前言

在上一篇文章《2023年境內(nèi)IPO數(shù)據(jù)合規(guī)年度觀察》中，我們對(duì)2023年度境內(nèi)IPO數(shù)據(jù)合規(guī)情況進(jìn)行了回顧和總結(jié)，主要內(nèi)容包括：境內(nèi)IPO數(shù)據(jù)合規(guī)事項(xiàng)的信息披露要求、2023年度境內(nèi)IPO數(shù)據(jù)合規(guī)概況（包括2023年度受到交易所數(shù)據(jù)合規(guī)方面問詢的申請(qǐng)上市企業(yè)的數(shù)量、在各上市板塊的分布、所在行業(yè)分布等方面的數(shù)據(jù)）、2023年度境內(nèi)IPO交易所在數(shù)據(jù)合規(guī)方面的問詢要點(diǎn)及我們的合規(guī)建議等。

在這一篇文章中，我們將對(duì)2023年度港股IPO數(shù)據(jù)合規(guī)情況進(jìn)行回顧和總結(jié)，主要內(nèi)容包括：港股IPO數(shù)據(jù)合規(guī)事項(xiàng)的信息披露要求、2023年度港股IPO數(shù)據(jù)合規(guī)概況（包括披露數(shù)據(jù)合規(guī)情況的企業(yè)數(shù)量、所在行業(yè)分布、披露要點(diǎn)等方面的數(shù)據(jù)）、2023年港股IPO數(shù)據(jù)合規(guī)事項(xiàng)的問詢關(guān)注要點(diǎn)和招股書披露要點(diǎn)及應(yīng)對(duì)思路等。

一、港股IPO數(shù)據(jù)合規(guī)事項(xiàng)的信息披露要求

（一）中國(guó)證監(jiān)會(huì)對(duì)境外上市數(shù)據(jù)合規(guī)事項(xiàng)的要求

中國(guó)證監(jiān)會(huì)2023年2月17日公布的《境內(nèi)企業(yè)境外發(fā)行證券和上市管理試行辦法》（中國(guó)證監(jiān)會(huì)公告[2023]43號(hào)）第9條規(guī)定，“境內(nèi)企業(yè)境外發(fā)行上市活動(dòng)，應(yīng)當(dāng)嚴(yán)格遵守外商投資、網(wǎng)絡(luò)安全、數(shù)據(jù)安全等國(guó)家安全法律、行政法規(guī)和有關(guān)規(guī)定，切實(shí)履行維護(hù)國(guó)家安全的義務(wù)……"

第13條規(guī)定，“境外發(fā)行上市的境內(nèi)企業(yè)，應(yīng)當(dāng)依照本辦法向中國(guó)證監(jiān)會(huì)備案，報(bào)送備案報(bào)告、法律意見書等有關(guān)材料，真實(shí)、準(zhǔn)確、完整地說明股東信息等情況"。

第19條規(guī)定，“備案材料完備、符合規(guī)定的，中國(guó)證監(jiān)會(huì)自收到備案材料之日起20個(gè)工作日內(nèi)辦結(jié)備案，并通過網(wǎng)站公示備案信息。備案材料不完備或者不符合規(guī)定的，中國(guó)證監(jiān)會(huì)在收到備案材料后5個(gè)工作日內(nèi)告知發(fā)行人需要補(bǔ)充的材料。發(fā)行人應(yīng)當(dāng)在30個(gè)工作日內(nèi)補(bǔ)充材料……"

根據(jù)上述規(guī)定，中國(guó)證監(jiān)會(huì)在辦理境外上市備案的過程中，通過要求出具補(bǔ)充材料的形式，要求擬境外上市企業(yè)及其中介機(jī)構(gòu)就某些關(guān)注事項(xiàng)作出補(bǔ)充說明。

根據(jù)中國(guó)證監(jiān)會(huì)在其官網(wǎng)公布的《境外發(fā)行上市備案補(bǔ)充材料要求公示》，在要求作出補(bǔ)充說明的關(guān)注事項(xiàng)中，與網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個(gè)人信息保護(hù)相關(guān)的問題是中國(guó)證監(jiān)會(huì)重點(diǎn)關(guān)注的問題類型之一。因此，擬境外上市企業(yè)應(yīng)在向中國(guó)證監(jiān)會(huì)提交的備案報(bào)告、法律意見書等備案材料中對(duì)企業(yè)業(yè)務(wù)經(jīng)營(yíng)涉及的數(shù)據(jù)合規(guī)問題進(jìn)行充分說明。

