2022-2023年度IPO数据合规观察概览
在全球化和数字化的背景下,拟上市企业要应对数据安全、数据隐私、数据质量、数据治理等数据合规相关挑战和风险。如果企业在上市中忽视或违反数据合规规则,可能会遭受法律、监管、市场或社会的打击,甚至影响上市的命运。
作者丨蔡鹏 肖莆羚令 苏阳阳
发展数字经济的关键是激发企业实体的活力,而IPO无疑是当下最重要的为企业“输血”的方式之一。同时,证券监管部门也在探索如何平衡有效监管和促进发展的关系。在2022年,我们也注意到,境内A股、港股和美股三个市场均就数据监管呈现出了新的动向和趋势,企业上市数据合规也面临着更高的合规标准和更严的监管要求。
面对这样的趋势,准备IPO的企业应该如何有效应对?本文通过对2022年三个主要证券市场的IPO数据合规观察和分析,从实务应对角度,总结了数据合规相关问题的要点和高频风险,并提出一些应对建议,旨在为IPO企业提供参考和启示。
一、境内IPO数据合规观察
(一)数据分析
截至2022年12月31日,本年度公开可查的涉数据合规风险披露及数据合规相关问询的企业总量为57家,各上市板块涉数据合规的企业数量数据统计如下:
点击可查看大图
上述57家发行人覆盖多个行业。其中软件、人工智能、医药、电子商务等行业与数据安全、个人信息保护等问题关联度较高,故主动进行数据合规风险披露或受到发审委问询的比例较高。
点击可查看大图
(二)监管趋势
通过梳理上述57家发行人的数据合规风险披露及数据合规问询内容,我们梳理2022年度境内IPO数据合规的五大监管趋势总结如下:
1. 重者恒重,问询“颗粒度”更细
作为IPO数据合规类的基础性和普遍性问题,从收集到销毁的数据处理全生命周期合规与企业数据内控管理合规,仍为2022年度IPO数据合规问询的重点。与此前问询相比,2022年度对于上述问询的“颗粒度”更加细化,会聚焦具体业务环节的数据合规风险、可能的违规情形、数据合规管理的有效性等问题,对于发行人回复的全面性和严谨性也提出了更高要求。
2. 网络安全审查风险受到特别关注
随着《网络安全审查办法》的生效,网络安全审查风险受到发审委的重点关注。与港股、美股IPO有所区别,境内IPO重点并不关注赴境外上市的网络安全审查风险,而是关注“ 关键信息基础设施运营者(CIIO)运营者采购网络产品和服务”相关的网络安全审查风险。通常对于CIIO认定、是否需要主动申报网络安全审查、是否需要配合申报网络安全审查、采购政策变化对于网络安全审查风险的影响等问题进行细化问询。
3. 算法合规与科技伦理问题成为新的问询重点
对于涉算法应用的企业而言,随着《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理办法(征求意见稿)》等人工智能产业监管规定的出台,除基础性的数据合规问询外,算法合规及科技伦理问题成为了新的问询重点,相关企业需要结合法律规定、行业监管政策、企业实际等维度进行细化回复。
4. 数据交易与数据权属分析类问询逐步增加
与前述基础问询相比,数据交易与数据权属的问题则需要更为全面的分析和有效反馈。此类询问的出现和增加,体现了发审委对于数据合规中较为深层次的问题作了更进一步的关注。随着中共中央国务院《关于构建数据基础制度更好发挥数据要素作用的意见》的出台,监管层面对于数据交易与数据权属问题的规则会愈发清晰,亦会为发行人回复上述问询提供更多的参考。
5. 违规APP及数据安全负面事件受到更高关注
除了APP的监管逐渐常态化,企业被约谈、行政处罚等监管手段正在逐渐规范。发审委在2022年重点对于此前受过通报、处罚的APP进行问询。我们理解,后续待其他数据合规监管行为逐步深入后,发审委对外部数据合规风险的关注范围会有所扩大。此外,若发行人涉及数据安全等负面舆论的,可能有较高的概率会被发审委问询,需要在有所预期的基础上,予以有效应对。
二、港股IPO数据合规观察
(一)数据分析
2022年为港股IPO的“小年”,无论是新股数量还是募资额均较之往年有所下滑。地缘政治、全球经济通胀等因素都拖慢了企业赴港上市的进程。我们对成功上市以及正在申请的企业进行了梳理,发现其中已上市的企业以软件行业最多,物业、医药和营销行业次之。
点击可查看大图
我们对这些企业的上市材料做了重点梳理,同时结合现仍在审核期的企业情况,总结了以下观察:
点击可查看大图
(二)监管趋势
1. 网络安全审查风险不可忽视
