǎo)程序等情況

* 收集及儲存個人信息的規模及其收集使用(yòng)情況

* 是否存在向境外傳輸數據或向第三方提供個人信息的情況

* 上市前後對信息數據保護的各項安(ān)排和措施

同時，基于發行人特性，證監會也進一步加強對前沿合規問題的關注，包括但不限于AIGC安(ān)全評估、算法備案等新(xīn)興領域。

四、拟上市企業數據合規建議

在前文(wén)分(fēn)析梳理(lǐ)的基礎上，對于拟上市企業，無論其選擇上市地為(wèi)何，都面臨着類似但又有側重的數據合規問題。我們總結如下經驗，供拟上市企業參考。

（一）密切關注監管動态，及時調整合規策略

面對2023年度呈現的“新(xīn)變化"，拟上市企業需要密切關注監管動态，适時調整和優化自身的數據合規實施方案，以充分(fēn)滿足新(xīn)的上市審查要求。

目前，數據有關立法出台較快，行業的合規水位仍在持續變化中，某些合規依據仍不明顯：如數據分(fēn)類分(fēn)級監管要求“顆粒度較粗"、或某些行業暫無明确的規範要求；數據要素的利用(yòng)和流通問題存在較大的政策騰挪空間。對于這些不确定性，企業應及時找準合規标準，更新(xīn)自身的合規依據，開展精(jīng)細化且具有前瞻性的數據合規管理(lǐ)工作(zuò)，将合規工作(zuò)儲備留痕，以備上市監管審查。

（二）完善上下遊合作(zuò)協議，構築合規生态鏈

拟上市企業在與上下遊合作(zuò)夥伴簽訂合作(zuò)協議時，應特别關注數據合規相關條款的設計和責任分(fēn)配。在協議中明确約定數據保護、安(ān)全處理(lǐ)和風險分(fēn)擔等内容。此外，建議拟上市企業做好責任隔離，防止發生供應商數據合規風險事件，并及時切斷風險傳導路徑，留存充分(fēn)的證明材料。

（三）積極配合監管工作(zuò)，共繪合規藍圖

拟上市企業應積極主動與監管部門保持溝通，及時确認各類資質(zhì)問題的具體(tǐ)要求、流程以及時間安(ān)排，包括但不限于APP（含小(xiǎo)程序）備案、算法備案、算法安(ān)全評估等手續。

同時，建議拟上市企業關注網絡安(ān)全相關風險，與屬地公安(ān)機關建立緊密協作(zuò)關系，主動配合監管工作(zuò)，提前将網絡安(ān)全等級保護相關工作(zuò)納入上市數據合規準備工作(zuò)中。

五、結語

總體(tǐ)上，2023年度境内交易所對境内IPO市場的數據合規審核标準有了進一步明确和細化，對于拟上市企業而言視為(wèi)利好。在港股層面，不斷演進的監管要求和市場預期所帶來的不确定性和複雜性并未減弱，企業應持續構建全方位、多(duō)層次的數據合規管理(lǐ)體(tǐ)系，以應對監管核查與問詢。在境外方面，網絡安(ān)全審查仍然是TO C或平台類型企業必須要面對的合規門檻，在後疫情時代中國(guó)經濟面對各項挑戰的大背景下，監管對境外上市的持續寬松趨勢或許會為(wèi)此類企業的IPO帶來更多(duō)的确定性