（二）香港聯(lián)交所對(duì)數(shù)據(jù)合規(guī)事項(xiàng)的披露要求

根據(jù)聯(lián)交所于2023年12月發(fā)布的《新上市申請(qǐng)人指南》（以下簡(jiǎn)稱“《指南》"）第3章“上市文件的披露"，上市文件常見章節(jié)包括：概要、風(fēng)險(xiǎn)因素、行業(yè)概覽、適用法例及法規(guī)、歷史及發(fā)展、業(yè)務(wù)、與控股股東的關(guān)系、持續(xù)關(guān)連交易、董事監(jiān)事及高級(jí)管理層、財(cái)務(wù)資料、集資所得款項(xiàng)用途、發(fā)售、其他事項(xiàng)等。其中，涉及數(shù)據(jù)合規(guī)事項(xiàng)的內(nèi)容通常在“概要"章節(jié)、“風(fēng)險(xiǎn)因素"章節(jié)、“適用法例及法規(guī)"章節(jié)、“業(yè)務(wù)"章節(jié)這4個(gè)章節(jié)進(jìn)行披露，具體如下：

1. “概要"章節(jié)

根據(jù)《指南》第3.2節(jié)第1條，“概要"章節(jié)應(yīng)提供申請(qǐng)人資料的精確概覽，以及上市文件其他章節(jié)披露的重要事項(xiàng)的摘要。

根據(jù)《指南》第3.2節(jié)第2條，聯(lián)交所建議在“概要"章節(jié)披露的資料中，可能涉及數(shù)據(jù)合規(guī)事項(xiàng)的資料包括：

（1）在“概要 - 近期發(fā)展"部分，建議披露“申請(qǐng)人直至最后實(shí)際可行日期的業(yè)務(wù)及其行業(yè)、市場(chǎng)或監(jiān)管環(huán)境的最新情況"等資料；

（2）在“概要 - 其他資料"部分，建議披露“重大不合規(guī)及訴訟事件及其他重大事件"“對(duì)申請(qǐng)人的重大風(fēng)險(xiǎn)"“上市后對(duì)申請(qǐng)人及投資者有重大影響的法律及法規(guī)摘要"等資料。

根據(jù)上述規(guī)定，并結(jié)合2023年度赴港上市企業(yè)在招股書中披露的相關(guān)內(nèi)容，我們理解，擬赴港上市企業(yè)需要在“概要"章節(jié)披露的涉及數(shù)據(jù)合規(guī)事項(xiàng)的內(nèi)容通常包括：

（1）近期網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)立法趨勢(shì)和監(jiān)管趨勢(shì)的簡(jiǎn)要概述；

（2）相關(guān)企業(yè)的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)合規(guī)情況的簡(jiǎn)要概述。

2. “風(fēng)險(xiǎn)因素"章節(jié)

根據(jù)《指南》第3.3節(jié)，“風(fēng)險(xiǎn)因素"章節(jié)應(yīng)詳述投資申請(qǐng)人及其證券時(shí)所牽涉的所有重大風(fēng)險(xiǎn)，及為何有關(guān)風(fēng)險(xiǎn)是重大風(fēng)險(xiǎn)；具體而言，該章節(jié)應(yīng)披露“申請(qǐng)人難以充分減輕及一旦出現(xiàn)會(huì)對(duì)申請(qǐng)人造成重大影響之風(fēng)險(xiǎn)"。

根據(jù)上述規(guī)定，并結(jié)合2023年度赴港上市企業(yè)招股書中相關(guān)內(nèi)容，我們理解，擬赴港上市企業(yè)需要在“風(fēng)險(xiǎn)因素"章節(jié)披露的涉及數(shù)據(jù)合規(guī)事項(xiàng)的內(nèi)容通常包括：

（1）網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)法律法規(guī)和監(jiān)管活動(dòng)的主要內(nèi)容；

（2）該等法律法規(guī)和監(jiān)管活動(dòng)與其業(yè)務(wù)之間的關(guān)系和對(duì)其業(yè)務(wù)產(chǎn)生的影響；

（3）該等法律法規(guī)和監(jiān)管活動(dòng)是否可能對(duì)其造成重大風(fēng)險(xiǎn)，該等重大風(fēng)險(xiǎn)具體包括哪些。

3. “適用法例及法規(guī)"章節(jié)

