2025-2026年度IPO数据合规观察报告
责编:gltian |2026-04-23 14:27:27第一部分:港股IPO数据合规专题
一、 概述
截至2025年12月31日,港股市场累计受理上市申请逾612宗,其中仍处于审核排队阶段的企业共321宗。本报告聚焦2025全年度及2026年2月前已成功上市的部分企业数据合规实践,并结合我们为企业提供数据合规专项服务的实操经验,提炼有关监管重点与合规要点。
(一) 基本趋势
2025年港股上市申报与审核节奏显著提速。数据合规已成为联交所、香港证监会及中国证监会问询的核心,是拟上市企业顺利通过审核的关键要件。
从监管趋势看,港股数据合规审查重点正从“形式合规”向“实质有效”深化:不仅关注制度文件的完备性,更重视数据处理全生命周期的执行落地;不仅覆盖境内合规,更延伸至境外业务的数据保护适配;不仅要求静态披露,更强调动态风险应对能力。特别是AI、自动驾驶、医疗等重点领域,监管的问询颗粒度显著细化。
(二) 样本行业分布图表
本报告撰写参考的样本企业分布图表如下:
二、2025港股涉数据合规披露/问询要点
在剖析各行业特殊的合规问询前,必须先夯实所有行业通用的数据合规基座。因此,我们结合本年度参与港股IPO数据合规项目的实战经验,对《2024-2025年度IPO数据合规观察报告》总结的通用要点进行了迭代。
监管的审核尺度在这一年发生了实质性位移。为了直观展现最新的监管重心,我们将本次新增及调整的内容以加粗下划线提示方式进行了标注。
三、 2025年度重点行业涉数据合规披露/问询要点
(一) AI行业
1. 监管环境与合规不确定性风险
相较于其他行业,AI行业的监管相关规定正在迅速更新,在多家样本企业的风险章节披露中,均强调了中国AI、网络安全、数据合规监管体系持续迭代收紧,新法规细则不断出台,法规解释与执行存在一定不确定性,关键概念可能尚无明确判定标准;企业可能无法保证现有合规措施始终适配最新监管要求,违规将引发声誉、业务、财务、法律等多重不利后果;此外,境外业务还涉及披露需适配多国数据合规规则和境外AI监管规则,基于法规更新发展的特点,跨境数据传输、AI合规成本与难度可能显著提升。
2. 人工智能法律法规专项披露
相较于其他行业在监管章节设置专章披露网络安全、数据安全、个人信息保护基础法规的惯常披露,AI行业的样本企业部分会设置专章披露AI专项法规内容,包括《生成式人工智能服务管理暂行办法》《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《人工智能生成合成内容标识办法》等AI核心法规的适用性及理由;此外,除监管章节进行该等披露外,监管部门还可能要求在业务章节中细化披露上述适用的AI专项法规的合规义务履行情况。
3. 不同数据来源区分披露
相较于其他行业企业,AI行业企业的数据来源更加多样,可能覆盖自行通过产品或服务采集、第三方采购商业数据集、公开渠道抓取等多方面的数据来源,对于该项内容的披露往往需要区分不同来源,逐一说明各来源数据的收集方式、范围、合法性基础等。
4. 模型训练合法性重点披露
模型训练作为监管关注的重点环节之一,除了可能涉及回复具体将哪些数据用于模型训练外,还可能需要细化披露将该等数据用于模型训练的合法性,例如是否取得授权等。值得注意的是,鉴于将个人信息用于模型训练会面临更重的合规义务,部分样本企业会明确不涉及将个人信息用于模型训练;此外,对于整合开源模型的数据训练相关问题,还可能进一步被要求回复知识产权侵权风险等。
