编者按

2023年度，数字经济领域在全球范围内继续以前所未有的速度演化和深化，IPO作为驱动企业创新与增长的核心动力，在数据合规监管环境不断升级的背景下，其挑战与机遇并存。相较于2022年，境内A股、港股和美股三大市场对拟上市企业的数据合规要求更为精细且严格，呈现出了新的关注焦点和趋势变化。

本专题聚焦于这些数据合规新动向及新要求，通过对比分析2022年至2023年间各市场的变化与发展，提炼出拟上市企业在筹备IPO过程中亟待关注的数据合规新要点。同时，针对这些变化，作者结合实务经验，为企业提供了更具针对性和实用性的应对策略，以助力拟上市企业在愈发严格的合规环境下，精准把握监管脉络，优化数据管理实践，从而确保IPO进程顺利推进。

目录

A股IPO数据合规

随着数据合规监管机制的不断完善，2023年境内IPO市场的数据合规审核有了新规则，同时，又呈现出既坚守原有核心要求又拥抱变革的新格局，对拟上市企业提出了新的要求与挑战。

一、新规则：更加清晰的审核要点

相较于2022年度，2023年度境内IPO数据合规审核要点进一步细化与明晰。其中，沪深交易所已公开的数据合规相关审核要点如下：

（一）深交所审核业务指南

2023年3月17日，深圳证券交易所发布《深圳证券交易所股票发行上市审核业务指南第3号——首次公开发行审核关注要点》，在“13-5发行人业务是否涉及数据安全和个人信息保护”规定中明确：

“发行人属于数字经济、互联网平台企业，或发行人涉及数据开发利用等数据处理活动的，保荐人、发行人律师应当对公司相关经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规进行核查，并发表明确意见。”

（二）上交所审核业务指南与审核动态

同年3月18日，上交所发布《上海证券交易所发行上市审核业务指南第4号——常见问题的信息披露和核查要求自查表》“4-7数据安全和个人信息保护”中提出了与深交所相同的要求。

与深交所不同的是，上交所通过2023年度发送的《上市审核动态》文件进一步细化了相关审核要点，为发行人及中介机构提供了更为细化的参考：

1. 关于软件类企业科创属性，发行人及中介机构应当重点把握哪些方面？

在业务合规方面，关注软件类企业：

1）是否从事互联网信息服务，是否依法取得相关电信业务经营许可；

2）收集、产生个人信息和重要数据是否符合国家相关主管部门要求，是否符合数据安全、网络安全等法律法规规定；

3）建议相关企业严格按照主管部门要求切实履行数据安全保护责任和义务，建立健全数据管理各项规章制度，积极开展数据安全风险监测、防范、报送和处置工作，定期开展重要数据评估，对客户数据安全保障做出充分承诺，做好上市公司信息披露等场景下的数据安全审核。

2. 数字经济、互联网企业涉及数据开发利用等数据处理活动的，发行人及中介机构如何做好数据安全、收集使用个人信息方面的信息披露及核查把关，有何注意事项？

发行人业务涉及数据开发利用等数据处理活动的，应充分说明其是否符合数据安全、收集使用个人信息相关法律法规要求，保荐机构及发行人律师应对相关事项进行核查，并对发行人业务开展是否符合相关法律法规要求发表明确意见，应关注以下方面：

1）发行人是否按照《中华人民共和国电信条例》《互联网信息服务管理办法》等相关规定取得相应经营资质。例如，涉及经营信息服务业务的，应按规定取得增值电信业务许可。

2）发行人相关经营过程是否符合《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法（试行）》等法律法规要求，并充分说明：

• 一是对客户数据安全保障做出的充分承诺；
• 二是对数据分类分级、重要数据风险评估等数据安全保护要求的落实情况；
• 三是数据安全管理制度的建立及运行情况，检测和预防数据泄露等安全风险的保障措施；
• 四是涉及人工智能、信息技术等创新技术的，保障其数据分析利用可靠性的切实举措。

3）发行人下游客户主要为党政军机关或参与涉密项目的，应说明对客户信息和项目信息的保密措施是否健全，防范数据泄露等安全风险的制度是否完备。

4）发行人业务涉及手机端移动应用APP的，应说明是否存在《APP违法违规收集使用个人信息行为认定方法》相关情形。例如，未经用户同意收集使用个人信息，非必要收集与其提供的服务无关的个人信息，未按法律规定提供删除或更正个人信息功能等。

5）发行人网站、公众号、手机端移动应用APP及小程序等各类平台涉及使用中国地图的，应说明是否符合《公开地图内容表示规范》相关要求。

6）发行人及其子公司引入外资的，应说明是否符合相应外资开放政策，并履行相关变更程序。例如，发行人涉及涉密信息系统集成资质单位的，应说明是否符合《涉密信息系统集成资质管理补充规定》相关要求。

7）发行人及中介机构应做好对涉密敏感信息的自查及核查工作，属于涉密敏感信息的，按规定申请信息披露豁免。

尽管目前北交所尚未公布类似的数据合规审核指南，但沪深交易所今年对数据合规审核要点的清晰化为拟上市企业提供了一个重要的参考框架。无论是在深交所、上交所还是未来可能考虑北交所上市的企业，都应当积极参照上述审核要点，将上述问题作为上市数据合规准备工作的基石，并密切关注沪深交易所不断更新完善的审核要点，以全方位应对上市数据合规挑战。

二、“变”与“不变”：2023年度数据合规审核要点

（一）“不变”的必答题

在回顾2023年拟上市企业风险披露及数据合规问询回复时，我们发现，尽管时间推移至新的一年，但对上市企业而言，一些基础的数据合规问题依然保持其固有的重要性，构成了上市数据合规的必答题。通过梳理，这些必答题围绕以下问题，供拟上市企业参考：

