2023年度，数字经济领域在全球范围内继续以前所未有(yǒu)的速度演化和深化，IPO作為(wèi)驱动企业创新(xīn)与增長(cháng)的核心动力，在数据合规监管环境不断升级的背景下，挑战与机遇并存。较于2022年，境内A股、港股和美股三大市场对拟上市企业的数据合规要求更為(wèi)精细且严格，呈现出了新(xīn)的关注焦点和趋势变化。本文(wén)聚焦2023年度三个主要市场的IPO数据合规问题，从实務(wù)应对角度提出应对建议，為(wèi)拟IPO企业后续的运营合规提供参考。

一、境内IPO数据合规观察

（一）审核经纬線(xiàn)：新(xīn)规则照亮IPO数据合规之路

随着数字经济时代的全面铺开及数据处理(lǐ)实践的日益普及，数据安全与个人信息保护议题已跃升至资本市场关注的焦点位置，其重要性不容小(xiǎo)觑。步入2023年，数据合规已然确立為(wèi)上市项目审查的核心标准之一。深圳证券交易所与上海证券交易所分(fēn)别发布了新(xīn)的审核指南，明确要求在上市项目的审核过程中，保荐人、发行人律师应当对公司相关经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规进行核查，并发表明确意见。

这一变革标志(zhì)着数据合规已由以往上市流程中的隐性考量或待查隐患，转变為(wèi)保荐人与发行人必须在申报阶段即着手深度剖析、严谨自纠并提前备足合规证据的硬性指标之一，其重要性可(kě)与劳动管理(lǐ)、税收合规、产权明晰等传统上市必备条件平齐，同样需要专业人士以权威法律意见的形式予以确认。

这一变化深刻彰显出监管层面对数据合规问题的重视，以及对申请上市企业在筹备上市阶段即构建完备数据合规架构、前瞻性防范合规风险的严苛要求。律师在此过程中扮演关键角色，其发表的专业法律意见不仅是对上市公司合规状况的权威认证，更是监管机构判断企业是否具备上市资格的重要依据。

（二）恒久考题：常规与特定场景下的合规探针

1、聚焦核心：数据合规问询的常规焦点

1）拟上市企业经营中对数据合规相关法律法规的符合性：如三法（指《个人信息保护法》《数据安全法》《网络安全法》）的符合性、其他(tā)数据合规相关法律法规的符合性，该问题也与上文(wén)提及的沪深交易所的问询要点一致；

2）拟上市企业数据全生命周期管理(lǐ)的合规性：包括拟上市企业是否涉及数据处理(lǐ)活动，以及数据收集、存储、使用(yòng)、对外提供、删除等数据处理(lǐ)环节的合规性，在这一问题下，又(yòu)可(kě)细化问询例如数据来源的合法性、数据开发利用(yòng)的合规性、数据对外提供和流转的问题等；

3）拟上市企业数据合规内控：包括拟上市企业的数据合规内部管理(lǐ)机制是否建立及有(yǒu)效性，部分(fēn)细化问询会要求拟上市企业从制度、组织架构、技术管控等维度予以详细说明，如何确保、证明相关数据合规管理(lǐ)制度的有(yǒu)效执行已经成為(wèi)较為(wèi)常规的问询事项之一。

2、特定场景下的具體(tǐ)问题

1）APP合规：涉及运营APP的，可(kě)能(néng)被问询其APP的合规性；涉及被通报的APP，可(kě)能(néng)会被问询APP的合规整改情况；

2）网络安全审查：涉及為(wèi)CIIO提供网络产品或服務(wù)的，可(kě)能(néng)被问询其是否需要配合CIIO进行网络安全审查；

3）境外业務(wù)开展的数据合规性：涉及在境外开展业務(wù)且有(yǒu)数据处理(lǐ)的企业，部分(fēn)问询会要求回应境外业務(wù)的数据合规性；

4）媒體(tǐ)质疑、特定监管事件引发的数据合规问询：如拟上市企业涉及负面舆论或涉及特定监管事件等。

（三）趋势变化： 合规风向标与企业应对策略梳理(lǐ)

