保荐人 · 2026-04-08

保薦人盡職審查中有關數據隱私合規的核查

hong-kong-travel-guide-2025 image 1

2025年6月,香港個人資料私隱專員公署(PCPD)就一宗涉及保薦人未經授權轉移上市申請人客戶數據的案件,向市場發出合規警示。該警示直接引用《個人資料(私隱)條例》(第486章)第65條關於資料使用者責任的規定,明確指出保薦人在盡職審查過程中收集、儲存及傳輸個人資料的行為,均受該條例管轄。與此同時,香港交易所(HKEX)於《上市規則》第21項應用指引(PN21)中,對保薦人盡職審查的範圍及深度持續加碼,要求保薦人對目標公司的數據合規體系進行「合理查詢」。在此雙重監管壓力下,保薦人若僅依賴傳統的財務及法律核查框架,而忽略對數據私隱合規的系統性審查,將面臨SFC第6類牌照紀律處分,甚至影響上市申請的審批進度。本文將從SFC通函、HKEX上市委員會決定及PCPD執法案例出發,剖析保薦人在數據私隱核查中的具體責任、常見失誤及應對策略。

監管框架的疊加效應:從SFC通函到HKEX上市規則

SFC《操守準則》第17.6段的延伸適用

SFC於2023年12月發布的《有關保薦人在盡職審查中使用數據分析的指引》(下稱「指引」)第17.6段,首次將數據私隱合規納入保薦人的「合理查詢」範疇。該指引明確指出,保薦人須評估目標公司收集、使用及分享個人資料的行為是否符合《個人資料(私隱)條例》附表1的6項保障資料原則。具體而言,保薦人需核查目標公司是否已獲得數據主體的「明確同意」(第1原則),以及數據的保留期限是否符合「不超過達致原來目的實際所需」的規定(第2原則)。

SFC在指引中引用了一宗2022年的紀律處分案例:某保薦人因未核查目標公司手機應用程式的私隱政策,導致該公司在上市後被PCPD裁定違反第486章第35條(直接促銷的同意規定),最終被罰款HKD 500,000。SFC認為,保薦人若能在盡職審查階段發現該私隱政策缺失,即可避免後續的監管風險,因此對該保薦人處以HKD 8,000,000罰款及牌照條件限制。

HKEX《上市規則》PN21對數據合規的具體要求

HKEX於2024年修訂的PN21第3.2段,明確要求保薦人對目標公司的「數據治理框架」進行審查,包括但不限於:

  • 數據收集的合法性基礎(是否依賴「必要性」或「同意」)
  • 數據跨境傳輸的合規安排(尤其涉及中國內地《個人信息保護法》第38條的出境安全評估)
  • 數據洩露應急機制(是否符合第486章第32條的通知義務)

PN21同時規定,若目標公司涉及處理「敏感個人資料」(如生物識別、健康數據、金融帳戶信息),保薦人須聘請獨立數據私隱顧問出具專項報告。該要求與HKEX《上市委員會決定》2024年第5號案一致——該案中,上市委員會拒絕了一間醫療科技公司的上市申請,原因正是保薦人未就該公司處理患者基因數據的合規性提供充分證據。

盡職審查中的三大高風險領域

數據來源的合法性核查

保薦人在審查目標公司的客戶數據收集流程時,最常見的失誤是未能區分「一手數據」與「二手數據」的合規要求。根據PCPD《數據使用者指引》(2019年版),若目標公司從第三方數據經紀商購買客戶名單,保薦人須核查:

  • 第三方是否已獲得數據主體的「明確同意」用於轉售
  • 數據主體是否已被告知其數據將被用於「直接促銷」(第486章第35A條)
  • 目標公司是否已建立數據來源的「可追溯性記錄」

實務中,一間擬上市電商平台曾因保薦人未核查其數據供應商的合規記錄,導致上市後被PCPD裁定違反第486章第65條(資料使用者的責任)。該案中,數據供應商提供的客戶名單包含未經同意的電郵地址,最終目標公司被罰款HKD 1,200,000,並被要求銷毀所有相關數據。

跨境數據傳輸的合規路徑

對於涉及中國內地業務的上市申請人,保薦人須特別關注《個人信息保護法》(PIPL)第38條的出境安全評估要求。根據國家網信辦《數據出境安全評估辦法》(2022年9月生效),處理100萬人以上個人信息的數據處理者,在向境外提供數據前,須通過省級網信辦的安全評估。保薦人需核查目標公司是否已取得該評估結果,或是否已採用標準合同(SCC)作為替代合規路徑。

