随着《网络数据安全管理条例（征求意见稿）》（“《数安条例（意见稿）》”）以及修订后的《网络安全审查办法》相继发布，有关赴国外以及赴香港上市网络安全审查和数据合规的话题近期持续被广泛讨论。一方面，在IPO场景下，中国、美国及香港证券业监管机构和交易所，对于企业上市过程中涉及的企业网络安全和数据保护方面的披露要求和核查深度正在逐步增加；另一方面，由《网络安全法》《数据安全法》以及《个人信息保护法》构成的我国网络安全与数据保护新监管框架，对企业网络安全、数据安全、个人信息处理和保护以及相关数据跨境传输等均提出了新的、更高的要求。

本专题系列文章在梳理我国网络安全与数据保护领域近期主要立法情况的基础上，将以拟赴港上市企业日常运营、网络安全审查以及上市申请三个阶段为线索，为读者整理和分析相关网络安全以及数据保护要求，以期为拟赴港上市相关企业提供有益参考。

• 企业网络安全与数据保护合规建设——从合规运营到香港上市（一）　[胡骏、李鸣，中伦律师事务所]
• 企业网络安全与数据保护合规建设——从合规运营到香港上市（二）　[胡骏、李鸣，中伦律师事务所]
• 企业网络安全与数据保护合规建设——从合规运营到香港上市（三）　[胡骏、李鸣，中伦律师事务所]

2021年内《数据安全法》和《个人信息保护法》相继生效，结合2017年生效的《网络安全法》，我国关于网络安全和数据保护的基本法律规范体系已经形成。

这三部法律从不同侧面对网络安全和数据保护进行了规范，其中《网络安全法》主要从网络空间整体安全保护的维度，对网络运行安全、网络信息安全及国家网络安全监测预警和信息通报制度等方面提出了相应规范要求；《数据安全法》主要规定了国家数据安全与发展的整体制度并明确了数据处理和保护活动中相关主体应履行的义务；《个人信息保护法》则主要规定了个人信息（包含敏感个人信息）收集、存储、使用等过程中相关方应遵守的合规要求以及个人信息主体的权利。虽然三部法律各有侧重，但通过对相关条文的研读，我们不难发现，这三部法律对于相关安全制度建设、风险评估要求、个人信息保护、数据跨境提供等重点事项均有相应规范，形成了对网络/数据安全保护既有区别又相互紧密联系的监管规则体系。

（一）网络安全相关要求

《国家安全法》第二十五条确立了“维护国家网络空间主权、安全和发展利益”总体要求，《网络安全法》作为维护国家网络空间主权和网络空间安全的专门基础性法律之一，其在第一条亦即明确了“为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，……，制定本法”，并从网络运行安全、网络信息安全及相关网络安全风险事件应急处置机制等方面进一步细化和落实了《国家安全法》有关维护国家网络空间主权、安全和发展利益的要求。

在网络运行安全方面：　

在网络信息安全方面：　

（二）数据安全相关要求

承袭《网络安全法》的监管思路，《数据安全法》亦首先明确了国家建立数据分类分级保护制度。在该等分类分级保护制度的基础上，国家将建立相关统筹机制并协调相关部门制定重要数据目录，加强对重要数据的保护；对于关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据，实行更加严格的管理制度。

11月14日颁布的《网络数据安全管理条例（征求意见稿）》（“《数安条例（意见稿）》”），也重申了国家对个人信息和重要数据进行重点保护，并设专章对于重要数据安全予以规定，其中包括要求重要数据处理者就其所识别的重要数据向网信部门备案、向他人提供重要数据应征得相关主管部门或网信部门同意、应每年开展一次数据安全评估并向网信部门报告等。

就具体核心数据和重要数据的识别，各地区、各部门将按照国家有关要求和标准，组织识别相关重要数据和核心数据、制定相关重要数据和核心数据目录，并报国家网信部门。目前已有《基础电信企业重要数据识别指南》正式实施，国家标准《信息安全技术 重要数据识别指南》以及其他各行业的重要数据识别标准正在陆续制定中。