1、行业立法成為(wèi)细化问询依据，部分(fēn)征求意见稿备受关注

以《工业和信息化领域数据安全管理(lǐ)办法（试行）》《银行业金融机构数据治理(lǐ)指引》等為(wèi)代表的行业立法也成為(wèi)了拟上市企业论证合规性的法律依据。暂未正式生效的征求意见稿也受到重点关注，如《网络数据安全管理(lǐ)条例（征求意见稿）》《生成式人工智能(néng)服務(wù)管理(lǐ)办法(征求意见稿)》《规范和促进数据跨境流动规定（征求意见稿）》等（《生成式人工智能(néng)服務(wù)管理(lǐ)暂行办法》已在2023年7月发布；《促进和规范数据跨境流动规定》已于2024年3月发布）。

2、上下游合作中的数据合规成為(wèi)新(xīn)的审查重点

2023年度，上市监管机构对拟上市企业的审核焦点扩展至其与上下游合作伙伴（供应商(shāng)、客户）之间合同约定中关于数据责任分(fēn)配的问题，如在发生数据泄露等事件时，拟上市企业如何通过合同条款明确各方在数据安全、保护和处理(lǐ)方面的法律责任。

3、数据出境新(xīn)规引发新(xīn)焦点

2023年《数据出境安全评估办法》下的安全评估路径成為(wèi)上市审核的重点。监管机构要求拟上市企业明确其业務(wù)是否需要进行数据出境安全评估，以及相关审批程序和整改要求可(kě)能(néng)对拟上市企业的生产经营、业務(wù)发展带来的影响，包括是否存在业務(wù)延误或受限的风险，并且要求拟上市企业充分(fēn)揭示这些风险等。

2023年9月28日发布《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“跨境新(xīn)规"），进一步调整了数据出境安全评估路径的适用(yòng)范围。对此，上市监管机构仍保持较為(wèi)谨慎的态度。要求部分(fēn)拟上市企业进一步说明“发行人认為(wèi)《规范和促进数据跨境流动规定（征求意见稿）》未来如出台对对发行人开展境外业務(wù)的影响将进一步减小(xiǎo)的依据是否充分(fēn)。"

4、数据商(shāng)业利用(yòng)：“数据二十条"中立政策导向VS上市相对审慎问询

“数据二十条"等國(guó)家政策倡导在合法合规的前提下推动数据利用(yòng)，但有(yǒu)关政策尚待进一步明确。在上市合规问询环节，监管对于拟上市企业使用(yòng)客户数据进行商(shāng)业化的态度则表现出一定的审慎甚至负面倾向。拟上市企业在面对上市合规问询时，仍普遍将数据商(shāng)业化利用(yòng)视為(wèi)潜在的风险予以应对。

5、数据合规相关“资质"的审核范围拓宽

相较于2022年，2023年度对拟上市企业应当取得的数据合规监管部门审批、许可(kě)、备案、认证等“资质"的审核范围更加广泛，涉及APP备案、算法备案、安全评估、网络关键设备和网络安全专用(yòng)产品认证或检测等。

6、数据分(fēn)类合规的颗粒度更细

2023年的上市监管部门在数据合规审查中更加注重数据类型的细分(fēn)，不仅涵盖了数据、个人信息、敏感个人信息等常规类别，还包括重要数据、核心数据、一般数据、國(guó)家秘密、遥感数据等。随着《工业和信息化领域数据安全管理(lǐ)办法（试行）》《数据出境安全评估办法》等生效，“重要数据"的判断标准在不同行业的维度下显得愈发清晰，且常与“100万人以上个人信息"被同步问询。

7、网络安全与APP违规成双重警戒線(xiàn)

以公安机关為(wèi)代表的网络安全监管机构，正基于《网络安全法》《公安机关互联网安全监督检查规定》等相关法律法规，将常态化的网络安全监督检查和行政执法工作纳入日常管理(lǐ)范畴。其中，公安机关重点关注关键信息基础设施以及重要信息系统的网络安全保障问题，确保相关企业严格遵循网络安全等级保护制度。

8、“匿名化"认定标准的宽泛解读及潜在问题

目前，企业难以提供具有(yǒu)充分(fēn)说服力的证据以证明其已经实现“匿名化"，部分(fēn)上市问询回复案例中呈现出一定的宽松倾向。某些拟上市企业的外部数据合规顾问基于特定判断给出了关于匿名化处理(lǐ)完成的肯定意见，暂未见受到上市监管机构进一步追问或质疑的情况。我们理(lǐ)解，未来随着个人信息保护法律法规、行业实践的细化和完善，以及上市监管机构审核能(néng)力的加强，不排除匿名化问题可(kě)能(néng)成為(wèi)更细化审查的对象。

