新近立法背景下赴港上市企业数据合规问题研究

2022-03-25

在新近立法背景下，内地与香港（以下简称“两地”）的数据监管法律体系，存在一定差异化规定，无论是已经在港上市还是计划在港上市的内地企业，都需要满足内地和香港网络安全和数据合规的要求，以及上市后的持续合规要求。在这篇文章中,通过对我国内地监管体系和香港数据监管框架的厘清，为内地企业赴港上市、中概股回港上市、中概股双重上市、内地与香港两地之间的合作提供法律支持。

一、赴港上市企业的数据合规必要性

（一）内地企业赴港上市掀起热潮

在全世界经济均深受新冠肺炎疫情影响的情形下,香港市场仍呈现出强劲的弹性与生命力。而根据相关统计资料,截止2021年底,已在港挂牌上市的中国内地公司已达1222家,约占全港总挂牌公司数量的47%。作为在亚洲地区领先的全球金融中心,港交所也显得更加具有竞争性和吸引力。中国内地也有直接选择在港挂牌的公司,如网易云音乐、蓝月亮、京东健康、小米集团、美团点评等。另外也有大量内地公司到港二次挂牌,如阿里巴巴、京东、网易、宝尊电子商务等。随着我国对境外上市公司网络安全监管力度的加强和与美国监管摩擦的加剧，多数企业已转向香港二次上市。在中国内地和中国香港，IPO浪潮的特征也有所体现，并显示出不同监管制度下IPO活动的不同。在中国，IPO数量与市场收益或波动性的变化之间没有显著关系。鉴于中国监管机构对国内IPO活动仍有强大影响力，这并不令人意外。中国证监会不仅决定哪些公司上市以及何时上市，还在它认为必要时行使关闭IPO市场的权力。^[1]内地与香港的资本市场发展具有相互影响的力量，体现在房地产投资上^[2]香港已然成为中国企业IPO首选之地。^[3]

为什么赴港上市对内地企业具有强大的吸引力？主要有如下三点：第一，内地企业在赴美上市失败后，并非真的能够完成转战港交所的雄心壮志。^[4]故，众多企业在最初选择上市地之际，就已经作出了赴港上市的决定。第二，香港资本市场在定位上,系国内资本市场与国外资本市场的中间联系人。针对内地企业赴港上市方面，中国证监会一直对符合条件的内地企业赴港上市融资持赞成态度。第三，近年来，赴港上市的政策呈现出利好态势，香港交易所发表了优化及简化境外发行人上市制度建议咨询摘要，并扩大二次上市制度范围，欢迎在海外上市及从事传统行业的内地公司来港上市。符合条件的发行人将获准在香港双重上市，同时保留现有的不同投票权(同股不同权)结构或可变权益实体结构。

（二）企业数据合规问题引发关注

资本市场越来越关注IPO企业的数据合规性。数据合规已然成为证监会股票发审委在企业申请上市过程中的新关注点。对于拟在香港上市的公司而言，数据获取、数据交融、数据传送、用户推广等节点的数据合规问题很可能成为企业上市的“障碍”。对于在香港上市的内地企业来说，如何让企业继续实现数据合规同样值得思考。

直接选择赴港上市、来香港双重上市、回港二次上市的企业数据合规要求并无较大差异。因此，针对企业赴港上市的数据合规问题探讨，本文对三种上市路径不予分别讨论。企业上市既要遵循内地监管要求，也要遵循上市所在地香港的监管要求。然而，在新近立法背景下，内地与香港（简称“两地”）的数据监管法律体系，存在一定差异化规定，无论是已经在港上市还是计划在港上市的内地企业，都需要满足网络安全和数据合规的要求，以及上市后的持续合规要求。

二、对“赴港上市”、“国外上市”以及“境外上市”的界定

我国法律规范中，就内地企业合规这一话题，常常与企业的“国外上市”、“境外上市”、“赴港上市”相关。香港属于我国固有领土，赴港上市显然不属于国外上市范畴之内，对于境外上市以及国外上市中的境外与国外法律语境差异的理解，将帮助我们理解赴港上市企业适用哪些规章办法。展开来讲，《网络安全审查办法》第七条明确提出是“国外”上市；《网络数据安全管理条例（征求意见稿）》将“国外”和“香港”上市分开表述；《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（简称“《规定》”）则规定了“境内企业境外发行上市”。争议集中在规定中的“境外”一词，对此该作如何解释？如果境外包含中国香港地区，意味企业赴港上市则可以适用《规定》中的相关条文。