赴港上市并非触发网络安全审查的充分要求,但这并不意味着赴港IPO企业就自动归属于安全区。约有三分之一的涉数据合规事宜企业在申请过程中对其是否应当完成网络安全审查进行了披露。而在暂缺乏明确判定指引的情况下,征询网信办咨询窗口以及中国网络安全审查技术与认证中心(网信部授权负责接收网络安全审查申请的机构)逐渐变成赴港IPO企业的标配动作,中国网络安全审查技术与认证中心的回复意见也往往成为港股IPO中律师发表意见的基础。
此外,2021年公布的《网络数据安全管理条例(征求意见稿)》对赴港上市的企业也造成了很大影响。根据该条例,数据处理者赴香港上市影响或者可能影响国家安全的,需要完成网络安全审查。虽然该条规定也加了一个“宏大”的前提——影响或可能影响国家安全,但其将“赴港上市”作为单独的一种情形罗列,无疑对赴港IPO企业一定程度上也起到了“敲山震虎”的作用。虽然该条例仅为征求意见稿,但在实践中,绝大部分的企业在披露网络安全审查问题时也会引用该规定,并作出风险预测或说明。
2. 数据出境需重视
个人信息出境为近年数据合规的热点问题。与网络安全审查所限定的“国外上市”不同,向香港、澳门和台湾地区传输数据亦属于跨境传输。根据我们的统计,上市企业对数据跨境的应对大致分为两类:一类是认为自己不属于《数据出境安全评估办法》的约束对象;另一类表示已完成整改,不再属于《数据出境安全评估办法》的约束对象,因此也无需再进行数据出境安全评估。
随着《数据出境安全评估办法》《个人信息保护认证实施规则》《个人信息出境标准合同规定》等规则的相继出台,个人信息出境三条路径正式落地,可以预见此后数据出境合规在IPO项目中的重要程度将有所上升。
3. 应对网信办与证监会的配合监管
在上市数据合规监管方面,证监会是除网信办以外不可忽视的重要监管机构。《境内企业境外发行证券和上市管理试行办法》的生效将证监会的监督权力进一步扩大至所有上市项目,无论境内境外。港股IPO与美股IPO都应仔细研究上市备案的要求,做好充分的材料准备和时间规划,同时在上市发行过程中做好档案管理、数据保密工作。
三、美股IPO数据合规观察
(一)合规披露要点
2022年中美政治局面对美股IPO市场也产生了一定影响。鉴于美股IPO数据合规数据披露样本较少,我们对在2022年度赴美上市企业和2022年以前赴美上市企业在2022年更新的涉数据合规的招股书、年报情况进行了统计。赴美上市企业主要披露了以下数据合规风险因素:
网络安全审查相关风险;
《网络数据安全管理条例(征求意见稿)》实施影响风险;
网络安全、数据安全与个人信息保护相关风险;
数据跨境、个人信息跨境相关风险;
其他风险:包括网信办在内的中国监管机构监管不确定性风险、算法应用风险、人类遗传资源数据监管风险等。
(二)监管趋势
1. 拟上市企业的网络安全审查风险披露要点
网络安全审查风险是赴美上市企业最重要的风险披露项之一。从招股书披露情况来看,自2022年2月15日《网络安全审查办法》正式实施至2022年12月31日,部分拟上市企业作为掌握超过100万用户个人信息的网络平台运营者,已经就IPO申请并完成了网络安全审查。除此之外,其他拟赴美上市企业披露的招股书均需论证自身并不涉及网络安全审查,并披露其运营活动可能受制于网络安全相关法律法规的变化带来的不确定性。因此,对于拟赴美上市的企业来说,网络安全审查风险仍是企业的重点风险披露项。是否真正触发网络安全审查,企业需要在上市前进行谨慎和周全的法律评估,并预留一定的时间完成有关审查流程。
2. 网络安全、数据安全与个人信息保护风险披露要点
从已上市企业披露的内容来看,技术和信息系统的可靠性和安全性、网络安全事件相关风险、公司业务中收集和处理用户数据的合规性、数据跨境传输的情况均为美股上市企业的风险披露要点。但在风险披露的“颗粒度”方面,与境内上市及港股上市的披露相比,“颗粒度”更粗。美国SEC于2018年发布的《关于上市公司网络安全信息披露的声明和指导意见》中,对于拟上市企业的网络安全风险披露提供了指导,企业可参照实际,选择性对如下风险因素进行披露:
以前发生的网络安全事件,包括其严重程度和频率;
网络安全事件发生的概率和潜在规模;
为减少网络安全风险而采取的预防行动的充分性和相关费用,包括酌情讨论公司预防或减轻某些网络安全风险的能力局限性;
公司业务和运营活动中引起重大网络安全风险的方面,以及此类风险的潜在成本和后果;
潜在的声誉损害;
可能对公司在网络安全方面(以及公司的相关成本)产生影响的现有(或待定)法律法规;以及
与网络安全事件有关的诉讼、监管调查和补救费用。
四、拟上市企业数据合规建议
