大数跨境

境内企业赴港IPO|数据合规重点关注事项

境内企业赴港IPO|数据合规重点关注事项 互联网合规君
2026-05-25
1
导读:本文选取了【2025—2026年】已在香港上市及已通过聆讯的【78】家境内企业的招股书、聆讯后资料集及相关公开披露文件为样本,对当前香港IPO中的数据合规重点审查内容进行梳理与分析,以期为拟赴港上市企
点击添加互联网合规君的微信
引言



在中国网络安全、数据安全及个人信息保护相关法律法规与监管政策持续完善的背景下数据合规已逐渐成为境内企业赴港IPO过程中的重点审查事项。尤其对于主营业务高度依赖数据处理的数据驱动型企业而言,其数据处理活动是否依法、合规开展,甚至可能成为影响企业能否顺利上市的重要因素。


本文选取了【2025—2026年】已在香港市及已通过聆讯的【78】家境内企业的招股书、聆讯后资料集及相关公开披露文件为样本,对当前香港IPO中的数据合规重点审查内容进行梳理与分析,并结合典型案例,观察监管关注重点的最新变化,以期为拟赴港上市企业的数据合规准备与治理实践提供参考。


一、是否处理重要数据或核心数据



无论企业采取To B还是To C的业务模式,均需在上市公开文件中对其数据处理活动进行披露。一般企业披露的内容包括业务是否涉及数据处理、哪些业务环节涉及数据处理、处理的数据类型、数据的处理方式、数据处理的性质(企业为数据处理者还是“接受客户委托”处理数据)。如企业所在行业或服务的客户为金融、能源、交通、医疗等强监管行业或处理的数据包括交通数据、能源数据、环境数据或者大规模的个人信息,企业一般还会披露业务模式下处理的数据是否构成《数据安全法》等法规项下的“重要数据”或“核心数据”。


北京五一视界数字孪生科技股份有限公司[1]为例,该公司主要为不同规模及行业的企业提供数字孪生解决方案,在日常业务中处理的数据包括航空摄影、测绘等相关数据、能源数据、环境数据(如水、空气、噪音)以及交通数据和交通流量等。公司在正式的招股说明书中较为详细地说明了其处理的数据不构成重要数据,部分披露内容如下:


“根据我们的中国法律顾问意见,截至最后实际可行日期,与我们业务相关的地区、部门及相关行业尚未颁布任何特定的重要数据目录。经内部评估,我们确认,且我们的中国法律顾问同意,目前业务运营未涉及处理《数据安全法》第21条项下定义的任何重要数据。我们将持续关注与公司业务相关的重要数据监管动态,及时识别任何可能构成重要数据的数据类型,并履行适用法律法规要求的相关合规义务。


部分企业如三一重工[2]、博泰车联网科技[3],由于主营业务存在处理重要数据的情况,则重点说明了公司对重要数据处理的备案情况与保护措施。

二、是否触发网络安全审查


从样本企业披露实践来看,企业是否构成关键信息基础设施运营者(CIIO),已成为自动驾驶、AI、大模型、医疗数据等重点行业的数据合规披露核心问题之一。相比传统制造业企业通常仅作一般性数据合规声明,高数据敏感行业企业往往会专门论证其未被认定为 CIIO、未收到网络安全审查通知,以及相关数据未涉及重要数据或大规模个人信息处理,以降低上市过程中的监管不确定性。


在是否构成“关键信息基础设施运营者(CIIO)”以及是否需要履行网络安全审查程序方面,自动驾驶企业的相关披露尤具代表性。自动驾驶业务天然涉及交通基础设施、车联网、高精度地图、地理信息、实时感知数据、公共道路视频采集等多个数据监管高度敏感领域,相关业务场景与《网络安全法》《数据安全法》《汽车数据安全管理若干规定(试行)》及网络安全审查制度均具有较强关联性。相较于一般制造业或传统 To B 软件企业,自动驾驶企业更容易被监管关注是否涉及“重要数据”、是否可能被认定为 CIIO,以及是否触发网络安全审查程序。


从样本企业披露实践来看,企业通常会从以下几个层面论证自身不属于网络安全审查重点对象:

未被主管机关认定或通知为CIIO;

未收到网络安全审查通知或监管问询;

不涉及重要数据或大规模个人信息跨境传输;

