2024-2025年度IPO數據合規觀察報告

登錄新浪財經APP 搜索【信披】查看更多考評等級

本文聚焦2024年度境內外資本市場IPO數據合規問題，從趨勢分析和實務應對角度，對年度IPO數據合規要點問題進行回顧、總結和展望，為擬IPO的企業和中介機構提供參考。

作者丨蔡鵬 蘇陽陽 唐靜思

從2024年度至今，境內A股與以香港為代表的境外IPO呈現出「冰火兩重天」的景象，港股的融資額創5年新高，而中概股的上市數量與融資額也雙雙上升。反映到數據合規領域，境內外的審查重點也有所區別，境內審查更加強調企業數據合規的實質性以及數據問題是否會成為企業未來發展的「絆腳石」；境外監管強調數據安全問題以及隨之而來的審查「路條」。在2025年的國際地緣政治情況劇烈變化的影響下，資本市場亦會受到衝擊，而企業的數據合規問題會在不同的市場下受到相應的重點關注。本文試圖總結境內、港股和美股三個主要市場的IPO數據合規問題，從企業上市監管的實務角度提出有關建議，並對未來趨勢給出有關分析。

第一部分：境內IPO數據合規專題

一、數據合規問題的跨行業價值愈發突出

數據合規問題的重要性愈發凸顯，其影響力已廣泛滲透至各個行業。據觀察，在2024年的A股IPO審覈中，數據合規問詢不再侷限於互聯網、金融科技等傳統數據密集型行業，而是全面覆蓋了製造業、傳統服務業等各個領域。即便是傳統制造業這類通常被認為數據處理活動相對較少的行業，在IPO過程中也面臨着數據合規方面的問詢。

例如，歐菲斯集團股份有限公司（文具用品批發業）在招股書中耗費大量筆墨，分別從制度、技術、流程等維度説明其數據安全保護的合規水平。再如，江蘇利通電子股份有限公司（金屬結構製造業）、國機精工集團股份有限公司（滾動軸承製造業）等更是被主動問詢相關業務的合法合規性，涉及數據收集、存儲和使用的合規性。

在此背景下，企業不應僅僅滿足於「被動合規」，即僅爲了應對監管檢查而採取措施。相反，企業應積極構建覆蓋數據全生命周期的管理體系，從制度、技術和流程等多個維度提升數據保護水平，實現「主動防禦」。比如，建立數據資產臺賬並定期維護更新，針對數據收集、存儲、傳輸、使用等環節制定具體技術保障措施，確保數據安全事件發生時能夠迅速響應和處理。這樣做不僅可有助於企業順利通過IPO審覈，更能為其長期穩定發展奠定堅實基礎。

二、有關行業的數據合規問題受重視

2024年，隨着行業立法的進一步深化，IPO審覈過程中基於行業特性的數據合規要求受到了重點關注。在A股上市文件中，不同行業如汽車、醫藥、工信以及金融等領域的特殊數據合規側重各有不同。

• 醫藥行業：在醫藥領域，患者隱私管理尤為重要。例如，四川科瑞德製藥股份有限公司強調其項目中的受試者數據經過了嚴格的脱敏及匿名化處理，確保沒有可識別的患者個人隱私信息泄露的風險。四川美康醫藥軟件研究開發股份有限公司作為一家為醫療企業提供軟件支持的公司，指出其軟件處理的所有患者數據均存儲於客户醫院內，不存在該公司獲取用户個人信息的情況。

• 工信行業：對於工信行業來説，數據合規的重點在於數據分類分級工作。浙江中力機械股份有限公司在其問詢答覆中詳細介紹瞭如何建立了完善的數據分類分級管理制度，並明確了數據處理活動中的安全責任。類似的，河北廣電無線傳媒股份有限公司和上海維安電子股份有限公司對其數據級別進行了評估，並實施了針對性的合規措施。

