施忞旻律師，北京國楓(上海)律師事務(wù)所合伙人，執(zhí)業(yè)十多年來專注于境內(nèi)外私募基金的設(shè)立、投資，境內(nèi)及跨境企業(yè)兼并收購、企業(yè)合規(guī)、數(shù)據(jù)合規(guī)等業(yè)務(wù)領(lǐng)域的法律服務(wù)，持續(xù)服務(wù)于人民幣美元頭部基金，國有投資平臺，國內(nèi)外知名醫(yī)療健康、半導(dǎo)體科技、數(shù)字經(jīng)濟(jì)、大消費(fèi)、文化娛樂、金融服務(wù)等諸多領(lǐng)域的企業(yè)和機(jī)構(gòu)。施忞旻律師持有歐盟EXIN DPO數(shù)據(jù)合規(guī)官認(rèn)證資格。

7月21日，國家互聯(lián)網(wǎng)信息辦公室依據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《行政處罰法》等法律法規(guī)，對滴滴全球股份有限公司處人民幣80.26億元罰款。隨后滴滴出行發(fā)布公告回應(yīng)誠懇接受此次處罰，并積極配合監(jiān)管完成整改。

然而，不僅僅是滴滴。在我國不斷提高數(shù)據(jù)合規(guī)安全意識以及美國《外國公司問責(zé)法案》的雙重壓力下，如何完善數(shù)據(jù)合規(guī)管理成為企業(yè)上市前的重要議題之一。

北京國楓(上海)律師事務(wù)所合伙人施忞旻律師作為富途企業(yè)服務(wù)智庫平臺榮譽(yù)專家，受邀梳理了境內(nèi)企業(yè)赴境外上市數(shù)據(jù)合規(guī)安全相關(guān)的政策，并分享了對企業(yè)數(shù)據(jù)安全管理實(shí)操層面的建議。

本期分享內(nèi)容要點(diǎn)：

- 企業(yè)境外上市的數(shù)據(jù)合規(guī)相關(guān)法律法規(guī)盤點(diǎn)- 已在港上市企業(yè)的數(shù)據(jù)合規(guī)相關(guān)披露內(nèi)容- 上市企業(yè)數(shù)據(jù)合規(guī)業(yè)務(wù)特點(diǎn)和方法論

2020年12月，《外國公司問責(zé)法案》生效，美國證券交易委員會(huì)(SEC)于次年12月公布了該法案的實(shí)施細(xì)則，美國公眾公司會(huì)計(jì)監(jiān)督委員會(huì)(PCAOB)又于該月發(fā)布《〈外國公司問責(zé)法〉認(rèn)定報(bào)告》，認(rèn)定60余家在美注冊中國會(huì)計(jì)師事務(wù)所“無法完成檢查或調(diào)查” 1。

截至美東時(shí)間7月21日，SEC公布的預(yù)摘牌名單已經(jīng)達(dá)到152只2，其中就包含了京東、網(wǎng)易等。這對在美中概股意味著，如遵守《問責(zé)法案》，則中國公司要接受PCAOB對會(huì)計(jì)底稿的審查，否則將于2024年4月左右被迫從美股退市。

然而，接受會(huì)計(jì)底稿的審查與我國《證券法》第177條關(guān)于單位和個(gè)人不得擅自向境外提供與證券業(yè)務(wù)活動(dòng)有關(guān)的文件和資料的規(guī)定3，以及財(cái)政部關(guān)于我國內(nèi)地公司委托境外會(huì)計(jì)師事務(wù)所審計(jì)的底稿應(yīng)當(dāng)存放在境內(nèi)相關(guān)要求4產(chǎn)生沖突。

企業(yè)境外上市相關(guān)法律法規(guī)

2022年4月，證監(jiān)會(huì)公布的《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定(征求意見稿)》，也對相關(guān)事項(xiàng)作出了回應(yīng)，在跨境取證和檢查方面從我國監(jiān)管機(jī)構(gòu)為主導(dǎo)的模式轉(zhuǎn)變?yōu)橥ㄟ^跨境監(jiān)管合作機(jī)制進(jìn)行5，為中美證券監(jiān)管合作帶來一個(gè)積極信號。因此，從短期來看，SEC和PCAOB的規(guī)定對中概股將造成一定市場壓力及震蕩，但從長期來看，美股市場的大門對符合相應(yīng)規(guī)定和披露要求的中國民營企業(yè)來說并未關(guān)閉。