香港上市不当然属于《网络安全审查办法》项下的“国外上市”。实践中,多数企业会引用中国网络安全审查认证和市场监管大数据中心(“CCRC”)的咨询回复对该点予以佐证。


例如,驭势科技(北京)股份有限公司[4]在招股书中即专门对网络安全审查问题进行了论证。其中国法律顾问认为,公司于往绩记录期间及截至最后可行日期“毋须进行网络安全审查”,并进一步说明理由包括:

“(i)我们未获通知被分类为关键信息基础设施运营者;

(ii)我们并无接获中国任何政府机关的任何问询或通知,亦未接获任何网络安全审查通知;及

(iii)本文件中‘国外’的定义并不包括香港,且于香港上市不属于‘国外上市’范畴,故并无明确要求于香港上市必须进行网络安全审查。”

三、数据跨境


随着《数据安全法》《个人信息保护法》以及《数据出境安全评估办法》等法律法规的陆续实施,企业是否涉及数据跨境传输、是否触发数据出境安全评估或其他申报义务,以及相关跨境安排是否符合境内外监管要求,均逐渐成为上市文件中的重要披露内容。


从样本企业的披露实践来看,不同行业、不同业务模式下的数据跨境情况存在明显差异。部分企业明确声明不存在任何跨境数据传输。部分企业虽否认存在“数据出境”,但会进一步说明境外访问、境内存储等具体安排,亦有企业因国际业务、海外研发、跨境订单履行或境外监管申报等原因,实际涉及个人信息或业务数据的跨境流动,并相应披露其合规依据与所采取的保护措施。


(一)是否涉及跨境传输

对于是否涉及跨境数据传输,样本企业普遍作出明确表态,但详略差异明显。多数企业以简短声明处理,如深圳市飞速创新技术股份有限公司[5]表述为"我们并无从事任何中国向境外的跨境数据传输",牧原食品股份有限公司[6]则表述为"我们没有任何跨境数据传输或向第三方提供任何数据"。

部分企业在否定表态的同时,对具体的数据存储或访问安排作出补充说明以支撑该结论。例如上海壁仞科技股份有限公司[7]披露:"本公司所有数据均存储于中国境内,且不涉及跨境传输,惟本公司香港办事处雇员获准在最低必要范围内访问该等数据,以供内部协作及工作用途。"


(二)数据出境安全评估申报

几乎所有企业都就《数据出境安全评估办法》的申报门槛进行分析,但多数仅呈现结论,表述形式为援引法律顾问意见说明不触发申报义务。少数企业将分析过程一并披露。

轩竹生物科技股份有限公司[8]逐条援引豁免条款并说明适用理由,包括"我们为跨国委托测试生产而转移的数据不包含任何个人信息,且未被相关政府部门列为'关键信息',因此符合豁免申报条件",以及"我们仅将不到10名个人的个人信息转移至海外,不包含任何敏感个人信息,同样符合豁免申报条件"。


(三)实际存在跨境传输

对于业务中确实存在数据跨境传输的企业,披露内容通常涵盖传输数据的类型、合规依据及所采取的措施。存在海外业务的企业同时说明从境内传输至境外以及从境外传输至境内的数据合规性。


深圳乐动机器人股份有限公司[9]同时披露了两个方向:境内员工个人信息因处理国际订单而出境,以及处理从欧盟输入中国的个人数据。后者的合规措施包括"执行符合《通用数据保护条例》的标准合同条款,进行数据出境影响评估,通过隐私政策通知欧盟个人信息主体并获得其同意"。北京智谱华章科技股份有限公司[10]则对境外平台数据回传境内的性质作出认定,说明所传输的匿名技术数据"不受中国跨境数据传输相关法律法规的规限",并列明具体判断依据。

四、海外业务数据合规性


对于在多个司法管辖区运营的企业,上市文件中通常会说明不同地区数据的存储安排,以及数据处理活动与当地法规要求是否相符。


驭势科技(北京)股份有限公司以逐项列举的方式披露了各地区数据存储安排:“于中国内地及新加坡收集的数据存储于相应司法权区的第三方云服务平台”,“于香港收集的数据存储于香港服务器及设在上海市的香港项目专用且与其他数据隔离的云服务平台”,“就于2025年1月至5月在卡塔尔进行的项目而言,车辆运行产生的数据存储于本地服务器,紧随该项目终止后已被删除”。上海挚达科技发展股份有限公司[12]则以原则性表述处理:“我们在中国境内的日常经营产生或收集的数据在位于中国的服务器进行处理和存储,而在海外产生或收集的数据则在位于海外的服务器进行处理和存储。”深圳传音控股股份有限公司[13]披露其用户数据“主要储存于我们国内外云服务提供商的设施,该等提供商来自中国内地、中国香港、美国、印度及德国”。