（三）个人信息保护相关要求

《个人信息保护法》在《网络安全法》和《数据安全法》的基础上，进一步细化了处理个人信息的相关要求，并规定了敏感个人信息处理和个人信息跨境提供的规则，同时详细规定了个人信息主体的相关权利。

《个人信息保护法》延续和扩展了《网络安全法》有关处理个人信息应遵循的“合法、正当、必要”的原则，要求相关企业在处理个人信息过程中遵循合法、正当、必要和诚信原则，并且应取得相应个人充分知情前提下的自愿、明确同意（法律另有规定的情形除外）。此外，《个人信息保护法》还特别对于处理相关个人信息提出了两个“评估”的要求，即个人信息出境安全评估和个人信息保护影响评估。

对于个人信息出境安全评估：　

对于个人信息保护影响评估：　

（四）人工智能和算法合规相关要求

在基础立法层面，我国《数据安全法》要求开展数据处理活动以及研究开发数据新技术应当有利于促进经济社会发展，增进人民福祉，符合社会公德和伦理；《个人信息保护法》也规定了国家网信部门统筹协调有关部门针对人工智能等新技术、新应用，制定专门个人信息保护规则、标准。

在AI社会伦理和算法推荐服务监管细则方面，网信办等九部委于2021年9月底联合发布了《关于加强互联网信息服务算法综合治理的指导意见》，明确要求企业应建立算法安全责任制度和科技伦理审查制度，健全算法安全管理组织机构，加强风险防控和隐患排查治理，同时要求企业树立算法正确导向，规范算法应用行为，秉持公平、公正原则，促进算法公开透明。《互联网信息服务算法推荐管理规定》也要求算法推荐服务者应当加强用户模型和用户标签管理，不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。

（一）网络安全保护合规建设

基于《网络安全法》关于国家实行网络安全等级保护制度的要求，等保2.0标准将等级保护对象按照其重要程度以及一旦遭到破坏后对国家、社会、企业或个人造成危害的程度被划分为了五个等级（第五级为最高）。在确定等级保护对象具体适用的安全保护等级时，等保2.0标准要求就“受侵害的客体”以及“对客体的侵害程度”两个要素，对定级对象业务信息安全和系统服务安全两方面进行评估，综合确定定级对象的安全保护等级。定级要素与安全保护等级的关系如下图所示：　

等级保护对象定级工作流程分为如下步骤：　

对于重要领域或一旦遭到破坏可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，《网络安全法》进一步规定，在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。9月1日生效的《关基保护条例》作为《网络安全法》的配套行政法规，明确了相关行业的主管部门、监督管理部门将负责结合行业实际情况制定本行业的关键信息基础设施认定规则，并根据认定规则负责组织认定本行业的关键信息基础设施。企业被认定为关键信息基础设施运营者后，需要在等保2.0标准的基础上，进一步采取技术和其他必要措施保障关键信息基础设施安全稳定运行，相关措施包括但不限于建立健全网络安全保护制度和责任制、设置专门安全管理机构并保障其经费和人员以及至少每年开展一次网络安全检测和风险评估等。

此外，《数安条例（意见稿）》要求处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

（二）数据安全保护合规建设

《数据安全法》所规定的相关数据保护制度的核心是数据分类分级保护制度，而企业也应相应关注其日常运营中产生和处理的数据，是否涉及核心数据或重要数据。

《数安条例（意见稿）》对于核心数据的描述与《数据安全法》保持了一致，即“是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。对于重要数据，《数安条例（意见稿）》则基于相关数据的来源、性质和行业特点等维度，对重要数据进行了相应的列举说明，其中与一般企业业务密切相关数据的主要包括：出口管制数据，重点行业和领域（例如业、电信、能源、交通、水利、金融等）安全生产、运行的数据，达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据，关键信息基础设施建设运行及其安全数据等。

各地区及各部门将会依据《数据安全法》等相关规定制定和完善相应地区、部门及相关行业、领域重要数据和核心数据目录。目前我国国家标准《信息安全技术 重要数据识别指南》正在制定过程中，相信未来随着《网络数据安全管理条例》的最终发布和实施，相应国家和行业重要数据识别指南体系也将会逐步完善，从而为企业判断其业务是否涉及重要数据提供相对明确的指导标准。

