2024-2025年度IPO数据合规观察报告
2024-2025年度IPO数据合规观察报告
从2024年度至今,境内A股与以香港为代表的境外IPO呈现出“冰火两重天”的景象,港股的融资额创5年新高,而中概股的上市数量与融资额也双双上升。反映到数据合规领域,境内外的审查重点也有所区别,境内审查更加强调企业数据合规的实质性以及数据问题是否会成为企业未来发展的“绊脚石”;境外监管强调数据安全问题以及随之而来的审查“路条”。在2025年的国际地缘政治情况剧烈变化的影响下,资本市场亦会受到冲击,而企业的数据合规问题会在不同的市场下受到相应的重点关注。本文试图总结境内、港股和美股三个主要市场的IPO数据合规问题,从企业上市监管的实务角度提出有关建议,并对未来趋势给出有关分析。
第一部分:境内IPO数据合规专题
一、数据合规问题的跨行业价值愈发突出
数据合规问题的重要性愈发凸显,其影响力已广泛渗透至各个行业。据观察,在2024年的A股IPO审核中,数据合规问询不再局限于互联网、金融科技等传统数据密集型行业,而是全面覆盖了制造业、传统服务业等各个领域。即便是传统制造业这类通常被认为数据处理活动相对较少的行业,在IPO过程中也面临着数据合规方面的问询。
例如,欧菲斯集团股份有限公司(文具用品批发业)在招股书中耗费大量笔墨,分别从制度、技术、流程等维度说明其数据安全保护的合规水平。再如,江苏利通电子股份有限公司(金属结构制造业)、国机精工集团股份有限公司(滚动轴承制造业)等更是被主动问询相关业务的合法合规性,涉及数据收集、存储和使用的合规性。
在此背景下,企业不应仅仅满足于“被动合规”,即仅为了应对监管检查而采取措施。相反,企业应积极构建覆盖数据全生命周期的管理体系,从制度、技术和流程等多个维度提升数据保护水平,实现“主动防御”。比如,建立数据资产台账并定期维护更新,针对数据收集、存储、传输、使用等环节制定具体技术保障措施,确保数据安全事件发生时能够迅速响应和处理。这样做不仅可有助于企业顺利通过IPO审核,更能为其长期稳定发展奠定坚实基础。
二、有关行业的数据合规问题受重视
2024年,随着行业立法的进一步深化,IPO审核过程中基于行业特性的数据合规要求受到了重点关注。在A股上市文件中,不同行业如汽车、医药、工信以及金融等领域的特殊数据合规侧重各有不同。
医药行业:在医药领域,患者隐私管理尤为重要。例如,四川科瑞德制药股份有限公司强调其项目中的受试者数据经过了严格的脱敏及匿名化处理,确保没有可识别的患者个人隐私信息泄露的风险。四川美康医药软件研究开发股份有限公司作为一家为医疗企业提供软件支持的公司,指出其软件处理的所有患者数据均存储于客户医院内,不存在该公司获取用户个人信息的情况。
工信行业:对于工信行业来说,数据合规的重点在于数据分类分级工作。浙江中力机械股份有限公司在其问询答复中详细介绍了如何建立了完善的数据分类分级管理制度,并明确了数据处理活动中的安全责任。类似的,河北广电无线传媒股份有限公司和上海维安电子股份有限公司对其数据级别进行了评估,并实施了针对性的合规措施。
金融行业:金融行业因其涉及大量的客户金融信息和交易数据,在数据安全方面面临着更为严格的要求。东莞证券股份有限公司在IPO审查过程中,其信息系统控制接受了严格的审查,通过设立信息技术治理委员会、进行等级保护测评以及采用数据加密技术等手段确保数据安全。
三、多维度综合审查
在2024年,监管机构对企业的数据合规审查不再局限于单一的数据处理活动,而是扩展到企业整个产业链中的数据合规情况。过去,对于产业链合规状况的考察主要集中在上游数据供应方的合法性上。然而,今年的审查范围显著扩大,不仅包括企业自身数据处理活动的合规性,还深入评估其与供应商、客户之间的数据交互过程中的合规性问题,如数据传输加密措施、数据存储责任划分等。若企业存在数据外包情况,监管机构将对承接方的资质进行详细审查,并检查双方合同中关于数据安全的具体条款。
某旅游科技集团股份有限公司特别关注了基础设施供应商的数据安全能力。公司通过严格的供应商筛选和定期的安全评估确保所有合作伙伴均符合高标准的数据保护要求。