二、港股IPO数据合规观察

（一）遵循先例：持续要求网络安全审查合规披露

2023年的招股说明书在网络安全审查披露方面延续了2022年的精细趋势。一方面，发行人继续沿用(yòng)对中國(guó)网络安全审查认证和市场监管大数据中心咨询的途径以获得“港股上市并不等同于海外上市"的留痕证据；另一方面，发行人的中國(guó)法律师/数据合规顾问也对其是否属于关键信息基础设施运营者和其业務(wù)活动是否存在“影响或可(kě)能(néng)影响國(guó)家安全"的敏感因素作出明确的论述。

我们注意到在2023年港股IPO招股书中，部分(fēn)发行人仍持续将《网络数据安全管理(lǐ)条例（征求意见稿）》作為(wèi)部署落实数据合规要求的重要依据。但我们认為(wèi)该条例的征求意见稿自发布以来已逾两年时间，不仅迟迟未落地，且有(yǒu)些条款已经明显不合最新(xīn)的发展趋势。因此，在对发表内容的选择上，我们建议上市中介机构需要重新(xīn)审视是否继续将其视為(wèi)主要的法律基础。

（二）历史镜鉴：发行人披露违规记录的透明化实践

随着全球监管环境对透明度要求的不断提高，港股上市申请企业在披露合规记录方面表现出更高的重视程度。多(duō)家公司在招股书中详细列出了历史违规行為(wèi)的具體(tǐ)内容，并详尽阐述了针对这些事件所采取的系统性整改措施及其产生的积极成效。

因此，在当前严格的监管环境下，拟赴港上市的企业在筹备阶段除了需要确保内部治理(lǐ)结构严谨、数据合规體(tǐ)系完善之外，更应充分(fēn)展现整改的决心与成果，以此向市场传达企业在应对合规风险时的强大适应力和可(kě)持续发展潜力。

（三）第三方认证在一定程度上能(néng)起到提升作用(yòng)

相较于2022年，2023年度的港股上市企业更加重视并积极采纳國(guó)际权威第三方认证机构对其数据合规性的专业背书。例如，ISO國(guó)际标准系列中关于信息安全管理(lǐ)和个人隐私保护的关键性认证、STAR计划认证、ISO27001信息安全管理(lǐ)认证等。

可(kě)以看到，上市企业开始大规模引入专注于数据合规的第三方认证，向市场投资者展示自身超越规范之上、高标准构建的数据安全管理(lǐ)机制。尽管如此，我们理(lǐ)解第三方认证仍不能(néng)取代企业自身的合规管理(lǐ)和建设水平，尤其在个人信息和数据保护领域，如果不重视法律合规的落地和持续地精进完善，第三方认证仍无法承担合规“保护伞"的作用(yòng)。

（四）市场应对新(xīn)法新(xīn)规的曲折之路

1、数据出境安全评估

随着《数据出境安全评估办法》规定的2023年3月底数据出境安全评估申报宽限期结束，港股IPO项目对数据跨境合规性的详尽披露成為(wèi)了一项突出特点。有(yǒu)的发行人明确声明其业務(wù)活动不包含数据出境场景，有(yǒu)的则论证证明其向境外传输的信息不属于个人信息或重要数据范畴，少数企业已成功完成了数据出境安全评估程序。

对于紧随其后出台并设置有(yǒu)截至2023年12月底宽限期的《个人信息出境标准合同办法》，相关案例较少。我们预见到在2024年港股IPO项目中，关于数据出境合规性的信息披露将会更為(wèi)丰富且严谨。

2、算法合规

2023年下半年“算法合规"逐渐成為(wèi)企业数据合规的核心关注点。发行人频繁引用(yòng)《互联网信息服務(wù)算法推荐管理(lǐ)规定》及新(xīn)近颁布的《生成式人工智能(néng)服務(wù)管理(lǐ)暂行办法》等关键法规，但在部分(fēn)企业的招股文(wén)件中对于如何具體(tǐ)执行和落地算法合规性的详尽策略与实践操作方面却相对匮乏，更多(duō)表现為(wèi)一种声明性质的表态或潜在风险提示。这一点和我们对2022年港股IPO市场的观察相比并无太多(duō)变化。

随着2023年政府对AIGC产业加大政策扶持力度，并强化法律保护机制， 2024年，我们预计将有(yǒu)望在更多(duō)企业的招股书中看到他(tā)们如何深入解读新(xīn)法新(xīn)规并翔实地展现他(tā)们在落实算法合规、安全评估以及迎战人工智能(néng)监管挑战上所做的不懈努力与实质性成果。