1. 常规的数据合规问询焦点

该类问题具有广泛性和持续性，自上市数据合规审查伊始便一直是证券审核机构关注的重点，涵盖了各类涉及数据处理活动的企业。该类问询具体包括但不限于：

1）拟上市企业经营中数据合规相关法律法规的符合性：如三法的符合性、其他数据合规相关法律法规的符合性，该问题也与上文提及的沪深交易所的问询要点一致；

2）拟上市企业数据全生命周期管理的合规性：包括拟上市企业是否涉及数据处理活动，以及数据收集、存储、使用、对外提供、删除等数据处理环节的合规性，在这一问题下，又可细化问询例如数据来源的合法性、数据开发利用的合规性、数据对外提供等是否取得相关授权同意等；

3）拟上市企业数据合规内控：包括拟上市企业的数据合规内部管理机制是否建立及有效性，部分细化问询会要求拟上市企业从制度、组织架构、技术管控等维度予以详细说明，如何确保、证明相关数据合规管理制度的有效执行已经成为较为常规的问询事项之一。

2. 特定业务场景下的细化数据合规问询问题

该类问题虽然不具有普遍性，但在特定业务场景下却显得尤为关键。如拟上市企业的业务涉及此类问题，则可能被重点细化问询。相较于2022年度对于这些问题的初步研究与应对阶段，2023年度，拟上市企业凭借多样化的问询回复参照材料，在面对这些具体而深入的合规问询时，能够进行更为从容的应对。该类问询具体包括但不限于：

1）APP合规：如拟上市企业涉及运营APP的，可能被问询要求说明其APP的合规性；若涉及被通报的APP，则其APP的合规整改可能成为问询的又一重点；

2）网络安全审查：如拟上市企业涉及为CIIO提供网络产品或服务的，境内上市通常会对其是否需要配合CIIO进行网络安全审查这一重点予以问询；

3）境外业务开展的数据合规性：对于涉及在境外开展业务且涉及数据处理的企业，除要求对中国境内业务的数据合规性回复外，部分问询还会涉及要求对在中国境外开展业务（主要销售国家或地区）的数据合规性进行回应。

4）媒体质疑、特定监管事件引发的数据合规问询：该类问询并非数据合规领域特有，但也是拟上市企业在应对数据合规问询时需要关注的重点。如拟上市企业涉及负面舆论或涉及特定监管事件（如美光案），也可能被要求回应与评估负面舆论及特定监管事件对于拟上市企业的影响或风险。

3. 细分行业的特有数据合规问询问题

除了上述跨行业的普遍性问题外，不同细分行业的拟上市企业还需紧密围绕自身业务特点，关注并充分准备所在行业内特定的数据合规重点问题。结合2022年度以及2023年的观察和总结，我们提炼出以下部分行业重点关注的合规问询内容，供相关行业的拟上市企业关注与参考：

1）人工智能行业：包括数据来源合法性（数据采购、数据爬取合规性）、科技伦理、算法合规、数据权属等。值得关注的是，虽然今年AIGC相关监管政策陆续出台，但在数据合规问询方面，聚焦《生成式人工智能服务管理暂行办法》进行问询的案例仍较少。

2）生物医药行业：包括患者隐私、人类遗传资源处理合规性（出境）、科技伦理审查（关注《科技伦理审查办法》《涉及人的生命科学和医学研究伦理审查办法》等规定）等；

3）软件行业：包括是否接触客户数据、网络产品和服务的合规性（安全可信）、网络安全审查、上下游数据合规等。其中，值得关注的是，是否涉及原料数据采购及如涉及该采购行为的合规性是北交所针对软件行业拟上市企业问询的重点问题之一，拟在北交所上市的该类企业应当保持重点关注；

4）金融行业：包括金融行业特殊数据合规要求的符合性（如《银行业金融机构数据治理指引》《银行安全防范要求》等）、敏感个人信息处理的合规性等；

5）广告行业：从媒体平台获取的客户数据（重点聚焦广告ID等）、精准营销、用户画像的合规性等。

（二）“变化”的新趋势

2023年度，上市数据合规亦呈现出诸多新的变化趋势。在具体分析“新变化”前，有必要对其背后驱动因素予以探析。总结而言，我们认为，法规更新、执法强化与企业内生动力共同驱动了上市数据合规问询广度与深度升级。

• 法规更新：2023年度，数据合规立法逐步迈向全面而深入的发展阶段。具体表现为数据跨境监管机制不断完善与更新、数据要素流通利用进行制度化探索、行业数据立法深入推进以及人工智能领域监管体系逐步构建等。前述变化带来的细化新法新规更新，一方面对于拟上市企业开展数据合规工作提供了更多的法律依据，合规义务更为细化；另一方面亦为上市监管机构提供了更多监管抓手，使得他们可以随着法律法规的更新与细化，对于数据合规问题予以更加多维和深入的问询与审查；
• 审查能力增强：随着网信部门与上市监管部门配合协同的增强，上市监管机构对于数据合规问题的审查能力也有所强化。这一强化体现在上市监管机构能够更精准地识别潜在的数据合规违规行为，以及更有效地实施全面而细致的核查机制。
• 企业内生动力：回顾《数据安全法》与《个人信息保护法》实施初期，部分拟上市企业或许面临认知不足、准备不充分的问题。然而，时至今日，鉴于外部数据合规监管环境日益严格以及企业对数据合规在上市过程中重要地位的认知深化，拟上市企业的数据合规现状相较于此前已普遍有了改善与提升。我们理解，这同时也促使上市监管机构对于拟上市企业的数据合规期待有所提升。