就海外业务数据处理的合规性,企业就主要经营地分别援引当地法律顾问意见,而不仅依赖中国法律顾问的单一意见。


卧安机器人(深圳)股份有限公司[14]的披露在这一方面最为完整,其分别就中国、日本、欧盟及美国出具的法律顾问意见逐一说明,包括:"根据日本法律顾问的意见,SwitchBot JP保有符合APPI要求的文件记录及内部政策,运营实践总体符合适用法律;根据欧盟数据合规顾问的意见,我们已实施达到《通用数据保护条例》标准的保护措施;根据美国法律顾问的意见,未发现重大不合规,目前不存在涉及消费者隐私、数据保护或泄露通报义务的待决或历史索偿、调查或执法行动。"南华期货股份有限公司亦援引了香港、新加坡、英国及美国法律顾问的意见,确认各相关司法管辖区均无发现重大违规。驭势科技则援引了香港、新加坡及卡塔尔法律顾问的意见。


海外雇用员工或与境外客户、供应商开展业务,会产生境外个人信息的处理义务,部分企业对此作出专项说明。


深圳乐动机器人股份有限公司披露:"我们在处理国际客户及供应商的订单或采购订单时,偶尔会涉及有限数量的雇员个人信息出境。为确保遵守《个人信息保护法》,我们已采取适当措施满足数据出境的主要法律规定,包括但不限于获得个人信息主体的同意及进行个人信息保护影响评估。"北京智谱华章科技股份有限公司则就其美国运营作出专项说明,披露"仅在日常业务过程中处理美国员工有限的就业相关数据",并援引美国数据法律顾问意见,说明当前监管执法行动可能性较低,同时指出不确定性来源于"美国人工智能技术监管环境的不断演变"。

五、个人信息处理合规性


涉及个人信息处理的企业,通常需要在上市文件中披露其个人信息处理活动的具体情况,包括涉及个人信息处理的业务环节、所收集及处理的个人信息类型、个人信息的收集方式及相应合法性基础(例如是否通过网站、应用程序、小程序等公开渠道收集个人信息)、数据的存储位置及存储方式(如是否涉及跨境存储、采用云服务或本地服务器存储),以及如相关数据来源于第三方,数据获取行为是否合法合规等事项。


(一)个人信息的收集范围

个人信息收集范围的披露深度,与企业是否直接面向终端个人用户高度相关。消费类企业因直接触达个人消费者,相关披露通常更为全面、细致。其中,按收集场景逐项列举,是样本企业最常见的披露方式。广州遇见小面餐饮股份有限公司以“(i)(ii)(iii)”的形式,分别就线上下单、会员注册及特许经营加盟三个场景下所收集的信息类别进行说明。不同集团则区分移动应用程序与私域平台两个渠道,分别披露各渠道收集的数据类型及相应用途。


除按业务场景划分外,部分企业还会区分主动提供与被动收集两类数据处理行为。卧安机器人(深圳)股份有限公司明确说明:“用户在联系我们的客户支持时可能会主动提供数据,惟前述设备事件及使用数据是在产品正常运行过程中被动收集,旨在实现并支持核心产品功能。”该等表述不仅区分了数据收集的触发机制,亦进一步说明了被动收集行为与核心功能实现之间的必要关联。


按数据类别进行分类列举,则以深圳传音控股股份有限公司的披露最具代表性。该公司将收集的信息细分为七大类别,并逐项列明:“(i)联系信息;(ii)设备信息;(iii)软件及应用程序使用信息;(iv)社交活动;(v)交易活动;(vi)位置信息;及(vii)互联网浏览内容。”同时,其进一步说明“仅为产品及服务开发更先进的人工智能技术而处理行为数据”,对相关数据的使用目的进行了限定。