根据《数据安全法》，数据“出境”的内涵为：第一，数据必须在中华人民共和国境内收集和生成;第二，重要数据面临出境;第三，向境外提供。《中华人民共和国出境入境管理法》（以下简称《出境入境管理法》）第89条第1款的规定：“出境，是指由中国内地前往其他国家或者地区，由中国内地前往香港特别行政区、澳门特别行政区，由中国大陆前往台湾地区。”可见，《出境入境管理法》对“出境”（境外）的定义有三层含义，一是指由中国内地前往其他国家或者地区；二是由中国内地前往香港特别行政区、澳门特别行政区；三是中国大陆前往台湾地区。由此可见，“中国境外”包括所有中国境外的国家和地区，以及中国境内香港、澳门和台湾地区。《规定》中的“境外”应当包括我国香港地区，企业赴港上市应该符合《规定》中的要求。我国内地公民的个人信息传递给香港地区时，应该受到中国内地就数据跨境流动相关法律规定的限制。

三、两地数据合规的立法体系对比

（一）香港法律规定及管理要求

澳门已经落地实施《网络安全法》相关规定，但香港尚未对《网络安全法》作出特别规定。但是，香港作为中国领土主权的重要组成部分，仍然需要遵守《国家安全法》关于维护国家主权和安全的规定。这意味在《网络安全审查办法》等下位法中，威胁到国家数据安全的行为需要受到《国家安全法》的约束。其次，在保障个人私隐资料方面，香港立法会于2021年通过了《2021年个人资料（私隐）（修订）条例草案》，草案的修订主要针对人肉搜索问题。《个人资料(私隐)条例》（PDPO）的修订已于2021年生效。当“人肉搜索”资料在网上平台上张贴时，专员有权向香港内外的服务提供者发出停止及终止行动的通知。

再次，随着全球网络安全监管力度的加强，以及选择在香港上市的企业数量的激增，建行国际行政总裁丰习来认为，加强网络安全监管将对香港资本市场产生影响，香港既面临机遇，也面临挑战。^[5]作为香港的主要监管机构，证监会于2017年引入“前置式”的监管方式，运用《证券及期货规则》(Securities and Futures Rules)实施对证券业的监管。香港监管当局有权进行调查及采取执法行动。这种积极主动的方法将重点从被动执法转变为更积极主动地使用最新技术收集和分析数据、检查上市公司的异常情况以及调查违规行为。最后，香港证监会成立了一个有关ICO的跨部门联合工作小组，以更积极地使用《证券及期货规则》赋予的权力，并更严格地采取执法措施，如发现违规行为后立即暂停涉嫌违反者的行动。^[6]

（二）内地法律规定及管理要求

在新近立法背景下，内地企业境外上市涉及的数据合规立法体系和监管体系不断完善，逐步迈向成熟。尤其，网络安全、数据安全和个人信息保护审查方面，获得企业赴港上市审查的重点关注。具体如下：第一，网络安全审查方面，《网络安全审查办法》于2022年2月15日起施行，对境外上市企业的网络安全审查作出若干规定；第二，在数据安全方面，《数据安全法》明确规定，企业在境外执法时，在提供证据前应报主管部门批准；第三，个人信息保护方面，《个人信息保护法》落地实行。

内地企业赴港上市遵循《网络安全法》、《数据安全法》、《个人信息保护法》并参照《网络数据安全管理条例（征求意见稿）》、《数据出境安全评估办法（征求意见稿）》等规定做好数据出境管理体系搭建及风险评估工作，提交的《股份有限公司境外首次公开发行股份(包括普通股、优先股等各类股票及股票派生的形式)审批》材料。数据监管法律法规的颁布，顺应了数字经济的发展和资本市场监管的趋势。在这篇文章中,通过对我国内地监管体系和香港数据监管框架的厘清，为内地企业赴港上市、中概股回港上市、中概股双重上市、国内与香港两地之间的合作提供法律支持。