鉴于以上及其他相关因素的影响，针对2023年度拟上市企业需要密切关注的数据合规新趋势及其合规应对要点，我们有以下观察及提示：

1. 行业立法成为细化问询依据，部分征求意见稿备受关注

1）趋势观察：

• 除了《网络安全法》《数据安全法》《个人信息保护法》《网络安全审查办法》《关键信息基础设施安全保护条例》等重点法律法规以外，随着2023年度数据合规行业立法的推进，以《工业和信息化领域数据安全管理办法（试行）》《银行业金融机构数据治理指引》等为代表的行业立法也成为了拟上市企业论证合规性的法律依据。
• 除了上述已生效的数据合规相关法律规定外，暂未正式生效的征求意见稿对于拟上市企业的影响也受到重点关注，例如《网络数据安全管理条例（征求意见稿）》《生成式人工智能服务管理办法（征求意见稿）》《规范和促进数据跨境流动规定（征求意见稿）》等。

2）合规应对：

• 对于拟上市企业而言，在面对行业立法逐步健全和完善的发展趋势时，应当及时更新自身的合规依据，并开展更为精细化的数据合规管理工作，确保能够积累和保存充分详尽的合规证明材料，以备上市监管审查。
• 对于重要的数据安全与流动相关征求意见稿，尤其是《网络数据安全管理条例（征求意见稿）》《规范和促进数据跨境流动规定（征求意见稿）》等，拟上市企业在密切关注其动态进展的同时，需结合政策变动趋势及时调整并优化自身的数据合规工作策略。

2. 上下游合作中的数据合规成为新的审查重点

1）趋势观察：

• 合同层面的数据责任分配与法律风险管控：除了内部的合规制度、组织架构、技术措施的常规问询外，2023年度，上市监管机构对拟上市企业的审核焦点扩展至其与上下游合作伙伴（供应商、客户）之间合同约定中关于数据责任分配的问题。尤其重视在发生数据泄露等事件时，拟上市企业如何通过合同条款明确各方在数据安全、保护和处理方面的法律责任（包含民事责任、行政责任、刑事责任），以及如何预防和应对由此产生的法律风险。要求拟上市企业在问询回复中提供具体的合同范例或相关条款说明，以证明其已充分考虑并合理分配了此类风险。
• 下游客户因素对于拟上市企业数据合规的影响：该类问询问题包括要求拟上市企业回应：客户因网络安全、数据安全变化导致的招采政策变化对于拟上市企业的影响、是否存在因不具备相关资质而导致客户流失、丧失应用场景的情形，继而影响拟上市企业持续经营能力的风险、拟上市企业在为客户提供APP技术开发服务时，客户APP因违规被通报而引发的拟上市企业数据合规风险等。
• 上游供应商因素对于拟上市企业数据合规的影响：拟上市企业与其供应商之间的数据合规状况紧密关联。当上游供应商存在重大数据合规问题时，拟上市企业不仅可能受到监管层关于供应商数据合规事件影响的问询，而且还需要证明自身已采取有效措施来监督和管理供应商的行为，防止数据合规风险传导至自身。如美光网安审案公布后，特定拟上市企业即面临了这类具体而严格的询问，要求说明“发行人与美光科技的采购、销售内容、金额及占比情况，公司业务开展是否可能因存储颗粒采购等问题涉及数据、网络安全问题隐患；发行人对是否需要停止向美光科技采购产品，是否可能对公司业务经营产生较大不利影响。”凸显出监管机构对于供应链数据合规管理的高度重视。

2）合规应对：

• 合同文本的审慎制定与优化：拟上市企业在与上下游合作伙伴签订合作协议时，应特别关注数据合规相关条款的设计和责任分配。在协议中明确约定数据保护、安全处理和风险分担等内容，确保在发生数据泄露等事件时，各方能按照约定承担相应的法律责任（包括但不限于民事、行政及刑事责任）。同时，准备并提供具体的合同范例或条款说明以满足监管机构的要求，证明拟上市企业已对数据合规风险进行了充分预判和合理分配。
• 完善供应链数据合规制度，突发事件合理应对：建议拟上市企业制定并完善供应链合规管控制度，在下游客户管控方面，在制度层面建立对于客户网络安全、数据合规等要求变化的追踪机制，动态评估并据此调整业务策略；在上游供应链管控方面，建议拟上市企业重点关注供应商的准入审查、数据获取限制、考核管理，留存其相关数据合规证明文件。此外，无论针对上下游，拟上市企业均应做好责任隔离工作，一旦发生供应商数据合规风险事件，及时切断风险传导路径，并留存充分的证明材料。

3. 数据出境路径清晰下的关注焦点

1）趋势观察：

• 数据出境安全评估为核心：相较于2022年、2023年数据出境路径逐渐明朗化，其中，《数据出境安全评估办法》下的安全评估路径成为上市审核的重点。在这一年的合规问询回复中，尚未涉及个人信息出境标准合同备案及个人信息出境认证等其他路径。监管机构要求拟上市企业明确其业务是否需要进行数据出境安全评估，以及相关审批程序和整改要求可能对拟上市企业的生产经营、业务发展带来的影响，包括是否存在业务延误或受限的风险，并且要求拟上市企业充分揭示这些风险等。
• “跨境新规”引关注：2023年9月28日发布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“跨境新规”），进一步调整了数据出境安全评估路径的适用范围。业界普遍认为，若该规定最终生效，数据出境监管尺度将有所放松。对此，上市监管机构仍保持较为谨慎的态度，要求部分拟上市企业进一步说明“发行人认为《规范和促进数据跨境流动规定（征求意见稿）》未来如出台对对发行人开展境外业务的影响将进一步减小的依据是否充分。

2）合规应对：

• 提前选择数据出境路径：若拟上市企业涉及数据出境，应当尽早对于数据出境路径进行规划。鉴于目前数据出境安全评估、个人信息出境标准合同备案路径均存在较高的审核不确定性，且个人信息出境认证路径囿于成本及侵入度的顾虑，拟上市企业是否有必要出境，如果出境应当选择何种路径，是否需要进行业务调整等问题均需结合上市时间表、审核尺度变化等要求全面、细致论证，以谨慎选择出境路径。一旦企业选择数据出境安全评估路径，则应当对于其可能引发证券审核机构关注、评估期限的不确定性以及评估结果可能的负面性有所预期和充分准备。
• 持续跟踪与及时调整：鉴于“跨境新规”何时出台、正式生效版本是否与征求意见稿版本存在差异等问题仍存在较高的不确定性，建议拟上市企业对此保持密切关注。一旦“跨境新规”出台，及时结合该规定调整跨境传输机制，降低合规风险。