对于存在电商业务的平台型企业,上市文件通常还会专项说明第三方平台数据的处理边界。孩子王儿童用品股份有限公司披露,“用户通过第三方电商平台进行线上购物相关的数据,将依据第三方平台的数据管治政策进行管理;当我们为履行订单或提供售后服务而访问或使用该等数据时,将依据适用法律及内部数据保护政策进行处理。”卧安机器人则针对通过亚马逊等第三方平台销售产品的场景进一步说明:“我们通常不收集消费者支付信息……通常仅在必要范围内接收与订单履行相关的信息(如收件人姓名、收货地址及电子邮箱),用于配送及售后支持。”相关披露实际上对企业与第三方平台之间的数据处理责任边界进行了区分。


(二)个人信息处理的同意机制

个人信息类型的敏感程度是影响合法性基础披露颗粒度最直接的影响因素。牧原食品股份有限公司的平台涉及位置信息、设备权限等敏感信息的访问,专门说明针对敏感信息的专项同意机制,与一般信息的勾选同意加以区分。卧安机器人因收集支付信息、设备使用行为等多类数据,且部分数据属被动收集,对同意的覆盖范围及撤回渠道作出更完整的说明。相比之下,广州广合科技主要与企业客户交易,实际上不收集个人信息,"同意"对其而言更多是数据共享层面的原则性承诺,无需详细描述获取机制。


业务模式决定了对同意获取机制说明的复杂程度。广州遇见小面餐饮同时经营直营和特许经营,消费者既可通过直营渠道下单,也可通过加盟商门店消费,数据收集的主体与渠道较为复杂,因此分场景说明各渠道的同意触发方式,并专门说明特许经营商不能自行收集顾客数据的安排。北京云迹科技的产品线覆盖B端和C端两类用户,且通过机器人、企业小程序、消费者小程序等多个渠道收集数据,渠道差异导致无法适用同一同意机制,而需逐渠道说明。而鸣鸣很忙主要通过微信小程序收集消费者下单数据,渠道单一,同意机制相对简单,相关表述较为简单。


简言之,个人信息越敏感、收集渠道越多元、业务模式越复杂,企业越需要论证其同意机制的合规性。


(三)敏感个人信息的专项披露

处理健康、生物特征、财务等高敏感类别信息的企业,通常需要就具体信息类型、用途限制、访问控制及法律依据分别作出说明,而非仅以“敏感个人信息受到特殊保护”一概而论。


明基医院集团股份有限公司[18]对不同患者群体的敏感信息分别作出说明。对手术及生理检查患者,披露收集“身高、体重、血型及医学影像等个人生理信息”。对未成年患者或无行为能力患者,专项说明收集其监护人的姓名及电话号码;对线上服务用户,则额外收集“病历、病史、过敏原及病变影像”。在保护措施上,该公司专门说明“各医院使用的系统并非互相连接”,以防止院间数据交互,并规定患者信息“仅用于向患者提供的线下诊疗服务及线上医疗服务”,明确了用途限制。


翰思艾泰生物医药科技(武汉)股份有限公司[19]披露与“有权存取患者敏感资料的雇员订立保密协议”,并规定“数据使用严格限制在与患者协定的预期目的内,并符合知情同意书的规定”。轩竹生物科技股份有限公司则对收集的敏感个人信息类型作出具体列举,包括“急性哮喘发作数据、可变气流受限检查数据、过往/现时病史、过敏史、吸烟习惯、饮酒史及支气管哮喘治疗史”等,并说明均为“去标识化数据”。


北京智谱华章科技股份有限公司专项说明“涉及敏感个人信息的查询、下载和打印需要获得批准并具有合法目的”,并将境内外用户的个人数据分别存储于不同位置,以防止敏感信息的混同处理。


手回集团有限公司(保险科技)[22]披露其收集“被保险人的健康声明(如病史中的特定疾病)”及“被保险人提交的理赔材料(包括保单信息、病历、医疗费用收据、银行账户信息等)”,并就核心保险业务系统获得信息系统安全保护第三级备案证书作出专项说明,以支撑其对敏感财务及健康信息的保护能力。


博泰车联网科技(上海)股份有限公司[23]DMS系统收集的“驾驶员面部表情、头部姿势、睁眼程度、心率数据”作出专项说明,并援引法律顾问意见,论证“该等数据仅在车辆内部收集及处理,不会传输至我们的服务器……未被视为已‘收集’该等数据或信息”,以此说明生物特征数据的处理不触发数据收集义务。



(四)数据保留期限

从整体来看,医疗、医药类企业因行业法规对数据保留期限有明确规定,披露内容相对具体。消费及平台类企业则通常将法定最低期限与最短必要原则结合援引。而多数企业仅作原则性表述,未就不同数据类型的保留期限分别说明。数据保留期限的披露详略程度,在一定程度上反映了企业对数据生命周期管理的精细化程度。