根據(jù)《指南》第3.5節(jié)第1條，“適用法例及法規(guī)"章節(jié)應(yīng)描述對(duì)申請(qǐng)人現(xiàn)時(shí)及/或未來業(yè)務(wù)有重大影響的規(guī)則及規(guī)定。

此外，根據(jù)《指南》第3.5節(jié)第4、5、6條，由于數(shù)據(jù)合規(guī)領(lǐng)域的監(jiān)管環(huán)境不斷變化，申請(qǐng)人在面對(duì)相關(guān)法律法規(guī)不斷完善或草擬的情況時(shí)，可能會(huì)因而沒有把握如何能證明其公司合規(guī)；就該情況而言，聯(lián)交所一般認(rèn)為申請(qǐng)人在上市文件中披露有關(guān)風(fēng)險(xiǎn)便已足夠，而不會(huì)預(yù)期申請(qǐng)人的法律顧問所提供的法律意見須涵蓋申請(qǐng)人是否遵守尚未實(shí)施的法律法規(guī)；但若有關(guān)草擬法律法規(guī)明確地將于不久將來正式頒布，申請(qǐng)人應(yīng)證明于最后實(shí)際可行日期時(shí)其能夠符合該草擬法律法規(guī)頒布時(shí)的規(guī)定。

根據(jù)上述規(guī)定，并結(jié)合2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，我們理解，擬赴港上市企業(yè)通常需要在“適用法例及法規(guī)"章節(jié)就其運(yùn)營(yíng)中需遵守的主要網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)法律法規(guī)進(jìn)行披露。

4. “業(yè)務(wù)"章節(jié)

根據(jù)《指南》第3.7節(jié)第1條，“業(yè)務(wù)"章節(jié)應(yīng)說明申請(qǐng)人業(yè)務(wù)營(yíng)運(yùn)的重要組成部分。

根據(jù)《指南》第3.7節(jié)第2條，“業(yè)務(wù)"章節(jié)披露的涉及數(shù)據(jù)合規(guī)事項(xiàng)的資料通常包括：

（1）若申請(qǐng)人的業(yè)務(wù)涉及提供互聯(lián)網(wǎng)信息服務(wù)，則需提供監(jiān)管架構(gòu)詳情；

（2）在業(yè)務(wù)運(yùn)作過程中獲得的個(gè)人資料以及資料保護(hù)政策（例如所涉及的個(gè)人資料類型、有關(guān)資料收集、儲(chǔ)存、處理、使用、轉(zhuǎn)移、披露、保留及銷毀的措施）；

（3）所有相關(guān)司法轄區(qū)的個(gè)人資料及隱私權(quán)保護(hù)的法律法規(guī)的合規(guī)情況（包括任何重大資料泄漏事件）。

根據(jù)上述規(guī)定，并結(jié)合2023年度赴港上市企業(yè)招股書中相關(guān)內(nèi)容，我們理解，擬赴港上市企業(yè)需要在“業(yè)務(wù)"章節(jié)披露的涉及數(shù)據(jù)合規(guī)事項(xiàng)的內(nèi)容通常包括：

（1）相關(guān)企業(yè)的數(shù)據(jù)處理活動(dòng)，包括數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等數(shù)據(jù)全生命周期的介紹；

（2）基于業(yè)務(wù)模式和業(yè)務(wù)運(yùn)營(yíng)情況，相關(guān)企業(yè)在運(yùn)營(yíng)過程中所采取的網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)內(nèi)控措施；

（3）上述數(shù)據(jù)處理活動(dòng)及內(nèi)控措施是否符合網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)相關(guān)法律法規(guī)的合規(guī)要求。

二、2023年度港股IPO數(shù)據(jù)合規(guī)概況

根據(jù)披露易網(wǎng)站公布的《新上市報(bào)告》（2023），截至2023年12月29日，2023年度成功赴港上市企業(yè)共有73家，其中披露數(shù)據(jù)合規(guī)情況的企業(yè)概況如下：

（一）披露數(shù)據(jù)合規(guī)情況的企業(yè)數(shù)量

在上述73家企業(yè)中，有63家企業(yè)（占比約86%）在招股書中披露了數(shù)據(jù)合規(guī)相關(guān)情況，僅有10家企業(yè)（占比約14%）未對(duì)數(shù)據(jù)合規(guī)情況進(jìn)行披露。如以下圖表所示：