4. 数据商业利用：“数据二十条”中立政策导向VS上市相对负面问询

1）趋势观察：

• 2022年末，中共中央、国务院正式印发《关于构建数据基础制度更好发挥数据要素作用的意见》（以下简称“数据二十条”）正式印发，2023年度，《企业数据资源相关会计处理暂行规定》《“数据要素×”三年行动计划（2024—2026年）》等政策文件进一步细化落实数据二十条的规定。虽然目前数据要素流通利用仍在制度化探索阶段，但对于数据商业化利用这一问题，在上述政策层面将其定义为相对中立的问题，即在依法依规对于数据开发利用的前提下，是有利于数据要素流动的合法行为；反之，才可能构成违法行为。部分拟上市企业响应上述政策变化，在上述政策发布后，积极将其视为推动自身数据商业利用的政策红利，并在上市公开材料中予以明确说明，以此展示其遵循国家政策导向。
• 然而，在上市合规问询环节，对于拟上市企业使用客户数据进行商业化的态度则表现出一定的审慎甚至负面倾向。以北交所为例，其重点关注并询问是否存在利用个人或企业客户信息牟利等违法违规行为，并对此类行为采取严格的定义标准。相较于北交所，深交所对该问题的问询相对中立，关注点在于企业是否利用获取和保管的用户、客户数据开展商业用途，但并未直接将商业用途定性为违法。与上述政策导向存在一定滞化的是，在上市数据合规问询层面，对于企业对于客户数据进行商业化仍为较为负面的问题。北交所的该类问询重点在于“是否存在拟上市企业利用相关个人或企业客户信息进行牟利等违法违规行为”，该表述将利用拟上市企业商业化利用客户个人信息直接定义为违法违规行为，尺度严格。相较于北交所，深交所的该类问询在于“是否存在利用获取、保管的用户、客户数据开展商业用途的情形”，其表述相对中立，并未将该商业用途定性为违法行为。但目前，无论是北交所还是深交所，已公开的拟上市企业回复大多表示未涉及该类问题，这反映出拟上市企业在面对上市合规问询时，普遍仍将数据商业化利用视为潜在的负面问题予以应对。

2）合规应对：

• 我们理解，商业用途或商业牟利行为是数据价值挖掘的重要途径，“数据二十条”等政策倡导在合法合规的前提下推动数据利用，而非一概否定其合法性。随着数据要素流通利用相关政策的进一步落地，不排除上市监管部门对于数据商业化利用问题的认知可能随之变化，拟上市企业应当对二者保持跟进，并相应调整问询回复策略；
• 在目前阶段，鉴于不同上市地对数据商业利用行为的法律认定存在差异，与数据二十条等政策仍存在明显滞后性，拟上市企业有必要结合自身业务特点与拟上市地的相关问询重点，审慎做出上市地选择决策。

5. 数据合规相关“资质”的审核范围拓宽

1）趋势观察：

相较于2022年，2023年度对拟上市企业应当取得的数据合规监管部门审批、许可、备案、认证等“资质”的审核范围更加广泛，具体细分如下：

• APP备案：自2023年7月工信部印发《关于开展移动互联网应用程序备案工作的通知》以来，APP备案成为了拟上市企业数据合规工作的重点环节之一。在针对APP合法合规性的问询中，“工信部备案情况”成为新的关注点。在回复时，部分拟上市企业论证其无需进行APP备案，部分拟上市企业论证其正在进行或已完成该备案手续。我们理解，履行APP备案义务可能成为上市数据合规审查的常态化准备工作事项之一。
• 算法备案：尽管《互联网信息服务算法推荐管理规定》已生效一年多，但2023年度披露履行算法备案手续的拟上市企业并未明显增多。
• 算法安全评估：对于该问题，上市审核问询的角度在于“拟上市企业是否完成自主研发核心技术、算法的安全评估，确保其数据分析利用的可靠性”，但遗憾的是，2023年度暂无拟上市企业披露需要进行算法安全评估。
• 网络关键设备和网络安全专用产品认证或检测：与2022年度一致，涉及纳入网络关键设备和网络安全专用产品目录的拟上市企业，仍需回应该资质问题。变化的是，2023年度该问题的法律依据更加清晰，依据《关于调整网络安全专用产品安全管理有关事项的公告》《关于调整〈网络关键设备和网络安全专用产品目录〉的公告》等规定，拟上市企业可选择“安全认证合格”或者“安全检测符合要求”择一回应。

2）合规应对：

• 鉴于不同拟上市企业的业务存在明显区分，拟上市企业有必要结合业务实际梳理上市必备资质，并进行提前准备。其中，对于APP（含小程序）备案这一新增资质要求，由于实践层面排除在APP备案范围外的情形较少，建议拟上市企业谨慎排除。此外，针对算法备案、算法安全评估等手续，虽然目前上市审核中拟上市企业披露的情形较少，但并不意味着符合条件的拟上市企业豁免该义务，其应当结合《互联网信息服务算法推荐管理规定》等规定细致评估该义务是否需要履行。
• 在应对不断拓宽的数据合规资质审核范围时，拟上市企业应积极主动与监管部门保持沟通，及时确认各类资质问题的具体要求、流程以及时间安排。以确保拟上市企业在上市筹备过程中能够提前做好充分准备，避免因资质问题导致的上市延误或潜在风险。同时，与监管部门的有效沟通也能为拟上市企业争取到合理的时间窗口，以便在必要时补充和完善相关资料及手续。