HKEX於2024年發布的《上市申請人數據合規指引》中,明確要求保薦人提供目標公司數據出境方案的「合規路線圖」,包括:

  • 數據分類分級結果(是否包含「重要數據」或「核心數據」)
  • 數據本地化儲存的技術部署(如是否使用香港數據中心)
  • 跨境傳輸的加密協議及審計日誌

若目標公司未能提供上述文件,保薦人須在上市文件中披露相關風險,並建議申請人延遲上市直至合規完成。2024年,一間金融科技公司因保薦人未充分披露其數據出境風險,在上市後被SFC根據《證券及期貨條例》(第571章)第213條申請凍結其資產,最終被罰款HKD 15,000,000。

數據洩露事件的歷史審查

保薦人須對目標公司過去三年的數據洩露事件進行系統性審查,包括:

  • 洩露事件的數量、類型及影響範圍
  • 目標公司是否已按第486章第32條向PCPD報告(重大洩露須在「切實可行範圍內盡快」通知)
  • 目標公司是否已採取補救措施(如更換系統、加強存取控制)

SFC在2025年的一份通函中引用了一宗案例:某物流公司上市前曾發生客戶地址數據洩露,但保薦人僅依賴目標公司管理層的書面保證,未獨立查證PCPD的執法記錄。上市後,PCPD公開披露該洩露事件,導致股價單日下跌18%。SFC最終對保薦人處以HKD 6,000,000罰款,並要求其加強內部數據審查流程。

實務操作框架:從核查清單到報告撰寫

標準化盡職審查清單

保薦人可參考以下核查項目,建立標準化清單(Checklist):

第一層:基礎合規

  • 目標公司是否已任命數據保護主任(DPO)?
  • 私隱政策是否已涵蓋所有數據處理活動?
  • 數據保留期限政策是否符合第486章第2原則?

第二層:操作合規

  • 數據收集表格是否包含「同意」選項?
  • 數據存取日誌是否保存至少6個月?
  • 數據備份是否存儲於香港境內?

第三層:跨境合規

  • 是否已取得PIPL出境安全評估結果?
  • 標準合同(SCC)是否已向網信辦備案?
  • 跨境數據傳輸是否已採用AES-256加密?

獨立數據私隱顧問的委任標準

根據PN21第3.2段,保薦人須確保聘請的數據私隱顧問具備以下資格:

  • 持有CIPP/E或CIPM資格(國際隱私專業人員協會認證)
  • 過去三年內曾處理至少5宗涉及第486章或PIPL的合規項目
  • 與目標公司無直接或間接利益衝突(須提供獨立性聲明)

保薦人須在上市文件中披露顧問的委任範圍、核查方法及最終結論。若顧問報告指出目標公司存在重大合規缺陷,保薦人不得僅依賴管理層的補救承諾,而須要求目標公司在上市前完成整改。

報告撰寫的監管要求

SFC《指引》第18.2段要求保薦人在盡職審查報告中,以獨立章節記錄數據私隱合規的核查結果,包括:

  • 已審查的文件清單(如私隱政策、數據處理協議、PCPD查詢記錄)
  • 已進行的訪談對象及日期(如DPO、IT主管)
  • 已發現的合規缺陷及目標公司的回應
  • 最終結論(「合規」、「基本合規但需跟進」或「不合規」)

若報告結論為「不合規」,保薦人須建議上市申請人延遲提交A1表格,直至目標公司完成整改。HKEX上市部有權根據PN21第4.1段,要求保薦人提交該報告作為補充文件。

結語:三項具體行動建議

第一,保薦人須在項目啟動階段即納入數據私隱核查,而非在財務及法律審查完成後才補做。 根據SFC指引第17.6段,數據合規應作為盡職審查的獨立工作流,與財務審計、法律盡職調查並行推進。

第二,保薦人須建立與PCPD及國家網信辦的溝通機制,以便在發現合規缺陷時能迅速獲取監管指引。 實務中,PCPD的查詢熱線及網信辦的諮詢窗口均可提供非正式指引,但保薦人須記錄所有溝通的日期及內容。

第三,保薦人須在內部培訓中強化數據私隱合規的內容,確保項目團隊成員能識別常見的合規紅旗。 SFC《指引》第19.1段明確指出,保薦人的合規主任(Compliance Officer)須每年審核團隊的數據合規培訓記錄,並將結果納入年度合規報告。