• 金融行業：金融行業因其涉及大量的客户金融信息和交易數據，在數據安全方面面臨着更為嚴格的要求。東莞證券股份有限公司在IPO審查過程中，其信息系統控制接受了嚴格的審查，通過設立信息技術治理委員會、進行等級保護測評以及採用數據加密技術等手段確保數據安全。

三、多維度綜合審查

在2024年，監管機構對企業的數據合規審查不再侷限於單一的數據處理活動，而是擴展到企業整個產業鏈中的數據合規情況。過去，對於產業鏈合規狀況的考察主要集中在上游數據供應方的合法性上。然而，今年的審查範圍顯著擴大，不僅包括企業自身數據處理活動的合規性，還深入評估其與供應商、客户之間的數據交互過程中的合規性問題，如數據傳輸加密措施、數據存儲責任劃分等。若企業存在數據外包情況，監管機構將對承接方的資質進行詳細審查，並檢查雙方合同中關於數據安全的具體條款。

• 某旅遊科技集團股份有限公司特別關注了基礎設施供應商的數據安全能力。公司通過嚴格的供應商篩選和定期的安全評估確保所有合作伙伴均符合高標準的數據保護要求。

• 監管機構要求北京兆信信息技術股份有限公司詳細説明與外協印刷廠及客户間的數據交互流程。該公司通過簽訂詳細的合同保密條款，並給予客户對其系統的自主控制權，證明其並未直接收集或存儲任何客户數據，從而確保數據處理的合規性。

• 某科技股份有限公司因其智能車載終端產品涉及客户數據採集，需向監管機構詳細説明與雲服務商之間的數據傳輸加密措施以及用户授權機制。這包括採用高級別的加密技術來保障數據傳輸的安全性，並確保在收集用戶數據之前獲得明確的用户同意。

這些案例展示了當前監管環境下的新趨勢，即不僅要求企業在內部實施嚴格的數據保護措施，還需確保其上下游合作伙伴同樣遵循相應的數據安全標準。這種全面且細緻的審查機制有助於提升整個行業的數據安全水平，同時也促使企業在選擇合作伙伴時更加註重對方的數據保護能力和合規性。

四、聚焦重要數據

2024年，監管機構對重要數據問題的關注顯著增加，並且這一議題在企業IPO審覈過程中被反覆提及。過去，企業在面對此類問題時，常採用諸如「重要數據目錄尚未公開」或「無明確判定規則」等措辭來規避直接回答。然而，在今年的IPO審查中，許多上市企業選擇了更加積極和透明的態度，引用推薦性指南（甚至是徵求意見稿版本）作為依據，分析和評估自身是否掌握重要數據，並作出直接回應。

例如，上海維安電子股份有限公司引用國家工業信息安全發展研究中心於2022年3月發佈的《工業領域重要數據和核心數據識別規則（草案）》中關於電子信息業重要數據的規定，認為其不掌握重要數據；浙江中力機械股份有限公司依據《工業和信息化領域數據安全管理辦法（試行）》評估后認為其不掌握重要數據；而深圳市綠聯科技股份有限公司則採用了全國信息安全標準化技術委員會制定的《信息安全技術 重要數據識別指南》 （徵求意見稿）作為參考確認其業務中未涉及重要數據。

此外，對於掌握重要數據的發行人（河北廣電無線傳媒股份有限公司），則需詳細説明其對於重要數據全生命周期保護的具體措施，覆蓋從數據採集、傳輸、存儲到處理、交換直至銷燬各個環節。

這種轉變表明，隨着相關法律法規和指導文件的不斷完善，企業正在變得更加積極主動地應對數據合規挑戰，而不僅僅是被動接受監管。這不僅有助於提高企業的透明度和信任度，也為其他企業提供了可借鑑的最佳實踐案例。同時，這也反映了當前數據保護環境下的高標準要求，促使各行業不斷提升自身的數據安全管理能力。