6. 数据分类合规的颗粒度更细

1）趋势观察：

• 分类维度更细：2023年的上市监管部门在数据合规审查中更加注重数据类型的细分，不仅涵盖了数据、个人信息、敏感个人信息等常规类别，还包括重要数据、核心数据、一般数据、国家秘密、遥感数据等。
• 行业分类特色明显：以《工业和信息化领域数据安全管理办法（试行）》为代表的行业立法对于数据分类分级管理提出了合规要求，上市数据合规问询也随之细化问询拟上市企业落实“数据分类分级管理”的具体举措。拟上市企业在回应该问询时，需细化结合该规定，分析哪些数据落入一般数据、重要数据、核心数据的范畴。
• “重要数据”的判断标准更加清晰，且常与“100万人以上个人信息”被同步问询：相较于2022年，随着《工业和信息化领域数据安全管理办法（试行）》《数据出境安全评估办法》的生效，重要数据的概念有了更多生效法规的支撑，在具备前述规定适用性的前提下，拟上市企业可结合明确的规定进行论证。除“重要数据”概念外，《数据出境安全评估办法》《网络安全审查办法》下的“100万人以上个人信息”也通常被同步问询，拟上市企业通常需要对于掌握的个人信息主体数量进行统计，以回应该问题。

2）合规应对：

• 动态化的由粗至细分类分级调整：在目前数据分类分级监管要求仍较粗或暂无明确的分类分级行业立法的阶段，拟上市企业可结合业务实际进行颗粒度相对较粗的分类分级。但可以预见的是，后续行业主管部门可能会发布相应重要数据目录，对于分类分级的要求也会愈发精细，拟上市企业仍需密切跟踪所属行业分类分级监管要求的变化，并进行细化调整。
• 个人信息统计与披露：对于涉及大规模个人信息的情况，建议拟上市企业建立完善的用户信息统计体系，并结合《数据出境安全评估办法》《网络安全审查办法》，准确记录个人信息持有量，并将1万、10万、100万等作为重要的记录节点。这样既能够在达到某一数量节点时，及时履行相关合规义务，如网络安全审查申报、数据出境安全评估等，又能为上市过程中详尽披露个人信息处理数量提供充分依据。

7. 更多的前端触点数据合规受关注，表面合规范围扩大

1）趋势观察：

• 2022年度，上市监管机构对于APP端的数据合规问题给予了高度关注。进入2023年，这一趋势进一步强化并扩大了数据合规审查的边界。除了继续对APP进行严格的合规审查之外，证券审核机构也开始将触角延伸至小程序、公众号以及网页端等更多前端触点。

2）合规应对：

• 在这一趋势下，拟上市企业不仅需要关注APP的数据合规问题，同时也要将公众号、网页端等其他前端交互渠道纳入其数据合规管理的范畴，进行全面的合规调研及整改，以应对可能的上市监管问询。

8. 网络安全违规整改可能成为与APP违规并列的监管问询焦点

1）趋势观察：

• 2023年度，除针对APP及小程序等移动应用端的数据合规问题持续强化审查外，网络安全违规整改可能成为上市监管部门对拟上市企业的另一重点关注领域。
• 以公安机关为代表的网络安全监管机构，正基于《网络安全法》《公安机关互联网安全监督检查规定》等相关法律法规，严格履行网络安全监管职责，将常态化、全方位的网络安全监督检查和行政执法工作纳入日常管理范畴。其中，公安机关重点关注关键信息基础设施以及重要信息系统的网络安全保障问题，确保相关企业严格遵循网络安全等级保护制度，及时发现并有效解决各类潜在安全风险。
• 若拟上市企业曾被公安机关下发过针对网络安全相关的违规整改通知的，则有可能被要求详细披露拟上市企业接受公安机关监督检查的具体情况、发现的安全隐患、所采取的具体整改措施，并要求说明其整改是否达到了公安机关设定的标准和要求等。

2）合规应对：

• 尽管目前因上述问题而面临上市问询的拟上市企业数量有限，但提示拟上市企业仍需对此类问题保持关注。除严格遵守《网络安全法》的基本要求外，还必须对照执行诸如《公安机关互联网安全监督检查规定》等细化规定。与此同时，建议拟上市企业对于属地公安机关监督检查机制予以提前调研，建立紧密协作关系，并主动配合监管工作。
• 需要强调的是，在当前整改事项中，网络安全等级保护问题值得拟上市企业重点关注。若拟上市企业忽视该工作，不仅可能导致外部数据合规顾问无法出具相对正面的合规意见，同时拟上市企业也可能因未履行该义务而被公安机关等监管部门责令整改，并可能进一步因此类违规行为而被问询。因此，拟上市企业有必要尽早将该工作纳入上市数据合规准备工作中，确保其成为满足上市前和上市过程中数据合规要求的基础环节，从而规避潜在的法律风险与合规难题。

9. 上市语境下的“匿名化”认定标准的宽泛解读及潜在问题

1）趋势观察：

• 当前，尽管立法层面对于“匿名化”的定义已有所规定，但在实践层面，如何确切证明个人信息已经实现匿名化仍面临显著挑战。由于匿名化的实现不仅涉及技术处理手段，还需综合考量“可识别性”“可复原性”等多种复杂因素，且涉及“绝对匿名化”和“相对匿名化”等认定争议，导致企业难以提供具有充分说服力的证据以证明其已经实现“匿名化”。
• 在上市合规审查的过程中，值得注意的是，针对匿名化这一个人信息保护问题中关键概念的认定尺度，在部分上市问询回复案例中呈现出一定的宽松倾向。一方面，部分拟上市企业并未对匿名化的过程和结果进行详尽而严谨的论证说明；另一方面，部分拟上市企业将匿名化、去标识化、脱敏等概念并列列举，进一步增加了匿名化标准认定的模糊性和不确定性。
• 鉴于当前理论界和实务界对于数据匿名化的认定及其效果尚存争议，上市监管部门对此类问题的态度尚未完全明朗化。尽管如此，某些拟上市企业在其提交的上市申请材料中，其外部数据合规顾问基于特定判断给出了关于匿名化处理完成的肯定意见，暂时未见受到上市监管机构进一步追问或质疑的情况。但未来随着个人信息保护法律法规的细化和完善以及上市监管机构审核能力的加强，匿名化问题并不排除可能成为更严格审查的对象。

