作者丨刘平 刘浩
前言
在上一篇文章《2023年境内IPO数据合规年度观察》中,我们对2023年度境内IPO数据合规情况进行了回顾和总结,主要内容包括:境内IPO数据合规事项的信息披露要求、2023年度境内IPO数据合规概况(包括2023年度受到交易所数据合规方面问询的申请上市企业的数量、在各上市板块的分布、所在行业分布等方面的数据)、2023年度境内IPO交易所在数据合规方面的问询要点及我们的合规建议等。
在这一篇文章中,我们将对2023年度港股IPO数据合规情况进行回顾和总结,主要内容包括:港股IPO数据合规事项的信息披露要求、2023年度港股IPO数据合规概况(包括披露数据合规情况的企业数量、所在行业分布、披露要点等方面的数据)、2023年港股IPO数据合规事项的问询关注要点和招股书披露要点及应对思路等。
一、港股IPO数据合规事项的信息披露要求
(一)中国证监会对境外上市数据合规事项的要求
中国证监会2023年2月17日公布的《境内企业境外发行证券和上市管理试行办法》(中国证监会公告[2023]43号)第9条规定,“境内企业境外发行上市活动,应当严格遵守外商投资、网络安全、数据安全等国家安全法律、行政法规和有关规定,切实履行维护国家安全的义务……”
第13条规定,“境外发行上市的境内企业,应当依照本办法向中国证监会备案,报送备案报告、法律意见书等有关材料,真实、准确、完整地说明股东信息等情况”。
第19条规定,“备案材料完备、符合规定的,中国证监会自收到备案材料之日起20个工作日内办结备案,并通过网站公示备案信息。备案材料不完备或者不符合规定的,中国证监会在收到备案材料后5个工作日内告知发行人需要补充的材料。发行人应当在30个工作日内补充材料……”
根据上述规定,中国证监会在办理境外上市备案的过程中,通过要求出具补充材料的形式,要求拟境外上市企业及其中介机构就某些关注事项作出补充说明。
根据中国证监会在其官网公布的《境外发行上市备案补充材料要求公示》,在要求作出补充说明的关注事项中,与网络安全、数据合规、个人信息保护相关的问题是中国证监会重点关注的问题类型之一。因此,拟境外上市企业应在向中国证监会提交的备案报告、法律意见书等备案材料中对企业业务经营涉及的数据合规问题进行充分说明。
(二)香港联交所对数据合规事项的披露要求
根据联交所于2023年12月发布的《新上市申请人指南》(以下简称“《指南》”)第3章“上市文件的披露”,上市文件常见章节包括:概要、风险因素、行业概览、适用法例及法规、历史及发展、业务、与控股股东的关系、持续关连交易、董事监事及高级管理层、财务资料、集资所得款项用途、发售、其他事项等。其中,涉及数据合规事项的内容通常在“概要”章节、“风险因素”章节、“适用法例及法规”章节、“业务”章节这4个章节进行披露,具体如下:
1. “概要”章节
根据《指南》第3.2节第1条,“概要”章节应提供申请人资料的精确概览,以及上市文件其他章节披露的重要事项的摘要。
根据《指南》第3.2节第2条,联交所建议在“概要”章节披露的资料中,可能涉及数据合规事项的资料包括:
(1)在“概要 - 近期发展”部分,建议披露“申请人直至最后实际可行日期的业务及其行业、市场或监管环境的最新情况”等资料;
(2)在“概要 - 其他资料”部分,建议披露“重大不合规及诉讼事件及其他重大事件”“对申请人的重大风险”“上市后对申请人及投资者有重大影响的法律及法规摘要”等资料。
根据上述规定,并结合2023年度赴港上市企业在招股书中披露的相关内容,我们理解,拟赴港上市企业需要在“概要”章节披露的涉及数据合规事项的内容通常包括:
(1)近期网络安全、数据安全、个人信息保护相关立法趋势和监管趋势的简要概述;
(2)相关企业的网络安全、数据安全、个人信息保护合规情况的简要概述。
2. “风险因素”章节
根据《指南》第3.3节,“风险因素”章节应详述投资申请人及其证券时所牵涉的所有重大风险,及为何有关风险是重大风险;具体而言,该章节应披露“申请人难以充分减轻及一旦出现会对申请人造成重大影响之风险”。
根据上述规定,并结合2023年度赴港上市企业招股书中相关内容,我们理解,拟赴港上市企业需要在“风险因素”章节披露的涉及数据合规事项的内容通常包括:
