赴港上市的新基石——数据合规的挑战与战略应对

2025-07-30

引言

随着《网络安全法》（2017年）、《数据安全法》（2021年）、《个人信息保护法》（2021年）等法律法规构建的数据保护法律体系逐步深化实施，数据合规已成为企业上市进程中无法回避的核心议题。2021年“滴滴事件”引发的监管风暴^[1]，更是将这一议题推向了前所未有的高度，不仅为所有拟上市企业敲响警钟，也促使证券监管机构和交易所在IPO审核中，对数据合规的审查标准和关注度进行了系统性升级。在此背景下，传统的IPO中介服务体系——券商、会计师事务所、律师事务所等——正经历一场深刻的专业化变革，独立的“数据合规律师”角色，日益成为上市项目团队中的关键一员。

本文将主要从中资企业赴香港上市为切入点，结合笔者近年来的实务经验和统计调研，深度剖析数据合规的披露现状、趋势、背后成因，并提出应对建议，为拟上市企业及参与各方提供决策参考。

一、披露现状：从“边缘议题”到“核心板块"

近年来，数据合规已从昔日的边缘议题，跃升为赴港上市企业招股书中的核心披露板块，同时也是香港联交所IPO问询的关注重点之一。统计数据显示，在招股书中披露数据合规相关内容的港股新上市公司比例，已从2022年的37%激增至2025年的96%^[2]，连续三年大幅攀升，已达饱和状态（各年度具体数据详见下方统计图表）。

这一趋势背后，是三大核心驱动力的共同作用：一是企业数字化浪潮从互联网行业向传统行业渗透；二是内地数据监管环境进入“强监管”时代；三是中国证监会与香港联交所形成监管合力，共同强化了上市过程中的审查要求。

二、成因剖析：三大驱动力重塑上市合规格局

（一）企业数字化浪潮的全面渗透

传统行业在数字化浪潮下正加速转型，线上业务的渗透使得数据处理的规模与敏感度呈指数级增长，数据合规风险随之全面浮现。例如在餐饮行业方面，蜜雪冰城和沪上阿姨作为2025年港股上市餐饮企业，均开发了线上点单系统，通过小程序、APP支持用户多方式登录提供点单、支付及订单跟踪功能，凭借个性化定制、优惠及会员体系等方式，以数据分析提效促进品牌数字化增长；在零售行业方面，周六福作为2025年港股上市珠宝企业，借助APP及小程序推出“AI珠宝试戴”，结合AR技术提升个性化购物体验，也体现了“数据驱动增长”的业务模式。

这种趋势导致涉及数据合规的行业范围显著扩张。监管视野已从2022年主要集中的“科技、AI、电商”等领域，拓展至2023年的“工业、物流、零售”等实体经济和消费端，并在2024年和2025年进一步覆盖了“金融保险、汽车制造、物业管理”乃至“环境保护”等几乎所有主流行业。许多企业仍误认为数据合规仅限于互联网公司，但事实上，只要企业通过网站、App、小程序等开展业务，或在B2B合作中处理员工、客户个人信息，都已进入数据合规的监管射程。数据合规已从特定行业的“可选项”，逐渐演变为所有拟上市企业的“必选项”。

（二）内地监管进入“强执行、高密度、技术化”新阶段

近年来，各级网信、工信、公安部门以及国家计算机病毒应急处理中心、中国消费者协会和App专项治理工作小组等多部门的行政执法活动日益频繁，监管逐步升级，企业迎来数据合规的“强监管”时代。

首先，法规政策不断完善，形成完整监管体系。自2021年《个人信息保护法》实施以来，已有21部配套法规出台。仅2025年上半年，在个人信息保护领域就有《个人信息保护合规审计管理办法》、《人脸识别技术应用安全管理办法》、《关于开展个人信息保护负责人信息报送工作的公告》等重要文件密集落地，对企业的合规审计、备案手续、信息报送等提出了更明确、更严格的要求。

其次，专项执法行动常态化，监管力度持续加强。2024年，全国网信系统约谈网站超万家，处罚4046家，下架移动应用程序200款。2025年上半年每个月都有几十款违法违规App被查处通报。据统计，依据《个人信息保护法》的行政处罚在两年多时间内已近700例，高压执法成为常态。

最后，监管部门的技术监管手段也不断升级。监管部门运用大数据、人工智能等技术手段提升执法效率。例如国家计算机病毒应急处理中心通过自动化检测系统及时发现APP违规行为，建立了全国统一的"个人信息保护业务系统"实现线上报送管理，开发了APP违规行为自动识别系统和违法违规APP黑名单数据库，大幅提升了监管覆盖面和执法精准度。