2）合规应对：

• 合规论证严谨性：在匿名化认定上，建议拟上市企业准备充分的法律和技术依据，充分论证自身已经实现匿名化，并可考虑寻求独立第三方机构进行验证，以增强论证的权威性和可信度。
• 匿名化处理证明留痕：在上述严谨论证基础上，建议拟上市企业详细记录并留存从原始数据到匿名化数据的具体处理流程、技术手段和实现效果等相关证据，确保有充分留痕依据以应对上市监管审查。
• 密切关注匿名化监管动态：鉴于匿名化问题在理论和实践中的争议性以及未来不排除可能收紧的监管趋势，拟上市企业应及时跟进匿名化相关法规政策以及上市监管的更新变化，适时调整自身的数据处理策略和合规方案。
  
  综上所述，2023年度沪深交易所对境内IPO市场的数据合规审核标准进一步明确和细化，对于拟上市企业而言更为利好。在面对“不变”的核心数据合规必答题时，拟上市企业应当坚守数据合规底线；而对于不断演变的“新变化”，拟上市企业则需要密切关注监管动态，适时调整和优化自身的数据合规实施方案，以充分满足新的上市审查要求。

港股IPO数据合规

步入2023年，港股IPO市场在经历了一系列内外部压力的考验后，其活跃度和投资者信心并未如期恢复。尽管全球疫情形势逐步趋向缓和，理论上预示着经济活动重启及金融市场回暖，但美联储为应对通胀压力而连续采取的加息政策，对全球流动性产生了紧缩效应，港股作为开放且与国际资本紧密相连的市场，自然未能幸免于难。资金回流美国导致港股市场遭遇显著的资金抽离压力，市场情绪随之陷入低迷。

同时，2023年的港股IPO市场在数据合规方面展现出了一种既保持既有规范又顺应市场与监管变革动态调整的特点。

一、稳定性和网安审披露精细化

在2023年港股IPO筹备阶段，发行人仍持续将《网络数据安全管理条例（征求意见稿）》中的相关规定作为部署落实数据合规要求的重要依据。然而，该条例的征求意见稿自发布以来已逾两年时间，却迟迟未见正式落地，其间国内数据安全相关法律法规频出，《网络数据安全管理条例（征求意见稿）》的部分条款内容已有所覆盖或更新。因此，在法律基准的选择上，上市律师可能需要重新审视是否继续将其视为关键的数据合规参照。

2023年的招股说明书在网络安全审查披露方面延续了2022年的精细趋势。一方面，发行人继续沿用对中国网络安全审查认证和市场监管大数据中心（受网络安全审查办公室委托负责承担对外咨询任务）电话咨询的途径以获得“港股上市并不等同于海外上市”的留痕证据，另一方面，发行人的中国法律师/数据合规顾问也对其是否属于关键信息基础设施运营者和其业务活动是否存在“影响或可能影响国家安全”的敏感因素作出长篇论述，这一现象在2023年与2022年并无二致。

二、引入第三方认证机构

相较于2022年、2023年度的港股上市企业更加重视并积极采纳国际权威第三方认证机构对其数据合规性的专业背书。例如，快递行业的新锐极兔速递、物流巨头顺丰控股等公司相继获得了ISO国际标准系列中关于信息安全管理和个人隐私保护的关键性认证；而在人力资源科技领域的翘楚北森控股有限公司，更是获得了全球云安全联盟（CSA）所颁发的STAR计划认证，有力地证实了企业在云端数据安全保障方面的领先实力和坚实基础。此外，人工智能领域的佼佼者第四范式智能技术股份有限公司除了获得ISO27001信息安全管理认证外，还成功通过了严苛的欧洲ePrivacyseal审核，凸显其在全球范围内践行数据合规的卓越成就。

尽管在2022年的港股招股文件中也能发现各类权威认证机构对于上市公司在质量管理体系、环保标准等方面的认可，但2023年出现了显著变化，即上市企业开始大规模引入专注于数据合规的第三方认证，这不仅是顺应监管层不断提高的数据合规要求，更是为了向市场投资者展示自身超越规范之上、高标准构建的数据安全管理机制，从而有效提升市场信任度和投资信心。

这种现象深刻揭示了数据合规在现代企业运营战略中的核心地位日益凸显，它不仅关乎企业的合法经营，更直接影响到企业在资本市场的表现力与竞争力。随着数据资产价值的不断提升以及全球范围内数据法规环境日趋严格，未来企业在IPO过程中，采用国际权威认证强化数据合规形象或将成为一种常态化的策略选择。

三、发行人披露其违规历史

随着全球监管环境对透明度要求的不断提高，港股上市申请企业在披露合规记录方面表现出更高的重视程度。例如，Keep、途虎养车、粉笔、百果园和达势股份等多家公司在招股书中详细列出了历史违规行为的具体内容，并详尽阐述了针对这些事件所采取的系统性整改措施及其产生的积极成效。他们强调，经过整改后，企业的数据合规已完全符合法定标准，过去的不合规事件并未实质性地损害其核心业务稳健性。

这些企业通过主动披露及有效整改，不仅彰显了与监管机构积极协作的态度，还生动展示了在遭遇合规挑战时，有能力迅速调整策略并成功应对，从而确保公司运营的正常进行和未来发展的潜力。这一举措既体现了监管机构对于发行人历史合规表现的高度关注，也揭示出企业在追求商业增长的同时，必须以坦诚、务实的态度面对并解决过往合规问题，树立诚信可靠且负责任的企业形象。

