地址:北京市东城区建国门内大街26号新闻大厦7-8层
电话:86 10 8800 4488, 6609 0088
传真:86 10 6609 0016
邮编:100005
国枫视角
国枫观察 | 港股IPO数据合规核查基底:企业数据合规“画像”
发布时间:2025.12.31
来源:
浏览量:115
根据笔者团队的港股IPO数据合规核查经验,关于企业数据合规的基础“画像”构建要素,应至少包括主体身份标签、主营业务、系统应用、数据类型及处理、安全与监管事件等多重维度。下文将对前述主要维度的初步核查要点略作展开,以供交流探讨。
作者:潘凯文、龚琳
前言
在港股IPO的赛道上,科技、AI、智慧城市等数据密集型企业早已不是新鲜面孔。但近年来,有个变化让不少拟上市企业直呼“压力拉满”——监管对数据合规的关注,已从过去的“概览式问询”,发展成为如今的“深入式探究”,数据处理的合法合规性已然成为企业合规发展的重点关注内容。一方面,《网络安全法》《数据安全法》《个人信息保护法》以及《网络数据安全管理条例》的“三法一规”构建起“全链条监管”框架,辅以一系列关于网络安全、数据合规、个人信息保护的部门规章、规范性文件、地方性法规、司法解释、国家标准、行业标准、网络安全标准实践指南等,监管部门对数据合规的规范颗粒度愈发细致;另一方面,随着拟IPO的科技企业比重不断增加,中国证券监督管理委员会、香港联合交易所、香港证券及期货事务监察委员会等监管审批机构针对数据合规的问询频次显著提升,且不仅要求企业披露数据处理的常态化合规关注,并特别针对不同时期的关注热点(例如2022年《数据出境安全评估办法》开启的数据出境合规核查,2023年《生成式人工智能服务管理暂行办法》开启的生成式人工智能合规监管,以及针对今年出台的《人脸识别技术应用安全管理办法》引发人脸识别技术应用场景的合规监管等),要求企业就是否涉及关注热点进一步细化论述。如何在招股书展望的宏伟蓝图以及企业本需遵循的数据合规之间取其“中衡之道”,是拟上市企业需要切实面对的重要课题。
实践中,港股IPO的流程期限相较国内IPO而言通常更短,而数据合规法律团队介入核查的时间点往往在A1交表前较为后期的阶段,稳健的核查节奏与充分的核查时限通常很难保障。那么,如何在短期内,在既有的数据合规框架中迅速排查出特定项目的合规关注重点,准确提炼出数据合规风险,笔者认为,通过初步尽调为企业建立一个基础但也相对完整的数据合规“画像”,是最为重要的起步。通过“画像”,可高效识别和准确把握后续开展核查的方向和重点,在有限时间内给出切中监管关注要点的法律意见,从而为企业的后续合规优化,以及其他中介团队对上市文件的起草提供有益的参考。
根据笔者团队的港股IPO数据合规核查经验,关于企业数据合规的基础“画像”构建要素,应至少包括主体身份标签、主营业务、系统应用、数据类型及处理、安全与监管事件等多重维度。下文将对前述主要维度的初步核查要点略作展开,以供交流探讨。
一、被核查主体的重要“身份标签” 港股IPO数据合规核查的第一步,不是直接扎进“数据处理细节”,而是先搞清楚“谁在处理数据”——优先建立主体的基础“画像”,不但有助于把握数据合规的重点核查和完善方向,亦会对后续数据流的梳理产生助益。 (一)是否为关键信息基础设施运营者(下称“关基运营者”) 关键信息基础设施[1],是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。根据该条例,关基运营者的身份由保护工作部门认定并通报国务院公安部门。一旦被核查的企业经认定属于“关基运营者”身份,则需要进一步严格满足网络安全等级保护(下称“等保”)、数据出境、风险评估等诸多方面的特定合规要求。 (二)是否为网络平台运营者 针对“网络平台运营者”,目前并无法律法规对此做出明确的定义。《互联网平台分类分级指南(征求意见稿)》以及《互联网平台落实主体责任指南(征求意见稿)》等相关文件曾对“平台”“平台经营者”等概念做出过定义。