2024年，A股市場在數據合規方面展現出跨行業重視、多維度審查和聚焦重要數據的特點。企業不僅要確保自身數據處理活動的合規性，還需承擔起在整個產業鏈中的數據合規責任。結合行業特性，構建完善的數據安全管理體系，成為企業保障數據處理合法性和安全性的關鍵。面對日益嚴格的監管環境，企業需持續強化數據安全管理，不斷提升數據合規水平，以適應不斷升級的合規要求。這不僅是滿足監管標準的基礎，更是推動企業穩健發展的核心要素。

第二部分：港股IPO數據合規專題

一、2024年度港股數據合規概覽

1. A股IPO遇冷與港股市場的戰略選擇

2024年，中國內地資本市場IPO環境發生顯著變化。隨着註冊制改革深化，A股審覈標準趨嚴，監管機構對信息披露質量、業務合規性及持續盈利能力的核查力度進一步加強，過會率較2023年顯著下降。與此同時，企業排隊周期延長，使得A股融資成本顯著上升，部分企業被迫調整上市計劃。

在此背景下，港股市場監管框架成熟、審覈周期相對可控，成為企業融資的重要替代選擇。2024年10月，香港證監會與聯交所聯合發佈《有關優化新上市申請審批流程時間表的聯合聲明》，這一政策進一步強化了港股市場對優質中概股的吸引力，為企業提供了更具透明度與確定性的融資路徑。

2. 樣本行業分佈圖表

本文選取2024年1月1日至2024年12月31日期間港股市場中明確披露數據合規相關風險的企業作為樣本，總計66家。通過對企業業務領域的梳理與歸類，形成以下行業分佈統計（按企業數量降序排列）：

點擊可查看大圖

二、2024年度港股數據合規披露/問詢要點

1. 常規涉數據合規披露/問詢要點表

點擊可查看大圖

2. 重點行業涉數據合規披露/問詢要點表

點擊可查看大圖

三、2024年度監管動向總結

1. 中國證監會+香港證監會+香港聯交所多主體聯合監管

在港股IPO數據合規監管中，中國證監會、香港證監會及香港聯交所基於法定職能形成差異化監管分工，均可能提出數據合規相關問詢問題，發行人需要對於該多主體問詢有所預期：

中國證監會依據《境內企業境外發行證券和上市管理試行辦法》等規定，對境內企業境外上市實施備案管理，重點核查向境外提供個人信息和重要數據等數據出境合規事項，以及網絡安全審查等與國家安全相關的事項，重點監管發行人是否符合《網絡安全法》《數據安全法》等境內法規。實踐中，中國證監會國際司會通過提出「境外發行上市備案補充材料要求」的方式要求發行人予以補充説明，請律師覈查並出具明確的法律意見。其中，針對部分發行人的補充材料要求在「中國證監會官網-辦事服務-境外上市類」中進行了公示，發行人可予以參考。

香港證監會及香港聯交所在處理新上市申請審批工作時緊密合作，根據《有關優化新上市申請審批流程時間表的聯合聲明》，若發行人符合《證券及期貨條例》、《證券及期貨（在證券市場上市）規則》及／或《上市規則》下的所有適用規定及指引，香港證監會及香港聯交所會緊密溝通以避免重複提問，在分別發出最多兩輪監管意見后，各自評估並指出有關申請是否存在任何重大監管關注事項（監管評估）。對於香港證監會和香港聯交所關注的數據合規相關問詢事項，參考監管實踐，上述「二、2024年度港股數據合規披露/問詢要點」所涉內容均可能落入問詢範圍。但上述問詢內容除發行人可獲悉外，其他同類企業難以獲悉，僅能通過招股書的修訂予以分析。

2. 招股書已披露的涉數據處理相關業務描述，成為監管問詢重要切入口之一

結合今年參與港股IPO數據合規項目的相關經驗，招股説明書已披露的涉數據處理相關業務描述正成為兩地監管機構問詢的重要切入點，即使該描述散落在集中披露數據合規問題以外的章節。以某藥企IPO項目為例，業務章節涉及披露發行人臨牀前研究涉及數據收集這一表述，並未細化展開，監管機構即聚焦該點展開臨牀前研究的數據合規性的細化問詢；業務章節涉及披露發行人在境外市場開展候選產品開發，監管機構即聚焦該點細化展開該過程下的數據跨境相關數據合規問詢。