(1)网络安全、数据安全、个人信息保护相关法律法规和监管活动的主要内容;
(2)该等法律法规和监管活动与其业务之间的关系和对其业务产生的影响;
(3)该等法律法规和监管活动是否可能对其造成重大风险,该等重大风险具体包括哪些。
3. “适用法例及法规”章节
根据《指南》第3.5节第1条,“适用法例及法规”章节应描述对申请人现时及/或未来业务有重大影响的规则及规定。
此外,根据《指南》第3.5节第4、5、6条,由于数据合规领域的监管环境不断变化,申请人在面对相关法律法规不断完善或草拟的情况时,可能会因而没有把握如何能证明其公司合规;就该情况而言,联交所一般认为申请人在上市文件中披露有关风险便已足够,而不会预期申请人的法律顾问所提供的法律意见须涵盖申请人是否遵守尚未实施的法律法规;但若有关草拟法律法规明确地将于不久将来正式颁布,申请人应证明于最后实际可行日期时其能够符合该草拟法律法规颁布时的规定。
根据上述规定,并结合2023年赴港上市企业招股书中相关内容,我们理解,拟赴港上市企业通常需要在“适用法例及法规”章节就其运营中需遵守的主要网络安全、数据安全、个人信息保护相关法律法规进行披露。
4. “业务”章节
根据《指南》第3.7节第1条,“业务”章节应说明申请人业务营运的重要组成部分。
根据《指南》第3.7节第2条,“业务”章节披露的涉及数据合规事项的资料通常包括:
(1)若申请人的业务涉及提供互联网信息服务,则需提供监管架构详情;
(2)在业务运作过程中获得的个人资料以及资料保护政策(例如所涉及的个人资料类型、有关资料收集、储存、处理、使用、转移、披露、保留及销毁的措施);
(3)所有相关司法辖区的个人资料及隐私权保护的法律法规的合规情况(包括任何重大资料泄漏事件)。
根据上述规定,并结合2023年度赴港上市企业招股书中相关内容,我们理解,拟赴港上市企业需要在“业务”章节披露的涉及数据合规事项的内容通常包括:
(1)相关企业的数据处理活动,包括数据收集、存储、使用、加工、传输、提供、公开、删除等数据全生命周期的介绍;
(2)基于业务模式和业务运营情况,相关企业在运营过程中所采取的网络安全、数据安全、个人信息保护相关内控措施;
(3)上述数据处理活动及内控措施是否符合网络安全、数据安全、个人信息保护相关法律法规的合规要求。
二、2023年度港股IPO数据合规概况
根据披露易网站公布的《新上市报告》(2023),截至2023年12月29日,2023年度成功赴港上市企业共有73家,其中披露数据合规情况的企业概况如下:
(一)披露数据合规情况的企业数量
在上述73家企业中,有63家企业(占比约86%)在招股书中披露了数据合规相关情况,仅有10家企业(占比约14%)未对数据合规情况进行披露。如以下图表所示:
点击可查看大图
从以上图表可以看出,绝大部分2023年度赴港上市的企业均在招股书中对其业务涉及的数据合规情况进行了披露;在仅有的10家未对数据合规情况作出披露的企业中,大多属于业务经营基本不涉及网络安全、数据合规、个人信息保护事项的行业,如:建筑行业、地产行业、农业、纺织及服饰行业、黄金及贵金属行业等。
由此可见,联交所在港股IPO中对数据合规问题的关注范围日趋广泛,业务经营中涉及网络安全、数据合规、个人信息保护事项的拟赴港上市企业,应提前在日常业务运营中规范数据合规问题,并在招股书中对数据合规问题进行充分披露。
(二)披露数据合规情况的企业所在行业分布
在上述63家披露数据合规情况的企业中,药品及生物科技行业有9家,软件服务行业有8家,工业工程行业有7家、食物饮品行业有7家,媒体及娱乐行业有5家、工用运输行业有5家,其他行业合计22家。具体如以下图表所示:
点击可查看大图
从以上图表可以看出,相较于其他行业,药品及生物科技、软件服务、工业工程、食物饮品、媒体及娱乐、工用运输等行业在数据合规方面更受到联交所的关注,这些行业的拟赴港上市企业更应对数据合规问题充分重视。
(三)数据合规事项的披露要点
我们对上述63家披露数据合规情况的企业的招股书进行了梳理,总结了2023年度成功赴港上市企业在招股书中重点披露的数据合规事项,具体如下:
点击可查看大图