北京智谱华章科技股份有限公司的披露最为完整,说明其"仅于完成收集目的所需的最短时间内存储用户的个人信息",对于受法律强制保存期限制的信息,"自交易完成日期起至少保存三年网上交易信息(包括服务详情及支付记录)",期满后"及时删除有关个人信息或对其进行匿名化",将法定最低期限与最短必要原则结合援引,并说明了期满后的处理方式。


广州遇见小面餐饮股份有限公司[25]则专门就不同类型数据的法定期限分别说明:"产品及服务信息以及交易信息的存储期限自交易完成之日起不得少于三年,且网络安全日志的存储期限不得少于六个月"[26],并就会员注销场景说明"当注册会员要求删除其个人信息或取消其会员资格时,我们将及时删除或匿名化处理其个人信息,惟法律法规另有规定除外"。


轩竹生物科技股份有限公司则就临床试验数据的保留期限作出具体说明:"我们在项目资料库锁定后将收集的临床试验数据存储5年,并委托CRO将数据存储至产品上市后5年,这些数据将在到期时删除",将委托第三方存储的期限安排一并纳入披露。


(五)数据主体权利响应机制

直接面向个人用户的企业,部分会在上市文件中说明为用户行使权利所建立的响应流程。卧安机器人(深圳)股份有限公司说明其在隐私政策中列明数据主体享有"知情权、查阅权、更正权及删除权",并建立了专门的处理流程:"在收到用户请求后验证用户身份,将相关问题提交予内部相关部门(后台团队、产品团队、法律部门)进行评估,随后向用户提供反馈。"该公司同时说明,用户可"通过已提供的渠道撤回其同意或要求访问、更正或删除其个人数据"。深圳乐动机器人股份有限公司则将权利响应机制单独列为合规措施之一,表述为"建立用于响应个人信息主体的请求以促使该等主体便捷有效地行使其权利的机制",相较前者表述更为原则性。


轩竹生物科技股份有限公司则就临床试验数据的保留期限作出具体说明:"我们在项目资料库锁定后将收集的临床试验数据存储5年,并委托CRO将数据存储至产品上市后5年,这些数据将在到期时删除",将委托第三方存储的期限安排一并纳入披露。

六、数据安全与个人信息保护措施


从披露内容来看,多数企业已经形成较为标准化的数据合规披露框架,通常包括内部治理结构、技术防护措施、员工权限管理及外部认证等内容。但不同企业之间的披露深度差异明显。部分企业仍主要停留于“已建立制度”“已制定政策”等原则性表述。另一些企业则开始披露制度实际运行情况,例如员工入职前的数据安全测试、定期攻防演练、异常访问监测机制等。总体来说,企业的主营业务所涉数据处理链条越长、涉及数据类型越敏感的企业,在安全措施层面的披露越为细致。


(一)组织架构与人员配置

在组织层面的安排上,各企业的披露详略差异明显,但普遍涉及责任人的设置和委员会的建立两个方面。


责任人方面,部分企业依法设置了三项专职负责人。北京五一视界数字孪生科技股份有限公司[29]披露"已任命网络安全主管、数据安全主管及个人信息保护主管,负责公司的网络安全及数据保护"。深向科技股份有限公司则说明,数据安全、网络安全及个人信息保护主管"分别由研发主管、网络管理员及人力资源主管担任",呈现了兼职负责的安排模式。


委员会层面,多家企业披露设有专项委员会负责监督。安克创新科技股份有限公司披露其建立了"安全与隐私管理委员会、数据安全与隐私保护部,以及网络安全官、数据安全官、隐私保护官及个人信息保护官等专职角色"的治理架构。兆易创新科技集团股份有限公司说明"信息技术部门负责制定及实施与网络安全及数据安全相关的政策及程序"。北京极智嘉科技股份有限公司[30]则披露成立了"专门的数据安全与合规委员会,负责定期审计和持续改进数据管理实践",并说明该委员会"审查数据保护法律和安全标准的合规性,并调整协议以满足行业不断变化的要求"。