监管机构要求北京兆信信息技术股份有限公司详细说明与外协印刷厂及客户间的数据交互流程。该公司通过签订详细的合同保密条款,并给予客户对其系统的自主控制权,证明其并未直接收集或存储任何客户数据,从而确保数据处理的合规性。
某科技股份有限公司因其智能车载终端产品涉及客户数据采集,需向监管机构详细说明与云服务商之间的数据传输加密措施以及用户授权机制。这包括采用高级别的加密技术来保障数据传输的安全性,并确保在收集用户数据之前获得明确的用户同意。
这些案例展示了当前监管环境下的新趋势,即不仅要求企业在内部实施严格的数据保护措施,还需确保其上下游合作伙伴同样遵循相应的数据安全标准。这种全面且细致的审查机制有助于提升整个行业的数据安全水平,同时也促使企业在选择合作伙伴时更加注重对方的数据保护能力和合规性。
四、聚焦重要数据
2024年,监管机构对重要数据问题的关注显著增加,并且这一议题在企业IPO审核过程中被反复提及。过去,企业在面对此类问题时,常采用诸如“重要数据目录尚未公开”或“无明确判定规则”等措辞来规避直接回答。然而,在今年的IPO审查中,许多上市企业选择了更加积极和透明的态度,引用推荐性指南(甚至是征求意见稿版本)作为依据,分析和评估自身是否掌握重要数据,并作出直接回应。
例如,上海维安电子股份有限公司引用国家工业信息安全发展研究中心于2022年3月发布的《工业领域重要数据和核心数据识别规则(草案)》中关于电子信息业重要数据的规定,认为其不掌握重要数据;浙江中力机械股份有限公司依据《工业和信息化领域数据安全管理办法(试行)》评估后认为其不掌握重要数据;而深圳市绿联科技股份有限公司则采用了全国信息安全标准化技术委员会制定的《信息安全技术 重要数据识别指南》 (征求意见稿)作为参考确认其业务中未涉及重要数据。
此外,对于掌握重要数据的发行人(河北广电无线传媒股份有限公司),则需详细说明其对于重要数据全生命周期保护的具体措施,覆盖从数据采集、传输、存储到处理、交换直至销毁各个环节。
这种转变表明,随着相关法律法规和指导文件的不断完善,企业正在变得更加积极主动地应对数据合规挑战,而不仅仅是被动接受监管。这不仅有助于提高企业的透明度和信任度,也为其他企业提供了可借鉴的最佳实践案例。同时,这也反映了当前数据保护环境下的高标准要求,促使各行业不断提升自身的数据安全管理能力。
2024年,A股市场在数据合规方面展现出跨行业重视、多维度审查和聚焦重要数据的特点。企业不仅要确保自身数据处理活动的合规性,还需承担起在整个产业链中的数据合规责任。结合行业特性,构建完善的数据安全管理体系,成为企业保障数据处理合法性和安全性的关键。面对日益严格的监管环境,企业需持续强化数据安全管理,不断提升数据合规水平,以适应不断升级的合规要求。这不仅是满足监管标准的基础,更是推动企业稳健发展的核心要素。
第二部分:港股IPO数据合规专题
一、2024年度港股数据合规概览
1. A股IPO遇冷与港股市场的战略选择
2024年,中国内地资本市场IPO环境发生显著变化。随着注册制改革深化,A股审核标准趋严,监管机构对信息披露质量、业务合规性及持续盈利能力的核查力度进一步加强,过会率较2023年显著下降。与此同时,企业排队周期延长,使得A股融资成本显著上升,部分企业被迫调整上市计划。
在此背景下,港股市场监管框架成熟、审核周期相对可控,成为企业融资的重要替代选择。2024年10月,香港证监会与联交所联合发布《有关优化新上市申请审批流程时间表的联合声明》,这一政策进一步强化了港股市场对优质中概股的吸引力,为企业提供了更具透明度与确定性的融资路径。
2. 样本行业分布图表
本文选取2024年1月1日至2024年12月31日期间港股市场中明确披露数据合规相关风险的企业作为样本,总计66家。通过对企业业务领域的梳理与归类,形成以下行业分布统计(按企业数量降序排列):
点击可查看大图
二、2024年度港股数据合规披露/问询要点
1. 常规涉数据合规披露/问询要点表
点击可查看大图
2. 重点行业涉数据合规披露/问询要点表
点击可查看大图
三、2024年度监管动向总结
1. 中国证监会+香港证监会+香港联交所多主体联合监管