究其深层次原因，港交所在审核港股上市申请的过程中，对发行人的数据合规历史审查力度不断加大，而中国证监会根据《境内企业境外发行证券和上市管理试行办法》的规定，强化了对海外上市项目的参与和监督。证监会能够与国内核心的数据合规监管机构如网信办、工信部等建立紧密的合作机制，这极大地提升了识别企业潜在违规行为的能力。

总结来说，在当前严格的监管环境下，拟赴港上市的企业在筹备阶段除了需要确保内部治理结构严谨、数据合规体系完善之外，更应充分展现整改的决心与成果，以及以往不合规事件未对主营业务稳定性产生重大影响的事实，以此向市场传达企业在应对合规风险时的强大适应力和可持续发展潜力，进而赢得投资者的信任和支持，实现资本市场上的长期稳定发展和壮大。

四、对新法新规的“慢半拍”回应

（一）跨境——数据出境安全评估

尽管《数据出境安全评估办法》自2022年9月起生效，但其申报义务的履行期限至2023年3月底设有宽限期，因此在2022年的港股IPO项目中，发行人对于是否满足申报要求的说明较为精简。根据我们对2022港股IPO项目的梳理，部分涉及跨境数据处理的企业认为自身不受该评估办法约束，诸如基于海外运营地位或未达到法规设定的数据规模门槛；其余企业则采取主动策略，如调整内部数据处理机制乃至暂时停止跨境数据传输。

随着今年3月底数据出境安全评估申报宽限期结束，港股IPO项目对数据跨境合规性的详尽披露成为了一项突出特点。对于那些大量处理数据的发行人而言，有的明确声明其业务活动不包含数据出境场景（例如粉笔），有的则通过严谨论证证明其向境外传输的信息不属于个人信息或重要数据范畴（例如极兔速递、梅斯健康），而菜鸟智慧物流等少数企业已成功完成了数据出境安全评估程序。

对于紧随其后出台并设置有截至12月底宽限期的《个人信息出境标准合同办法》，由于其生效时间较近，在2023年的港股IPO招股说明书中的体现相对有限。目前仅极兔速递一家作为个例表示“一直根据《标准合同办法》进行内部评估，以确定是否就任何潜在的出境跨境个人信息的转让订立标准合同。我们会采取适当措施，包括在必要时于六个月宽限期届满后与境外个人信息接收方签订标准合同，以促使相关中国实体遵守《标准合同办法》”。

鉴此，我们预见到在未来的2024年港股IPO项目中，关于数据出境合规性的信息披露将会更为丰富且严谨。

（二）算法合规

与数据出境合规形成交织之势，2022年下半年“算法合规”逐渐成为企业数据合规的核心关注点，赴港上市的企业在此大潮中也无法置身事外。在各家企业提交的招股书中，针对算法合规的具体阐述因应不同业务特性和实际需求呈现出多维度和差异化的关注点。粉笔有限公司作为行业内的典型代表，不仅积极回应监管要求，迅速完成算法备案义务，还根据一系列相关法律法规建立了内部算法管理机制。北京第四范式智能技术股份有限公司则强调遵守人工智能道德规范的决心，致力为用户和整个社会创造价值；而深圳优必选科技则聚焦于算法训练所需的数据源合法性和合规性问题，通过书面合同形式明确要求数据供应商保证数据来源的合法性，从而降低由数据源头引发的合规风险。

然而，更普遍的情况是，尽管发行人频繁引用《互联网信息服务算法推荐管理规定》及新近颁布的《生成式人工智能服务管理暂行办法》等关键法规，但在招股文件中对于如何具体执行和落地算法合规性的详尽策略与实践操作方面却相对匮乏，更多表现为一种声明性质的表态或潜在风险提示，旨在彰显企业对监管规定的高度重视与审慎应对态度。这一点和我们对2022年港股IPO市场的观察相比并无太多变化。

我们理解，在2023年AIGC产业蓬勃发展背景下，虽然许多拟上市的人工智能企业受益于市场爆发而业绩快速提升，但鉴于严格的上市标准尚未达成，大量AIGC企业尚不具备在招股书中系统展示其在算法合规领域已实施的具体措施与实际成效的机会。随着2023年政府对AIGC产业加大政策扶持力度，并强化法律保护机制，预见到2024年，我们将有望在更多企业的招股书中看到他们如何深入解读新法新规并翔实地展现他们在落实算法合规、迎战人工智能监管挑战上所做的不懈努力与实质性成果。

五、行业特色

除了上述普遍特征之外，上市活跃的行业还展现出了各自独特的行业属性与特点。

（一）医疗健康行业

在2023年度的港股市场中，医疗健康板块成为上市公司数量最为活跃的领域。这些企业在筹备上市的过程中，往往深度阐述其对数据合规性的高标准追求，并在招股书中提及一系列国家和地方出台的法规作为其数据管理实践的标尺，例如《医疗卫生机构网络安全管理办法》、《人类遗传资源管理条例》及其实施细则、《中华人民共和国生物安全法》以及《科学数据管理办法》等。

（二）汽车行业

对于计划港股上市的汽车产业链企业而言，《汽车数据安全管理若干规定（试行）》是其必须严格遵循的法律标准。在阐述自身数据合规状况时，这些企业尤其强调对用户个人信息合法收集和保护的措施，包括对外部环境数据进行匿名化处理、点云数据脱敏等方面的实践。此外，鉴于汽车产业涉及的数据处理活动可能牵涉到多个合作方，如地图测绘服务供应商等，车企在上市进程中还必须展示出与第三方伙伴在数据流转和利用方面的充分合法合规性，这不仅是赢得监管机构认可的关键，也是增强投资者信心的核心要素。

