施忞旻律师，北京国枫(上海)律师事务所合伙人，执业十多年来专注于境内外私募基金的设立、投资，境内及跨境企业兼并收购、企业合规、数据合规等业务领域的法律服务，持续服务于人民币美元头部基金，国有投资平台，国内外知名医疗健康、半导体科技、数字经济、大消费、文化娱乐、金融服务等诸多领域的企业和机构。施忞旻律师持有欧盟EXIN DPO数据合规官认证资格。

7月21日，国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款。随后滴滴出行发布公告回应诚恳接受此次处罚，并积极配合监管完成整改。

然而，不仅仅是滴滴。在我国不断提高数据合规安全意识以及美国《外国公司问责法案》的双重压力下，如何完善数据合规管理成为企业上市前的重要议题之一。

北京国枫(上海)律师事务所合伙人施忞旻律师作为富途企业服务智库平台荣誉专家，受邀梳理了境内企业赴境外上市数据合规安全相关的政策，并分享了对企业数据安全管理实操层面的建议。

本期分享内容要点：

- 企业境外上市的数据合规相关法律法规盘点- 已在港上市企业的数据合规相关披露内容- 上市企业数据合规业务特点和方法论

2020年12月，《外国公司问责法案》生效，美国证券交易委员会(SEC)于次年12月公布了该法案的实施细则，美国公众公司会计监督委员会(PCAOB)又于该月发布《〈外国公司问责法〉认定报告》，认定60余家在美注册中国会计师事务所“无法完成检查或调查” 1。

截至美东时间7月21日，SEC公布的预摘牌名单已经达到152只2，其中就包含了京东、网易等。这对在美中概股意味着，如遵守《问责法案》，则中国公司要接受PCAOB对会计底稿的审查，否则将于2024年4月左右被迫从美股退市。

然而，接受会计底稿的审查与我国《证券法》第177条关于单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料的规定3，以及财政部关于我国内地公司委托境外会计师事务所审计的底稿应当存放在境内相关要求4产生冲突。

企业境外上市相关法律法规

2022年4月，证监会公布的《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》，也对相关事项作出了回应，在跨境取证和检查方面从我国监管机构为主导的模式转变为通过跨境监管合作机制进行5，为中美证券监管合作带来一个积极信号。因此，从短期来看，SEC和PCAOB的规定对中概股将造成一定市场压力及震荡，但从长期来看，美股市场的大门对符合相应规定和披露要求的中国民营企业来说并未关闭。

下表对企业在上市过程中涉及的网络安全审查、数据安全评估、上市规则和数据出境的原则性规定进行了梳理。

针对国家网信办于近期公布的《数据出境安全评估办法》，有关负责人答记者问时介绍，该《办法》所称数据出境活动主要包括两大方面，一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外;二是数据处理者收集和产生的数据存储在境内，境外的机构、组织或者个人可以访问或者调用6。因此，我国赴境外上市企业可能落入《办法》审查对象的范围。

已在港上市企业的披露内容

我们可以从近期港股上市的若干案例中，对于上市企业在数据合规的披露方面基本遵循类似的体例。比如，知乎于2022年4月在香港联交所二次上市，消费级基因检测平台美因基因于2022年6月在港交所上市，这两家上市企业招股说明书的相关披露内容如下图所示。

由此可见，无论上市企业是否申报网络安全审查，发行人均披露他们采取了数据安全及合规的相关措施，以表明发行人对现有数据的处理行为合法合规，并且在披露内容方面，也显得较为谨慎。

上市企业数据合规

业务特点和方法论

对于拟上市的企业来说，为满足数据合规的要求，其做的准备工作具有如下特点：

(1)时间紧、任务重。企业在上市前需要开展数据资产梳理、风险评估、差距分析等前期工作，并通过相应整改完成数据安全治理;

(2)更新迭代频率高。企业须持续对上市前开展的业务进行自查更新，并针对突发情况准备好应急预案;

(3)颗粒度的判定。企业需应对保荐人、中介机构、上市地证券监管机构各方面、各种颗粒度和层次的问询;

(4)数据合规律师身份特殊。数据合规律师应在协助企业做数据合规梳理及整改中关注利益冲突问题。

从实践角度，企业应在上市申请提交前分别进行数据安全风险评估、差距分析，通过整改完成合规工作。具体而言，企业在筹备上市的过程中，以及在上市后的日常经营中，均可以运用如下“从零到一”的方法论开展数据合规工作：

(1)对企业自身进行主体识别和行业识别，目的在于明确企业所需要符合的有关法律、行政法规、部门规章、司法解释、国家标准、行业标准、团体标准、技术文件、地方性法规等构成的监管框架。在主体识别上，企业可从几个方面入手——企业业务地域范围(是否涉及跨境业务)、股权性质和结构(例如是否有外资成分、是否有国资背景)、对数据处理是否有决策权(例如是否为数据控制者)、是否属于有特别限制或义务的主体类别(例如是否属于关键信息基础设施运营者、互联网平台运营者等等)。其中尤为重要的一环是从法规中进一步归纳总结，对包括数据分级分类的规则、数据传输和共享的规则、个人信息保护的规则等在内的各项监管主题进行梳理;