在招股书中重点披露的上述数据合规事项中,网络安全审查、数据出境安全评估是赴港上市企业在招股书中需重点披露和论证的问题,这两个问题也是港股IPO和境内IPO在数据合规方面披露要点的重要区别;其他的数据合规事项(如:数据全生命周期的合规性、数据合规制度建设、数据合规相关违规事件等),在港股IPO和境内IPO中均属于需要重点披露的事项。
三、2023年港股IPO数据合规事项的问询关注要点、招股书披露要点及应对思路
由于联交所的问询都是以非公开的方式进行,联交所问询的结果最后会体现在招股书所披露的内容中,因此,招股书中重点披露的数据合规事项,从侧面反映了联交所在问询中对数据合规相关事项的关注要点。
根据2023年度赴港上市的63家企业的招股书中披露的数据合规相关内容,我们总结了赴港上市企业涉及数据合规事项的6大类披露要点(包括:网络安全审查、数据出境安全评估、数据全生命周期的合规性、数据合规制度建设、数据合规相关违规事件、数据合规相关立法对公司业务的影响),并提出相关应对思路。具体如下:
(一)网络安全审查
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有50家企业(占比约79%)对其是否应当进行网络安全审查进行了披露,披露的主要内容是企业是否应当根据《网络安全审查办法》(2021)进行网络安全审查,以及国家网信办于2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》中关于网络安全审查的内容对企业的潜在影响。
1. 根据《网络安全审查办法》应当进行网络安全审查的情形及应对思路
根据《网络安全审查办法》(2021),我们总结了应当进行网络安全审查的四种情形,包括应自主申报的三种情形,以及主管部门依职权审查的情形:
(1)应自主申报的情形一:关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的;
(2)应自主申报的情形二:网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;
(3)应自主申报的情形三:掌握超过100万用户个人信息的网络平台运营者赴国外上市;
(4)主管部门依职权审查的情形:网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动。
根据相关规定,并结合2023年赴港上市企业招股书中披露的相关内容,我们总结相关企业可参考以下应对思路论证其是否需要根据《网络安全审查办法》(2021)的规定申报网络安全审查:
(1)针对应自主申报的情形一(关键信息基础设施运营者采购网络产品和服务,影响或者可能影响国家安全的),我们建议相关企业在招股书中论证企业是否属于“关键信息基础设施运营者”,如属于“关键信息基础设施运营者”,则需进一步论证企业采购网络产品和服务是否影响或者可能影响国家安全。
(2)针对应自主申报的情形二(网络平台运营者开展数据处理活动,影响或者可能影响国家安全的),我们建议相关企业在招股书中论证企业是否属于“网络平台运营者”,如属于“网络平台运营者”,则需进一步论证其开展数据处理活动是否影响或者可能影响国家安全。
(3)针对应自主申报的情形三(掌握超过100万用户个人信息的网络平台运营者赴国外上市),我们建议相关企业应在招股书中论证“赴国外上市”不适用于“赴香港上市”。
(4)针对主管部门依职权审查的情形(网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动),我们建议相关企业在招股书中说明网络安全审查办公室是否向企业发出网络安全审查通知,或对企业的香港上市计划提出反对意见或不同意见。
2. 《网络数据安全管理条例(征求意见稿)》中与网络安全审查相关内容的潜在影响及应对思路
国家网信办于2021年11月14日公布的《网络数据安全管理条例(征求意见稿)》第13条规定,“数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查:
(1)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的;
(2)处理100万人以上个人信息的数据处理者赴国外上市的;
(3)数据处理者赴香港上市,影响或者可能影响国家安全的;
(4)其他影响或者可能影响国家安全的数据处理活动。”