（三）网络游戏产业

网络游戏公司在港股上市申报材料中，特别关注并深入剖析其在用户数据分析行为以及未成年人保护机制上的合规表现。尤其是针对日益严格的未成年人防沉迷政策，企业在披露数据合规信息时，将详尽描述其设计与实施的包括实名认证、时段限制、消费限额在内的防沉迷系统，以及配合政府部门要求进行的游戏内容审查与优化等一系列措施。对于这类企业而言，有效执行并持续完善未成年人保护制度，不仅关乎社会责任的履行，更是其能否成功通过上市审核并在后续运营中维持稳健成长的关键指标，因此，在数据合规披露方面对此给予了最高级别的重视。

综上所述，在2023年这个特殊的节点上，港股IPO企业在数据合规准备方面已经更为细致全面，但也需清醒认识到，不断演进的监管要求和市场预期所带来的不确定性和复杂性并未减弱。为了能够在严峻复杂的市场环境中顺利推进上市进程，企业应持续关注国内外相关法规动态，适时调整和完善自身的合规策略，同时加强与第三方专业认证机构的合作，构建起全方位、多层次的数据合规管理体系。唯有如此，企业方能在日趋严格的监管大潮下把握机遇，实现可持续发展的宏伟目标。

美股IPO数据合规

2023年，中概股企业在跨境赴美上市规模上实现了显著的同比增长，无论是上市企业数量还是募资规模，均大幅超越去年同期水平，显示出强劲的增长势头和重新焕发的热情。在规模扩张的同时，企业面临的美股IPO数据合规要求并未松懈，反而呈现更为精细化和严格的态势。针对这一情况，以下几点值得我们深入探讨：

一、网络安全审查

在2023年的美股IPO市场，《网络安全审查办法》的重要性不减反增，其已成为决定中国企业能否成功进军美国资本市场的重要合规基石之一。自该办法实施以来的一年间，其权威性和约束力持续强化，尤其是一些因未能通过网络安全审查而影响上市进程的案例，使得所有拟赴美上市的企业对此高度警惕，并采取审慎应对策略。诸如小i机器人、上海进馨网络科技有限公司（Jinxin Technology Holding Co）、量子之歌（QuantaSing Group Limited）、极氪智能科技（ZEEKR Intelligent Technology Holding Limited）以及车车科技（Cheche Group Inc.）等知名企业，在筹备上市阶段严格遵循相关法律法规，一丝不苟地完成了严苛的网络安全审查程序，确保完全符合监管标准。

另一方面，对于那些用户个人信息数量未达到100万门槛的企业，如PWM公司、游乐设施运营商金生游乐以及中药行业中的天益嘉华等，明确表示无需进行网络安全审查，以避免不必要的行政负担，从而能够按照法规规定顺利推进上市计划。

二、负面言论与信息披露

根据《境内企业境外发行证券和上市管理试行办法》，从事相关业务的证券公司、服务机构及从业人员必须严格遵守中国法律、行政法规和国家相关规定，坚持行业公认的业务准则和道德规范，切实履行法定职责，保证所制作和出具的所有文件内容的真实性、准确性和完整性。尤其强调，在招股说明书中对涉及中国法律政策、营商环境、司法状况等方面的表述需保持客观公正，不得有扭曲或贬低的现象。

在新的法规框架下，企业在披露可能存在的风险因素时，例如关于中国法规体系稳定性、政府干预经济程度、外汇管制制度、国际判决执行难易度等方面，需采用更加谨慎和精准的语言策略，以确保信息传递的真实性和合规性。而在快速发展的数据合规领域，鉴于法律法规更新迅速，许多企业在上市过程中往往需要同步进行整改，这就要求企业在介绍中国法律环境和披露相关信息时务必加倍注意措辞的严谨与合法性。

三、备案管理

伴随《境内企业境外发行证券和上市管理试行办法》的深入贯彻，中国证监会在境外上市企业的监管方面进入了全新的全面备案时代。所有的境外上市活动均被统一纳入一套严密且细致的备案管理体系之中，监管力度显著增强。

中国证监会实质性的审查介入，对企业数据合规问题进行了全方位审视，使得美股IPO流程在严谨性上达到了前所未有的高度。以下四大问题为证监会关注的核心议题，旨在确保企业在上市前后的整个周期内都能建立健全的信息保护机制和数据安全管理制度，有效防止各类潜在风险：

• 开发、运营网站、APP、小程序等情况
• 收集及储存个人信息的规模及其收集使用情况
• 是否存在向境外传输数据或向第三方提供个人信息的情况
• 上市前后对信息数据保护的各项安排和措施

同时，基于发行人特性，证监会也进一步加强对前沿合规问题的关注，包括但不限于APP备案、算法备案等新兴领域。

综上所述，尽管2023年中概股赴美上市规模实现了显著增长，但面对全球范围内愈发重视的数据安全和个人信息保护趋势，中国企业在积极布局国际市场的同时，也面临着前所未有的合规挑战。在越发严格的营商环境评价体系下，中国企业正不断提升自身的合规体系建设水平，力求在全球资本市场上稳健发展并取得长远的成功。

附表：IPO案例中数据信息披露要点

• IPO案例中数据信息披露要点（原文摘要）

作者介绍

蔡鹏律师团队 中伦律师事务所

邮箱：caipeng@zhonglun.com 电话：+86 10 5780 2786 蔡鹏律师专精于网络安全、数据保护及知识产权等领域，擅长处理人工智能、TMT、制造业、金融等行业领域的合规问题。在积极深度参与有关立法及实践的基础上，蔡鹏律师长期以来致力于帮助客户解决其所面临的强监管、IPO、产品和服务“走出去”、数字化转型、平台治理等情形下的既紧迫、又富有挑战性的诸如AI合规、数据合规、平台治理以及知识产权等相关问题。 蔡鹏律师是业界最早研究和处理人工智能相关法律业务的专业律师之一，代表行业内领先的AI客户处理了诸如算法合规、数据合规、安全评估、知识产权许可与合规等事项。得益于处理了多项重大知识产权诉讼案件，蔡鹏律师能够以预见性的诉讼视角和丰富的经验协助客户规避潜在的合规风险。