（三）网络安全审查与个人信息保护问题引出

通过对两地关于企业合规的法律体系的梳理，发现新版《网络安全审查办法》对于赴港上市是否需要接受网络安全审查等规定存在模糊地带，就《网络安全审查办法》第七条企业境外上市部分而言，没有对赴港上市企业提出明确要求。另外，香港与内地针对个人信息的保护分别采用不同的法律规范。对于个人隐私数据保护，香港出台《个人资料（私隐）条例》。那么我国出台《个人信息保护法》在对于用户个人信息保护的应用上是否会存在法律监管上的冲突呢？为此，笔者将挖掘赴港上市企业数据合规所涉以上两个焦点问题的解决与思考。使得企业明确自身应履行怎样的数据合规义务，减轻企业数据合规成本，维护维护网络安全，保护用户个人信息。

四、网络安全审查下企业数据合规义务履行

（一）《网络安全审查办法》下企业赴港上市并非无需审查

《网络安全审查办法》（以下简称“《办法》”）第7条规定：“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查。”网信办工作人员曾就此发表意见解释，《办法》第七条适用的主体是拟国外上市的企业。由此看来，第一，对于需要接受审查的赴国外上市企业为网络平台运营者。据《中华人民共和国网络安全法》规定，网络平台运营者提供网络服务与管理，并且属于网络所有者。第二，仅仅针对拟上市企业，已在国外上市的企业不属于依据《办法》第七条规定应主动申报网络安全审查的范畴。第三，赴国外上市企业显然不包括赴香港上市企业，相应地拟赴香港上市企业不属于依照此规定主动申报并接受审查的范围之内。

赴港上市企业所引发的数据安全风险相较于赴国外上市的风险可能整体上相对可控，《条例（征求意见稿）》针对赴国外上市数据处理者与赴香港上市数据处理者并未规定相同的网络安全审查申报的适用门槛，即《条例（征求意见稿）》并未从数据处理量级以及类型的角度对于赴香港上市数据处理者申报网络安全审查的条件进行规定，赴香港上市数据处理者只有在存在影响或者可能影响国家安全的情况下，才需要履行网络安全审查申报义务。《网络数据安全管理条例（征求意见稿）》第13条（二）规定的处理一百万人以上个人信息的数据处理者赴国外上市的需要申报网络安全审查的要求与《办法》中第7条内容基本相同。《条例（征求意见稿）》13条的（二）和（三）对“赴国外上市”与“赴港上市”分别作出不同规定。结合前文对“赴港上市”、“国外上市”以及“境外上市”的界定，《办法》第十条（六）情形对企业赴港上市的审查要求不予适用。

虽然，新版《网络安全审查办法》没有规定赴港上市必须主动申报网络安全审查，仅提到“赴国外上市”企业需申报网络安全审查，但这并不意味着企业不需要继续面临审查。结合《中华人民共和国网络安全法》《数据出境安全评估办法（征求意见稿）》《网络数据安全管理条例（征求意见稿）》等法规规定，上位法优于下位法，法律效力高于规章的效力，《网络安全法》属于《网络安全审查办法》的上位法，《网络安全法》对于网络安全的规定同样适用于《办法》，已在国外上市或拟赴香港上市的企业依旧面临着审查。综上情形，从跨境数据流动的角度来看，涉及的是境外数据流动，内地赴香港上市的公司需要注意的是，即使不需要进行网络安全审查，在数据跨境传输时，也需要主动进行数据安全评估。对于影响国家安全的情况，需要积极的接受安全审查。

（二）企业赴港上市准备阶段的数据合规义务履行

香港交易所成为了包容、开放的市场，然而，内地企业赴港上市的流程比较复杂，企业赴港上市过程中涉及多个机构，包括中国证监会、各地证监局的证券监管机构、有保荐业务资格的证券公司、会计师事务所及律师事务所、以及地方政府行政职能部门等等。依据中国证监会发布的《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（以下简称《规定》），对于以下四类情况，将设置严格的监管红线，禁止企业赴境外上市：一是法律法规明确禁止上市和融资;二是危害国家安全;三是存在重大所有权纠纷;四是违法犯罪行为。《规定》总体上支持依法合规的境内企业利用境外资本市场融资发展。