在上述分析梳理的基础上,对于拟上市企业,无论其选择上市地为何,都面临着类似但又有所侧重的数据合规问题。这些问题不仅关乎企业能否成功上市,也是企业健康、长久运营的前提。我们总结如下经验,供拟上市企业参考:
1. 针对不同行业进行准备
对于不同行业的拟上市主体,在全面梳理一般数据合规义务的前提下,还应当重点关注行业监管特色。在立法方面,目前各行业数据合规立法正在逐步开展中,一些虽未生效的行业数据合规监管征求意见稿亦值得关注;在执法方面,一方面应当对监管部门的重点执法案例予以关注,另一方面还应当关注执法行动的开展及本企业的应对情况,如金融行业开展的“银行保险机构侵害个人信息权益乱象专项整治工作”等。
2. 数据合规整改应当“有的放矢”
在拟上市企业的上市准备工作中,数据合规工作通常可能会面临着“时间紧、任务重”的难题。为了解决这一难题,建议拟上市企业关注以下三点:
划清合规红线:在数据合规的整改工作中,存在着合规红线和可优化项两类事项。其中合规红线类事项是指法律明确规定的数据处理者“应当”履行的法定义务;可优化事项是指为了实现企业的全面合规或深层次合规,参照法律规定或不具有强制力的国家标准、行业标准等“可以”进一步优化的事项。拟上市主体在设计和落地合规整改计划时,可优先部署合规红线类事项。
优先外部合规:监管机构对于外部数据合规工作的开展更易开展执法行动,故该类事项的开展紧迫度更高。在时间有限的情况下,建议优先进行外部合规整改工作,如APP合规、小程序合规、第三方数据处理合规等。同时,拟上市企业亦可以外部合规工作的开展作为起点和支点,衔接开展内部其他合规整改工作。
重视整改留痕:“如何证明”已经履行了法定合规义务亦是整改工作开展全程需要关注的要点。除了外部合规的协议文本外,内部数据合规相关制度文本、针对法定处理场景的风险评估报告、签订版的数据处理协议等均是合规留痕的重要证明,企业应当进行全面、充分的准备。
3. 积极应对监管询问
监管机构的问询已经成为了常态化监管事项。在收到监管问询时,不同企业应当关注不同的应对策略:
对于已经开展数据合规工作的企业:建议与外部律师共同评估监管关注重点、同类问询情况、企业实际情况等,共同制定回复策略,在规定的时限内通力配合、积极回复问询问题;
对于未开展数据合规工作的企业:在收到问询时,建议首先要引入专业和经验丰富的数据合规律师,尽快对于企业数据合规风险及监管关注要点进行“短平快”的合规评估,以回复问询为目标进行迅速的合规整改工作。
此外,拟上市企业可以前车为鉴、对症下药。企业可以参考类似业务模式的已成功上市企业的披露或回复要点,对可能的披露或问询要点有所预期,并提前准备相关数据合规工作。
4. 各方协作是成功关键
对于拟上市主体而言,顺利上市是各方通力协作的成果。在上市数据合规工作方面,亦是同理。对于涉数据合规风险的企业,建议尽早引入专业的数据合规团队,在上市过程中全程“陪伴”企业进行合规工作。整个过程中,既需要外部律师对于数据合规监管动向的准确把控,又需要拟上市企业内部技术、信息安全、合规、法务、审计等团队的通力配合与具体实施。
结语
总体上看,2022年的境内证券发行市场延续了监管机构对于网络安全和数据合规的严监管思路,并且随着法律法规的逐步完善,未来的监管要求和询问将会更严更细;在港股层面,预计未来联交所将会贯彻持续监管的态度,对于在港IPO的境内企业会继续核查其网络安全和数据业务的合规情况;境外方面,我们预计2023年赴境外上市企业将会大幅增加。而随着“备案新规”以及后续的法规落地,境外上市中涉及的网络安全审查以及数据合规核心问题的风险控制,将会成为拟上市企业需要重点应对的关口。基于篇幅原因,以上内容仅呈现我们IPO数据合规完整报告的部分精华和要点。在笔者即将问世的新书《数字经济合规指南2023》中,我们将会以从不同的细分数据和事实维度,为读者更全面地呈现A股、港股和美股IPO中的数据合规监管要求和应对策略。
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护, 知识产权权利保护, 合规和反腐败
特色行业类别:通讯与技术, 健康与生命科学
肖莆羚令 律师
北京办公室 知识产权部
苏阳阳
北京办公室 知识产权部
《一文透视<生成式人工智能服务管理办法(征求意见稿)>》
《个人信息出境标准合同落地,企业应对的“道”与“法”》
《数据出境安全评估十问十答》
《北上广深数字经济立法的比较与启示》
《<反垄断民事诉讼司法解释(公开征求意见稿)>关于数据和算法条款的比对解析》
特别声明
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。