在港股IPO数据合规监管中,中国证监会、香港证监会及香港联交所基于法定职能形成差异化监管分工,均可能提出数据合规相关问询问题,发行人需要对于该多主体问询有所预期:
中国证监会依据《境内企业境外发行证券和上市管理试行办法》等规定,对境内企业境外上市实施备案管理,重点核查向境外提供个人信息和重要数据等数据出境合规事项,以及网络安全审查等与国家安全相关的事项,重点监管发行人是否符合《网络安全法》《数据安全法》等境内法规。实践中,中国证监会国际司会通过提出“境外发行上市备案补充材料要求”的方式要求发行人予以补充说明,请律师核查并出具明确的法律意见。其中,针对部分发行人的补充材料要求在“中国证监会官网-办事服务-境外上市类”中进行了公示,发行人可予以参考。
香港证监会及香港联交所在处理新上市申请审批工作时紧密合作,根据《有关优化新上市申请审批流程时间表的联合声明》,若发行人符合《证券及期货条例》、《证券及期货(在证券市场上市)规则》及/或《上市规则》下的所有适用规定及指引,香港证监会及香港联交所会紧密沟通以避免重复提问,在分别发出最多两轮监管意见后,各自评估并指出有关申请是否存在任何重大监管关注事项(监管评估)。对于香港证监会和香港联交所关注的数据合规相关问询事项,参考监管实践,上述“二、2024年度港股数据合规披露/问询要点”所涉内容均可能落入问询范围。但上述问询内容除发行人可获悉外,其他同类企业难以获悉,仅能通过招股书的修订予以分析。
2. 招股书已披露的涉数据处理相关业务描述,成为监管问询重要切入口之一
结合今年参与港股IPO数据合规项目的相关经验,招股说明书已披露的涉数据处理相关业务描述正成为两地监管机构问询的重要切入点,即使该描述散落在集中披露数据合规问题以外的章节。以某药企IPO项目为例,业务章节涉及披露发行人临床前研究涉及数据收集这一表述,并未细化展开,监管机构即聚焦该点展开临床前研究的数据合规性的细化问询;业务章节涉及披露发行人在境外市场开展候选产品开发,监管机构即聚焦该点细化展开该过程下的数据跨境相关数据合规问询。
我们理解,该监管逻辑表明,港股上市监管机构正通过“业务披露-合规映射”这一审查机制,系统性扫描招股书全文中与数据处理存在潜在关联的业务描述,并将碎片化业务信息转化、聚焦为定向的数据合规问询。
3.针对明显涉数据合规问题但未在A1中披露的发行人,多监管主体可能会同时进行更为细化的问询
结合笔者今年参与港股IPO数据合规项目的相关经验,A1文件申报阶段的数据合规披露完整性将直接影响监管问询的深度与发行人应对效率。实践中,部分港股上市项目中可能出现A1文件未披露数据合规风险,未对于发行人的数据合规性发表明确意见的情况,该情况背后的原因可能是因为发行人因未及时或不想在A1前引入数据合规律师,或发行人未及时在A1前完成数据合规整改致使数据合规律师难以在A1前出具清洁意见等。
相较于在A1阶段主动披露数据合规风险并发表明确意见的发行人,此类未披露项目往往面临问询轮次增加、单次答复周期延长、法律意见书修订频率上升等问题,致使合规整改及监管沟通成本显著攀升,且可能影响上市整体的进度安排。
4.数据合规具体问询更为深入、颗粒度更细、行业特性更为明显
除上述变化外,随着港股上市监管机构监管能力的提升,2024年度的数据合规类问询相比于去年有了进一步的深化。具体而言:
一是问询更为深入,颗粒度更细。例如,从原则性合规判断转向数据全生命周期穿透,要求发行人细化拆解数据处理全生命周期中的某一具体环节的合规性;
二是行业特性从普适性要求向场景化规则聚焦,监管机构基于不同行业底层数据性质的差异,例如,某一发行人属于汽车行业,但其业务涉及AI相关业务,港股上市监管机构在问询时会同时考量汽车行业特性与AI业务场景下所涉及的风险点。
上述具体变化在上文“二、2024年度港股数据合规披露/问询要点”中进行了细化列举,相关发行人可具体查看参考。
四、2025年数据合规工作准备思路
1. 更提早的准备:建议于A1前完成数据合规披露内容准备
建议发行人将数据合规工作的关键节点明确锚定在A1申报前,以规避上文所述的因申报阶段未充分披露而引发的后续监管成本。我们建议发行人可以A1节点为基准进行倒推,尽早引入数据合规外部律师,为其预留开展尽调调查、合规差距分析、以及合规整改工作的合理工作周期,并要求数据合规相关意见应当在A1前完成出具。