内地企业选择赴港上市后在第一阶段需要委托上市保荐人及其他专业顾问，包括包销商、会计师、外国及本地律师、资产评估师、股票过户处等；公司应征询专业顾问团队的意见，以商讨公司是否适合上市及上市相关事宜，确定大股东对上市的要求，执行初步销售计划。^[7]在上市过程的启动阶段，应立即委托专业中介机构对企业进行有针对性的网络数据安全合规工作，并对既已识别出的风险点进行及时整改，以确保有效应对证券监管机构可能提出的关于企业网络安全、数据合规和算法等相关询查，并能在招股说明书中如实、准确地披露和回复，企业一般会在招股说明书的“概要”章节以及“风险因素”章节对网络安全审查相关事项予以披露。符合在香港上市条件的企业，须为港交所认为适合在香港上市的发行人及企业。至少在前三个财政年度，管理层基本保持不变，所有权和控制权至少在最近一个经审计的财政年度基本保持不变。^[8]

上述工作也可以帮助企业有效提高其经营合规性，避免在上市准备阶段因经营合规性问题而被国内监管部门通知或处罚，产生不良舆论影响，进而对企业境外上市造成潜在的不利后果。积极了解网络安全和数据合规方面的监管案例，企业人员可以借助律师和保荐人代表的协助提前做好用户隐私保护工作，降低拟上市企业潜在的数据合规风险。

（三）已上市企业的网络安全审查与持续合规

网络安全审查并不会因企业赴港成功上市而终止，在港上市公司同样面临来自内地的网络安全审查与数据监管。公司管理不善和披露虚假或误导性数据，以诱导交易、延迟披露价格敏感数据是上市公司最常见的市场失当行为，经证监会调查，很可能对相关上市公司、保荐人、上市公司高级管理层予以处罚。香港监管机构独立董事对上市公司进行质询和调查。内地企业在香港完成上市后亦应持续关注数据与信息保护方面的立法动态，及时完善公司的数据合规体系，做好数据合规方面的评估工作。依据《网络数安条例（征求意见稿）》第40条，向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度数据在境外的存放地点、存储期限、使用范围和方式等。

此外，香港公司亦须接受本地的网络安全审计和数据合规监管。在香港的公司主要受香港公司注册处和税务局两家机构规管。香港公司须向香港公司注册处(相当于国家内地的工商事务局)提交年报。香港税务局的职责与国内税务部门职能相差无几。香港公司每年须向税务局处理三项事宜。首先，他们必须向税务局提交工资单。第二，商业登记证应每年更新。第三，向税务局缴纳当年的商业登记费。香港公司的年审大致包括以下内容:第一，更换新的商业登记证;第二，香港公司的年报;第三，香港公司每年都要向税务局递交AUDITOR'S REPORT(核数师报告^[9]) 安排报税^[10]。香港上市公司需要在年报和投资者关系中披露数据和网络安全合规情况。以猫眼娱乐为例，在2020年度报告的环境、社会及管治部分，披露了公司对于数据安全和用户隐私保护问题，坚持《中华人民共和国网络安全法》《电信和互联网用户个人信息保护规定》《电信和互联网用户个人电子信息保护通用技术要求和管理要求》相关规定，并建立信息安全和用户隐私保护机制，以降低信息泄露的风险。此外，为了应对有害程序、网络攻击等信息安全突发事件。猫眼娱乐制定专项应急预案，强化信息安全工作。对于用户端信息安全管理，公司在本年度针对用户个人隐私数据对APP进行了全面自查，同时做出多项有关保护用户隐私安全的政策变更，如在《隐私政策》中进一步明确了收集和使用个人信息的目的、方式和范围，增加了用户有权访问、更正、刪除用户个人信息的功能等。对于公司内部信息安全管理，公司在本年度从不同维度甄别了产品、用户以及公司的敏感信息，并对其进行分级管理，制定了不同级别的安全应对策略，以加强员工获取敏感信息的审批规范，切实保障公司内部数据及信息安全。