(2)对企业的业务场景和特定需求进行识别，以厘清具有合规需求的业务场景，并对需要重点关注的特定监管要素进行梳理;

(3)对企业进行数据资产盘点，具体包括数据来源识别、确定数据类别与分类分级情况，从而判断这些数据是否构成《数据安全法》下的国家核心数据、重要数据或一般数据，然后在此基础上形成数据资产分类分级清单。如果企业尚有余力，还可从技术、制度流程、组织结构等角度进一步优化数据分类分级，例如建立数据资产动态管理平台、明确数据分类分级及变更的内部流程机制，以及量化评估方式等;

(4)结合具体的业务场景对企业进行数据全生命周期的映射和管理。该步需要在前述识别的业务场景下，通过上述的数据类别和分类分级情况对数据的收集、存储、使用、加工、传输、提供、公开、删除等整个生命周期的行为进行一一映射，以确定处理这些数据是否存在合法性基础、识别收集了哪些数据、这些数据存储在哪里、谁可以使用以及如何使用这些数据，这些数据提供给了哪些第三方等等，然后对照监管重点进行核查确认，确保对信息主体权利予以有效落实。

(5)对前述过程进行循环往复不断迭代，对数据情况进行持续的动态监测。具体而言，要定期进行企业数据合规情况的内部评估和第三方评估以查缺补漏，不断完善数据合规管理体系，同时要重点关注行业监管政策法规及热点动态，做好有关应对工作。

此外，企业应在完成数据合规治理工作后做好“验收准备”，有效应对保荐人、中介机构及上市地证券监管机构和交易所就相关事项提出的各类问询。

对于不同类型的企业来说，其合规工作的侧重点也有所不同。

结语

企业在上市过程中，应持续关注我国关于数据以及个人信息保护的法律法规和监管动态，及时完善数据合规管理体系，在发生重大安全事件或者公司业务模式、信息系统等发生重大变更时，及时进行数据安全影响评估。随着上市的推进，企业还应定期审查相关制度是否有效落地，对发现的问题、整改情况与监管的动态变化进行比对并不断调整与优化，以形成一个有效的合规闭环。只要在数据治理的方法上庖丁解牛，主观上运筹帷幄，就能推进上市数据合规项目的有效落地。

【注】

[1] HFCAA Determination Report

[2] sec.gov/hfcaa

[3] 我国《证券法》第177条第2款规定，“境外证券监督管理机构不得在中华人民共和国境内直接进行调查取证等活动。未经国务院证券监督管理机构和国务院有关主管部门同意，任何单位和个人不得擅自向境外提供与证券业务活动有关的文件和资料。”

[4] 财政部制定的《会计师事务所从事中国内地企业境外上市审计业务暂行规定》第5条规定，“中国内地企业依法委托境外会计师事务所审计的，该受托境外会计师事务所应当与中国内地会计师事务所开展业务合作。双方应当签订业务合作书面协议，自主协商约定业务分工以及双方的权利和义务，其中在境内形成的审计工作底稿应由中国内地会计师事务所存放在境内。”

[5] 《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》第11条规定，“境外证券监督管理机构及有关主管部门提出就境内企业境外发行证券和上市相关活动对境内企业以及为该等企业境外发行证券和上市提供证券服务的证券公司、证券服务机构进行调查取证或开展检查的，应当通过跨境监管合作机制进行，证监会或有关主管部门依据双多边合作机制提供必要的协助。”

[6] 《数据出境安全评估办法》答记者问，中国网信网

富途企业服务智库平台

富途企业服务智库平台研究内容覆盖股权激励、税务政策解读、融资上市、金融前沿趋势等领域，致力于使智库平台内的各主体间在价值创造、资源互换、合作创新等方面保持高度协同，实现共赢。目前，已与行业内多家知名机构合作，集聚了投资银行、四大会计师事务所、律所、咨询机构、官方服务机构等背景的资深人士。

富途企业服务品牌富途安逸futuie.com为企业提供贯穿上市前后的全流程服务，包括：港股美股IPO分销服务、一站式ESOP期权管理解决方案、亲友股与国际配售、投资者关系(IR)与PR、大宗交易和股票减持/回购服务及机构开户与交易服务等六大核心服务(文中所涉IPO分销业务及证券业务由富途旗下持牌子公司提供服务)。截至2021年底，富途企业服务累计服务客户数超500家。

免责声明：市场有风险，选择需谨慎！此文仅供参考，不作买卖依据。

责任编辑：kj005