(二)技术安全措施

技术措施是各企业篇幅最长的披露内容,常见措施可归纳为以下几类,但不同企业的披露深度差异较大。


数据加密是最普遍提及的措施,几乎所有企业均有涉及,但多数停留在原则性表述。兆易创新科技集团股份有限公司[31]的披露相对具体,说明其“已部署超过十种安全系统及设备,包括防火墙、网络行为管理、杀毒软件、网络访问控制、数据防泄漏、威胁情报平台、日志管理及漏洞扫描……形成了一个从网络边界延伸到数据中心及终端用户设备的分层防御系统”。北京极智嘉科技股份有限公司则采用“下一代防火墙(NGFW)、端点侦测与回应(EDR)及电子邮件安全防护系统”,并对“所有机器人通信采取严格的加密协议”。


访问控制方面,多数企业采用基于角色的访问控制原则,以“最低必要”为授权基准。博泰车联网科技(上海)股份有限公司说明“敏感的客户数据仅对获授权雇员开放”,并对服务器机房专门说明“访问仅限于指定的基础设施及网络安全人员,其他人员必须申请访问授权”,且“密切监控这些员工的访问频率,以确保其遵守数据保护协议”。


数据备份与灾难恢复方面,各企业的披露基本一致,通常说明在多个地点存储备份副本并定期进行恢复测试。驭势科技(北京)股份有限公司的表述较为具体,说明“通过在云端、本地和远程位置为相同的信息及数据设置多个长时间维度的存储空间,为服务器建立远程灾难恢复系统”,并称“即使服务器因地震、泥石流及其他不可抗力自然灾害等最高级别灾难而受损,可保障在24小时内完全恢复服务及数据”。


渗透测试与漏洞管理方面,部分企业披露进行定期主动测试。北京极智嘉科技股份有限公司[34]“每年进行安全渗透测试,不断加强信息安全措施”,并说明“已部署先进的漏洞管理及持续监控系统”。广州广合科技股份有限公司[35]则将渗透测试作为其信息安全框架的组成部分,表述为“开展常规的网络安全渗透测试及漏洞评估,以此检验系统的防御稳固性”。


(三)数据分类分级管理

多数企业披露已建立数据分类分级制度,作为差异化保护措施的基础,但实施细节的披露程度不一。


曹操出行有限公司[36]将数据明确分为四类:"一般数据、保密数据、高度保密数据和严格保密数据",并说明各类数据的访问限制规则,例如"严格保密数据仅能由高级管理人员及处理有关数据的特定人员访问"。博泰车联网科技"根据数据的分类级别应用分级保护措施",并要求"对来自第三方的数据,对其合法性、质量及范围进行彻底评估",同时"所有数据收集过程均被记录以确保可追溯性、合法性及合规性"。双登集团股份有限公司[38]将数据分类分级纳入内部制度,制定了"数据安全管理措施"及"数据分类分级管理措施",说明其规定了"数据保密、资料审批权限、数据使用权、数据分类分级、数据安全责任等方面的管理"。


(四)员工管理措施

员工保密协议和数据安全培训是各企业披露中几乎必然出现的两项措施,但内容丰富程度差异显著。


保密协议方面,绝大多数企业仅作原则性说明。博泰车联网科技的披露相对具体,说明保密协议"规定雇员有法律义务不向任何一方(包括无法获得此类信息的同事)披露、传播或出售机密信息",并规定"在劳动关系结束或终止时,员工必须归还所有机密材料,并在此后保密",且明确"违反保密规定或不当行为导致机密信息外泄,可能导致员工受到处罚"。


培训方面,部分企业对培训频次和内容有所说明。北京智谱华章科技股份有限公司制定了"网络安全应急计划,并开展培训和安全事件演练,为紧急网络安全事件做好准备"。云英谷科技股份有限公司[41]"每年均会进行数据泄露事件的模拟演练,以测试数据保护机制,并为雇员提供各种数据安全培训(包括入职过程中提供的培训)……要求雇员在开始为我们工作前通过数据安全测试",是样本中对培训要求描述最为具体的企业之一。


(五)合规认证

引用第三方认证是企业证明合规能力的常见方式,上市文件中披露的认证主要集中于以下几类。


ISO 27001(信息安全管理体系)是最广泛被提及的认证,驭势科技、北京极智嘉、澜起科技等多家企业均披露已取得该认证。ISO 27701(隐私信息管理体系)则通常与ISO 27001同时提及,驭势科技对两项认证的内容专门作出解释说明:"ISO 27001是信息安全领域知名且广泛应用的管理体系标准,以信息资产安全及业务风险管理为核心;ISO 27701是建基于ISO 27001的数据隐私框架。"