在《数据安全法》及《数安条例（意见稿）》所构成的框架下，若企业在日常业务中涉及到处理相关重要数据，企业在遵守一般数据保护义务的基础上，还需要额外遵守如下主要义务：　

除对重要数据的保护外，我们也建议企业对运营过程中处理的一般数据进行分类分级。2021年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》为企业就一般数据建立分类分级保护体系提供了基础性指导，企业可以参考该指引对所处理的一般数据进行妥当分类分级，并对不同级别的数据采取相适应的数据管理和保护措施。

（三）个人信息保护合规建设

拥有个人用户的各类企业在日常业务中通常会涉及处理大量个人信息，对于个人信息的保护也成为了相关企业在设计和运营相关产品和业务时的关注要点之一。对于个人信息保护合规建设，我们建议企业重点关注以下方面：

1、充分建立处理个人信息的合法性基础　

2、妥当落实“告知-同意”要求　

3、处理个人信息的特别要求

（1）处理敏感个人信息。　

（2）向境外提供个人信息。　

（3）处理大量个人信息。　

（四）人工智能和算法合规建设

目前我国对AI监管总体的政策导向虽已就位，但仍缺少具体的落地方案和实施细则，监管发展相对滞后于技术的发展和应用。在我国政府支持和鼓励AI发展、抢占AI发展先机的大背景下，未来一段时间的立法和监管政策可能会更加注重平衡AI产业的发展速度和AI技术所带来的风险，我们可能会看到一些监管政策由粗到细、由缓到急逐步落地。

在AI伦理监管方面，　

在AI产品和服务监管方面，　

面对AI行业的快速发展，国家层面的敏捷治理或将成为企业合规工作需要面临的新常态，而AI行业相关领域的立法和监管细节尚不成熟，也将导致企业在未来一段时间内会面临监管规则并不完全清晰的困境，这也对企业自主适应能力提出了挑战。此等情形下，企业管理层需要认识到不断变化和深化的监管规则会是未来一段时间内需要持续面对的问题之一。同时，企业要积极搭建企业内部的合规敏捷治理结构，建立不同组织层面的合作机制和沟通桥梁，快速应对不断深化的监管规则，同时对未来更高级AI的潜在风险持续开展研究和预判，做到知己知彼，方可百战不殆。

2021年7月，中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》，提出完善数据安全、跨境数据流动、涉密信息管理等相关法律法规，并抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定，压实境外上市公司信息安全主体责任。

（一）网络安全审查制度修订情况

网络安全审查所基于的《网络安全审查办法》于2020年6月实施，其最初仅主要适用于关键信息基础设施运营者采购网络产品和服务的情形。滴滴相关网络安全审查公告发布后，网信办于7月10日发布了《网络安全审查办法（修订草案征求意见稿）》，计划对网络安全审查相关制度进行修订。

2021年12月28日，修订后的《网络安全审查办法》（“《网安办法》”）正式发布并于2022年2月15日起施行，其要求掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。

（二）企业赴港上市与网络安全审查

2021年11月发布的《数安条例（意见稿）》除对相关企业赴国外上市需要申报网络安全审查的情形进行了规定，也同时规定了数据处理者赴香港上市，影响或者可能影响国家安全的，需要申报网络安全审查。

与《数安条例（意见稿）》不同，最终公布的《网安办法》仅对赴国外上市企业应申报网络安全审查的情形进行了规定，但未对企业赴香港上市提出相应明确要求。虽然《数安条例（意见稿）》在效力位阶定位上高于《网安办法》，但考虑到《网安办法》和《数安条例（意见稿）》均由国家网信办组织起草并对外征求意见，且《网安办法》发布于《数安条例（意见稿）》征求意见期满之后，不排除未来《网络数据安全管理条例》会参照《网安办法》统一相关要求的可能。

