保薦人如何處理上市申請人的敏感商業信息保護

2025年4月，香港證監會（SFC）發表《2024年持牌人及註冊機構的投訴及紀律行動年報》，披露全年接獲涉及保薦人及第六類牌照機構的投訴共47宗，較2023年上升21%。同一期間，港交所（HKEX）上市委員會在兩宗上市決策中，明確指出申請人對「關鍵客戶身份」及「未公開供應鏈數據」的保密安排，直接影響了《上市規則》第9.11(23)條下的盡職審查充分性判斷。這兩項事件疊加，將一個長期存在但鮮少被系統討論的合規議題推向前臺：保薦人在處理上市申請人敏感商業信息（Confidential Business Information, CBI）時，如何在《個人資料（私隱）條例》（第486章）、SFC《操守準則》第16.2段及港交所《上市規則》第8.04條的交叉約束下，既不觸犯法律紅線，又不削弱盡職審查的質量。本文從監管實務出發，拆解CBI保護的具體場景、合規邊界及操作框架。

監管框架下的信息保護義務與盡職審查張力

第486章與SFC《操守準則》的雙重約束

保薦人在處理上市申請時，同時受《個人資料（私隱）條例》（第486章）及SFC《操守準則》第16.2段的規範。第486章規定資料使用者（data user）在收集、使用及披露個人資料時，須遵守六項保障資料原則（Data Protection Principles, DPPs），包括資料收集目的必須直接與使用者的職能相關，且資料不得在未經資料當事人同意下用於新目的。SFC《操守準則》第16.2段則要求保薦人「採取一切合理步驟，以確保上市申請人符合《上市規則》的規定」，這意味著保薦人必須對申請人的客戶、供應商、分銷商及最終實益擁有人進行穿透式審查。

兩項法規的交叉點在於：申請人主張的「商業機密」或「客戶私隱」往往恰好是保薦人需要核實的關鍵信息。以分銷商網絡審查為例，申請人可能以分銷商名單為商業秘密為由，拒絕向保薦人提供完整明細，或僅提供經過脫敏處理的版本。保薦人若接受此類限制，可能違反《操守準則》第16.2段的盡職審查義務；若強行要求完整披露，則可能觸犯第486章中關於資料收集必須「不超乎適度」的規定（DPP1(3)）。

港交所上市委員會的2024年裁決先例

港交所上市委員會在2024年11月的一宗裁決（Decision HKEX-LD-2024-015）中，明確將「申請人對關鍵客戶信息的保密處理方式」納入《上市規則》第9.11(23)條的審查範圍。該裁決指出，申請人以其最大客戶為「戰略合作夥伴」為由，僅向保薦人提供了該客戶的業務往來摘要而非完整合約及對賬單。上市委員會認為，保薦人未能取得足夠原始文件以核實該客戶的收入貢獻比例，構成盡職審查不足，最終要求申請人補充披露並重新提交A1申請。

該裁決的關鍵啟示在於：上市委員會不接受「商業機密」作為豁免盡職審查的通用理由。若申請人主張特定信息屬於商業機密，保薦人必須記錄申請人的具體理據，並採取替代驗證措施（如第三方函證、實地走訪、行業數據交叉比對），且該等措施的範圍與深度須達到《操守準則》第17.6段所要求的「合理盡職審查」標準。

敏感商業信息的具體場景與合規處置方案

客戶身份與供應鏈信息的脫敏與還原

在實務中，最常見的CBI衝突場景集中於客戶身份及供應鏈信息。申請人可能以客戶合約中的保密條款為由，拒絕向保薦人披露終端客戶名稱，或僅提供代號（如「客戶A」、「供應商B」）。保薦人面對此類情況，應採取分層處理策略：

第一層：要求申請人提供客戶合約中關於保密條款的具體章節，並由申請人的法律顧問出具法律意見，確認該條款是否確實禁止向保薦人披露客戶身份。若保密條款僅禁止向「競爭對手」或「公眾」披露，則保薦人作為專業顧問，通常不屬於受限範圍。

第二層：若保密條款確實涵蓋保薦人，保薦人應要求申請人向客戶取得豁免同意函（waiver letter），明確授權申請人向保薦人披露相關信息。SFC在《有關保薦人盡職審查的常見問題》（2023年更新版）第5.4條中明確指出，申請人未能取得客戶豁免同意函，不能作為保薦人免除核實責任的理由。

