2023-2024中国企业IPO数据合规的回顾与展望
2023-2024中国企业IPO数据合规的回顾与展望
2023年度,数字经济领域在全球范围内继续以前所未有的速度演化和深化,IPO作为驱动企业创新与增长的核心动力,在数据合规监管环境不断升级的背景下,挑战与机遇并存。较于2022年,境内A股、港股和美股三大市场对拟上市企业的数据合规要求更为精细且严格,呈现出了新的关注焦点和趋势变化。本文聚焦2023年度三个主要市场的IPO数据合规问题,从实务应对角度提出应对建议,为拟IPO企业后续的运营合规提供参考。
一、境内IPO数据合规观察
(一)审核经纬线:新规则照亮IPO数据合规之路
随着数字经济时代的全面铺开及数据处理实践的日益普及,数据安全与个人信息保护议题已跃升至资本市场关注的焦点位置,其重要性不容小觑。步入2023年,数据合规已然确立为上市项目审查的核心标准之一。深圳证券交易所与上海证券交易所分别发布了新的审核指南,明确要求在上市项目的审核过程中,保荐人、发行人律师应当对公司相关经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规进行核查,并发表明确意见。
这一变革标志着数据合规已由以往上市流程中的隐性考量或待查隐患,转变为保荐人与发行人必须在申报阶段即着手深度剖析、严谨自纠并提前备足合规证据的硬性指标之一,其重要性可与劳动管理、税收合规、产权明晰等传统上市必备条件平齐,同样需要专业人士以权威法律意见的形式予以确认。
这一变化深刻彰显出监管层面对数据合规问题的重视,以及对申请上市企业在筹备上市阶段即构建完备数据合规架构、前瞻性防范合规风险的严苛要求。律师在此过程中扮演关键角色,其发表的专业法律意见不仅是对上市公司合规状况的权威认证,更是监管机构判断企业是否具备上市资格的重要依据。
(二)恒久考题:常规与特定场景下的合规探针
1、聚焦核心:数据合规问询的常规焦点
1)拟上市企业经营中对数据合规相关法律法规的符合性:如三法(指《个人信息保护法》《数据安全法》《网络安全法》)的符合性、其他数据合规相关法律法规的符合性,该问题也与上文提及的沪深交易所的问询要点一致;
2)拟上市企业数据全生命周期管理的合规性:包括拟上市企业是否涉及数据处理活动,以及数据收集、存储、使用、对外提供、删除等数据处理环节的合规性,在这一问题下,又可细化问询例如数据来源的合法性、数据开发利用的合规性、数据对外提供和流转的问题等;
3)拟上市企业数据合规内控:包括拟上市企业的数据合规内部管理机制是否建立及有效性,部分细化问询会要求拟上市企业从制度、组织架构、技术管控等维度予以详细说明,如何确保、证明相关数据合规管理制度的有效执行已经成为较为常规的问询事项之一。
2、特定场景下的具体问题
1)APP合规:涉及运营APP的,可能被问询其APP的合规性;涉及被通报的APP,可能会被问询APP的合规整改情况;
2)网络安全审查:涉及为CIIO提供网络产品或服务的,可能被问询其是否需要配合CIIO进行网络安全审查;
3)境外业务开展的数据合规性:涉及在境外开展业务且有数据处理的企业,部分问询会要求回应境外业务的数据合规性;
4)媒体质疑、特定监管事件引发的数据合规问询:如拟上市企业涉及负面舆论或涉及特定监管事件等。
(三)趋势变化: 合规风向标与企业应对策略梳理
1、行业立法成为细化问询依据,部分征求意见稿备受关注
以《工业和信息化领域数据安全管理办法(试行)》《银行业金融机构数据治理指引》等为代表的行业立法也成为了拟上市企业论证合规性的法律依据。暂未正式生效的征求意见稿也受到重点关注,如《网络数据安全管理条例(征求意见稿)》《生成式人工智能服务管理办法(征求意见稿)》《规范和促进数据跨境流动规定(征求意见稿)》等(《生成式人工智能服务管理暂行办法》已在2023年7月发布;《促进和规范数据跨境流动规定》已于2024年3月发布)。
2、上下游合作中的数据合规成为新的审查重点
2023年度,上市监管机构对拟上市企业的审核焦点扩展至其与上下游合作伙伴(供应商、客户)之间合同约定中关于数据责任分配的问题,如在发生数据泄露等事件时,拟上市企业如何通过合同条款明确各方在数据安全、保护和处理方面的法律责任。
3、数据出境新规引发新焦点
2023年《数据出境安全评估办法》下的安全评估路径成为上市审核的重点。监管机构要求拟上市企业明确其业务是否需要进行数据出境安全评估,以及相关审批程序和整改要求可能对拟上市企业的生产经营、业务发展带来的影响,包括是否存在业务延误或受限的风险,并且要求拟上市企业充分揭示这些风险等。