另一方面，虽然在《网安办法》下企业赴港上市不会必然触发其网络安全审查申报义务，相关企业仍需要关注网络安全审查问题。根据《网安办法》，如果企业相关数据处理活动影响或者可能影响国家安全（不限于赴香港或赴国外上市场景），网络安全审查的相关规定即可能适用，且网络安全审查办公室可依职权启动对相应企业的网络安全审查。因此，我们建议有赴香港上市计划的企业，在日常运营和上市过程中要始终注意自身的数据处理活动是否存在影响或者可能影响国家安全的情形，提早评估并完成所需的网络安全审查，避免相关问题给上市进程带来的潜在不确定性。

（三）网络安全审查的流程和时限

根据《网安办法》，网络安全审查的一般流程和时限要求如下：　

此外，中国证监会于2021年12月24日发布了《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》以及《境内企业境外发行证券和上市备案管理办法（征求意见稿）》（“《备案办法（意见稿）》”），对于境内企业赴境外上市提出了相应的备案要求。根据《备案办法（意见稿）》，企业（发行人）应当在向境外提交首次公开发行上市申请文件后3个工作日内，向中国证监会提交相应备案材料，其中即包括适用网络安全审查情形下，网络安全审查部门出具的相关评估审查意见。

由于网络安全和数据保护在赴港上市企业（特别是互联网和科技相关企业）的运营过程中扮演着日益重要的角色，且联交所对相关问题的关注和审查程度也在不断加深，近期赴港上市企业（“申请人”）通常会选择在其招股书中对其网络安全保护措施、数据处理和安全保护等情况以及相应的潜在风险进行披露。我们在本部分对联交所的相关披露要求和近期赴港上市企业（以中国互联网企业和科技企业为例）的相关风险披露情况进行了梳理，以期为计划赴港上市企业在风险披露方面提供参考。

（一）申请人披露情况概览

申请人通常会在其招股书的如下章节就相关网络安全和数据保护情况进行披露：　

在上述相关招股书章节的披露中，申请人通常需要在“监管概览”和“风险因素”两个章节中，根据联交所指引信GL86-16的相关要求，对其需要遵守的相关法律法规以及与之相关的风险进行集中披露。

在监管概览章节中，申请人不仅需披露其现时需遵守的重大法律法规，也需就未来预期将对其业务有重大影响的法律法规进行披露。　

在风险因素披露方面，根据联交所指引信GL86-16，相关风险披露应满足以下要求：　

基于上述联交所要求，我们理解申请人需就其所面临的网络安全和数据保护相关风险的具体风险事项、重大程度以及该等风险对申请人和投资人的潜在影响进行评估，以最终确定是否需要在招股书中对相关风险事项进行披露。如需披露，则申请人应结合相关立法以及其自身业务、运营、管理等情况对相关风险的来龙去脉以及其性质进行充分说明，并应量化相关风险的潜在影响。

（二）披露要点和解读

基于对近期申请赴港上市的互联网企业和科技企业所提交的招股书的整体梳理和分析，我们将该等企业与网络安全和数据保护相关的披露划分为惯常披露内容和特殊披露内容两部分。其中，惯常披露内容是指多数申请人在其招股书中披露的具有相对普适性的风险和事项；特殊披露内容是指不同申请人因其所处行业以及所受监管规则的不同，其根据自身行业特点在招股书中进行的量体裁衣式披露。

1、惯常披露要点和解读

多数中国互联网和科技企业在其招股书中就网络安全和数据保护进行了如下惯常披露：　

2、特殊披露的要点和解读

除上文所述惯常披露外，我们在下文中分别对SaaS企业、互联网医疗企业、人工智能企业和C端APP运营企业在其招股书中进行的与其所处行业相关的网络安全和数据保护特殊披露进行了梳理和分析。

由于特殊披露的内容与相关企业所从事的实际业务和运营情况密切相关，下表所列示的特殊披露仅体现了我们调研范围内部分行业的申请人招股书披露情况。实践中，拟赴港上市企业在评估特殊披露范围时，应结合联交所要求及其自身具体业务模式和运营情况，以作具体分析。