（三）两地监管合力形成“双重审查门槛”

来自上市审批环节的直接监管压力，构成了拟上市企业必须跨越的“双重门槛”：一方面，中国证监会通过境外上市备案新规，将数据合规设为前置审查重点；另一方面，香港联交所在招股书审核中，对数据合规的问询日益深化和细化。

1.中证监备案：强调“实质性合规”

自2023年境外上市备案新规生效后，中证监要求赴港上市企业履行备案程序，并重点审查网络安全、数据出境等合规问题。若企业未完成备案或材料存在重大虚假，可能面临高达千万元的罚款。实践中，数据合规已成为备案反馈的焦点。据统计，中证监备案反馈涉及数据合规问题的比例逐年攀升，从2023年的约35%增至2025年上半年的超过50%^[3]。

中证监的问询主要集中在以下方面：用户信息处理与保护：这是最核心的关注点（占比约75%），贯穿于消费零售（如三只松鼠）、金融（如南华期货）、物流、医疗等多个行业；业务资质合规性：重点关注企业是否具备提供互联网信息服务所需的相应资质；新兴业务风险：针对涉及元宇宙、人工智能等前沿技术的企业，审查其特有的数据合规风险；历史处罚与整改：对曾受过数据相关行政处罚的企业，追问其整改落实情况。

▲2025上半年境外上市备案企业涉及数据合规问题类型占比统计图

2.联交所问询：强调“穿透式披露”

香港联交所作为上市申请的直接监管机构，其问询的深度和频率近年来显著增强。根据联交所2025年5月更新的《新上市申请人指南》，企业必须详细披露其数据保护政策、数据全生命周期管理措施以及在所有业务所在地的法律合规情况。联交所的问询不仅限于常规性合规制度，其特点在于：（1）前瞻性：关注最新法规（包括征求意见稿）对企业运营的潜在影响；（2）风险导向：针对性地询问企业是否可能被认定为关键信息基础设施运营者（CIIO），是否存在国家安全风险以及数据出境的具体情况等高风险议题；（3）深度追问：常常围绕招股书中披露的细节进行多轮、深入的提问，要求企业确保信息披露的“透明化”和前后一致性。

综上，中证监的“实质合规”审查与联交所的“充分披露”要求互为补充，迫使企业必须在上市筹备的最初阶段，就投入专业力量，构建起一套贯穿境内合规与境外披露的完整证据链和论述体系。

三、企业应对建议

面对日益严峻的监管环境与上市过程中的高强度审查，拟赴港上市企业必须将数据合规从被动应对转为主动战略。这不仅是满足法规的底线要求，更是保障上市进程顺畅的关键。

（一）前瞻性规划：建立系统性的风险识别与法规研判机制

在上市筹备的最初阶段，企业就应启动全面的数据合规自查与风险评估。这需要超越简单的“清单式”核对，建立一套动态、深入的研判机制。

内地数据合规法律法规及各类标准已近1500项，且仍在快速更新。企业需建立动态的法规跟踪机制，不能停留在对《个保法》等几部核心法律的表面认知上。其复杂性不仅体现在数量，更体现在覆盖的广度和深度上。除个人信息保护外，网络安全审查、网络安全等级保护、数据出境、重要数据分类分级等领域均有严密的法规和国标体系。同时，对于人脸识别、AIGC、深度合成、算法、区块链、舆论安全评估等新兴技术和应用，监管部门也密集出台了相应的备案或评估要求，其技术门槛高，合规申报流程细致严格。此外，金融、医疗、汽车等行业还须遵守自身特殊的监管规定。在此背景下，对法规的表面化理解极易产生风险。例如，对于“个人信息”的界定，实践中“可识别性”的判断标准十分复杂，若仅从自身技术角度出发，可能因低估风险而做出激进的错误判断，为后续监管问询埋下隐患。

因此，在项目启动早期即开展系统性的数据合规尽职调查，是保障上市成功的关键一步。这要求企业全面梳理数据处理流程，估算个人信息处理的规模与类型以评估触发的合规义务，审查与第三方的数据共享协议是否存在条款缺失，审查核心业务流程（如用户注册、下单、营销）是否设置了合规的单独同意机制，并审视是否已按要求开展个人信息保护影响评估（PIA）等工作。尽早发现并着手处理这些耗时较长的整改项，是避免项目后期陷入被动的核心所在。

