保荐人 · 2026-04-30

保薦人如何處理上市申請人的跨境數據傳輸合規風險

hong-kong-travel-guide-2025 image 1

2025年6月,中國國家互聯網信息辦公室(CAC)正式實施《促進和規範數據跨境流動規定》的配套細則,明確將「重要數據」的出境安全評估門檻從100萬人個人信息調整為「可能影響國家安全或公共利益」的定性標準。與此同時,香港交易所(HKEX)在《上市規則》第19A章及第21項應用指引中,持續要求上市申請人披露數據合規狀況,並授權保薦人對其跨境數據傳輸安排進行「合理查詢」。這兩個監管軸心的交匯,直接將保薦人的盡職審查責任推向一個新維度——不再僅是審閱法律意見書,而是必須實質評估申請人業務運營中數據流動的合規性與可持續性。對於持有證監會(SFC)第6類(企業融資)及第6A類(保薦人)牌照的機構而言,忽視此環節的風險,可能導致上市申請被退回、保薦人被紀律處分,甚至觸及《證券及期貨條例》(第571章)下的失當行為責任。

跨境數據傳輸合規的監管框架與保薦人責任邊界

保薦人處理上市申請人的數據合規問題,首先需要釐清自身責任的法定邊界。根據SFC《操守準則》第17.6段,保薦人須對上市申請人的業務及法律合規情況進行「合理盡職審查」,而跨境數據傳輸合規正是近年來監管機構重點關注的領域。HKEX在2024年12月發布的《上市決策》HKEX-LD149-2024中明確指出,若申請人的業務涉及將個人信息或重要數據傳輸至境外,保薦人必須取得相關監管機構(如CAC、國家網信辦或行業主管部門)的批准或備案文件,並在招股書中作出充分披露。

具體而言,保薦人需要關注三個層面的法規要求。第一層是《中華人民共和國網絡安全法》(2017年生效)及《中華人民共和國數據安全法》(2021年生效)中關於數據分類分級保護的規定,特別是針對「關鍵信息基礎設施運營者」(CIIO)的數據出境限制。第二層是《個人信息保護法》(2021年生效)第38條至第40條,要求個人信息處理者在向境外提供個人信息時,必須通過國家網信辦組織的安全評估、取得專業機構的個人信息保護認證,或按照標準合同與境外接收方訂立合同。第三層是2024年3月發布的《促進和規範數據跨境流動規定》,該規定放寬了部分場景下的申報要求,例如國際貿易、學術合作、跨境購物等活動中非頻繁、非大量傳輸個人信息的,可免於安全評估。

保薦人必須認識到,這些法規的適用範圍並非靜態。以「重要數據」為例,其定義在不同行業存在顯著差異——金融行業的「重要數據」由中國人民銀行(PBOC)及國家金融監督管理總局界定,而醫療、交通、能源等行業則各有其主管部門的標準。保薦人在盡職審查時,不能僅依賴申請人自行申報的數據分類,而應要求其提供行業主管部門的書面確認或合規評估報告。

盡職審查程序中的關鍵節點與文件驗證

業務流程圖的數據流映射

保薦人盡職審查的第一個實質步驟,是要求申請人提供完整的業務流程圖,並在此基礎上標註所有涉及數據出境的節點。這不僅包括明確的數據傳輸行為(如將用戶資料發送至境外伺服器),還包括間接的數據出境場景,例如境外員工通過VPN訪問境內系統、境外合作夥伴使用境內API接口獲取數據、或境外母公司合併報表時匯總境內子公司的財務及客戶數據。

以一家擬在主板上市的金融科技公司為例,其業務可能涉及將境內用戶的交易記錄、信用評分、身份證件信息傳輸至位於新加坡或香港的數據中心進行處理。在這種情況下,保薦人需要確認該公司是否已按照《個人信息保護法》第38條的規定,完成了個人信息保護影響評估(PIA),並與境外數據接收方簽訂了符合國家網信辦標準格式的《個人信息出境標準合同》。若該公司被認定為CIIO,則還需取得CAC的安全評估通過文件。

合規文件清單與驗證方法

保薦人應建立一套標準化的合規文件清單,至少包含以下五類文件:第一,數據分類分級管理制度及主管部門的備案回執;第二,個人信息保護影響評估(PIA)報告;第三,個人信息出境標準合同或認證證書;第四,CAC安全評估通過通知(如適用);第五,行業主管部門(如PBOC、工信部等)的專項合規意見。

文件驗證的關鍵在於確認其真實性與時效性。保薦人應直接向出具文件的監管機構或第三方認證機構進行核實,而非僅依賴申請人提供的副本。SFC在2023年對某保薦人的紀律處分案例中明確指出,保薦人未能核實申請人提供的CAC安全評估文件的真實性,構成盡職審查不足,最終被罰款1,200萬港元並暫停牌照6個月。此案例強調了直接驗證程序的重要性。

特殊結構的合規挑戰:VIE與紅籌架構

採用可變利益實體(VIE)架構或紅籌架構的上市申請人,面臨更為複雜的數據合規問題。在VIE架構下,境內運營實體與境外上市主體之間通過一系列合同安排進行控制與利潤轉移,但數據的實際控制權通常仍歸屬於境內實體。這意味著,即使境外上市主體在開曼群島或百慕達註冊,其數據處理活動仍受中國數據法律的管轄。

保薦人需要特別關注VIE協議中關於數據訪問權限的條款。若境外上市主體或其董事、管理層能夠直接訪問境內運營實體的數據庫,則可能被視為「數據出境」,從而觸發安全評估義務。此外,HKEX在《上市規則》第19A章中要求VIE架構申請人披露其結構的合規風險,包括數據傳輸的合法性。保薦人應在招股書的「風險因素」章節中明確說明,若未來中國數據法律進一步收緊,可能導致VIE協議無法執行,從而影響上市主體的業務持續性。

招股書披露的標準與實務操作

風險因素章節的具體化要求

招股書中關於數據合規的披露,不能停留在「可能面臨監管風險」的泛泛表述。HKEX在2024年修訂的《上市規則》第11.07條及相關指引中,要求申請人具體說明其數據處理活動的類型、涉及的法規、已取得的批准文件、以及未取得批准可能導致的具體後果。

保薦人應指導申請人按照以下結構撰寫風險因素披露:第一,數據類型與規模——明確列出所處理的個人信息類別(如身份信息、金融信息、生物識別信息)及數量級(如用戶數、交易筆數);第二,傳輸路徑——說明數據從境內收集到境外處理的具體技術路徑,包括是否使用雲服務、境外伺服器所在地、以及數據加密方式;第三,合規狀態——逐一列明已取得的批准文件及其有效期,以及尚在申請中的事項;第四,潛在風險——量化分析若無法取得批准或批准被撤銷,對收入、成本、用戶規模的具體影響。

法律意見書的獨立性與覆蓋範圍

保薦人通常會依賴申請人的中國法律顧問出具的數據合規法律意見書。然而,保薦人不能將此視為自身盡職審查的替代。SFC《操守準則》第17.6段明確要求保薦人對第三方專家的意見進行「獨立評估」,包括審查其工作底稿、質疑其假設前提、以及必要時聘請第二專家進行交叉驗證。

實務中,保薦人應要求中國法律顧問在意見書中明確說明其審查的範圍——是否僅針對已取得的批准文件,還是包括了對申請人業務流程的實質審查。若意見書僅為「文件審閱」層面,保薦人則需自行或委託獨立技術顧問對申請人的數據安全管理體系進行現場檢查,重點包括:數據分級制度的執行情況、員工數據訪問權限的管理、以及數據加密與備份的技術措施。

持續性合規義務的披露

上市並非數據合規的終點。保薦人應在招股書中披露申請人上市後的持續性合規義務,包括但不限於:定期向CAC提交數據出境情況報告(如適用)、每年更新個人信息保護影響評估、以及建立數據安全事件應急響應機制。HKEX在《上市規則》第13.46條中要求上市發行人持續披露重大合規事項,保薦人應在申請階段即協助申請人建立相關內部控制制度,以確保上市後能夠履行持續披露義務。

實務案例與監管趨勢

近期監管處分案例的啟示

2024年11月,SFC對某保薦人作出紀律處分,原因之一是其未能充分審查申請人的數據合規情況。該申請人為一家從事跨境電商業務的公司,其業務模式涉及將境內用戶的訂單信息及支付數據傳輸至境外物流合作夥伴。保薦人在盡職審查中僅取得了一份由申請人自行編製的數據合規聲明,而未要求其提供與境外合作夥伴簽訂的數據處理協議,也未核實該協議是否符合《個人信息保護法》的標準合同要求。SFC認為,保薦人未能識別出該協議中缺少數據安全保障條款,構成盡職審查不足,最終對保薦人處以罰款800萬港元。

此案例凸顯了兩個要點:第一,保薦人不能僅依賴申請人提供的內部文件,而應直接審查其與第三方簽訂的合同;第二,數據合規不僅涉及中國法律,還可能涉及數據接收方所在國家或地區的法律(如歐盟GDPR、新加坡PDPA等),保薦人應評估這些法律之間的衝突與協調。

2025-2026年監管趨勢展望

展望2025年下半年至2026年,中國數據出境監管將呈現三個明確趨勢。第一,CAC將進一步細化「重要數據」的認定標準,並可能推出行業特定版本的數據出境安全評估指南。保薦人應密切關注金融、醫療、交通等重點行業的動態。第二,香港與內地之間的數據跨境流動安排可能出現突破。2024年,香港特區政府與國家網信辦簽署了《關於促進粵港澳大灣區數據跨境流動的合作備忘錄》,預計2025年將出台具體實施細則,允許符合條件的企業在備案制下進行數據跨境傳輸。保薦人應評估申請人是否能夠利用這一便利化安排。第三,SFC與HKEX將進一步加強對數據合規披露的審查力度。2025年第一季度,HKEX已對兩家申請人的招股書發出補充意見,要求其詳細披露數據傳輸的技術細節,這表明監管機構對數據合規的關注已從「形式合規」轉向「實質合規」。

保薦人合規體系的系統性升級建議

基於上述分析,保薦人應從三個層面系統性升級其數據合規審查能力。第一,團隊建設層面:保薦人應在內部設立數據合規專崗,或與具備數據法律專業背景的外部律師事務所建立長期合作關係。第二,流程標準化層面:建立涵蓋數據分類、合規文件清單、第三方驗證程序的標準作業流程(SOP),並將其納入保薦人盡職審查手冊。第三,技術工具層面:考慮引入數據流映射軟件或合規管理平台,以提高對申請人數據處理活動的可視化與審計效率。

具體行動建議如下:

  • 在盡職審查啟動階段,即要求申請人提供完整的數據流圖及數據分類分級報告,並將其作為業務盡職審查的基礎文件之一。
  • 對於涉及個人信息出境的申請人,應直接向CAC或行業主管部門查詢其合規狀態,而非僅依賴申請人提供的文件副本。
  • 在招股書風險因素章節中,具體量化數據合規風險對申請人業務的潛在影響,避免使用模糊表述。
  • 建立上市後的持續合規監控機制,確保申請人在上市後能夠履行定期報告及重大事項披露義務。
  • 密切跟蹤粵港澳大灣區數據跨境流動便利化安排的進展,並評估其對申請人業務結構的影響。