第三層：若客戶拒絕出具豁免同意函，保薦人應啟動替代驗證程序。例如，由獨立第三方會計師事務所對申請人與該客戶之間的交易進行抽樣函證，或由保薦人團隊在申請人辦公場所內查閱原始合約（而非複印或帶走），並在查閱過程中由申請人法律顧問在場見證，記錄查閱範圍及結果。

知識產權與技術秘密的盡職審查

對於以技術驅動的上市申請人（如生物科技、半導體設計、軟件開發公司），其核心資產往往體現為專利、商業秘密或專有技術。此類信息在《上市規則》第8.04條下屬於「足以對申請人業務作出知情評估」的必要信息，但申請人可能以技術洩露風險為由，限制保薦人查閱原始技術文檔。

保薦人在此場景下的合規操作框架應包括：

• 由申請人委託獨立技術專家（如認可的專利代理機構或行業顧問）出具技術盡職審查報告，該專家須簽署保密協議（NDA），且其報告內容應涵蓋技術的先進性、可專利性及與競爭對手的差異化分析。
• 保薦人團隊中指定一名合規官（Compliance Officer）作為唯一接觸原始技術數據的窗口，該合規官須簽署雙重保密協議（一份對申請人，一份對保薦人機構），並在完成審查後銷毀所有非必要副本。
• 在招股書（prospectus）中對技術信息的披露範圍進行精準控制，僅披露《上市規則》第11.07條所要求的最低限度信息，並在風險因素章節中明確說明「部分技術細節因商業機密原因未予全面披露」。

最終實益擁有人（UBO）信息的穿透審查

SFC於2022年修訂的《打擊洗錢及恐怖分子資金籌集指引》第4.5.3段明確要求保薦人對上市申請人的最終實益擁有人（UBO）進行穿透審查，直至確認至自然人層面。然而，申請人可能以家族私隱或商業安排為由，拒絕披露UBO的完整股權架構。

保薦人應注意，SFC指引第4.5.5段規定，保薦人「不得僅依賴申請人提供的陳述或保證」，而應取得獨立證據。若申請人主張UBO信息屬於敏感商業信息，保薦人可採取以下措施：

• 要求申請人提供由開曼群島、BVI或香港的註冊代理人出具的股權架構證明文件，該等文件通常由持牌信託或公司服務提供者（TCSP）簽發，具有法定效力。
• 若申請人使用信託架構持有股權，保薦人應要求信託受託人出具書面確認，列明信託的受益人範圍及最終控制人，並由受託人的法律顧問確認該披露不違反信託文件中的保密條款。
• 在極端情況下，若申請人仍拒絕提供UBO信息，保薦人應考慮該申請人是否構成《打擊洗錢條例》（第615章）下的高風險客戶，並據此決定是否繼續接受委任。

保密協議（NDA）的設計與執行實務

NDA的條款結構與監管要求

保薦人與申請人之間的保密協議（NDA）是處理CBI的核心法律工具。然而，實務中常見的NDA問題包括：保密期限過長、例外條款過窄、以及缺乏對監管機構查閱權的明確豁免。

從合規角度，保薦人應確保NDA包含以下關鍵條款：

• 監管查閱豁免條款：明確約定，若SFC、HKEX或任何具有管轄權的監管機構要求保薦人提供相關信息，保薦人有權在合理通知申請人後向該等機構披露，且不視為違反保密義務。此條款直接對應SFC《操守準則》第12.1段中關於保薦人須配合監管調查的義務。
• 盡職審查目的限制條款：明確信息僅可用於上市申請相關的盡職審查目的，不得用於其他商業用途。此條款有助於保薦人在面對第486章DPP3（資料使用限制）的質疑時，證明信息使用的正當性。
• 信息保留與銷毀條款：約定在上市申請終止或完成後，保薦人須在指定期限內（通常為6至12個月）銷毀或歸還所有保密信息，並出具書面確認函。此條款與SFC《記錄保存指引》第3.2段中關於記錄保存期限的規定保持一致。