從以上圖表可以看出，絕大部分2023年度赴港上市的企業(yè)均在招股書中對(duì)其業(yè)務(wù)涉及的數(shù)據(jù)合規(guī)情況進(jìn)行了披露；在僅有的10家未對(duì)數(shù)據(jù)合規(guī)情況作出披露的企業(yè)中，大多屬于業(yè)務(wù)經(jīng)營(yíng)基本不涉及網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個(gè)人信息保護(hù)事項(xiàng)的行業(yè)，如：建筑行業(yè)、地產(chǎn)行業(yè)、農(nóng)業(yè)、紡織及服飾行業(yè)、黃金及貴金屬行業(yè)等。

由此可見，聯(lián)交所在港股IPO中對(duì)數(shù)據(jù)合規(guī)問題的關(guān)注范圍日趨廣泛，業(yè)務(wù)經(jīng)營(yíng)中涉及網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個(gè)人信息保護(hù)事項(xiàng)的擬赴港上市企業(yè)，應(yīng)提前在日常業(yè)務(wù)運(yùn)營(yíng)中規(guī)范數(shù)據(jù)合規(guī)問題，并在招股書中對(duì)數(shù)據(jù)合規(guī)問題進(jìn)行充分披露。

（二）披露數(shù)據(jù)合規(guī)情況的企業(yè)所在行業(yè)分布

在上述63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，藥品及生物科技行業(yè)有9家，軟件服務(wù)行業(yè)有8家，工業(yè)工程行業(yè)有7家、食物飲品行業(yè)有7家，媒體及娛樂行業(yè)有5家、工用運(yùn)輸行業(yè)有5家，其他行業(yè)合計(jì)22家。具體如以下圖表所示：

從以上圖表可以看出，相較于其他行業(yè)，藥品及生物科技、軟件服務(wù)、工業(yè)工程、食物飲品、媒體及娛樂、工用運(yùn)輸?shù)刃袠I(yè)在數(shù)據(jù)合規(guī)方面更受到聯(lián)交所的關(guān)注，這些行業(yè)的擬赴港上市企業(yè)更應(yīng)對(duì)數(shù)據(jù)合規(guī)問題充分重視。

（三）數(shù)據(jù)合規(guī)事項(xiàng)的披露要點(diǎn)

我們對(duì)上述63家披露數(shù)據(jù)合規(guī)情況的企業(yè)的招股書進(jìn)行了梳理，總結(jié)了2023年度成功赴港上市企業(yè)在招股書中重點(diǎn)披露的數(shù)據(jù)合規(guī)事項(xiàng)，具體如下：

在招股書中重點(diǎn)披露的上述數(shù)據(jù)合規(guī)事項(xiàng)中，網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境安全評(píng)估是赴港上市企業(yè)在招股書中需重點(diǎn)披露和論證的問題，這兩個(gè)問題也是港股IPO和境內(nèi)IPO在數(shù)據(jù)合規(guī)方面披露要點(diǎn)的重要區(qū)別；其他的數(shù)據(jù)合規(guī)事項(xiàng)（如：數(shù)據(jù)全生命周期的合規(guī)性、數(shù)據(jù)合規(guī)制度建設(shè)、數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件等），在港股IPO和境內(nèi)IPO中均屬于需要重點(diǎn)披露的事項(xiàng)。

三、2023年港股IPO數(shù)據(jù)合規(guī)事項(xiàng)的問詢關(guān)注要點(diǎn)、招股書披露要點(diǎn)及應(yīng)對(duì)思路

由于聯(lián)交所的問詢都是以非公開的方式進(jìn)行，聯(lián)交所問詢的結(jié)果最后會(huì)體現(xiàn)在招股書所披露的內(nèi)容中，因此，招股書中重點(diǎn)披露的數(shù)據(jù)合規(guī)事項(xiàng)，從側(cè)面反映了聯(lián)交所在問詢中對(duì)數(shù)據(jù)合規(guī)相關(guān)事項(xiàng)的關(guān)注要點(diǎn)。

根據(jù)2023年度赴港上市的63家企業(yè)的招股書中披露的數(shù)據(jù)合規(guī)相關(guān)內(nèi)容，我們總結(jié)了赴港上市企業(yè)涉及數(shù)據(jù)合規(guī)事項(xiàng)的6大類披露要點(diǎn)（包括：網(wǎng)絡(luò)安全審查、數(shù)據(jù)出境安全評(píng)估、數(shù)據(jù)全生命周期的合規(guī)性、數(shù)據(jù)合規(guī)制度建設(shè)、數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件、數(shù)據(jù)合規(guī)相關(guān)立法對(duì)公司業(yè)務(wù)的影響），并提出相關(guān)應(yīng)對(duì)思路。具體如下：