我們理解，該監管邏輯表明，港股上市監管機構正通過「業務披露-合規映射」這一審查機制，系統性掃描招股書全文中與數據處理存在潛在關聯的業務描述，並將碎片化業務信息轉化、聚焦為定向的數據合規問詢。

3.針對明顯涉數據合規問題但未在A1中披露的發行人，多監管主體可能會同時進行更為細化的問詢

結合筆者今年參與港股IPO數據合規項目的相關經驗，A1文件申報階段的數據合規披露完整性將直接影響監管問詢的深度與發行人應對效率。實踐中，部分港股上市項目中可能出現A1文件未披露數據合規風險，未對於發行人的數據合規性發表明確意見的情況，該情況背后的原因可能是因為發行人因未及時或不想在A1前引入數據合規律師，或發行人未及時在A1前完成數據合規整改致使數據合規律師難以在A1前出具清潔意見等。

相較於在A1階段主動披露數據合規風險並發表明確意見的發行人，此類未披露項目往往面臨問詢輪次增加、單次答覆周期延長、法律意見書修訂頻率上升等問題，致使合規整改及監管溝通成本顯著攀升，且可能影響上市整體的進度安排。

4.數據合規具體問詢更為深入、顆粒度更細、行業特性更為明顯

除上述變化外，隨着港股上市監管機構監管能力的提升，2024年度的數據合規類問詢相比於去年有了進一步的深化。具體而言：

一是問詢更為深入，顆粒度更細。例如，從原則性合規判斷轉向數據全生命周期穿透，要求發行人細化拆解數據處理全生命周期中的某一具體環節的合規性；

二是行業特性從普適性要求向場景化規則聚焦，監管機構基於不同行業底層數據性質的差異，例如，某一發行人屬於汽車行業，但其業務涉及AI相關業務，港股上市監管機構在問詢時會同時考量汽車行業特性與AI業務場景下所涉及的風險點。

上述具體變化在上文「二、2024年度港股數據合規披露/問詢要點」中進行了細化列舉，相關發行人可具體查看參考。

四、2025年數據合規工作準備思路

1. 更提早的準備：建議於A1前完成數據合規披露內容準備

建議發行人將數據合規工作的關鍵節點明確錨定在A1申報前，以規避上文所述的因申報階段未充分披露而引發的后續監管成本。我們建議發行人可以A1節點為基準進行倒推，儘早引入數據合規外部律師，為其預留開展盡調調查、合規差距分析、以及合規整改工作的合理工作周期，並要求數據合規相關意見應當在A1前完成出具。

2. 更多方的協調：涉數據處理的業務相關披露需多方共同斟酌

對於發行人數據合規律師，除準備招股書中集中涉及數據合規的具體章節外，還應當系統性審閲招股書全文中涉及數據處理的業務描述，識別相關業務描述是否與已出具的數據合規意見相沖突或被意見所遺漏。在識別的基礎上，發行人數據合規律師應及時與撰寫相關內容的其他中介進行溝通，並協調發行人儘快開展補充盡調與意見修訂工作，以數據合規意見的嚴謹性以及充分。

3. 更全面的披露：以常規數據合規問詢問題為基礎進行全面準備

不同上市項目下數據合規問題的披露顆粒度存在差異，基於節省后續問詢應對成本考量，我們建議發行人再A1階段對常規數據合規問題進行細緻、充分且全面的披露。發行人可結合「二、2024年度港股數據合規披露/問詢要點」中的「常規涉數據合規披露/問詢要點表」進行準備。通過更為全面的披露，可幫助港股上市監管機構全面掌握企業的數據合規現狀，同時該等披露也可充分體現企業數據合規工作的全面性及紮實程度，從而降低后續補充問詢的頻率與複雜程度。