2023年9月28日发布《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“跨境新规"),进一步调整了数据出境安全评估路径的适用范围。对此,上市监管机构仍保持较为谨慎的态度。要求部分拟上市企业进一步说明“发行人认为《规范和促进数据跨境流动规定(征求意见稿)》未来如出台对对发行人开展境外业务的影响将进一步减小的依据是否充分。"
4、数据商业利用:“数据二十条"中立政策导向VS上市相对审慎问询
“数据二十条"等国家政策倡导在合法合规的前提下推动数据利用,但有关政策尚待进一步明确。在上市合规问询环节,监管对于拟上市企业使用客户数据进行商业化的态度则表现出一定的审慎甚至负面倾向。拟上市企业在面对上市合规问询时,仍普遍将数据商业化利用视为潜在的风险予以应对。
5、数据合规相关“资质"的审核范围拓宽
相较于2022年,2023年度对拟上市企业应当取得的数据合规监管部门审批、许可、备案、认证等“资质"的审核范围更加广泛,涉及APP备案、算法备案、安全评估、网络关键设备和网络安全专用产品认证或检测等。
6、数据分类合规的颗粒度更细
2023年的上市监管部门在数据合规审查中更加注重数据类型的细分,不仅涵盖了数据、个人信息、敏感个人信息等常规类别,还包括重要数据、核心数据、一般数据、国家秘密、遥感数据等。随着《工业和信息化领域数据安全管理办法(试行)》《数据出境安全评估办法》等生效,“重要数据"的判断标准在不同行业的维度下显得愈发清晰,且常与“100万人以上个人信息"被同步问询。
7、网络安全与APP违规成双重警戒线
以公安机关为代表的网络安全监管机构,正基于《网络安全法》《公安机关互联网安全监督检查规定》等相关法律法规,将常态化的网络安全监督检查和行政执法工作纳入日常管理范畴。其中,公安机关重点关注关键信息基础设施以及重要信息系统的网络安全保障问题,确保相关企业严格遵循网络安全等级保护制度。
8、“匿名化"认定标准的宽泛解读及潜在问题
目前,企业难以提供具有充分说服力的证据以证明其已经实现“匿名化",部分上市问询回复案例中呈现出一定的宽松倾向。某些拟上市企业的外部数据合规顾问基于特定判断给出了关于匿名化处理完成的肯定意见,暂未见受到上市监管机构进一步追问或质疑的情况。我们理解,未来随着个人信息保护法律法规、行业实践的细化和完善,以及上市监管机构审核能力的加强,不排除匿名化问题可能成为更细化审查的对象。
二、港股IPO数据合规观察
(一)遵循先例:持续要求网络安全审查合规披露
2023年的招股说明书在网络安全审查披露方面延续了2022年的精细趋势。一方面,发行人继续沿用对中国网络安全审查认证和市场监管大数据中心咨询的途径以获得“港股上市并不等同于海外上市"的留痕证据;另一方面,发行人的中国法律师/数据合规顾问也对其是否属于关键信息基础设施运营者和其业务活动是否存在“影响或可能影响国家安全"的敏感因素作出明确的论述。
我们注意到在2023年港股IPO招股书中,部分发行人仍持续将《网络数据安全管理条例(征求意见稿)》作为部署落实数据合规要求的重要依据。但我们认为该条例的征求意见稿自发布以来已逾两年时间,不仅迟迟未落地,且有些条款已经明显不合最新的发展趋势。因此,在对发表内容的选择上,我们建议上市中介机构需要重新审视是否继续将其视为主要的法律基础。
(二)历史镜鉴:发行人披露违规记录的透明化实践
随着全球监管环境对透明度要求的不断提高,港股上市申请企业在披露合规记录方面表现出更高的重视程度。多家公司在招股书中详细列出了历史违规行为的具体内容,并详尽阐述了针对这些事件所采取的系统性整改措施及其产生的积极成效。
因此,在当前严格的监管环境下,拟赴港上市的企业在筹备阶段除了需要确保内部治理结构严谨、数据合规体系完善之外,更应充分展现整改的决心与成果,以此向市场传达企业在应对合规风险时的强大适应力和可持续发展潜力。
(三)第三方认证在一定程度上能起到提升作用
相较于2022年,2023年度的港股上市企业更加重视并积极采纳国际权威第三方认证机构对其数据合规性的专业背书。例如,ISO国际标准系列中关于信息安全管理和个人隐私保护的关键性认证、STAR计划认证、ISO27001信息安全管理认证等。
可以看到,上市企业开始大规模引入专注于数据合规的第三方认证,向市场投资者展示自身超越规范之上、高标准构建的数据安全管理机制。尽管如此,我们理解第三方认证仍不能取代企业自身的合规管理和建设水平,尤其在个人信息和数据保护领域,如果不重视法律合规的落地和持续地精进完善,第三方认证仍无法承担合规“保护伞"的作用。
(四)市场应对新法新规的曲折之路
1、数据出境安全评估