（一）網(wǎng)絡(luò)安全審查

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有50家企業(yè)（占比約79%）對(duì)其是否應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查進(jìn)行了披露，披露的主要內(nèi)容是企業(yè)是否應(yīng)當(dāng)根據(jù)《網(wǎng)絡(luò)安全審查辦法》（2021）進(jìn)行網(wǎng)絡(luò)安全審查，以及國(guó)家網(wǎng)信辦于2021年11月14日公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》中關(guān)于網(wǎng)絡(luò)安全審查的內(nèi)容對(duì)企業(yè)的潛在影響。

1. 根據(jù)《網(wǎng)絡(luò)安全審查辦法》應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查的情形及應(yīng)對(duì)思路

根據(jù)《網(wǎng)絡(luò)安全審查辦法》（2021），我們總結(jié)了應(yīng)當(dāng)進(jìn)行網(wǎng)絡(luò)安全審查的四種情形，包括應(yīng)自主申報(bào)的三種情形，以及主管部門依職權(quán)審查的情形：

（1）應(yīng)自主申報(bào)的情形一：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或者可能影響國(guó)家安全的；

（2）應(yīng)自主申報(bào)的情形二：網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的；

（3）應(yīng)自主申報(bào)的情形三：掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市；

（4）主管部門依職權(quán)審查的情形：網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或者可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng)。

根據(jù)相關(guān)規(guī)定，并結(jié)合2023年赴港上市企業(yè)招股書中披露的相關(guān)內(nèi)容，我們總結(jié)相關(guān)企業(yè)可參考以下應(yīng)對(duì)思路論證其是否需要根據(jù)《網(wǎng)絡(luò)安全審查辦法》（2021）的規(guī)定申報(bào)網(wǎng)絡(luò)安全審查：

（1）針對(duì)應(yīng)自主申報(bào)的情形一（關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，影響或者可能影響國(guó)家安全的），我們建議相關(guān)企業(yè)在招股書中論證企業(yè)是否屬于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者"，如屬于“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者"，則需進(jìn)一步論證企業(yè)采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)是否影響或者可能影響國(guó)家安全。

（2）針對(duì)應(yīng)自主申報(bào)的情形二（網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng)，影響或者可能影響國(guó)家安全的），我們建議相關(guān)企業(yè)在招股書中論證企業(yè)是否屬于“網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者"，如屬于“網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者"，則需進(jìn)一步論證其開展數(shù)據(jù)處理活動(dòng)是否影響或者可能影響國(guó)家安全。

（3）針對(duì)應(yīng)自主申報(bào)的情形三（掌握超過100萬用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市），我們建議相關(guān)企業(yè)應(yīng)在招股書中論證“赴國(guó)外上市"不適用于“赴香港上市"。

（4）針對(duì)主管部門依職權(quán)審查的情形（網(wǎng)絡(luò)安全審查工作機(jī)制成員單位認(rèn)為影響或者可能影響國(guó)家安全的網(wǎng)絡(luò)產(chǎn)品和服務(wù)以及數(shù)據(jù)處理活動(dòng)），我們建議相關(guān)企業(yè)在招股書中說明網(wǎng)絡(luò)安全審查辦公室是否向企業(yè)發(fā)出網(wǎng)絡(luò)安全審查通知，或?qū)ζ髽I(yè)的香港上市計(jì)劃提出反對(duì)意見或不同意見。

2. 《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》中與網(wǎng)絡(luò)安全審查相關(guān)內(nèi)容的潛在影響及應(yīng)對(duì)思路

國(guó)家網(wǎng)信辦于2021年11月14日公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第13條規(guī)定，“數(shù)據(jù)處理者開展以下活動(dòng)，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，申報(bào)網(wǎng)絡(luò)安全審查：

（1）匯聚掌握大量關(guān)系國(guó)家安全、經(jīng)濟(jì)發(fā)展、公共利益的數(shù)據(jù)資源的互聯(lián)網(wǎng)平臺(tái)運(yùn)營(yíng)者實(shí)施合并、重組、分立，影響或者可能影響國(guó)家安全的；

（2）處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者赴國(guó)外上市的；

（3）數(shù)據(jù)處理者赴香港上市，影響或者可能影響國(guó)家安全的；

（4）其他影響或者可能影響國(guó)家安全的數(shù)據(jù)處理活動(dòng)。"