《网络数据安全管理条例(征求意见稿)》(2021年11月14日)目前尚未颁布,我们理解,如该征求意见稿的上述内容最终正式颁布,对香港上市中的网络安全审查的影响主要体现在:“数据处理者赴香港上市,影响或者可能影响国家安全的”,应当按照国家有关规定,申报网络安全审查;其中的关键在于如何判断是否“影响或者可能影响国家安全”。
针对上述内容,我们建议相关企业在招股书中可从以下几个方面进行论证:
(1)《网络数据安全管理条例(征求意见稿)》目前尚未正式颁布,其何时会正式颁布存在不确定性;在正式颁布前,其中关于网络安全审查的内容可能出现变动或调整。
(2)可进一步论证即使在《网络数据安全管理条例(征求意见稿)》第13条第(3)款的现有内容将来正式颁布的情况下,企业赴香港上市是否需要根据该条款申报网络安全审查。这里的关键是论证企业赴香港上市是否“影响或者可能影响国家安全”。
(3)此外,根据多家已在香港上市企业在招股书中的披露,多家企业就此问题实名或匿名咨询了中国网络安全审查技术与认证中心(以下简称“网安中心”,网安中心在网络安全审查办公室的指导下,承担接收申报材料、对申报材料进行形式审查等任务),网安中心回复由于《网络数据安全管理条例(征求意见稿)》目前尚未正式颁布,企业无需根据该征求意见稿的内容主动申报网络安全审查。
关于香港上市中的网络安全审查相关问题,可参考我们在《网络安全审查系列文章(二):香港上市中的网络安全审查》一文中的详细论述。
(二)数据出境安全评估
我国目前的数据出境监管体系主要对个人信息和重要数据的出境进行规制。其中,个人信息出境的合规路径主要有3种:(1)向国家网信办申报数据出境安全评估;(2)与境外接收方订立标准合同;(3)经专业机构进行个人信息保护认证。重要数据出境的合规路径主要是向国家网信办申报数据出境安全评估。
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有23家企业(占比约37%)就其是否符合应当申报数据出境安全评估的情形、是否应当申报数据出境安全评估进行披露。
1. 根据《数据出境安全评估办法》应当申报数据出境安全评估的情形及应对思路
根据《数据出境安全评估办法》(国家网信办令第11号)第4条,数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:
(1)情形一:数据处理者向境外提供重要数据;
(2)情形二:关键信息基础设施运营者向境外提供个人信息;
(3)情形三:处理100万人以上个人信息的数据处理者向境外提供个人信息;
(4)情形四:自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;
(5)情形五:国家网信部门规定的其他需要申报数据出境安全评估的情形。
针对上述应当申报数据出境安全评估的情形,拟赴港上市企业通常需要在招股书中对于企业是否符合应当申报数据出境安全评估的情形、是否应当申报数据出境安全评估进行论证。
根据相关规定,并结合2023年赴港上市企业招股书中披露的相关内容,我们总结相关企业可根据以下应对思路论证其无需根据《数据出境安全评估办法》(国家网信办令第11号)的规定申报数据出境安全评估:
(1)针对情形一(数据处理者向境外提供重要数据):
相关行业、领域的重要数据目录仍在制定过程中,重要数据的识别仍待有关部门的告知或者公开发布;
在重要数据目录发布之前,企业已根据相关规定建立了自身的数据分类及分级标准以界定重要数据,且认为其业务不涉及重要数据。
(2)针对情形二(关键信息基础设施运营者向境外提供个人信息):
企业尚未收到被有关部门认定为关键信息基础设施运营者的任何通知;
根据相关规定,结合相关企业的业务性质、处理的数据或个人信息的类型、数量等因素,经过评估和分析,企业认为其不构成关键信息基础设施运营者。
(3)针对其他情形:
企业的业务并未涉及个人信息或重要数据出境(例如:所使用的信息系统均部署于中国境内的服务器上、并未就储存在中国境内的个人信息向任何中国境外的用户提供远程访问);
企业已开展数据出境风险自评估,评估结果认为业务营运不涉及处理及共享重要数据或大量个人信息;此外,部分企业还披露了有关主管部门(例如省级网信部门)对上述数据出境风险自评估结果的确认意见。