此外,国家网信办于2021年11月14日发布《网络数据安全管理条例(征求意见稿)》中,对互联网平台运营者的定义为“为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者”。据此定义,拟上市企业如作为网络平台运营者,则其用户群体必然将包含大量个人用户,那么有关个人用户的各项权益保障,显然也将必然成为监管部门的关注侧重之一。若用户达到一定规模(如100万以上、1000万以上等),则相应需要充分考量更多额外的、硬性的合规指标。 (三)数据合规相关认证资质 与数据合规相关的国内外认证并不显见,其中又以国际标准化组织(ISO)和国际电工委员会(IEC)发布的ISO/IEC系列国际标准相关认证最为常见,例如ISO/IEC 27001信息安全管理体系认证、ISO/IEC 27701隐私信息管理体系认证、ISO/IEC 27017云安全管理体系认证、ISO/IEC 27018公有云个人信息保护体系认证等。又如,推荐性国家标准GB/T 36073-2018《数据管理能力成熟度评估模型》(DCMM),给出了数据管理能力成熟度评估模型以及相应的成熟度等级,定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个能力域,适用于组织和机构对数据管理能力成熟度进行评估。 如被核查企业获得过ISO/IEC系列认证或DCMM数据管理能力成熟度等级认证等数据合规领域相关认证,则可以一定程度上用以结合印证企业数据合规体系的完备性及其所实施保障措施的有效性。 二、主营业务方面的“潜台词” 拟上市企业的主营业务领域,是招股书的撰写重点。与此同时,“广阔光明”的业务描述,站在合规视角看,却潜藏着不得不考量的合规要素乃至风险。 (一)行业主管部门 数据合规的核查范围,除了在法律法规层面的共通要求外,还包括了其所在行业的特别规范和标准。而行业主管部门的确定,对于识别拟上市企业所涉的行业特定规范和标准,将起到十分关键的作用。如工业和信息化领域,扩展的合规识别范围不仅包含了《工业和信息化领域数据安全管理办法(试行)》的相关规定,还包括了诸如《工业领域重要数据识别指南》等与特定合规识别内容有关的行业标准。对于其他行业所辖的特定要求同样“百舸争流”,需要在核查时予以特别关注和识别,避免遗漏。 (二)客户群体 优先初步了解企业的业务结构,有助于针对性的布局后续核查的侧重点。如对于以“C端”个人用户为客户的业务结构而言,则核查的重中之重势必应为“个人信息保护”;如业务以“B端”企业作为客户群体的,则“个人信息保护”的核查优先级将顺位后移,更多需要考虑的核查重点将转移至“系统产品的本地化部署”以及“数据处理的委托授权”等其他维度。 (三)业务地域 拟上市企业的主营业务客户群体是否存在境外主体,其业务是否涉及“数据出境”场景,也是初步尽调的重点关注。如存在此类场景,则企业究竟应当通过申报数据出境安全评估,还是以个人信息出境标准合同或个人信息保护认证来实现数据出境的合规性,将成为后续进一步核查和分析的重点项。存在合规差异的情况下,如何通过切入了解企业的具体业务模式,准确协助企业选择高效的出境合规路径并加以完善,是核查工作中需要个性化的内容之一。 三、数据的载体——“系统和应用” 企业在其主营业务中所使用的系统和应用,是其日常业务经营活动及数据处理活动的载体和连接处。它们既成为了现代企业日常管理中不可或缺的资产,也往往会是其业务产品或服务的一部分,而大量数据就是以此为节点进行存储、使用和交互等处理活动。系统和应用不仅是监管的重点关注项之一,其本身也是企业数据流及其合规性最直接的证明标签之一。 (一)业务管理系统 企业在部署如CRM[2]、SRM[3]、ERP[4]等业务管理系统时,往往根据其管理模式不同而择取不同的部署方式。有些企业愿意投入较高的成本在私有化服务器部署系统,以此确保高敏业务数据的私有性和安全性,而另一部分企业则从经济性和便利性角度考量,选择通过公有云或者直接采购市场认可度和占有量位于头部的第三方品牌SaaS[5]服务(如SAP、金蝶等)。