网络安全等级保护(MLPS)三级认证在涉及大量用户数据的企业中较为普遍。孩子王儿童用品股份有限公司[42]披露"信息系统已获得中华人民共和国公安部地方分支机构颁发的信息系统安全等级保护三级认证"。北京智谱华章科技股份有限公司则说明其"核心信息系统获得安全等级保护(MLPS)三级备案证明",同时还披露持有"个人信息保护影响评估一星级标识"及"数据管理能力成熟度(DCMM)二级认证"。


汽车行业企业还披露了行业特有认证。博泰车联网科技说明其信息科技系统获得"IATF16949(汽车质量管理体系)、ISO 21434(汽车网络安全标准)、ISO/IEC 27001及ISO/IEC 27701"等多项认证,其中ISO 21434为汽车行业特有的网络安全标准。

七、历史违规情况

在所有样本企业中,这一领域的披露高度一致。几乎所有企业均就往绩记录期间的数据合规历史作出否定性声明,通常涵盖数据泄露、监管处罚、第三方索赔及相关诉讼四个维度。常见表述如琻捷电子科技(江苏)股份有限公司的"于往绩记录期间及直至最后实际可行日期,我们并无经历任何重大数据泄露或数据丢失,亦无因违反数据保护法而受到中国监管部门的任何重大罚款或行政处罚",以及剂泰科技(北京)股份有限公司[43]"至今,我们并无因违反数据隐私或网络安全法律而受到任何行政处罚、执法行动或第三方索赔"。值得注意的是,几乎所有企业的否定性声明均附有"重大"这一限定语,表述为"无重大违规"或"无重大泄露",而非绝对排除所有情形。


样本中有两家企业披露了在往绩记录期间进行过数据合规整改。


轩竹生物科技股份有限公司说明其实施了数据安全、个人信息保护等方面的整改,内容包括制定数据安全管理制度、建立数据安全管理委员会、制定数据删除政策等,并由法律顾问确认"在完成整改后,我们目前已遵守目前生效及适用的有关网络安全及数据安全及个人信息保护的中国法律"。


双登集团股份有限公司披露在数据合规顾问协助下完成整改,内容包括"增强与个人资讯处理相关的通知"、"完善网络安全、数据安全、个人资讯保护相关管理文件",以及"协助设立资料安全管理办公室、协助指派资料安全官、个人资讯保护官"。两家企业均说明,整改完成前未因数据合规问题受到任何行政处罚或法律纠纷。

八、垂直行业数据合规

从样本企业的披露来看,涉及垂直行业监管规定的数据合规披露,主要集中于生物医药、汽车与自动驾驶、金融三个行业,各行业面临的专项合规义务差异显著。


GCP合规是生物医药类企业最普遍的专项披露内容。翰思艾泰生物医药科技(武汉)股份有限公司披露"进行药物临床试验须严格遵守中国《药物临床试验质量管理规范》(GCP)指引的规定",并说明已按GCP标准建立临床试验质量管理体系,"合同规定所有各方须遵守GCP规定,保护试验中所涉及受试者的隐私、避免将试验数据用于其他目的及根据GCP标准维护试验数据"。


人类遗传资源管理方面,披露的详略程度差异较大。江苏恒瑞医药股份有限公司的披露最为完整,专项说明"就涉及人类遗传资源的项目(如临床试验或真实世界数据项目)而言,必须获得主管部门的批准或必须满足适用的备案要求",并在其数据政策框架中将人类遗传资源的出口备案列为专项合规义务,表述为"根据适用的法律法规向主管政府部门进行个人数据(包括人类遗传资源)出口或转移的适用备案"。值得注意的是,部分医药企业对于向FDA等境外监管机构递交监管申请时涉及的数据合规问题有所预判。福建海西新药创制股份有限公司在当前无跨境传输的情况下,专项披露"倘日后因向FDA提交新IND而需进行跨境数据传输,我们计划聘请专业顾问进行传输前合规评估,并实施必要的数据处理协议"。


