一、港股上市项目中加强数据合规工作的背景

1、境外上市新规的影响

近年来，随着数字经济的高速发展和数据立法的不断完善，数据合规已成为企业境外上市过程中不可忽视的重要环节。2023年3月31日，《境内企业境外发行证券和上市管理试行办法》及配套指引正式生效，标志着境内企业境外上市监管进入全新阶段。中国证监会（CSRC）对境外上市活动的监管日趋严格和主动，尤其是在港股上市项目中，审核逻辑与内容要求逐渐向A股IPO靠拢。企业能否顺利取得中国证监会的境外上市备案，已成为决定其能否成功登陆港股市场的关键前提。

在这一背景下，中国律师需要更加深入参与中国法律尽职调查，出具满足中国证监会、香港联交所（HKEX）及香港证监会（SFC）三方要求的法律意见书，还需深度参与备案材料的撰写工作，并与证监会沟通、回应问询。数据合规问题的处理是否得当，直接关系到企业是否能够顺利通过备案审查及港交所聆讯。

2、数据合规重要性凸显

数据合规之所以成为港股上市审核的重要环节，有着深刻的时代背景和现实需求。首先，数据已经成为数字经济时代最重要的生产要素之一，数据处理活动的合规性直接关系到企业的经营稳定性和发展可持续性。其次，随着数据保护相关立法的不断完善，数据合规已经成为一个专业性极强的法律领域，需要企业投入专门资源进行系统化建设。最后，数据安全事件可能对企业经营造成重大影响，监管机构需要通过审核确保企业建立了完善的数据保护与管理体系。

作为中国网络与数据领域三大法律《网络安全法》《数据安全法》《个人信息保护法》的核心合规义务，数据合规已成为监管机构重点关注领域。从监管逻辑来看，证监会和联交所对数据合规的关注主要体现在三个层面：一是合法性层面，关注企业数据处理活动是否符合现行法律法规要求；二是合理性层面，关注企业数据保护与管理体系是否健全；三是风险性层面，关注数据安全事件可能对企业经营造成的潜在影响。这三个层面的内容共同构成了上市文件中数据合规相关说明材料，以及上市审核中数据合规问询的主要内容。

基于上述监管环境的变化与中国律师职能的升级与转变，中国法律法规项下的数据合规工作在港股上市中的重要性愈发凸显，成为监管机构关注的核心领域之一。

二、港股上市过程中不重视数据合规工作的风险

忽视数据合规工作可能会给拟上市企业带来显著且直接的风险。

1、监管机构问询

首要风险在于上市审核过程中可能遭遇监管机构的实质性问询。中国证监会（在备案阶段）与香港联交所（在聆讯及上市审批阶段）越来越频繁地就数据合规问题提出实质性问询。此类实质性问询若未能得到及时、清晰的回应，可能导致问询轮次增加、答复时间拖延，进而打乱既定的上市时间表。

虚拟案例1：某拟上市企业在向中国证监会提交备案材料后，其运营的APP及关联公众号被网信办纳入专项深入检查范围，且被发现存在“未明示收集使用规则”“未经用户同意收集个人信息”等多项违规情形。网信办随即要求企业限期整改并提交报告。该事件触发证监会及联交所的同步关注，企业不得不投入大量时间与资源进行产品功能调整、制度修订与材料更新，导致整体上市时间表推迟。

虚拟案例2：某拟上市科技公司在全球多个司法管辖区开展业务。香港联交所在聆讯问询中，重点质疑其全球业务（尤其是欧盟及东南亚地区）的数据合规情况，包括是否符合GDPR等当地数据保护法规。该公司此前的数据合规工作主要聚焦于中国法项下义务，对海外业务的数据合规体系建设投入不足。为回应问询，公司紧急聘请外部顾问，梳理并提升海外业务的数据合规水平，耗费大量时间与资金，影响了上市时间表。

根据我们的项目经验，在港股上市过程中监管机构的数据合规问询内容呈现出更加具体和深入的趋势。典型问题包括：企业数据保护制度与组织机构、数据的来源及其合法性、数据使用与数据共享的情况、数据跨境传输及相关合规义务等。这些问题需要企业提供详细的说明和论证材料，而监管问询通常设置了严格的回复时限，如果企业没有事先准备或者自身数据合规体系不健全、合规情况不达标，则难以在短时间内提供完整且符合要求的回复材料。

2、监管执法事件

突发的监管执法事件可能对企业上市进程带来更为不利的影响。数据合规执法事件通常具有突发性特点，企业往往难以预测。常见的执法事件包括：APP违法违规收集个人信息、强制索权、未经同意向第三方共享数据、突发的数据安全事件（如遭遇数据泄露、网络攻击）等。这些事件可能通过日常检查、举报投诉等渠道被发现并受到监管调查，具有较强的不确定性。