5. 第三方合作数据合规披露
如果企业涉及向第三方采购数据,或者委托第三方进行处理,解释清楚这些合作的合规性是避不开的必答题。我们理解,现在的问询不再满足于看合同纸面,而是要看实质问题。这会涉及披露第三方供应商的合规情况,以及协议中对于责任划分的具体条款。特别是针对第三方在处理过程中的脱敏、去标识化等技术手段,以及企业如何对合作方进行持续的合规审计和实时监控,已经成为问询的高频问题。
6. AI相关合规义务细化履行披露
上文所示,如具有AI专项法规内容的适用性,则会被要求在业务章节细化披露:算法合规情况(重点强调算法备案情况);生成式人工智能备案/登记情况;对生成内容显式标识和隐式标识义务履行情况;内容审核与违法内容处置情况等。
(二) 生物与医药行业(含18A)
1. 医疗行业特殊数据合规相关法规披露
除了通常的数据合规相关法规的披露外,医疗行业的样本企业会基于所涉业务适用的法规,更加细化说明所涉具体特殊包含数据保护相关规定的法规,包括《药物临床试验质量管理规范》《医疗卫生机构网络安全管理办法》《人工智能医用软件产品分类界定指导原则》《人工智能医疗器械注册审查指导原则》《医学检验实验室基本标准和管理规范(试行)》等。
2. 敏感个人信息保护
鉴于医疗行业的特殊性,其业务开展伴随着海量敏感个人信息的全生命周期流转。从样本企业的实践来看,监管问询已转向“实质性安全”。拟上市企业需穿透式披露处理敏感信息的“特定目的”与“最小必要”原则落实情况,并详细说明“法定告知”与“单独同意”的获取链路。在安全层面,针对敏感个人信息的去标识化等要求已经被重点提及。在涉及未成年人医疗数据时,监护人授权的闭环流程及特殊保护义务的履行,已成为监管审核中的重点。
3. 临床试验场景数据合规
作为重点业务场景之一,涉及临床试验的企业通常会结合GCP相关规定与数据合规要求,细化披露临床受试者数据的收集、存储、使用等全生命周期的合规性;部分企业还会被要求关注其数据质量问题,披露临床试验数据是否真实、完整、可追溯等。
4. 药品不良反应监测场景数据合规
作为履行法定义务履行的一个重点场景,部分医疗企业被要求披露不良反应数据处理的合规性,其中涉及收集的合法性、与医院、经销商合作开展上报工作的场景的合法性、数据留存期限的合法性等内容。
5. 医学数据利用合规
在收集大量医疗数据后,部分企业会将该等数据用于医学研究等开发利用目的。对于该类数据利用行为,监管会关注用户的知情同意、用户数据去标识及匿名化处理、以及向其他合作方提供数据的合规性等内容。
6. 第三方合作场景数据合规
对于多数企业而言,在业务开展中不可避免需要与CRO、CDMO、合作医院、数据供应商等第三方机构开展合作。对于该类合作,监管关注披露双方的数据处理角色、资质与合规审核要求、数据处理协议签订情况、对于第三方的监督机制等。
7. 医疗相关数据跨境合规
基于开展全球多中心临床试验与新药/器械研发、国际医学科研与学术合作等业务需要,监管关注是否涉及数据出境行为。对于涉及数据出境的企业,会进一步披露具体场景与所涉的数据类型(个人信息、重要数据、人类遗传资源、科学数据等),并明确是否落入豁免情形及理由。
8. AI应用场景数据合规
在AI辅助诊疗、医学影像AI等场景下,会同时涉及数据合规、人工智能相关监管及医疗行业特殊监管问题,对于该类场景,监管关注训练数据的合法性,数据的安全合规性(是否脱敏、去标识、告知同意等);医疗AI相关产品或服务是否已符合行业监管要求;是否已经完成生成式人工智能备案/登记等备案要求;医疗AI生成内容是否符合标识规则,诊疗决策是否已实现留痕可追溯、可解释等特别要求。