4. 更主動的披露：基於行業特性、業務特性或監管政策變化主動迴應監管可能的問詢問題

除常規數據合規問詢問題的全面準備外，同樣基於節省后續問詢應對成本考量，建議發行人考慮關注以下問題的主動迴應：

其一，針對本行業上市企業普遍面臨的問詢要點實施前置披露，例如，就AI企業的訓練數據來源合法性這一AI企業普遍可能被問詢的問題，發行人可以主動予以迴應；

其二，基於業務特性關聯的合規風險點主動闡釋合規性。例如，發行人存在跨境業務，可主動迴應是否涉及數據跨境行為，是否需要履行申報數據出境安全評估等義務；

其三，基於重要的監管政策變化而可能觸發監管問詢前，可主動予以迴應。比如發行人在A1時適逢《網絡數據安全管理條例》出臺，其也可主動披露其出臺對於其開展的數據處理業務的影響。

5. 更細化且深入的合規：細化識別合規差距，深入開展合規整改工作，避免僅關注表面合規工作

最后，無論是基於申報節點的前置規劃、業務披露的多方協同，還是全面、主動披露策略的實施，背后均要求發行人開展紮實、細緻的合規工作。建議發行人數據合規律師以監管關注要點為導向，逐項覈查並整改發行人數據處理中的合規瑕疵，杜絕僅滿足形式合規的短視行為。

第三部分：美股IPO數據合規專題

隨着我國關於境內企業境外上市備案的流程及相關監管規則日趨完善，2024全年共有六十余家中國企業成功在美上市。儘管從數量上看，中國企業赴美上市相較於前一年增長較快，但是處在現有中美貿易戰的大環境下，未來中國企業赴美上市的不確定在劇烈增強。本部分將對2024年度美股IPO數據合規有關問題進行回顧、總結和展望，旨在為相關擬上市企業提供合規參考。

一、2024年美股IPO數據合規主要法律問題

1. 網絡安全審查持續受到監管關注

對於赴美上市的中企而言，網絡安全審查可以説是最關鍵的數據合規問題，也是IPO過程中最重點的數據合規披露內容。根據我國《網絡安全審查辦法》的相關規定，只要掌握超過100萬用户個人信息的網絡平臺運營者赴國外上市，應當申報網絡安全審查（簡稱「網安審」）。

經梳理2024年度美股IPO上市企業的招股書披露情況，落入上述範圍的企業必須拿到網安審路條，而沒落入的擬上市企業，在披露時通常會針對自身無需就赴境外上市申報網安審進行詳細説明，例如已與有關主管部門確認自身無需就此次赴美上市申報網絡安全審查等。除上述對公司現狀的描述性內容外，擬上市企業通常還會在招股書中補充説明未來因業務發展或監管變化可能導致自身受到網絡安全審查的情況及相關合規風險，以強化風險披露。

此外，在上市后的定期披露方面，SEC同樣關注網絡安全審查問題，在審查年報、半年報等定期披露文件時，通常會要求上市公司就因法律或事實變化導致需要獲取相關審批（包括網安審）的情況及可能后果進行補充披露。

2. 數據合規披露顆粒度呈現行業特徵

經梳理2024年赴美上市企業的招股書披露內容，擬上市企業的數據合規披露內容主要涉及數據收集處理的合規性、數據安全保護措施、取得數據安全保護相關認證的情況等。但在具體披露方面，呈現出較為明顯的行業特徵，不同行業領域企業在披露的側重點和顆粒度上均有所區別。例如，某同城快遞企業作為處理海量個人信息的網絡平臺運營者，其對於個人信息保護的風險披露較為詳細，披露內容涉及由於處理海量數據可能存在的外部攻擊、內部員工濫用等相關風險，以及由於配送員能夠查看發件人、收件人個人信息所引發的風險等；而小馬智行等網聯汽車相關企業則側重於對測繪數據、汽車數據方面的監管要求及相關風險的披露，並重點披露了自身所採取的相關數據安全保護措施。

此外，對於涉及在多法域開展業務活動的擬上市企業，SEC則要求其須同時披露在各法域的數據合規相關情況。例如，SEC對某自動駕駛企業F-1表格的問詢中就要求其細化披露自身在美國加州開展道路測試過程中的數據收集處理情況，包括是否涉及在美國收集消費者數據、在美國收集和存儲數據的相關法律監管要求等。