NDA談判中的常見陷阱與應對

保薦人在與申請人談判NDA時，常遇到以下三類陷阱：

第一，申請人要求將「商業機密」的定義範圍擴大到涵蓋「所有與申請人業務相關的信息」，包括公開信息。保薦人應堅持將定義限縮為「非公開且經申請人明確標示為機密的信息」，並排除以下類別：在披露時已為公眾所知的信息、保薦人獨立開發的信息、以及從第三方合法取得的信息。

第二，申請人要求保薦人承擔「無過錯保密責任」，即即使因不可抗力或第三方違法行為導致信息洩露，保薦人仍須承擔責任。保薦人應拒絕此類條款，並將保密責任限於「合理謹慎」標準。

第三，申請人要求在NDA中加入「禁止保薦人為其他客戶提供類似服務」的非競爭條款。此類條款直接違反SFC《操守準則》第6.1段中關於持牌人不得限制客戶選擇權的規定，保薦人應堅決拒絕。

2025年監管趨勢與合規準備

港交所對CBI處理的披露要求更新

港交所於2025年2月發布的《上市委員會報告2024》中，明確將「申請人對敏感信息的處理方式」列為2025年上市審查的重點關注領域。報告指出，上市委員會將要求保薦人在A1申請文件中，以獨立章節說明其對申請人CBI的識別、評估及處理過程，包括：哪些信息被認定為CBI、申請人主張CBI的具體理據、保薦人採取的替代驗證措施，以及該等措施是否足以支持《上市規則》第8.04條下的披露完整性。

此項要求意味著保薦人須在盡職審查初期即建立CBI識別與管理流程，而非等到上市委員會提問時才被動回應。建議保薦人在內部合規手冊中增加「CBI處理標準作業程序（SOP）」，並在每次上市項目啟動會議中，將CBI識別作為首要議程項目。

SFC對保薦人CBI管理的檢查重點

SFC在2024年第四季度對六家持牌保薦人進行了主題視察（thematic inspection），重點審查其對申請人CBI的處理合規性。根據業界反饋，SFC的檢查重點包括：

• 保薦人是否建立了書面的CBI分類與處理政策，以及該政策是否涵蓋所有常見CBI場景（客戶信息、供應鏈數據、技術秘密、UBO架構等）。
• 保薦人是否在盡職審查工作底稿中記錄了與申請人就CBI保護進行的每一次溝通，包括申請人提出限制的具體時間、保薦人的回應、以及最終達成的處理方案。
• 保薦人是否對其員工進行了關於第486章及SFC《操守準則》中CBI相關規定的定期培訓，以及培訓記錄是否完整。

SFC預計將在2025年下半年發布《主題視察報告》，其中可能包含對CBI處理的具體指引。保薦人應在報告發布前，主動檢討內部CBI管理流程，並考慮聘請外部法律顧問進行合規審計。

結語與行動建議

保薦人在處理上市申請人敏感商業信息時，面臨的是《個人資料（私隱）條例》、SFC《操守準則》及港交所《上市規則》三套法規的交錯約束。2024年至2025年的監管動向顯示，無論是SFC的紀律行動還是上市委員會的裁決，均傾向於要求保薦人承擔更重的核實責任，而非接受「商業機密」作為信息不完整的藉口。

以下為五項具體行動建議，供保薦人內部合規團隊參考：

1. 在上市項目啟動階段，即與申請人簽署包含監管查閱豁免條款及目的限制條款的NDA，並將NDA條款納入保薦人委任函（engagement letter）的附件。
2. 建立CBI分類矩陣，將申請人信息分為「可完整披露」、「可脫敏披露」、「僅限指定人員查閱」及「需替代驗證」四類，並在盡職審查工作底稿中記錄分類依據。
3. 對所有涉及CBI的替代驗證措施，保留完整的書面記錄，包括驗證程序的設計、執行人員、時間、地點及結果，以備SFC或HKEX日後查閱。
4. 每半年對內部合規團隊進行一次第486章及SFC《操守準則》CBI相關規定的培訓，並由合規官簽署培訓確認書。
5. 在A1申請文件中，主動以獨立章節說明CBI處理方式，包括申請人主張的理據、保薦人採取的應對措施，以及該等措施如何確保《上市規則》第8.04條的合規性。