初步尽调过程中,除了需要求企业全面披露其在用的业务管理系统外,还应当对业务管理系统的主要功能、来源、部署方式、数据处理类型以及该系统所具备的数据安全性证明材料等进行初步核查了解,以为后续对数据完整性、技术安全性以及合规措施有效性等方面的核查,提供有益的梳理框架和完整性印证。 (二)作为产品或服务的系统平台 港股IPO企业多见以科技为“亮点”,从产品和服务的提供方式而言,包括客户本地化部署、云端部署、乃至互联网平台或SaaS等多样化形式。特别是通过云端部署、或直接提供互联网平台服务的业务模式,其必然存在与第三方的数据交互问题,结合对于客户群体等因素的综合考量,企业所需应对和满足的数据合规侧重也就呼之欲出了。 (三)WEB和移动端应用 企业通常会通过私有或公有服务器来部署自己的官方网站,有些仅用于展示和宣传,有些则具备如岗位招聘、接洽留言等更多的“功用”,而提供互联网平台服务的企业,官网即是其产品或服务平台之一。 与此同时,在手机已成为必需品的当今,无论是“to-B”还是“to-C”,或许是仅作为展示宣传,亦或直接提供主营业务的相关产品或服务功能,已经很少有企业不选择在移动端部署App、小程序等移动应用。同时,在私域客户服务中,利用公众号/服务号,以及抖音、小红书、微博等平台进行营销和服务提供,也是十分常见的载体形式。 这些WEB和移动端的应用,除了作为数据存储及交互的载体外,同时其本身也需要满足备案、公示等合规要求。除此以外,通过对这些应用的用途、用户类型和规模等情况进行进一步核查,也会为后续结合应用演示时对数据流和合规要点的把控起到重要的引导作用。 (四)算法和大模型 近年来,越来越多以“算法和人工智能”为业务亮点的企业申请IPO,这一领域也自然而然地成为了监管深度核查的“必经之处”。虽然严格意义上而言,并非所有企业都会将算法和大模型嵌入系统平台进行应用(例如通过封装到硬件设备中进行部署和使用的场景等),但考虑到其与前述业务系统、WEB应用一般,具有承载和处理数据的“共性”(算法和大模型处理其用于预训练、优化等环节的训练数据),同时在特定应用场景下,算法和人工智能大模型本身亦需满足评估、备案等合规要求,因此,初步尽调中需要对企业的核心算法和人工智能大模型的主要功能、技术应用场景、部署方式及数据类型等要素进行初步核查,以作全面了解后掌握准确的合规核查推进目标。 四、安全的客体——“数据” (一)主营业务中所处理的数据类别 企业通常会根据数据应用的实际需求,对在日常活动中所处理的数据进行不同维度的分类,一般而言,从监管维度的侧重点出发,可以将数据区分为“个人信息”以及不包含个人信息的“企业数据”两大类别区分核查。对于个人信息,又可考虑从常见主体角度进一步粗分为C端用户个人信息、员工个人信息以及B端客户及供应商的联系人信息等;而对于“企业数据”,则可以考虑先从“数据来源”角度进一步粗分为客户数据和自有数据(通常为日常经营管理产生的数据,如业务数据、供应链数据、财务数据等)等。在此数据粗分的基础上,再进一步对其具体字段、处理方式和存储位置等信息做适当展开,以全面、清晰地概览到企业所处理数据的“全貌”。 (二)数据处理活动重点关注项 1. 数据类别的重点关注——敏感个人信息、重要数据、训练数据 (1)敏感个人信息 在个人信息大类中,处理敏感个人信息对个人权益可能产生的影响和风险,相较于一般个人信息而言更为重大,因此对于企业所处理敏感个人信息的识别工作,是个人信息初步尽调环节的重点。依照《个人信息保护法》对敏感个人信息的定义及示例,并结合如《信息安全技术 个人信息安全规范》(GB/T 35273-2020)以及《数据安全技术 敏感个人信息处理安全要求》(GB/T 45574-2025)等国标附录的识别示例,有助于企业准确识别个人信息处理活动中涉及的敏感个人信息字段,并进一步确认其规模、处理方式、保存期限等内容,为后续的合规差异分析和风险识别提供重要事实基础。 (2)重要数据 而对于非个人信息的企业数据而言,尽调核查的重点则在于如何准确识别“重要数据”。