猫眼娱乐在2019年度报告中，同样披露了数据安全和用户个人隐私保护情况，除了要遵循关于网络安全和个人信息保护方面的法律法规，对于用户个人信息的收集，应明确告知用户收集的信息类型、功能用途和隐私保护政策，并在获得用户的许可后进行收集。在用户敏感信息的保护方面，制定《敏感信息界定标准和敏感信息获取审批流程》。针对信息安全管理，公司制定了《猫眼信息安全和保密规范》。针对突发的系统安全问题，建立了一套安全漏洞评级与处理标准，明确了安全漏洞评级标准和修复时间，规范系统安全出现突发情况的处理办法，提高系统安全性。猫眼娱乐的多套信息系统均应获得国家信息系统安全等级保证认证。此外，为了增强员工的信息安全意识和保密意识，公司对信息员工进行培训，通过公众号推送文章形式将信息安全融入到员工的潜意识当中，使香港上市企业持续符合数据合规要求。由此可见，企业选择赴港上市，既要遵循本国监管要求，也要遵循上市所在地的监管要求，优化和夯实企业数据持续合规工作。

五、企业数据合规要求下对用户个人信息资料的使用

近年来，个人信息泄露频繁发生，企业必须遵守跨境披露个人信息的要求。据国家网信办2020年首次发布的《中国网络诚信发展报告》显示，28.5%的受访者表示自己经常遭受个人信息泄露，而只有14.8%的受访者表示从未遭受过个人信息泄露。^[11]目前，中国内地对个人数据跨境流通有严格的管理。政府、法人和社会组织内部都有数据跨境流入和流出的审查机制，法律风险控制部门也有相应的职能。一些企业甚至设立了数据合规官，专门负责数据进出的合规审查。然而，香港和澳门的跨境数据流通环境相对宽松和自由。特别是香港致力于建设国际数据流通中心，需要接受来自世界各地的数据流和信息流。

（一）内地对企业数据进行本地化存储

2013年，美国中央情报局(CIA)的前承包商爱德华·斯诺登(Edward Snowden)披露了“棱镜门^[12]”事件，暴露出美国通过一个名为PRISM的监视项目跟踪在线通信，严重损害了他国的国家利益。^[13]美国在全球范围内窃取数据的问题由此曝光。在数据驱动的智能时代，数据自由流动本身会带来网络红利。在棱镜门事件发生后，一些国家政府如俄罗斯、德国等提出拟增加数据跨境流动的条件，公民的在线数据应托管在国内，这些主张依赖于免受外国政府监视、个人隐私保护、支持本地主机业发展，提升国内竞争力等好处。^[14]

在这样的背景下，对数据进行本地化存储对于维护国家安全具有十分重要的作用。内地企业在香港资本市场上市，会涉及到证监会各部门、地方办事处和单位在监管工作中产生和收集的内部数据。比如，企业的账户数据、交易数据、结算数据、备案登记数据、信息披露数据等。交易数据会涉及到用户在与公司完成业务交易过程中涉及到的个人数据。我国内地《个人信息保护法》第四十条明确要求，面对公众提供网络信息服务或者重要行业的关键信息系统的运营者（CII，关键信息基础设施运营者）以及处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供个人信息的，应当通过国家网信部门组织的安全评估。另外，2017年网信办发布《个人信息和重要数据出境安全评估办法（征求意见稿）》，以及《评估指南（征求意见稿）》等规范性文件，要求企业将特定数据留存在本地，即使个人信息和重要数据确需出境，也必须遵循安全评估流程、要点和方法。^[15]

由此可见,在我国内地的大数据跨国流通实行的是以境内存储的基本原则。有限度的数据本地化存储,同时对跨国的重要数据保持国家层面的审核权,已经成为了当前我国国际贸易规则的普遍共识,也是我国加入《全面与进步跨太平洋伙伴关系协定》(CPTPP)的明确目标。企业在向境外提供个人信息的时候,仍然需要按照我国《个人信息保护法》的有关规定来实施,向数据主体及时通报了国外收接方的身份和联系方式,以及信息的处理目的和处理方法,事先开展对个人信息保护影响的评估，通过采取一定措施，使境外接受人的个人信息处理活动符合《个人信息保护法》要求的个人信息保护标准。