《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》（2021年11月14日）目前尚未頒布，我們理解，如該征求意見稿的上述內(nèi)容最終正式頒布，對(duì)香港上市中的網(wǎng)絡(luò)安全審查的影響主要體現(xiàn)在：“數(shù)據(jù)處理者赴香港上市，影響或者可能影響國(guó)家安全的"，應(yīng)當(dāng)按照國(guó)家有關(guān)規(guī)定，申報(bào)網(wǎng)絡(luò)安全審查；其中的關(guān)鍵在于如何判斷是否“影響或者可能影響國(guó)家安全"。

針對(duì)上述內(nèi)容，我們建議相關(guān)企業(yè)在招股書中可從以下幾個(gè)方面進(jìn)行論證：

（1）《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》目前尚未正式頒布，其何時(shí)會(huì)正式頒布存在不確定性；在正式頒布前，其中關(guān)于網(wǎng)絡(luò)安全審查的內(nèi)容可能出現(xiàn)變動(dòng)或調(diào)整。

（2）可進(jìn)一步論證即使在《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》第13條第（3）款的現(xiàn)有內(nèi)容將來正式頒布的情況下，企業(yè)赴香港上市是否需要根據(jù)該條款申報(bào)網(wǎng)絡(luò)安全審查。這里的關(guān)鍵是論證企業(yè)赴香港上市是否“影響或者可能影響國(guó)家安全"。

（3）此外，根據(jù)多家已在香港上市企業(yè)在招股書中的披露，多家企業(yè)就此問題實(shí)名或匿名咨詢了中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（以下簡(jiǎn)稱“網(wǎng)安中心"，網(wǎng)安中心在網(wǎng)絡(luò)安全審查辦公室的指導(dǎo)下，承擔(dān)接收申報(bào)材料、對(duì)申報(bào)材料進(jìn)行形式審查等任務(wù)），網(wǎng)安中心回復(fù)由于《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》目前尚未正式頒布，企業(yè)無需根據(jù)該征求意見稿的內(nèi)容主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查。

關(guān)于香港上市中的網(wǎng)絡(luò)安全審查相關(guān)問題，可參考我們?cè)?a >《網(wǎng)絡(luò)安全審查系列文章（二）：香港上市中的網(wǎng)絡(luò)安全審查》一文中的詳細(xì)論述。

（二）數(shù)據(jù)出境安全評(píng)估

我國(guó)目前的數(shù)據(jù)出境監(jiān)管體系主要對(duì)個(gè)人信息和重要數(shù)據(jù)的出境進(jìn)行規(guī)制。其中，個(gè)人信息出境的合規(guī)路徑主要有3種：（1）向國(guó)家網(wǎng)信辦申報(bào)數(shù)據(jù)出境安全評(píng)估；（2）與境外接收方訂立標(biāo)準(zhǔn)合同；（3）經(jīng)專業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證。重要數(shù)據(jù)出境的合規(guī)路徑主要是向國(guó)家網(wǎng)信辦申報(bào)數(shù)據(jù)出境安全評(píng)估。

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有23家企業(yè)（占比約37%）就其是否符合應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形、是否應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估進(jìn)行披露。

1. 根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形及應(yīng)對(duì)思路

根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》（國(guó)家網(wǎng)信辦令第11號(hào)）第4條，數(shù)據(jù)處理者向境外提供數(shù)據(jù)，有下列情形之一的，應(yīng)當(dāng)通過所在地省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估：

（1）情形一：數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)；

（2）情形二：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息；

（3）情形三：處理100萬人以上個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

（4）情形四：自上年1月1日起累計(jì)向境外提供10萬人個(gè)人信息或者1萬人敏感個(gè)人信息的數(shù)據(jù)處理者向境外提供個(gè)人信息；

（5）情形五：國(guó)家網(wǎng)信部門規(guī)定的其他需要申報(bào)數(shù)據(jù)出境安全評(píng)估的情形。

針對(duì)上述應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形，擬赴港上市企業(yè)通常需要在招股書中對(duì)于企業(yè)是否符合應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估的情形、是否應(yīng)當(dāng)申報(bào)數(shù)據(jù)出境安全評(píng)估進(jìn)行論證。