9. 集团架构下的数据交互情况
在涉及多家医疗机构运营的集团型IPO项目中,监管机构最为核心的担忧在于:海量且高度敏感的医疗健康数据在集团层面过度汇聚,从而触及数据安全或公共利益的“阈值”。
(三) 汽车行业(含自动驾驶)
1. 敏感个人信息与车外影像数据脱敏处理
针对行踪轨迹、生物识别信息(人脸、声纹)、车内影音等敏感个人信息,监管重点关注告知与同意机制。对于车外人脸、车牌等无法取得个人同意的影像数据,监管关注处理方式的合规性,在脱敏后应及时删除原始可识别数据,以及紧急调用原始数据后的销毁机制等内容。
2. 数据处理的“最小必要”原则
针对自动驾驶研发及车联网等服务,监管关注数据处理的“最小必要”原则,包括辅助驾驶及智能座舱系统等收集数据的类型和时点,并考量数据收集是否严格限定于保障行车安全、提升驾驶体验及算法迭代优化等目的的必要范围等。此外,针对测试场景,会关注测试数据的用途边界,包括是否仅限于自动驾驶系统的安全运行、训练及完善,且不存在超范围采集或未经授权的数据滥用等行为。
3. 高精地图与激光雷达点云数据合规
鉴于测绘数据的特殊性,监管重点关注企业的资质与数据安全。部分样本企业会披露高精地图合作方是否具备导航电子地图制作资质,以及合作模式是否合规。对于激光雷达点云数据,部分样本企业会披露其脱敏处理机制,以确保数据不含可识别的个人或敏感地理信息。
4. 重要数据识别与风险评估机制
鉴于依据《汽车数据安全管理若干规定(试行)》,汽车数据的重要数据有明确的类型界定,监管机构会关注部分企业是否按规定识别出敏感区域地理信息、车外视频、超过10万人的个人信息及充电网数据等重要数据。部分样本企业会披露是否已指定数据安全负责人与管理机构,是否按期开展风险评估及报送工作,是否已依据《网络数据安全管理条例》建立重要数据动态识别与申报机制的建立情况等内容。
5. 供应链第三方数据合作合规管控
鉴于汽车产业链涉及大量云服务商、零部件供应商及测试机构等第三方,监管机构会关注企业对第三方数据处理活动的管控能力。部分样本企业会披露对第三方的准入审核机制、数据处理协议签订情况及责任划分、合作终止后的数据销毁或返还的验证机制等内容。
6. 境内外数据隔离情况
针对涉及跨国运营及出海业务的部分样本企业,除了常规内容,监管机构还会关注不同法域数据隔离问题,即境内外数据的物理或逻辑隔离情况,各地数据是否分开运营、分开存储等内容,以符合数据跨境的监管要求。
(四) 消费品与电商行业
1. 消费者个人信息收集与使用合规
监管关注企业处理消费者个人信息时是否遵循合法、正当、必要、目的限制原则,是否落实境内存储,以及是否建立了到期后的匿名化或删除机制等合规要求。
2. 第三方合作数据管控
鉴于消费品行业高度依赖加盟商与供应链,监管关注企业对合作方数据处理活动的约束能力。样本企业需披露是否与加盟商、供应商签订了数据处理协议,是否明确了数据保护、保密及销毁责任,是否建立了对合作方的监督机制等。
3. 未成年人/儿童个人信息保护
针对特定行业(如玩具、教育等),监管会关注对儿童信息的特殊保护,部分样本企业会专项披露儿童个人信息保护机制,更多的样本企业(通常披露不主动收集未成年人信息,且不将其用于商业化营销,以规避相关风险。
(五) 物流与电商供应链行业
对于该类企业的披露内容,监管会重点关注数据处理角色的界定问题。部分SaaS服务商样本企业会重点披露其作为受托方受托处理数据,而不自主决定处理目的与方式。在此基础上,再细化披露收集会员手机号、配送地址、订单信息等履约必需数据的合规性,包括是否遵循合法、正当、必要原则,是否落实加密存储、访问管控及去标识化/脱敏处理措施。