（二）《个人资料（私隐）条例》数据跨境流通规则框架

借鉴国际经验，香港于1995年出台的《个人资料（私隐）条例》^[16]属于香港涉及到个人隐私法律体系的核心，于2021年修订《2021年个人资料（私隐）（修订）条例草案》。条例里面第33条规定，除非存在33条规定的8种情形，否则禁止将个人资料转移到香港之外的地区。此外，隐私专员公署专门制定了《跨境资料转移指引》^[17]作为专门指引，成为企业合规、问责、伦理道德监督机制，对个人资料跨境转移做出了规定。

具体到香港的数据跨境流通规则框架，香港主要以《个人资料（私隐）条例》、《跨境资料转移条例》、《跨境资料转移指引》为基础，保障个人资料的安全。香港地区的个人信息保护采取的是弱保护模式，违反《个人资料（私隐）保护条例》的行为并不直接可诉，只有资料使用人违反了其他法律条文才可以被起诉。

中国内地的《个人信息保护法》与香港立法会通过《2021年个人资料（私隐）（修订）条例草案》对用户个人信息资料的使用上应遵循对用户个人数据的保护。香港地区的《个人资料（私隐）条例》、《跨境资料转移条例》与中国大陆地区《网络安全法》、《个人信息出境安全评估办法》分别规定了不同的个人信息监督管理机构，同时对数据和隐私的范围界定也有区别，不同地区法律法规的适用范围不同。中国香港地区基于私隐管理系统，通过视察、人事制度和评估来实施问责。香港会设置“保障资料主任”（即数据保护官），评估企业业务涉及到的私隐安全与风险。

（三）国外涉及企业跨境数据合规案件启示

2020年5月19日，脸书（Facebook）因触犯隐私法规支付给加拿大竞争局（The Competition Bu?reau）数百万美元的和解费，该案件在风险与监管宽严程度关系方面为我们提供了以下启示：如果企业未能在个人信息或隐私政策中“精确描述其涉隐私的实践行为”，就会给企业带来额外的风险，继而会被纳入更严格的监管 。^[18]2018年 5 月 30 日，加拿大互联网政策与公共利益科（CIPPIC）协同加拿大隐私专业办公室（OPC）以允许第三方应用程序访问个人信息等 3项违规事由起诉Facebook。^[19]对于以上涉及到的数据合规问题，美国就数据安全合规一方面不容许其他国家任意染指本国数据，以保障美国的技术与经济优势；另一方面，其更倚仗自身的技术优势在全球任意获取数据，以破除他国数据保护壁垒并实现美国的利益。^[20]除美欧外，其他国家也在美欧的影响下建立了不同的数据治理规则。例如印度就根据数据的敏感程度作出区分，通过数据控制者与数据主体之间形成私法协议，在后者同意的前提下完善企业的数据使用和跨境。与之类似，菲律宾也采用这种对数据控制者和数据主体的法律关系协调模式，在不强制数据本地化存储的前提下强化企业全流程的数据维护责任。^[21]

六、结论

数据合规对于企业的自身发展而言具有强大的战略意义，数据合规是一家企业进军资本市场的通行证。对于数据安全的保障不仅仅是企业的社会责任，还是一家企业在市场竞争中保持核心竞争力的重要要求。针对企业赴港上市数据合规问题，笔者提出以下几点建议：

首先，关注立法动态，注重多重合规。新近立法背景下，赴港上市涉及到内地企业跨境传输数据，近年来，内地关于数据流动的法律监管体系不断完善，以网易云赴港上市^[22]为例，企业业务会产生大量数据，需要遵守中国及其他司法管辖区有关数据隐私及安全的法律法规，包括《个人信息保护法》《数据安全法》《关于依法从严打击证券违法活动的意见》《网络安全审查办法》《数据处境安全评估办法》《网络数据安全管理条例》以及《关于加强网络秀场直播和电商直播管理的通知》等等。依照《网络安全法》规定，企业如果没有按照要求提交合格的个人信息出境安全评估申请材料，将会面临暂停相关业务、关闭网站，直接负责人面临罚款等处罚。