三、美股IPO数据合规观察

（一）防線(xiàn)升级：网络安全审查权重攀升

在2023年的美股IPO市场，《网络安全审查办法》的重要性不减反增。尤其是考虑到部分(fēn)因未能(néng)通过网络安全审查而影响上市进程的案例，使得所有(yǒu)拟赴美上市的企业对此高度警惕，并采取审慎应对策略。另一方面，用(yòng)户个人信息数量未达到100万门槛的企业，明确表示无需进行网络安全审查，以避免不必要的合规负担。

（二）审慎应对：负面言论与信息披露

在2023年出台的《境内企业境外发行证券和上市管理(lǐ)试行办法》框架下，企业在披露可(kě)能(néng)存在的风险因素时，例如关于中國(guó)法规體(tǐ)系稳定性、政府干预经济程度、外汇管制制度、國(guó)际判决执行难易度等方面，需采用(yòng)更加谨慎和精准的语言策略，以确保信息传递的真实性和合规性。

（三）监管铁腕：证监会深度介入，全面加强备案管理(lǐ)

伴随《境内企业境外发行证券和上市管理(lǐ)试行办法》的深入贯彻，中國(guó)证监会在境外上市企业的监管方面进入了全新(xīn)的全面备案时代。以下四大问题為(wèi)证监会一般关注的核心议题：

* 开发、运营网站、APP、小(xiǎo)程序等情况

* 收集及储存个人信息的规模及其收集使用(yòng)情况

* 是否存在向境外传输数据或向第三方提供个人信息的情况

* 上市前后对信息数据保护的各项安排和措施

同时，基于发行人特性，证监会也进一步加强对前沿合规问题的关注，包括但不限于AIGC安全评估、算法备案等新(xīn)兴领域。

四、拟上市企业数据合规建议

在前文(wén)分(fēn)析梳理(lǐ)的基础上，对于拟上市企业，无论其选择上市地為(wèi)何，都面临着类似但又(yòu)有(yǒu)侧重的数据合规问题。我们总结如下经验，供拟上市企业参考。

（一）密切关注监管动态，及时调整合规策略

面对2023年度呈现的“新(xīn)变化"，拟上市企业需要密切关注监管动态，适时调整和优化自身的数据合规实施方案，以充分(fēn)满足新(xīn)的上市审查要求。

目前，数据有(yǒu)关立法出台较快，行业的合规水位仍在持续变化中，某些合规依据仍不明显：如数据分(fēn)类分(fēn)级监管要求“颗粒度较粗"、或某些行业暂无明确的规范要求；数据要素的利用(yòng)和流通问题存在较大的政策腾挪空间。对于这些不确定性，企业应及时找准合规标准，更新(xīn)自身的合规依据，开展精细化且具有(yǒu)前瞻性的数据合规管理(lǐ)工作，将合规工作储备留痕，以备上市监管审查。

（二）完善上下游合作协议，构筑合规生态链

拟上市企业在与上下游合作伙伴签订合作协议时，应特别关注数据合规相关条款的设计和责任分(fēn)配。在协议中明确约定数据保护、安全处理(lǐ)和风险分(fēn)担等内容。此外，建议拟上市企业做好责任隔离，防止发生供应商(shāng)数据合规风险事件，并及时切断风险传导路径，留存充分(fēn)的证明材料。

（三）积极配合监管工作，共绘合规蓝图

拟上市企业应积极主动与监管部门保持沟通，及时确认各类资质问题的具體(tǐ)要求、流程以及时间安排，包括但不限于APP（含小(xiǎo)程序）备案、算法备案、算法安全评估等手续。

同时，建议拟上市企业关注网络安全相关风险，与属地公安机关建立紧密协作关系，主动配合监管工作，提前将网络安全等级保护相关工作纳入上市数据合规准备工作中。

五、结语

总體(tǐ)上，2023年度境内交易所对境内IPO市场的数据合规审核标准有(yǒu)了进一步明确和细化，对于拟上市企业而言视為(wèi)利好。在港股层面，不断演进的监管要求和市场预期所带来的不确定性和复杂性并未减弱，企业应持续构建全方位、多(duō)层次的数据合规管理(lǐ)體(tǐ)系，以应对监管核查与问询。在境外方面，网络安全审查仍然是TO C或平台类型企业必须要面对的合规门槛，在后疫情时代中國(guó)经济面对各项挑战的大背景下，监管对境外上市的持续宽松趋势或许会為(wèi)此类企业的IPO带来更多(duō)的确定性