3. 數據安全問題加劇VIE架構合規風險

2024年度，VIE架構企業赴美上市受到的數據合規監管力度顯著提升。一方面，《境內企業境外發行證券和上市管理試行辦法》明確將直接和間接境外上市統一納入備案管理，即VIE架構企業赴美上市同樣需完成境外上市備案。如前所述，數據安全為中國證監會在境外上市備案過程中的重點審查事項之一，無疑將對VIE架構企業赴美上市產生重大影響。

此外，在某些特殊領域，數據安全問題還可能加劇赴美上市企業VIE架構的業務合規風險。以智能駕駛為例，近年來我國持續強化測繪數據監管，自然資源部發布《關於促進智能網聯汽車發展維護測繪地理信息安全的通知》等多份文件，明確強調在道路測試、導航地圖製作等涉及測繪活動的場景，應確保地理信息數據安全並由有相應測繪資質的單位承擔相關工作。2024年，國家安全部發布了以開展汽車智能駕駛研究為掩護，在我國內非法開展地理信息測繪活動的典型案例。在此背景下，VIE架構可能導致擬上市企業因外資准入限制而難以獨立合規開展業務。例如，ECARX在2023年度年報中即披露其因VIE架構受到中國測繪資質方面的外資准入限制，已剝離並停止此前在中國開展的測繪業務；某車企則在招股書中披露其通過尋求與有測繪資質的合作方合作，以確保其境內業務活動的合規性。

二、2025年美股IPO數據合規趨勢分析

1. 中美科技貿易博弈導致退市風險大幅增加

2025年2月，美國政府發佈《美國優先投資政策》備忘錄，擬在此前《關於解決美國對有關國家的某些國家安全技術和產品的投資問題的第14105號行政令》的基礎上，進一步強化對美國資本對於中國某些領域的投資限制。該備忘錄特別強調，將重點審查中國上市公司是否符合《外國公司問責法案》（HFCAA）中關於審計底稿檢查的要求。而審計底稿中可能涉及大量公司數據、個人信息、商業祕密甚至國家祕密，擬上市企業在向SEC提供上述文件時，仍需遵守中國數據跨境及保密管理相關要求。若中概股公司連續三年無法滿足PCAOB的審計要求，將被強制退市。儘管中美監管之間達成了有關的備忘錄，但在中美貿易戰形勢下，有關文件可能難以落地。

更加令人擔心的是，據報道美國財長貝森特近日發表言論：「所有（針對中國的）政策選項均保留，包括將中國公司從美國證券交易所除名的可能性......一切都在考慮之中」。

2. 中美之間數據跨境流動限制加劇

2023年以來，美國方面先后發佈《關於防止受關注國家獲取大規模美國人敏感數據和美國政府數據的第14117號行政令》（「14117號行政令」）及其相關配套實施規則，對中國企業從美國獲取敏感個人數據等做出多方面限制，影響範圍涵蓋醫療健康、金融、科技、雲計算等諸多行業領域。在中國方面，儘管我國此前通過發佈《促進和規範數據跨境流動規定》，大幅減輕了數據跨境合規監管要求，但隨着中美貿易戰最終演變成數據戰，可預見的是，中美之間的數據跨境流動將面臨更為嚴峻的監管限制，數據跨境合規無疑將成為在美上市企業亟需重點關注的合規命題。

「生存還是死亡，這是個問題！」這句經典的臺詞已經成為所有美股上市公司的命題。近日香港財政司司長表示，已指示證監會和港交所做好準備，若在海外上市的中概股希望迴流，必須讓香港成為它們首選的上市地。可預見的是，大批中概股可能將會選擇迴歸港股和A股，而美國資本市場將在貿易戰和地緣政治的大背景下，尚待稽考。

蘇陽陽

北京辦公室  知識產權部

唐靜思

北京辦公室  知識產權部