根據(jù)相關(guān)規(guī)定，并結(jié)合2023年赴港上市企業(yè)招股書中披露的相關(guān)內(nèi)容，我們總結(jié)相關(guān)企業(yè)可根據(jù)以下應(yīng)對(duì)思路論證其無需根據(jù)《數(shù)據(jù)出境安全評(píng)估辦法》（國(guó)家網(wǎng)信辦令第11號(hào)）的規(guī)定申報(bào)數(shù)據(jù)出境安全評(píng)估：

（1）針對(duì)情形一（數(shù)據(jù)處理者向境外提供重要數(shù)據(jù)）：

• 相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)目錄仍在制定過程中，重要數(shù)據(jù)的識(shí)別仍待有關(guān)部門的告知或者公開發(fā)布；
  

  
  

• 在重要數(shù)據(jù)目錄發(fā)布之前，企業(yè)已根據(jù)相關(guān)規(guī)定建立了自身的數(shù)據(jù)分類及分級(jí)標(biāo)準(zhǔn)以界定重要數(shù)據(jù)，且認(rèn)為其業(yè)務(wù)不涉及重要數(shù)據(jù)。

（2）針對(duì)情形二（關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者向境外提供個(gè)人信息）：

• 企業(yè)尚未收到被有關(guān)部門認(rèn)定為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的任何通知；
  

  
  

• 根據(jù)相關(guān)規(guī)定，結(jié)合相關(guān)企業(yè)的業(yè)務(wù)性質(zhì)、處理的數(shù)據(jù)或個(gè)人信息的類型、數(shù)量等因素，經(jīng)過評(píng)估和分析，企業(yè)認(rèn)為其不構(gòu)成關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者。

（3）針對(duì)其他情形：

• 企業(yè)的業(yè)務(wù)并未涉及個(gè)人信息或重要數(shù)據(jù)出境（例如：所使用的信息系統(tǒng)均部署于中國(guó)境內(nèi)的服務(wù)器上、并未就儲(chǔ)存在中國(guó)境內(nèi)的個(gè)人信息向任何中國(guó)境外的用戶提供遠(yuǎn)程訪問）；
  

  
  

• 企業(yè)已開展數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估，評(píng)估結(jié)果認(rèn)為業(yè)務(wù)營(yíng)運(yùn)不涉及處理及共享重要數(shù)據(jù)或大量個(gè)人信息；此外，部分企業(yè)還披露了有關(guān)主管部門（例如省級(jí)網(wǎng)信部門）對(duì)上述數(shù)據(jù)出境風(fēng)險(xiǎn)自評(píng)估結(jié)果的確認(rèn)意見。

2. 《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿）》的潛在影響

國(guó)家網(wǎng)信辦于2023年9月28日公布的《規(guī)范和促進(jìn)數(shù)據(jù)跨境流動(dòng)規(guī)定（征求意見稿）》（以下簡(jiǎn)稱“《數(shù)據(jù)跨境征求意見稿》"）規(guī)定了可以豁免申報(bào)數(shù)據(jù)出境安全評(píng)估義務(wù)的特定情形，包括：

《數(shù)據(jù)跨境征求意見稿》目前尚未正式頒布，我們理解，如該征求意見稿的上述內(nèi)容最終正式頒布，將會(huì)進(jìn)一步明確需要申報(bào)數(shù)據(jù)出境安全評(píng)估的范圍，簡(jiǎn)化部分情形下數(shù)據(jù)出境的合規(guī)程序，有利于促進(jìn)數(shù)據(jù)的跨境自由流動(dòng)。

（三）數(shù)據(jù)全生命周期的合規(guī)性

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有34家企業(yè)（占比約54%）就其業(yè)務(wù)經(jīng)營(yíng)中涉及的數(shù)據(jù)全生命周期（包括數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等）的合規(guī)性情況進(jìn)行了披露。

赴港上市企業(yè)就該部分的披露要點(diǎn)及應(yīng)對(duì)思路與境內(nèi)上市企業(yè)基本一致，具體可參考我們?cè)?a >《2023年境內(nèi)IPO數(shù)據(jù)合規(guī)年度觀察》一文中論述的相關(guān)內(nèi)容。

（四）數(shù)據(jù)合規(guī)制度建設(shè)

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有47家企業(yè)（占比約75%）就其數(shù)據(jù)合規(guī)制度建設(shè)情況進(jìn)行了披露，披露的內(nèi)容包括但不限于：建立數(shù)據(jù)合規(guī)管理制度，建立數(shù)據(jù)分類分級(jí)保護(hù)制度，確定個(gè)人信息處理的操作權(quán)限，采取加密、去標(biāo)識(shí)化、備份等網(wǎng)絡(luò)及數(shù)據(jù)安全技術(shù)措施，建立數(shù)據(jù)及個(gè)人信息出境管理制度，業(yè)務(wù)合作數(shù)據(jù)管理制度等。