下表對企業(yè)在上市過程中涉及的網(wǎng)絡(luò)安全審查、數(shù)據(jù)安全評估、上市規(guī)則和數(shù)據(jù)出境的原則性規(guī)定進(jìn)行了梳理。

針對國家網(wǎng)信辦于近期公布的《數(shù)據(jù)出境安全評估辦法》，有關(guān)負(fù)責(zé)人答記者問時(shí)介紹，該《辦法》所稱數(shù)據(jù)出境活動(dòng)主要包括兩大方面，一是數(shù)據(jù)處理者將在境內(nèi)運(yùn)營中收集和產(chǎn)生的數(shù)據(jù)傳輸、存儲至境外;二是數(shù)據(jù)處理者收集和產(chǎn)生的數(shù)據(jù)存儲在境內(nèi)，境外的機(jī)構(gòu)、組織或者個(gè)人可以訪問或者調(diào)用6。因此，我國赴境外上市企業(yè)可能落入《辦法》審查對象的范圍。

已在港上市企業(yè)的披露內(nèi)容

我們可以從近期港股上市的若干案例中，對于上市企業(yè)在數(shù)據(jù)合規(guī)的披露方面基本遵循類似的體例。比如，知乎于2022年4月在香港聯(lián)交所二次上市，消費(fèi)級基因檢測平臺美因基因于2022年6月在港交所上市，這兩家上市企業(yè)招股說明書的相關(guān)披露內(nèi)容如下圖所示。

由此可見，無論上市企業(yè)是否申報(bào)網(wǎng)絡(luò)安全審查，發(fā)行人均披露他們采取了數(shù)據(jù)安全及合規(guī)的相關(guān)措施，以表明發(fā)行人對現(xiàn)有數(shù)據(jù)的處理行為合法合規(guī)，并且在披露內(nèi)容方面，也顯得較為謹(jǐn)慎。

上市企業(yè)數(shù)據(jù)合規(guī)

業(yè)務(wù)特點(diǎn)和方法論

對于擬上市的企業(yè)來說，為滿足數(shù)據(jù)合規(guī)的要求，其做的準(zhǔn)備工作具有如下特點(diǎn)：

(1)時(shí)間緊、任務(wù)重。企業(yè)在上市前需要開展數(shù)據(jù)資產(chǎn)梳理、風(fēng)險(xiǎn)評估、差距分析等前期工作，并通過相應(yīng)整改完成數(shù)據(jù)安全治理;

(2)更新迭代頻率高。企業(yè)須持續(xù)對上市前開展的業(yè)務(wù)進(jìn)行自查更新，并針對突發(fā)情況準(zhǔn)備好應(yīng)急預(yù)案;

(3)顆粒度的判定。企業(yè)需應(yīng)對保薦人、中介機(jī)構(gòu)、上市地證券監(jiān)管機(jī)構(gòu)各方面、各種顆粒度和層次的問詢;

(4)數(shù)據(jù)合規(guī)律師身份特殊。數(shù)據(jù)合規(guī)律師應(yīng)在協(xié)助企業(yè)做數(shù)據(jù)合規(guī)梳理及整改中關(guān)注利益沖突問題。

從實(shí)踐角度，企業(yè)應(yīng)在上市申請?zhí)峤磺胺謩e進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評估、差距分析，通過整改完成合規(guī)工作。具體而言，企業(yè)在籌備上市的過程中，以及在上市后的日常經(jīng)營中，均可以運(yùn)用如下“從零到一”的方法論開展數(shù)據(jù)合規(guī)工作：