我国香港就中国内地赴港上市的监管出台了相应的利好政策，展现香港资本市场对内地企业的包容与开放态度。具有较为完善的数据监管和信息保护体系，2021年修订《个人资料（私隐）条例》、《跨境资料转移条例》。国内企业赴港上市需密切关注两地的立法动态、法律法规和相关标准，不仅要做到内地数据传输合规，还要把握好数据主体、数据控制者、数据传输目的地的多重合规。内地赴港上市企业的数据合规义务履行，需要按照网络安全、数据安全等国家安全法律法规和有关规定，切实履行国家安全保护义务。涉及安全审查的，应当依法履行相关安全审查程序。

其次，加强两地资本市场数据监管等领域密切合作。内地与香港应通力合作，推动香港和内地的网络安全合作，保障数据流动安全，促进经济社会可持续发展。例如，两国证监会定期举行高级别工作会议，完善跨境风险防范和跨境衍生品监管合作机制，在日常监管、执法、信息交流、人员交流等方面合作日益密切顺畅^[23]，为两个市场的顺利运行提供强有力的监管保障。内地的“一带一路”等倡议策略为两地的网络安全合作以及香港的跨境数据安全实践带来了机遇。

再次，企业主动申报审查。国内网络平台运营商或数据处理商，无论是在境外上市还是在香港上市，只要从事数据活动，均应遵守外商投资、网络安全、数据安全等国家安全法律法规及相关规定。在香港上市时，是否需要申报进行网络安全审查，主要取决于该主体是否会影响或可能影响国家安全。存在可能影响或可能影响国家安全的情况时，应当申报进行网络安全审查。笔者认为，只要网络平台运营商或数据处理商涉及到数据处理，特别是超过百万人的个人信息处理，在香港上市时最好主动申报网络安全审查。是否影响或可能影响国家安全将由网络安全审查办公室决定。加强数据合规意识，最大限度地降低违规风险。考虑遵守跨境数据流和保护个人信息。

复次、关于信息域外管辖权的确定，无论是处理个人信息的行为人在境内、被处理的信息涉及境内自然人，还是处理行为发生地涉及境内的物理地址，只要三者有其一指向境内，跨境的个人信息就可以划入域外管辖的范围。关于域外管辖界定原则，欧盟和中国大陆均基于信息处理行为，即只要被处理的信息涉及境内自然人就可以划定为域外管辖范围，而信息处理者在境内还是境外不是决定性因素。^[24]欧盟和中国大陆均未采纳信息主体的狭义属人原则。这种以信息处理行为为原则的界定方式，涉及的域外管辖范围比以信息主体为境内自然人的界定原则涉及的范围要大。中国香港和澳门地区则采取不同的个人信息（在中国港澳地区法律文本中被称为个人资料（Personal Data））域外管辖界定原则。可纳入域外管辖范围的个人资料包括两种情形：第一，信息处理主体在境内；第二，信息处理主体能通过设在境内的服务器或服务供应商执行处理行为。

最后，国外涉及企业跨境数据合规案件启示我们应完善数据治理规则，2017年6月正式实施的《中华人民共和国网络安全法》第37条规定了关键信息基础设施运营者数据本地化原则。外国公司有义务在中国境内为用户保留服务器，即使成本增加，也明确了个人信息和重要数据的本地存储、出境评估等法律义务。^[25]数据交互频繁，可能既涉及个人数据，也涉及商户数据、商品数据、支付数据、物流数据等不同敏感和非敏感数据的交互融合流动，新近立法背景下，面对监管的新趋势、新要求，建议企业应明晰其涉隐私的具体实践行为，出境前应通过国家网信部门组织的数据出境安全评估，出境后编制数据出境安全报告，在公司年报编制涉个人隐私与数据安全章节。关注本行业、本地区对于数据的额外要求，对企业员工定期开展数据安全教育培训，以规避不利后果的发生。

参考文献：

[1]Gü?bilmez U. IPO waves in China and Hong Kong[J]. International Review of Financial Analysis, 2015, 40: 14-26.

[2]Leung C K, Tang E C H. Speculating China economic growth through Hong Kong? Evidence from the stock market IPO and real estate markets[J]. Evidence from the Stock Market IPO and Real Estate Markets (April 18, 2013), 2013.