赴港上市企業(yè)就該部分的披露要點(diǎn)及應(yīng)對(duì)思路與境內(nèi)上市企業(yè)基本一致，具體可參考我們?cè)?a >《2023年境內(nèi)IPO數(shù)據(jù)合規(guī)年度觀察》一文中論述的相關(guān)內(nèi)容。

（五）數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有45家企業(yè)（占比約71%）就其業(yè)務(wù)經(jīng)營(yíng)中是否存在數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件、對(duì)該等違規(guī)事件的處理情況進(jìn)行披露。披露要點(diǎn)一般包括：

（1）是否在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)方面受到任何主管部門作出的行政處罰、強(qiáng)制整改或其他制裁；

（2）是否在網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)方面受到任何主管部門的調(diào)查、詢問、檢查、警告、面談或類似通知；

（3）是否發(fā)生數(shù)據(jù)或個(gè)人信息泄露、重大網(wǎng)絡(luò)安全、數(shù)據(jù)安全、個(gè)人信息保護(hù)事件或第三方侵權(quán)的情況；

（4）是否存在任何未決或向企業(yè)發(fā)出的或與企業(yè)有關(guān)的法律訴訟、行政或政府程序；

（5）個(gè)別企業(yè)還披露其取得有關(guān)地方政府主管部門就該企業(yè)未曾因違反與數(shù)據(jù)安全有關(guān)的法律法規(guī)而受到處罰的書面確認(rèn)。

此外，若曾出現(xiàn)數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件，則通常需要進(jìn)一步披露：

（1）數(shù)據(jù)合規(guī)相關(guān)違規(guī)事件的背景情況及相關(guān)企業(yè)的違規(guī)行為；

（2）監(jiān)管機(jī)構(gòu)針對(duì)違規(guī)行為的約談、調(diào)查等監(jiān)管措施；

（3）相關(guān)企業(yè)針對(duì)違規(guī)行為的具體整改措施；

（4）整改后，監(jiān)管機(jī)構(gòu)的后續(xù)反應(yīng)（例如：未收到有關(guān)監(jiān)管機(jī)構(gòu)就采取任何后續(xù)行政行動(dòng)或?qū)ζ髽I(yè)整改的意見發(fā)出的任何正式通知，企業(yè)亦未因此受到任何處罰）。

（六）數(shù)據(jù)合規(guī)相關(guān)立法對(duì)公司業(yè)務(wù)的影響及風(fēng)險(xiǎn)

經(jīng)梳理2023年赴港上市企業(yè)招股書中相關(guān)內(nèi)容，在63家披露數(shù)據(jù)合規(guī)情況的企業(yè)中，共有51家企業(yè)（占比約81%）就其業(yè)務(wù)經(jīng)營(yíng)涉及的網(wǎng)絡(luò)安全、數(shù)據(jù)合規(guī)、個(gè)人信息保護(hù)方面的法律法規(guī)及其對(duì)公司業(yè)務(wù)的影響及相關(guān)風(fēng)險(xiǎn)進(jìn)行了介紹和披露。

結(jié)語

總體而言，絕大部分2023年度赴港上市的企業(yè)均在招股書中對(duì)其業(yè)務(wù)經(jīng)營(yíng)涉及的數(shù)據(jù)合規(guī)情況進(jìn)行了披露，并且披露內(nèi)容詳細(xì)、披露要點(diǎn)集中，這也側(cè)面反映了聯(lián)交所對(duì)于數(shù)據(jù)合規(guī)事項(xiàng)的關(guān)注程度和關(guān)注要點(diǎn)。因此，擬赴港上市企業(yè)有必要了解港股IPO中數(shù)據(jù)合規(guī)事項(xiàng)的關(guān)注和披露要點(diǎn)，并參考本文提供的應(yīng)對(duì)思路，提前在企業(yè)運(yùn)營(yíng)管理中落實(shí)各項(xiàng)數(shù)據(jù)合規(guī)要求，并對(duì)招股書中需披露的數(shù)據(jù)合規(guī)事項(xiàng)予以有效應(yīng)對(duì)，為企業(yè)成功赴港上市在數(shù)據(jù)合規(guī)方面做好充分準(zhǔn)備。