(1)對企業(yè)自身進(jìn)行主體識別和行業(yè)識別，目的在于明確企業(yè)所需要符合的有關(guān)法律、行政法規(guī)、部門規(guī)章、司法解釋、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)、團(tuán)體標(biāo)準(zhǔn)、技術(shù)文件、地方性法規(guī)等構(gòu)成的監(jiān)管框架。在主體識別上，企業(yè)可從幾個(gè)方面入手——企業(yè)業(yè)務(wù)地域范圍(是否涉及跨境業(yè)務(wù))、股權(quán)性質(zhì)和結(jié)構(gòu)(例如是否有外資成分、是否有國資背景)、對數(shù)據(jù)處理是否有決策權(quán)(例如是否為數(shù)據(jù)控制者)、是否屬于有特別限制或義務(wù)的主體類別(例如是否屬于關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者、互聯(lián)網(wǎng)平臺運(yùn)營者等等)。其中尤為重要的一環(huán)是從法規(guī)中進(jìn)一步歸納總結(jié)，對包括數(shù)據(jù)分級分類的規(guī)則、數(shù)據(jù)傳輸和共享的規(guī)則、個(gè)人信息保護(hù)的規(guī)則等在內(nèi)的各項(xiàng)監(jiān)管主題進(jìn)行梳理;

(2)對企業(yè)的業(yè)務(wù)場景和特定需求進(jìn)行識別，以厘清具有合規(guī)需求的業(yè)務(wù)場景，并對需要重點(diǎn)關(guān)注的特定監(jiān)管要素進(jìn)行梳理;

(3)對企業(yè)進(jìn)行數(shù)據(jù)資產(chǎn)盤點(diǎn)，具體包括數(shù)據(jù)來源識別、確定數(shù)據(jù)類別與分類分級情況，從而判斷這些數(shù)據(jù)是否構(gòu)成《數(shù)據(jù)安全法》下的國家核心數(shù)據(jù)、重要數(shù)據(jù)或一般數(shù)據(jù)，然后在此基礎(chǔ)上形成數(shù)據(jù)資產(chǎn)分類分級清單。如果企業(yè)尚有余力，還可從技術(shù)、制度流程、組織結(jié)構(gòu)等角度進(jìn)一步優(yōu)化數(shù)據(jù)分類分級，例如建立數(shù)據(jù)資產(chǎn)動(dòng)態(tài)管理平臺、明確數(shù)據(jù)分類分級及變更的內(nèi)部流程機(jī)制，以及量化評估方式等;

(4)結(jié)合具體的業(yè)務(wù)場景對企業(yè)進(jìn)行數(shù)據(jù)全生命周期的映射和管理。該步需要在前述識別的業(yè)務(wù)場景下，通過上述的數(shù)據(jù)類別和分類分級情況對數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等整個(gè)生命周期的行為進(jìn)行一一映射，以確定處理這些數(shù)據(jù)是否存在合法性基礎(chǔ)、識別收集了哪些數(shù)據(jù)、這些數(shù)據(jù)存儲在哪里、誰可以使用以及如何使用這些數(shù)據(jù)，這些數(shù)據(jù)提供給了哪些第三方等等，然后對照監(jiān)管重點(diǎn)進(jìn)行核查確認(rèn)，確保對信息主體權(quán)利予以有效落實(shí)。

(5)對前述過程進(jìn)行循環(huán)往復(fù)不斷迭代，對數(shù)據(jù)情況進(jìn)行持續(xù)的動(dòng)態(tài)監(jiān)測。具體而言，要定期進(jìn)行企業(yè)數(shù)據(jù)合規(guī)情況的內(nèi)部評估和第三方評估以查缺補(bǔ)漏，不斷完善數(shù)據(jù)合規(guī)管理體系，同時(shí)要重點(diǎn)關(guān)注行業(yè)監(jiān)管政策法規(guī)及熱點(diǎn)動(dòng)態(tài)，做好有關(guān)應(yīng)對工作。

此外，企業(yè)應(yīng)在完成數(shù)據(jù)合規(guī)治理工作后做好“驗(yàn)收準(zhǔn)備”，有效應(yīng)對保薦人、中介機(jī)構(gòu)及上市地證券監(jiān)管機(jī)構(gòu)和交易所就相關(guān)事項(xiàng)提出的各類問詢。

對于不同類型的企業(yè)來說，其合規(guī)工作的側(cè)重點(diǎn)也有所不同。

結(jié)語

企業(yè)在上市過程中，應(yīng)持續(xù)關(guān)注我國關(guān)于數(shù)據(jù)以及個(gè)人信息保護(hù)的法律法規(guī)和監(jiān)管動(dòng)態(tài)，及時(shí)完善數(shù)據(jù)合規(guī)管理體系，在發(fā)生重大安全事件或者公司業(yè)務(wù)模式、信息系統(tǒng)等發(fā)生重大變更時(shí)，及時(shí)進(jìn)行數(shù)據(jù)安全影響評估。隨著上市的推進(jìn)，企業(yè)還應(yīng)定期審查相關(guān)制度是否有效落地，對發(fā)現(xiàn)的問題、整改情況與監(jiān)管的動(dòng)態(tài)變化進(jìn)行比對并不斷調(diào)整與優(yōu)化，以形成一個(gè)有效的合規(guī)閉環(huán)。只要在數(shù)據(jù)治理的方法上庖丁解牛，主觀上運(yùn)籌帷幄，就能推進(jìn)上市數(shù)據(jù)合規(guī)項(xiàng)目的有效落地。