[3]Moore J D. In the Ascendancy-Why Hong Kong is the Venue of Choice for Chinese IPOs[J]. Int'l Fin. L. Rev., 2006, 25: 26.

[4]参见袁源.：赴美上市受阻？港交所跃跃欲试![N]，载国际金融报，2021年8月9日。

[5]参见丰习来：网络安全强监管如何影响资本市场，载《北大金融杂志》第9期。

[6]参见香港证监会2020-2021年报，网址：https://sc.sfc.hk/gb/www.sfc.hk/web/TC/published-resources/corporate-publications/annual-reports/

[7]参见网址：http://www.tannet-group.com/Group/398/15263/20190212054828，最后访问日期，2022年2月15日。

[8]参见前注7。

[9]核数师报告相当于我国内地的审计报告。

[10]参见网址：http://www.hkexnews.hk/listedco/listconews/advancedsearch/search_active_main_c.aspx，最后访问日期，2022年2月17日。

[11]参见网址：http://www.cac.gov.cn/2020-12/07/c_1608908349121859.htm，最后访问日期，2022年2月19日。

[12]“棱镜门”事件之后，美国窃取全球数据的问题日益暴露。 例如2020年8月7日，《华盛顿邮报》报道，一家与美国国防和情报部门有联系的美国小公司将其软件集成到500多个移动应用程序中，使其能够跟踪全球数亿用户的位置数据。有军事背景的公司在美国将500多个应用程序转化为跟踪软件，涉及数亿用户。具体参见《外媒惊曝：美国有军方背景的公司在 500多款应用中植入跟踪软件，涉及数亿用户》，载中国日报网https://mp.weixin.qq.com/s/TwlhXM9B7yoNvFaJopjTtg，最后访问日期，2022年2月19日。

[13]Gabi Siboni, David Siman-Tov, Cyberspace Extortion: North Korea versus the United States, INSS Insight No. 646, Dec. 23, 2014.

[14]John Selby, Data Localization Laws: Trade Barriers or Legitimate Responses to Cybersecurity Risks, or Both?, International Journalof Law and Information Technology, 2017, Vol.26, p.216.

[15]参见黄春林：《网络与数据法律实务———法律适用及合规落地》，人民法院出版社2019年版，第121页。

[16]参见网址：https：//www.pcpd.org.hk/，香港个人资料私隐专员公署官网，最后访问日期，2022年2月14日。

[17]参见网址：https://max.book118.com/html/2019/1018/6155035044002114.shtm ，最后访问日期，2022年2月17日。

[18]BERNICE KARN，CHRIS HERSH，MARCO CIARLARI?ELLO.Facebook’s multi- million dollar settlement with the commissioner of competition increases the risks faced by organizations for non- compliance with privacy laws[EB/OL].（2020-05-26）[2021-05-27]

[19]STEVE COUGHLAN，ROBERT J CURRIE，HUGH MKINDRED，etal. Law beyond borders：extraterritorial jurisdiction in an age of globalization[M].Toronto：Irvin Law，2014：230.

[20]See Secil Bilgic, Something Old, Something New, and Something Moot: The Privacy Crisis Under the CLOUD Act, 32 Harvard Journal of Law & Technology 321, 331-332 (2018) .

[21]See Graham Greenleaf, Asia’s Data Privacy Dilemmas 2014-2019: National Divergences, Cross-Border Gridlock, 4 UNSW Law Research Paper 49, 55 (2019).

[22]参见网址：https://www1.hkexnews.hk/listedco/listconews/sehk/2021/1123/2021112300033_c.pdf，最后访问日期，2022年2月19日。

[23]参见网址：https://www.pdpc.gov.sg/Overview-of-PDPA/The-Legislation/Personal-Data-Protection-Act，最后访问日期，2022年2月19日。

[24]W GREGORY VOSS.Cross-border data flows，the GDPR，and data governance[J].Washington law review，2020（3）：485-532.

[25]See Liudmyla Balke, China's New Cybersecurity Law and U.S.-China Cybersecurity Issues, 58 Santa Clara, Vol. 58, 2018, p.155.

本文作者：

声明：            

本文由德 恒 律 所律师原创，仅代表作者本人观点，不得视为德 恒 律 所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。