随着《数据出境安全评估办法》规定的2023年3月底数据出境安全评估申报宽限期结束,港股IPO项目对数据跨境合规性的详尽披露成为了一项突出特点。有的发行人明确声明其业务活动不包含数据出境场景,有的则论证证明其向境外传输的信息不属于个人信息或重要数据范畴,少数企业已成功完成了数据出境安全评估程序。
对于紧随其后出台并设置有截至2023年12月底宽限期的《个人信息出境标准合同办法》,相关案例较少。我们预见到在2024年港股IPO项目中,关于数据出境合规性的信息披露将会更为丰富且严谨。
2、算法合规
2023年下半年“算法合规"逐渐成为企业数据合规的核心关注点。发行人频繁引用《互联网信息服务算法推荐管理规定》及新近颁布的《生成式人工智能服务管理暂行办法》等关键法规,但在部分企业的招股文件中对于如何具体执行和落地算法合规性的详尽策略与实践操作方面却相对匮乏,更多表现为一种声明性质的表态或潜在风险提示。这一点和我们对2022年港股IPO市场的观察相比并无太多变化。
随着2023年政府对AIGC产业加大政策扶持力度,并强化法律保护机制, 2024年,我们预计将有望在更多企业的招股书中看到他们如何深入解读新法新规并翔实地展现他们在落实算法合规、安全评估以及迎战人工智能监管挑战上所做的不懈努力与实质性成果。
三、美股IPO数据合规观察
(一)防线升级:网络安全审查权重攀升
在2023年的美股IPO市场,《网络安全审查办法》的重要性不减反增。尤其是考虑到部分因未能通过网络安全审查而影响上市进程的案例,使得所有拟赴美上市的企业对此高度警惕,并采取审慎应对策略。另一方面,用户个人信息数量未达到100万门槛的企业,明确表示无需进行网络安全审查,以避免不必要的合规负担。
(二)审慎应对:负面言论与信息披露
在2023年出台的《境内企业境外发行证券和上市管理试行办法》框架下,企业在披露可能存在的风险因素时,例如关于中国法规体系稳定性、政府干预经济程度、外汇管制制度、国际判决执行难易度等方面,需采用更加谨慎和精准的语言策略,以确保信息传递的真实性和合规性。
(三)监管铁腕:证监会深度介入,全面加强备案管理
伴随《境内企业境外发行证券和上市管理试行办法》的深入贯彻,中国证监会在境外上市企业的监管方面进入了全新的全面备案时代。以下四大问题为证监会一般关注的核心议题:
* 开发、运营网站、APP、小程序等情况
* 收集及储存个人信息的规模及其收集使用情况
* 是否存在向境外传输数据或向第三方提供个人信息的情况
* 上市前后对信息数据保护的各项安排和措施
同时,基于发行人特性,证监会也进一步加强对前沿合规问题的关注,包括但不限于AIGC安全评估、算法备案等新兴领域。
四、拟上市企业数据合规建议
在前文分析梳理的基础上,对于拟上市企业,无论其选择上市地为何,都面临着类似但又有侧重的数据合规问题。我们总结如下经验,供拟上市企业参考。
(一)密切关注监管动态,及时调整合规策略
面对2023年度呈现的“新变化",拟上市企业需要密切关注监管动态,适时调整和优化自身的数据合规实施方案,以充分满足新的上市审查要求。
目前,数据有关立法出台较快,行业的合规水位仍在持续变化中,某些合规依据仍不明显:如数据分类分级监管要求“颗粒度较粗"、或某些行业暂无明确的规范要求;数据要素的利用和流通问题存在较大的政策腾挪空间。对于这些不确定性,企业应及时找准合规标准,更新自身的合规依据,开展精细化且具有前瞻性的数据合规管理工作,将合规工作储备留痕,以备上市监管审查。
(二)完善上下游合作协议,构筑合规生态链
拟上市企业在与上下游合作伙伴签订合作协议时,应特别关注数据合规相关条款的设计和责任分配。在协议中明确约定数据保护、安全处理和风险分担等内容。此外,建议拟上市企业做好责任隔离,防止发生供应商数据合规风险事件,并及时切断风险传导路径,留存充分的证明材料。
(三)积极配合监管工作,共绘合规蓝图
拟上市企业应积极主动与监管部门保持沟通,及时确认各类资质问题的具体要求、流程以及时间安排,包括但不限于APP(含小程序)备案、算法备案、算法安全评估等手续。
同时,建议拟上市企业关注网络安全相关风险,与属地公安机关建立紧密协作关系,主动配合监管工作,提前将网络安全等级保护相关工作纳入上市数据合规准备工作中。
五、结语
总体上,2023年度境内交易所对境内IPO市场的数据合规审核标准有了进一步明确和细化,对于拟上市企业而言视为利好。在港股层面,不断演进的监管要求和市场预期所带来的不确定性和复杂性并未减弱,企业应持续构建全方位、多层次的数据合规管理体系,以应对监管核查与问询。在境外方面,网络安全审查仍然是TO C或平台类型企业必须要面对的合规门槛,在后疫情时代中国经济面对各项挑战的大背景下,监管对境外上市的持续宽松趋势或许会为此类企业的IPO带来更多的确定性