2. 更多方的协调:涉数据处理的业务相关披露需多方共同斟酌
对于发行人数据合规律师,除准备招股书中集中涉及数据合规的具体章节外,还应当系统性审阅招股书全文中涉及数据处理的业务描述,识别相关业务描述是否与已出具的数据合规意见相冲突或被意见所遗漏。在识别的基础上,发行人数据合规律师应及时与撰写相关内容的其他中介进行沟通,并协调发行人尽快开展补充尽调与意见修订工作,以数据合规意见的严谨性以及充分。
3. 更全面的披露:以常规数据合规问询问题为基础进行全面准备
不同上市项目下数据合规问题的披露颗粒度存在差异,基于节省后续问询应对成本考量,我们建议发行人再A1阶段对常规数据合规问题进行细致、充分且全面的披露。发行人可结合“二、2024年度港股数据合规披露/问询要点”中的“常规涉数据合规披露/问询要点表”进行准备。通过更为全面的披露,可帮助港股上市监管机构全面掌握企业的数据合规现状,同时该等披露也可充分体现企业数据合规工作的全面性及扎实程度,从而降低后续补充问询的频率与复杂程度。
4. 更主动的披露:基于行业特性、业务特性或监管政策变化主动回应监管可能的问询问题
除常规数据合规问询问题的全面准备外,同样基于节省后续问询应对成本考量,建议发行人考虑关注以下问题的主动回应:
其一,针对本行业上市企业普遍面临的问询要点实施前置披露,例如,就AI企业的训练数据来源合法性这一AI企业普遍可能被问询的问题,发行人可以主动予以回应;
其二,基于业务特性关联的合规风险点主动阐释合规性。例如,发行人存在跨境业务,可主动回应是否涉及数据跨境行为,是否需要履行申报数据出境安全评估等义务;
其三,基于重要的监管政策变化而可能触发监管问询前,可主动予以回应。比如发行人在A1时适逢《网络数据安全管理条例》出台,其也可主动披露其出台对于其开展的数据处理业务的影响。
5. 更细化且深入的合规:细化识别合规差距,深入开展合规整改工作,避免仅关注表面合规工作
最后,无论是基于申报节点的前置规划、业务披露的多方协同,还是全面、主动披露策略的实施,背后均要求发行人开展扎实、细致的合规工作。建议发行人数据合规律师以监管关注要点为导向,逐项核查并整改发行人数据处理中的合规瑕疵,杜绝仅满足形式合规的短视行为。
第三部分:美股IPO数据合规专题
随着我国关于境内企业境外上市备案的流程及相关监管规则日趋完善,2024全年共有六十余家中国企业成功在美上市。尽管从数量上看,中国企业赴美上市相较于前一年增长较快,但是处在现有中美贸易战的大环境下,未来中国企业赴美上市的不确定在剧烈增强。本部分将对2024年度美股IPO数据合规有关问题进行回顾、总结和展望,旨在为相关拟上市企业提供合规参考。
一、2024年美股IPO数据合规主要法律问题
1. 网络安全审查持续受到监管关注
对于赴美上市的中企而言,网络安全审查可以说是最关键的数据合规问题,也是IPO过程中最重点的数据合规披露内容。根据我国《网络安全审查办法》的相关规定,只要掌握超过100万用户个人信息的网络平台运营者赴国外上市,应当申报网络安全审查(简称“网安审”)。
经梳理2024年度美股IPO上市企业的招股书披露情况,落入上述范围的企业必须拿到网安审路条,而没落入的拟上市企业,在披露时通常会针对自身无需就赴境外上市申报网安审进行详细说明,例如已与有关主管部门确认自身无需就此次赴美上市申报网络安全审查等。除上述对公司现状的描述性内容外,拟上市企业通常还会在招股书中补充说明未来因业务发展或监管变化可能导致自身受到网络安全审查的情况及相关合规风险,以强化风险披露。
此外,在上市后的定期披露方面,SEC同样关注网络安全审查问题,在审查年报、半年报等定期披露文件时,通常会要求上市公司就因法律或事实变化导致需要获取相关审批(包括网安审)的情况及可能后果进行补充披露。
2. 数据合规披露颗粒度呈现行业特征