(六) 保险与金融科技行业
与2024年相比,2025年度该行业的披露重点仍聚焦在金融客户敏感个人信息保护的问题,无更多的特殊变化,相关企业在准备时仍应将该问题作为核心关注要点。
四、 对拟上市企业的合规建议
(一) 适用性评估与前置管理
1. 不同监管要求的适用
监管要求正在逐步细化,建议针对企业特点,系统梳理拟上市企业是否落入不同的监管区间:如AI专项法规(如生成式AI、算法推荐、深度合成)、医疗特殊法规(如人遗资源、科学数据)及汽车数据安全规定等。
2. 前置备案与审批
针对算法备案、生成式人工智能备案、网络安全等审批事项,需提前规划时间表,避免因获取资质或评估周期较长或监管口径差异(如属地网信办要求不同)而延误上市进度。
3. 官方沟通与留痕
对于监管边界模糊的业务,应主动向属地监管部门咨询并留存记录,以支持合规披露。
(二) 高风险场景与敏感信息治理
1. 高风险场景
针对数据抓取、临床试验、智能座舱、数据融合等重点风险场景,有效的、专业的全生命周期(收集、存储、使用、销毁)律师尽调、分析工作必不可少,这也是高质量法律意见和监管沟通反馈的基础。
2. 分类分级与合规基础
区分自行采集、第三方采购、公开抓取等数据来源,确保每一类数据均具备合法性基础。特别针对医疗基因数据、病史、汽车测绘数据及未成年人信息等敏感数据,执行最小必要、目的限制等基本保护原则。
3. 脱敏技术与安全保障
强化AI场景、车载感知、医疗等场景下的自动脱敏与匿名化机制。确保原始数据的调用具备严格审批与销毁逻辑,并将此类技术保障转化为可理解的披露语言。
(三) 第三方供应链与生态合作伙伴管控
1. 角色厘清与协议约束
针对CRO、CDMO、云服务商、加盟商及零部件供应商,需根据实际业务厘清其“处理者”、“受托方”角色,在协议中细化资质审核、数据处理边界及违规追责条款。
2. 常态化监督/合规审计
建立准入审核与定期合规审计制度,通过问卷或技术核查监督合作方。确保合作终止后的数据销毁或返还验证,阻断供应链侧的数据安全风险传导至上市主体。
(四) 跨境传输合规与架构隔离
1. 合规路径预判
若涉及数据出境,提前确定安全评估、标准合同备案或认证路径,预留审批时限。
2. 境内外隔离架构
针对多法域运营的敏感行业企业,可考虑实施“境内外隔离运营”与“系统独立性管理”。通过技术与制度手段确保集团总部无法非法汇聚下属敏感数据,如医疗数据或境内测绘数据等,以消除监管对于非法大规模汇聚敏感数据的疑虑。
(五) “AI+行业”多重监管与风险披露
1. 监管叠加:
“AI+行业”等交叉场景下的双重、甚至多重监管(如大模型备案+算法备案+人遗备案)凸显,需要将合规评估充分前置。
2. 技术与法律协同
预留充足时间以配合AI标识义务等技术改造。
3. 审慎披露风险
在招股书中保留监管不确定性的提示,不刻意回避因法律更新(如新规出台)可能导致的业务调整或合规风险。
第二部分:境内IPO数据合规专题
一、 2025年度A股数据合规概览
得益于国家稳增长政策的正向刺激、资本市场制度体系的深化改革与创新以及服务实体经济导向的持续强化,2025年A股IPO整体处于稳健发展状态,并呈现温和回暖趋势。