【注】

[1] HFCAA Determination Report

[2] sec.gov/hfcaa

[3] 我國《證券法》第177條第2款規(guī)定，“境外證券監(jiān)督管理機(jī)構(gòu)不得在中華人民共和國境內(nèi)直接進(jìn)行調(diào)查取證等活動(dòng)。未經(jīng)國務(wù)院證券監(jiān)督管理機(jī)構(gòu)和國務(wù)院有關(guān)主管部門同意，任何單位和個(gè)人不得擅自向境外提供與證券業(yè)務(wù)活動(dòng)有關(guān)的文件和資料。”

[4] 財(cái)政部制定的《會(huì)計(jì)師事務(wù)所從事中國內(nèi)地企業(yè)境外上市審計(jì)業(yè)務(wù)暫行規(guī)定》第5條規(guī)定，“中國內(nèi)地企業(yè)依法委托境外會(huì)計(jì)師事務(wù)所審計(jì)的，該受托境外會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)與中國內(nèi)地會(huì)計(jì)師事務(wù)所開展業(yè)務(wù)合作。雙方應(yīng)當(dāng)簽訂業(yè)務(wù)合作書面協(xié)議，自主協(xié)商約定業(yè)務(wù)分工以及雙方的權(quán)利和義務(wù)，其中在境內(nèi)形成的審計(jì)工作底稿應(yīng)由中國內(nèi)地會(huì)計(jì)師事務(wù)所存放在境內(nèi)。”

[5] 《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定(征求意見稿)》第11條規(guī)定，“境外證券監(jiān)督管理機(jī)構(gòu)及有關(guān)主管部門提出就境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)活動(dòng)對境內(nèi)企業(yè)以及為該等企業(yè)境外發(fā)行證券和上市提供證券服務(wù)的證券公司、證券服務(wù)機(jī)構(gòu)進(jìn)行調(diào)查取證或開展檢查的，應(yīng)當(dāng)通過跨境監(jiān)管合作機(jī)制進(jìn)行，證監(jiān)會(huì)或有關(guān)主管部門依據(jù)雙多邊合作機(jī)制提供必要的協(xié)助。”

[6] 《數(shù)據(jù)出境安全評估辦法》答記者問，中國網(wǎng)信網(wǎng)

富途企業(yè)服務(wù)智庫平臺

富途企業(yè)服務(wù)智庫平臺研究內(nèi)容覆蓋股權(quán)激勵(lì)、稅務(wù)政策解讀、融資上市、金融前沿趨勢等領(lǐng)域，致力于使智庫平臺內(nèi)的各主體間在價(jià)值創(chuàng)造、資源互換、合作創(chuàng)新等方面保持高度協(xié)同，實(shí)現(xiàn)共贏。目前，已與行業(yè)內(nèi)多家知名機(jī)構(gòu)合作，集聚了投資銀行、四大會(huì)計(jì)師事務(wù)所、律所、咨詢機(jī)構(gòu)、官方服務(wù)機(jī)構(gòu)等背景的資深人士。

富途企業(yè)服務(wù)品牌富途安逸為企業(yè)提供貫穿上市前后的全流程服務(wù)，包括：港股美股IPO分銷服務(wù)、一站式ESOP期權(quán)管理解決方案、親友股與國際配售、投資者關(guān)系(IR)與PR、大宗交易和股票減持/回購服務(wù)及機(jī)構(gòu)開戶與交易服務(wù)等六大核心服務(wù)(文中所涉IPO分銷業(yè)務(wù)及證券業(yè)務(wù)由富途旗下持牌子公司提供服務(wù))。截至2021年底，富途企業(yè)服務(wù)累計(jì)服務(wù)客戶數(shù)超500家。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎!此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞：