跨境IPO項目中保薦人面對的司法管轄衝突與協調

2025年第二季度，香港交易所（HKEX）接連處理兩宗涉及中國內地新經濟企業的上市申請，其招股書中對VIE架構（Variable Interest Entity）的披露方式，與中國證監會（CSRC）境外上市備案新規之間出現顯著表述差異，最終導致其中一宗申請被上市委員會發回要求補充法律意見。此事件並非孤立案例，而是跨境IPO項目中司法管轄衝突常態化的縮影。對於持牌保薦人（SFC 6/6A牌照持有人）及其內部合規團隊而言，在一個項目中同時滿足香港《上市規則》（HK Listing Rules）、香港證監會（SFC）《操守準則》（Code of Conduct）、中國證監會《境內企業境外發行證券和上市管理試行辦法》（2023年3月生效）以及數據安全、國家安全審查等內地法規，已從「最佳實踐」轉變為「最低合規門檻」。本文將聚焦保薦人在此類多層監管疊加環境下，所面對的實際司法管轄衝突場景，並提出可操作的協調框架與文件管理策略。

一、監管疊加的核心衝突：披露標準與保密義務

1.1 香港《上市規則》的全面披露原則 vs 內地數據出境限制

香港交易所《主板上市規則》（Main Board Listing Rules）第2.13條及第11.07條明確要求招股書須包含「所有合理投資者作出知情評估所需的一切資料」，此為「全面披露」（full disclosure）原則的基石。然而，中國《數據安全法》（2021年9月生效）及《個人信息保護法》（2021年11月生效）對重要數據及個人信息的出境設有嚴格審查機制。保薦人在進行盡職調查時，往往需要取得目標公司持有的用戶數據庫結構、客戶名單及供應鏈細節。若該公司屬於《網絡安全審查辦法》（2022年2月修訂）中定義的「關鍵信息基礎設施運營者」或「掌握超過100萬用戶個人信息的網絡平台運營者」，則其向境外（包括香港）傳輸任何相關數據前，須通過國家網信辦（CAC）的安全評估。2024年SFC與CAC簽署的《監管合作備忘錄》雖建立了溝通渠道，但未從根本上豁免保薦人的數據合規責任。實務中，保薦人常面臨兩難：若要求客戶提供完整數據以滿足HKEX披露要求，可能觸犯內地數據出境禁令；若僅依賴客戶提供的摘要或脫敏版本，則可能被SFC視為盡職調查不足，違反《操守準則》第17.6段關於「合理查詢」（reasonable enquiry）的規定。

1.2 中國證監會備案制下的「實質審查」與香港「註冊制」的邏輯衝突

中國證監會《境內企業境外發行證券和上市管理試行辦法》（以下簡稱「備案新規」）自2023年3月31日起實施，要求所有直接或間接在境外上市的境內企業（包括通過VIE架構）向CSRC提交備案材料。與香港的「披露為本」（disclosure-based）註冊制度不同，CSRC備案審查包含對企業合規性、行業政策及國家安全的實質判斷。2024年CSRC公開的備案補充材料要求中，多次要求申請人就VIE架構的合規性、外商投資負面清單的適用情況以及數據安全審查進度作出詳細說明。這與HKEX上市委員會在審閱VIE架構時側重於披露控制權安排及風險因素的思路存在本質差異。保薦人在編寫招股書時，必須同時預測兩個監管機構的關注點，並在文件措辭上預留靈活性。2025年3月，一宗涉及在線教育行業的上市申請，因CSRC備案審查中對其業務模式是否符合「雙減」政策提出質疑，導致HKEX上市委員會要求保薦人額外出具針對性法律意見，項目進度延遲超過六個月。

二、VIE架構與外商投資負面清單：法律意見的管轄權博弈

2.1 VIE架構合規性的雙重法律意見要求

傳統上，香港IPO項目中涉及VIE架構的保薦人，會委聘一家中國律師事務所出具關於VIE合規性的中國法律意見，以及一家香港或離岸律師事務所出具關於開曼/BVI控股公司層面的法律意見。然而，隨著CSRC備案新規及《外商投資法》（2020年1月生效）的實施，中國律師事務所出具的法律意見正面臨更嚴格的審查。2024年CSRC發布的《監管規則適用指引——境外發行上市類第2號》明確要求，中國律師事務所須對VIE架構的合規性、是否存在規避外商投資限制的情形以及相關協議的可執行性發表明確意見。這與部分香港保薦人過去接受的「存在即合規」的寬鬆意見標準形成直接衝突。保薦人內部合規團隊必須確保兩地律師的法律意見在關鍵結論上保持一致，而非簡單地「各說各話」。2025年5月，SFC在一份針對某保薦人的紀律處分決定中，明確批評其接受的中國法律意見未能充分披露VIE協議中「表決權委託」條款在內地《民法典》下的可撤銷風險，構成《操守準則》第17.6段下的盡職調查缺失。

2.2 外商投資負面清單的動態更新與披露時效

中國《外商投資准入特別管理措施（負面清單）》自2017年以來每年更新，2024年版負面清單將「增值電信業務」的外資股比限制由50%調整為「禁止投資」，直接影響大量採用VIE架構的互聯網平台企業。保薦人在項目啟動時使用的法律意見，可能因負面清單的年度更新而在遞交A1表格時已過時。根據HKEX《上市規則》第9.11(18)條，保薦人須確保招股書中的陳述在最後實際可行日期（LD）前仍屬準確。這意味著保薦人必須在整個項目週期內（通常6-12個月）持續監控負面清單的變化，並在每次更新時重新評估VIE架構的合規性。實務中，保薦人應在項目時間表中預留至少兩次「合規壓力測試」窗口：一次在初步盡職調查完成後，另一次在聆訊前兩週。若負面清單在窗口期間發生變動，保薦人須立即啟動補充法律意見程序，並評估是否需要修改招股書中的風險因素及業務描述。

三、數據合規與網絡安全審查：保薦人盡職調查的技術壁壘

3.1 網絡安全審查的觸發門檻與項目時間表衝突

《網絡安全審查辦法》第七條規定，掌握超過100萬用戶個人信息的運營者赴國外上市，必須向網絡安全審查辦公室申報網絡安全審查。此處「國外上市」是否包括香港，在2021年辦法初版時存在爭議，但2022年修訂版已明確將香港納入。截至2025年6月，CAC官方公布的通過網絡安全審查的企業名單僅有約30家，審查週期通常為3至9個月，且無明確的法定時限。對於保薦人而言，這意味著項目時間表中最不確定的外部環節並非HKEX的審閱週期，而是CAC的審查進度。2024年，一家計劃在主板上市的內地物流平台，因其系統涉及交通運輸領域的「重要數據」，CAC審查耗時11個月，導致其財務報表在項目期間已過有效期，保薦人被迫重新審計。保薦人內部合規指引應明確規定：在簽署保薦人協議前，必須要求客戶提交初步的數據分類分級報告，以評估其觸發網絡安全審查的可能性。若觸發風險高，保薦人應在項目時間表中將CAC審查設為關鍵路徑任務，並在保薦人協議中加入相應的時間豁免條款。

3.2 數據出境安全評估與招股書披露的協調

即使企業無需啟動網絡安全審查，其日常運營中的數據出境行為仍可能受《數據出境安全評估辦法》（2022年9月生效）約束。保薦人在盡職調查中，須核查目標公司是否存在向境外（包括其開曼控股公司或香港營運實體）傳輸用戶個人信息或重要數據的情況。若存在，則須確認其是否已通過CAC的數據出境安全評估，或是否符合標準合同條款（SCC）或個人信息保護認證等替代路徑。2025年3月，CAC發布《促進和規範數據跨境流動規定》，對部分場景（如跨境購物、跨境物流）的數據出境進行了豁免，但豁免範圍仍不明確。保薦人應要求中國律師在盡職調查報告中，對目標公司的每一類數據出境場景進行逐項分析，並明確標註其合規狀態。此類分析應作為招股書中「監管風險」章節的底稿，並在招股書中適當披露尚未完成的數據出境合規步驟。HKEX上市委員會在2024年的一份指引信中明確表示，對於數據合規狀態存在重大不確定性的申請，委員會將傾向於要求保薦人提供更詳細的風險披露，而非簡單地將問題推遲至上市後解決。

四、行動框架：保薦人合規管理的具體建議

第一，在項目啟動階段建立「雙軌合規清單」，分別對應HKEX《上市規則》第9.11至9.13條的披露要求，以及CSRC備案新規及其配套指引的備案要求，確保兩份清單在關鍵事項（如VIE合規、數據安全）上存在交叉驗證機制。

第二，將中國法律意見的出具時點提前至初步盡職調查階段，並要求中國律師事務所明確說明其意見是否基於對最新版外商投資負面清單及數據出境法規的審查。意見中須包含對「變更條款」（change of law clause）的敏感性分析，以應對項目期間法規變動。

第三，在保薦人協議中嵌入「監管時鐘條款」，明確將CAC網絡安全審查、CSRC備案補充材料要求等外部監管程序的耗時，排除在保薦人對項目時間表的承諾之外，並約定因此產生的額外費用分攤機制。

第四，建立跨司法管轄區的律師團隊協調會議制度，至少每兩週舉行一次，由保薦人合規主管主持，確保中國律師、香港律師及離岸律師（開曼/BVI）在法律意見的假設前提、事實基礎及結論措辭上保持一致。

第五，在招股書風險因素章節中，設立專門的「跨境監管風險」子章節，以表格形式列出每一項主要監管要求（如CSRC備案、CAC安全審查、數據出境評估）的當前狀態、預計完成時間以及未完成時的潛在後果，為投資者提供清晰的風險圖譜。