汽车及自动驾驶类企业因业务涉及地理信息数据的收集与处理,通常需要专项说明与《测绘法》相关的合规安排。北京五一视界数字孪生科技股份有限公司披露"于往绩记录期间及直至最后实际可行日期,我们并无从事测绘活动,亦无参与在《中华人民共和国测绘法》范围内的测绘数据处理工作",并说明其从具有测绘资格的供应商获取数据,且"该等供应商仅在数据经过转移或去识别化且不再被视为测绘数据后,方会将数据提供给我们"。对于高精度地图及卫星影像等地理资料,说明"所有存取仅限在客户环境内进行,而我们不会下载、汇出或储存该等数据"。希迪智驾科技股份有限公司则"与一家具有测绘资质的服务提供商合作,由其为地理空间数据的传输、存储、使用及其他处理活动提供解决方案,以满足我们的业务需求,并确保遵守相关法律法规"。


金融类企业通常需要同时说明行业专项监管要求的遵守情况与信息安全等级保护备案情况。手回集团有限公司(保险科技)披露其"核心保险业务系统已获得信息系统安全保护第三级备案证书",并专项说明成立了"个人信息合规审计委员会,负责对公司的个人信息合规情况进行内部审计",同时制定了"网络安全管理制度"、"数据安全事件应急预案"、"个人信息保护管理制度"等行业针对性制度。南华期货股份有限公司则专项披露了对境外金融服务业务的合规安排,包括遵守格雷姆-里奇-比利雷法(GLBA)及美国商品期货交易委员会法规第160部等金融行业专项数据法规。

结语

从上述披露实践来看,港股IPO中的数据合规审查,已深入至企业具体的数据处理活动本身。监管机构不仅关注企业是否制定数据合规制度,更会结合企业的业务模式、数据处理场景、数据流转路径以及历史运营情况,进一步审查企业在个人信息保护、数据跨境传输、网络安全、第三方合作、算法与产品运营等方面,是否实际履行了相应的数据合规义务,是否实质性符合相关法律法规的要求。


对拟赴港上市的境内企业而言,数据合规准备亦需要尽可能前置。上市文件中的相关披露,本质上是对企业往绩记录期内数据治理与合规状态的回溯性呈现。企业是否已建立并实际运行相应的数据管理机制、是否能够持续识别与处置数据风险,往往都会在上市审核及信息披露过程中得到体现。


脚注:

[1]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1218/2025121800030_c.pdf

[2]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1020/2025102000018_c.pdf

[3]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0922/2025092200012_c.pdf

[4]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0512/2026051200148_c.pdf

[5]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0313/2026031300016_c.pdf

[6]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0129/2026012900024_c.pdf

[7]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1222/2025122200020_c.pdf

[8]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1006/2025100600008_c.pdf

[9]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0430/2026043000100_c.pdf

[10]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1230/2025123000018_c.pdf

[12]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0930/2025093000034_c.pdf

[13]https://www1.hkexnews.hk/app/sehk/2025/107922/documents/sehk25120202498_c.pdf

[14]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1218/2025121800168_c.pdf

[18]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1212/2025121200058_c.pdf

[19]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1215/2025121500028_c.pdf

[22]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0930/2025093000034_c.pdf

[23]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0922/2025092200012_c.pdf

[25]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1127/2025112700010_c.pdf

[26]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1218/2025121800030_c.pdf

[29]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1218/2025121800030_c.pdf

[30]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0630/2025063000026_c.pdf

[31]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/1231/2025123100036_c.pdf

[34]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0630/2025063000026_c.pdf

[35]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0312/2026031200004_c.pdf

[36]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0617/2025061700009_c.pdf

[38]https://www1.hkexnews.hk/listedco/listconews/sehk/2025/0818/2025081800012_c.pdf

[41]https://www1.hkexnews.hk/listedco/listconews/sehk/2026/0518/2026051800022_c.pdf

[42]https://www1.hkexnews.hk/app/sehk/2025/107951/documents/sehk25121100119.pdf

[43]https://www1.hkexnews.hk/app/sehk/2026/108330/documents/sehk26041900019_c.pdf

图片

-END-


图片


本文仅代表作者个人观点。本文谨作学习交流之用,非任何商业性目的。如有侵权,敬请联系编者。所有事实描述、精确数字等素材均来自公开信息,包括但不限于招股书、网络新闻、法律法规等。任何仅依照本文的全部或部分内容而做出的行为或不行为而造成任何后果的,皆由行为人自行负担。若需要专业法律意见或其他专家建议的,应当向具有相关资质的专业人士寻求咨询或帮助。

【声明】内容源于网络
0
0
互联网合规君
内容 726
粉丝 0
互联网合规君
总阅读300
粉丝0
内容726