此类事件发生后，企业首先需要在限期内完成整改并向执法部门提交整改报告；此外企业还需要应对监管问询，联交所和证监会都会要求详细说明事件情况和影响。此类事件对上市进度的影响十分不利，重大执法事件可能导致上市进程暂停甚至终止。举例而言，如果企业在上市关键阶段收到国家网信办对APP的通报批评，可能会触发监管机构对企业的重新审视和更严格的审查，企业还需要投入额外的时间和资源进行整改、解释与说明，从而对上市流程带来不利影响。

虚拟案例3：某电商企业在港股聆讯筹备期间，因APP个人信息收集方式问题被所在省通管局列入整改通报清单。通报指出其APP存在过度收集用户信息的情况，要求限期调整。香港联交所据此要求企业提交事件说明及整改方案，中国证监会同步要求更新备案材料中的合规陈述。企业为此暂停相关功能进行优化，更新相关备案材料和说明文件，导致原定聆讯计划推迟。

三、企业合规应对措施

上市过程中的数据合规工作重点远不止于撰写文件材料。它不仅在于帮助公司整合资料、应对问询，更重要的是，要避免前述案例中出现的不利情况，关键在于在上市材料提交前的准备期就高度重视数据合规工作，切实采取有效的合规措施，全面提升数据合规水位，有重点、有节奏地推进工作。这要求企业必须练好“内功”，即建立扎实的内部合规体系和常态化的合规管理机制。

与此同时，经验丰富的上市合规律师在其中的作用至关重要。优秀的律师不仅需要帮助公司修炼“内功”，通过系统性的整改提升实质合规水平；也需要施展“外功”，凭借对监管关注要点的深刻理解，精准陈述和呈现公司的数据合规情况，妥善把握和应对敏感及灰度问题，为公司打点好合规门面。只有“内功”与“外功”兼备，表里如一，才能确保上市项目中的数据合规工作高效、顺畅推进，从容应对各类问询与突发事件，同时避免给公司带来不必要的负担，最终护航企业成功登陆资本市场。

为有效应对港股上市中的数据合规挑战，我们建议企业在上市筹备早期就制定并执行全面的合规策略，注重实效性与可持续性。建议从以下几个层面系统推进：

1、在启动上市筹备的早期阶段（至少提前6个月），企业就应着手进行全面的数据合规体检与整改。包括：

（1）数据合规风险全面筛查：数据合规筛查工作应覆盖网络安全、数据保护与个人信息保护的重大方面，特别关注用户数据全生命周期处理活动（收集、存储、使用、共享、跨境传输、删除等）的合规性，确保数据收集与处理全流程的合规性与规范性。

（2）重点领域深度审查：企业应特别关注对高风险领域进行重点审查，例如敏感个人信息收集与处理的合规性；数据跨境传输及其相应的合规义务落实；依据行业特点开展重要数据识别和保护；关注与第三方的数据合作，审核数据来源合法性和数据共享的合规性等。

2、企业应深刻理解并精准对接境内与香港的不同监管重点。在准备向中国证监会提交的备案材料时，应着重关注并满足境内监管的核心要求。在应对香港联交所的披露要求时（如在招股书的相关说明章节中），则需侧重阐述数据合规对于业务安全方面的影响，如数据安全风险对业务模式可持续性的具体影响、对网络安全与数据安全风险敞口的具体管理措施等。

3、为提升效率并控制合规成本，企业可采取分阶段、抓重点的整改策略。优先集中资源解决监管问询中高频出现的数据合规要点（如个人信息授权机制的合法性与合规性、数据跨境传输活动的合规性等），在备案和聆讯前确保数据与个人信息收集和处理的核心环节的合规性达到符合监管水位的程度。而对于非紧迫性或投入巨大的某些内部合规优化专项工作，可以视实际情况合理安排时间表。

4、同时，在日常及上市前的合规整改工作中，建议企业保存好内外部合规文件，以便为应对监管问询提供坚实支撑。根据我们的项目经验，企业需要关注并留存的主要合规文件包括：网络安全保护制度、数据安全管理制度（包括数据分类分级制度）、个人信息保护制度、应急响应预案和应急演练记录、数据跨境传输相关的合规材料（如数据出境安全评估材料、个人信息出境标准合同等）、个人信息保护影响评估报告、网络安全与数据合规培训记录等。

四、结语

港股上市是企业国际化发展的重要一步，但也伴随着日益严格的数据合规要求。企业不应将数据合规视为上市前的“应付检查”项目，而应将其作为公司治理和风险防控的核心组成部分。通过前置化、系统化的合规准备，企业不仅可顺利通过监管审核，还能提升数据治理水平，增强市场信任与竞争力。

此外，在不断演进的合规监管环境中，企业应保持敏锐的政策洞察力，积极关注自贸区负面清单、重要数据目录、数据跨境传输新规等法律法规动态，参考监管要求及时调整合规策略，在业务发展与数据安全之间找到可持续发展的平衡点。