依据《网络数据安全管理条例》给出的定义,特定领域、特定群体、特定区域或者达到一定精度和规模,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据,应被识别为“重要数据”,并按照相关法律法规的要求,实施更为严格的安全合规措施。但“重要数据”的通用识别依据,除了前述抽象定义外,目前可完整参照的规范文件,仅有《数据安全技术 数据分类分级规则》(GB/T 43697-2024)的附录《重要数据识别指南》,而实践中的准确识别工作主要还是仰赖不同行业领域主管部门制定出具的重要数据目录或识别指南,如工业领域的《工业领域重要数据识别指南》、电信领域的《电信领域重要数据识别指南》、汽车领域的《汽车数据安全管理若干规定(试行)》、自然资源领域的《地理信息数据分类分级工作指南(试行)》、统计领域的《统计数据安全管理办法》等等。企业可参照对应行业领域出具的指南和目录完成识别工作,为后续的合规核查和整改优化工作提供切实的基础依据。 (3)算法模型训练数据 依据《互联网信息服务深度合成管理规定》的定义,训练数据,是指被用于训练机器学习模型的标注或者基准数据集。《网络数据安全管理条例》在行政法规层面,特别针对生成式人工智能服务,要求“加强对训练数据和训练数据处理活动的安全管理,采取有效措施防范和处置网络数据安全风险”。而《生成式人工智能服务管理暂行办法》则进一步针对训练数据来源及其处理活动提出了更为具体的合规要求。因此,对于应用算法和人工智能技术提供产品和服务的企业而言,除对其算法和大模型进行核查外,还需要进一步对其用于算法和模型训练的数据来源、规模、类型、标注规则等内容展开核查,以便充分掌握和安排后续的核查乃至整改重点,以满足必要的数据合规要求。 2. 数据处理活动的重点关注——数据“交互”活动 数据在流动中产生价值。企业依赖客户增长业务和获取收益,依靠自身技术和供应链维系产出和保障储备,因此,不仅要关注静态场景下的数据,更需关注数据在流动和第三方交互环节中的合规风险。数据交互的处理活动通常包括三类场景,即委托第三方处理数据、向第三方提供数据以及与第三方共同处理数据;此外,特殊场景包括企业合并、分立时的数据转移等,也需纳入考量。通过企业梳理的数据流图,厘清数据“交互”活动中的数据类型、交互法律关系、主体名称、交互场景和目的等事项,是识别对应交互活动下所应满足的数据合规要求所必需的基础事实。后续核查中,我们可以通过收集业务合同、数据处理协议以及可能存在的评估审计文件等,进一步开展合规差异分析并提出整改优化建议。 五、历史的“见证”——安全及监管事件 港股IPO数据合规核查,不仅需要对“合规现状”进行核查确认,还需要对业绩期内发生的“历史事件”进行核查,了解企业数据合规的“过往”,以此展现和验证企业“合规的持续性”以及“风险的可控性”。与数据合规相关的历史安全及监管事件,包括但不限于监管部门对于数据合规事项的执法调查、约谈以及责令整改,与数据被窃取、泄漏、损坏或丢失有关的重大网络和数据安全事件,个人信息主体的投诉、举报,以及与数据合规事项相关的诉讼、仲裁、行政处罚等。 结语 综上,多重维度相互印证、层层展开,本质上是为拟上市企业绘制一张动态的数据合规基因图谱:身份标签决定合规基线,主营业务划定监管强度,系统应用承载风险敞口,数据本体明确保护重心,历史事件验证体系韧性。在港股IPO数据合规监管趋严、问询颗粒度不断细化的当下,构建企业数据合规“画像”并非简单的信息堆叠,而是一种将碎片化合规事实转化为结构化风险地图的实务方法论。透过相对准确、完整的“画像”图谱,能够高效助力核查律师团队在有限时间内,既能“登高望远”——从监管框架和行业特性中锚定核查坐标,又能“见微知著”——透过业务描述、系统架构与数据流转识别潜在风险。 参考资料
第二条。
[2] Customer Relationship Management,通常译为客户关系管理。
[3] Supplier relationship management,通常译为供应商关系管理。
[4] Enterprise Resource Planning,通常译为企业资源计划。
[5] Software as a Service,通常译为软件即服务。