（二）精准化执行：在上市窗口期内完成关键性合规整改

在上市的紧迫时间表下，将尽调发现的合规差距转化为可验证、可披露的整改成果，是关系到上市成败的攻坚战。

为了回应监管问询和中介机构的尽职调查，企业必须将合规要求迅速嵌入产品和流程。例如，针对“同意”这一核心议题，需摒弃“一揽子同意”的惰性做法，快速开发并上线针对处理敏感个人信息、向第三方提供数据等场景的“单独同意”弹窗；对于用户权利保障，应确保APP等产品提供便捷的注销功能，并能证明其执行的是技术上的物理删除。这些整改成果需以截图或系统演示的方式作为回复监管的直接证据，其执行效率和质量至关重要。

上市项目中的整改工作必须兼顾“合规的刚性”与“时间的有限性”。企业必须有能力精准判断风险等级，集中资源优先解决可能对上市构成实质性障碍的“颠覆性”问题（如完成必要的APP或算法备案），而不是在“锦上添花”的优化项上耗费宝贵时间。这要求执行团队具备丰富的项目经验和高超的战略取舍能力。

（三）专业化协同：整合资源以应对审查与持续合规压力

数据合规工作专业性强、工作量大，在紧张的上市周期内要求法律、技术与业务的深度融合，企业必须建立高效的内部协同与外部支持机制。

数据合规涉及法务、技术、业务等多个部门，企业内部需要设立一个明确的牵头部门或专项小组，以统筹协调尽职调查、推动整改、准备披露文件等繁杂工作。这有助于打破部门壁垒，确保信息畅通，并减轻保荐人、境内律师等其他中介机构的尽调负担。

在回复中证监和联交所的问询时，企业需要提供逻辑严密、证据充分的法律论证。尤其在面对网信等部门的质询时，专业、精准的沟通至关重要。此外，招股书中关于数据合规的披露（如风险因素、业务章节）也需要高度专业化的语言进行组织，既要充分揭示风险，又要展现企业有效的应对措施。

赴港上市前的系统性合规工作，是为上市后的持续合规义务（如定期的个人信息保护合规审计）打下基础的绝佳机会。企业应利用此契机，将一次性的上市成本，转化为可复用的常态化合规体系与机制。例如，处理大量用户个人信息的企业，若能在上市过程中就按照审计要求梳理和完善内部流程，将极大减轻未来履行定期合规审计义务的工作负荷，实现合规投入的长期价值。

结语

上市已成为对企业数据治理能力的一次极限压力测试。它不再是法律部门的单一任务，而是要求创始人、管理层、业务、技术及法务部门共同参与的“一把手工程”。

可以预见，未来的资本市场中，一个清晰、稳健且透明的数据合规体系，将不再仅仅是招股书中的防御性披露，而是会逐渐演变为一种可被量化的核心资产，直接影响着企业的估值逻辑与投资者的信心。它证明了企业不仅拥有创造数据的能力，更具备了安全、合规地管理和运用数据的能力——而后者，正是数字经济时代企业长期价值的关键所在。

因此，监管的标尺只会不断提高，市场对“数据治理优等生”的青睐也将日益明显。成功穿越上市周期的企业，收获的将不仅是一张资本市场的入场券，更是在严苛监管下淬炼出的一份宝贵的、通往未来可持续发展的信任凭证。

脚注：

[1]2021年6月30日，滴滴在纽交所成功上市，随后国家网信办基于“防范国家数据安全风险”理由，对滴滴启动网络安全审查。最终，滴滴因违反数据法规，被处以80.26亿元的行政罚款，并在2022年12月从纽交所退市。

[2]2025年统计范围为（截至7月29日）在香港联交所成功上市的51家内地企业，主要通过检索招股书中"监管概览""风险因素"和"业务"三大板块的数据合规相关披露内容进行统计，其中49家企业进行了相关披露。调研详情请点击此处。

[3]笔者对2025年上半年赴境外上市、在中证监被问询的97家内地企业的《境外发行上市备案补充材料要求公示》进行了调研，对中证监反馈时间、企业名称、行业、反馈意见进行了整理汇总，其中出现频率最多的问题是“请你公司补充说明开发、运营的网站、APP、小程序等产品情况，收集及储存的用户信息规模、数据收集使用情况，是否涉及向第三方提供个人用户信息，上市前后个人信息保护和数据安全的安排或措施。”调研详情请点击此处。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。