经梳理2024年赴美上市企业的招股书披露内容,拟上市企业的数据合规披露内容主要涉及数据收集处理的合规性、数据安全保护措施、取得数据安全保护相关认证的情况等。但在具体披露方面,呈现出较为明显的行业特征,不同行业领域企业在披露的侧重点和颗粒度上均有所区别。例如,某同城快递企业作为处理海量个人信息的网络平台运营者,其对于个人信息保护的风险披露较为详细,披露内容涉及由于处理海量数据可能存在的外部攻击、内部员工滥用等相关风险,以及由于配送员能够查看发件人、收件人个人信息所引发的风险等;而小马智行等网联汽车相关企业则侧重于对测绘数据、汽车数据方面的监管要求及相关风险的披露,并重点披露了自身所采取的相关数据安全保护措施。
此外,对于涉及在多法域开展业务活动的拟上市企业,SEC则要求其须同时披露在各法域的数据合规相关情况。例如,SEC对某自动驾驶企业F-1表格的问询中就要求其细化披露自身在美国加州开展道路测试过程中的数据收集处理情况,包括是否涉及在美国收集消费者数据、在美国收集和存储数据的相关法律监管要求等。
3. 数据安全问题加剧VIE架构合规风险
2024年度,VIE架构企业赴美上市受到的数据合规监管力度显著提升。一方面,《境内企业境外发行证券和上市管理试行办法》明确将直接和间接境外上市统一纳入备案管理,即VIE架构企业赴美上市同样需完成境外上市备案。如前所述,数据安全为中国证监会在境外上市备案过程中的重点审查事项之一,无疑将对VIE架构企业赴美上市产生重大影响。
此外,在某些特殊领域,数据安全问题还可能加剧赴美上市企业VIE架构的业务合规风险。以智能驾驶为例,近年来我国持续强化测绘数据监管,自然资源部发布《关于促进智能网联汽车发展维护测绘地理信息安全的通知》等多份文件,明确强调在道路测试、导航地图制作等涉及测绘活动的场景,应确保地理信息数据安全并由有相应测绘资质的单位承担相关工作。2024年,国家安全部发布了以开展汽车智能驾驶研究为掩护,在我国内非法开展地理信息测绘活动的典型案例。在此背景下,VIE架构可能导致拟上市企业因外资准入限制而难以独立合规开展业务。例如,ECARX在2023年度年报中即披露其因VIE架构受到中国测绘资质方面的外资准入限制,已剥离并停止此前在中国开展的测绘业务;某车企则在招股书中披露其通过寻求与有测绘资质的合作方合作,以确保其境内业务活动的合规性。
二、2025年美股IPO数据合规趋势分析
1. 中美科技贸易博弈导致退市风险大幅增加
2025年2月,美国政府发布《美国优先投资政策》备忘录,拟在此前《关于解决美国对有关国家的某些国家安全技术和产品的投资问题的第14105号行政令》的基础上,进一步强化对美国资本对于中国某些领域的投资限制。该备忘录特别强调,将重点审查中国上市公司是否符合《外国公司问责法案》(HFCAA)中关于审计底稿检查的要求。而审计底稿中可能涉及大量公司数据、个人信息、商业秘密甚至国家秘密,拟上市企业在向SEC提供上述文件时,仍需遵守中国数据跨境及保密管理相关要求。若中概股公司连续三年无法满足PCAOB的审计要求,将被强制退市。尽管中美监管之间达成了有关的备忘录,但在中美贸易战形势下,有关文件可能难以落地。
更加令人担心的是,据报道美国财长贝森特近日发表言论:“所有(针对中国的)政策选项均保留,包括将中国公司从美国证券交易所除名的可能性......一切都在考虑之中”。
2. 中美之间数据跨境流动限制加剧
2023年以来,美国方面先后发布《关于防止受关注国家获取大规模美国人敏感数据和美国政府数据的第14117号行政令》(“14117号行政令”)及其相关配套实施规则,对中国企业从美国获取敏感个人数据等做出多方面限制,影响范围涵盖医疗健康、金融、科技、云计算等诸多行业领域。在中国方面,尽管我国此前通过发布《促进和规范数据跨境流动规定》,大幅减轻了数据跨境合规监管要求,但随着中美贸易战最终演变成数据战,可预见的是,中美之间的数据跨境流动将面临更为严峻的监管限制,数据跨境合规无疑将成为在美上市企业亟需重点关注的合规命题。
“生存还是死亡,这是个问题!”这句经典的台词已经成为所有美股上市公司的命题。近日香港财政司司长表示,已指示证监会和港交所做好准备,若在海外上市的中概股希望回流,必须让香港成为它们首选的上市地。可预见的是,大批中概股可能将会选择回归港股和A股,而美国资本市场将在贸易战和地缘政治的大背景下,尚待稽考。