2. 《规范和促进数据跨境流动规定(征求意见稿)》的潜在影响
国家网信办于2023年9月28日公布的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称“《数据跨境征求意见稿》”)规定了可以豁免申报数据出境安全评估义务的特定情形,包括:
点击可查看大图
《数据跨境征求意见稿》目前尚未正式颁布,我们理解,如该征求意见稿的上述内容最终正式颁布,将会进一步明确需要申报数据出境安全评估的范围,简化部分情形下数据出境的合规程序,有利于促进数据的跨境自由流动。
(三)数据全生命周期的合规性
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有34家企业(占比约54%)就其业务经营中涉及的数据全生命周期(包括数据收集、存储、使用、加工、传输、提供、公开、删除等)的合规性情况进行了披露。
赴港上市企业就该部分的披露要点及应对思路与境内上市企业基本一致,具体可参考我们在《2023年境内IPO数据合规年度观察》一文中论述的相关内容。
(四)数据合规制度建设
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有47家企业(占比约75%)就其数据合规制度建设情况进行了披露,披露的内容包括但不限于:建立数据合规管理制度,建立数据分类分级保护制度,确定个人信息处理的操作权限,采取加密、去标识化、备份等网络及数据安全技术措施,建立数据及个人信息出境管理制度,业务合作数据管理制度等。
赴港上市企业就该部分的披露要点及应对思路与境内上市企业基本一致,具体可参考我们在《2023年境内IPO数据合规年度观察》一文中论述的相关内容。
(五)数据合规相关违规事件
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有45家企业(占比约71%)就其业务经营中是否存在数据合规相关违规事件、对该等违规事件的处理情况进行披露。披露要点一般包括:
(1)是否在网络安全、数据安全、个人信息保护方面受到任何主管部门作出的行政处罚、强制整改或其他制裁;
(2)是否在网络安全、数据安全、个人信息保护方面受到任何主管部门的调查、询问、检查、警告、面谈或类似通知;
(3)是否发生数据或个人信息泄露、重大网络安全、数据安全、个人信息保护事件或第三方侵权的情况;
(4)是否存在任何未决或向企业发出的或与企业有关的法律诉讼、行政或政府程序;
(5)个别企业还披露其取得有关地方政府主管部门就该企业未曾因违反与数据安全有关的法律法规而受到处罚的书面确认。
此外,若曾出现数据合规相关违规事件,则通常需要进一步披露:
(1)数据合规相关违规事件的背景情况及相关企业的违规行为;
(2)监管机构针对违规行为的约谈、调查等监管措施;
(3)相关企业针对违规行为的具体整改措施;
(4)整改后,监管机构的后续反应(例如:未收到有关监管机构就采取任何后续行政行动或对企业整改的意见发出的任何正式通知,企业亦未因此受到任何处罚)。
(六)数据合规相关立法对公司业务的影响及风险
经梳理2023年赴港上市企业招股书中相关内容,在63家披露数据合规情况的企业中,共有51家企业(占比约81%)就其业务经营涉及的网络安全、数据合规、个人信息保护方面的法律法规及其对公司业务的影响及相关风险进行了介绍和披露。
结语
总体而言,绝大部分2023年度赴港上市的企业均在招股书中对其业务经营涉及的数据合规情况进行了披露,并且披露内容详细、披露要点集中,这也侧面反映了联交所对于数据合规事项的关注程度和关注要点。因此,拟赴港上市企业有必要了解港股IPO中数据合规事项的关注和披露要点,并参考本文提供的应对思路,提前在企业运营管理中落实各项数据合规要求,并对招股书中需披露的数据合规事项予以有效应对,为企业成功赴港上市在数据合规方面做好充分准备。
作者简介
刘平 律师
深圳办公室
非权益合伙人
业务领域:中国内地资本市场,网络安全和数据保护,反垄断和竞争法
刘浩 律师
深圳办公室 资本市场部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。