据统计,截至2025年12月31日,A股市场(含京、沪、深三大交易所)在2025年成功上市的企业共计116家,较2024年同比增长约16%,A股市场发行节奏在数量上正从2024年的萎靡下滑之态逐步恢复正常。从募集资金规模来看,2025年全年A股上市首发募集资金总额共计约1,317.71亿元人民币,较2024年同比增长约95.64%,平均募资金额约11.36亿元人民币,与2024年相比具有明显的上升。
在数据合规的披露和问询层面,A股IPO在2025年呈现出“整体行业覆盖范围广、特定行业披露精度深”的特征。具体而言:
一方面,数据合规的问询仍延续2024年的跨行业趋势,隶属制造业、批发零售业等非传统数据密集型行业的拟上市企业在A股IPO过程中依旧可能面临针对数据合规的专门问询。例如,江苏省精创电气股份有限公司(仪器仪表制造业)在申请上市过程中即收到与其个人信息收集、管理、使用等合法合规性相关的问询;再如,北交所针对成都孕婴世界股份有限公司(母婴用品批发业)运营的数智化平台提出生产经营合规性方面的问询,涉及数据处理、个人信息保护等内容。
另一方面,对于在主营业务开展过程中涉及收集和处理大量数据和个人信息特定行业的企业,为证明生产经营的合法合规性,其往往需要披露颗粒度更为纵深和细化的数据合规情况,也自然而然成为数据合规问询的重点对象。例如,上交所就企查查科技股份有限公司(软件和信息技术服务业)的A股IPO数据合规问询,在区分数据采集、数据存储与处理、个人信息保护、数据跨境流动等不同数据处理环节的基础上,设置了共计四大项十五小项的细化问询问题,以全方位审核拟上市企业的数据合规情况。
二、 2025年度重点行业A股数据合规监管关注要点
如上节所述,A股IPO的数据合规披露与问询的颗粒度及关注点,与拟上市企业所处行业的特性具有紧密联系。经梳理2025年度A股拟上市企业涉及的数据合规相关披露和问询,我们总结和归纳了部分重点行业A股数据合规监管的关注要点,以供相关行业的拟上市企业参考。
(一) 信息技术与信息服务行业
1. 安全保障义务的合规性
对于以面向B端客户提供信息技术服务(尤其是涉及数据存储、数据加工等数据处理服务)的企业而言,如何保障其所提供的信息技术服务的安全性以及是否依法履行网络安全、数据安全保障义务,既是该等企业开展业务过程中的数据合规重点,也是A股上市过程中数据合规监管的关注所在。
作为一家为互联网企业等客户提供互联网数据中心综合服务的信息技术服务提供商,广州尚航信息科技股份有限公司在回复北交所的问询时,便就其如何遵守《网络安全法》《数据安全法》项下规定的各项网络与数据安全保障义务逐一作出详细说明,涵盖机构设置、制度建设、等保测评、安全事件应急数据安全教育培训等方面。值得注意的是,虽为境内IPO,但鉴于该拟上市企业主营业务为互联网数据中心的特殊性,北交所特别针对其是否需要并且已经履行网络安全审查程序提出问询。
2. 数据收集来源的合法性
对外提供信息服务的企业,往往需要自不同渠道采集数据,并在对原始数据进行聚合或加工后提供给第三方。这一业务特性,使得数据收集来源的合法合规性成为该类企业首先需要解决的数据合规问题,也成为上市数据合规审查中不可避免会被细化追问的问询项之一。
例如,广东美亚旅游科技集团股份有限公司在开展主营业务过程中,涉及对外提供涵盖航班、火车、酒店等在内的出行信息相关服务。就此,北交所在问询中特别要求发行人对其自供应商、客户、公开渠道等分别获取的数据的主要内容、获取方式、使用方式及范围、存储方式及地点、管理、访问权限、使用权归属、对外提供等情况以及其是否取得事先同意或授权等事项作出详细说明,以证明所收集的数据具备合法来源。
再如,上交所在向企查查科技股份有限公司发出的第一轮问询中,也特别针对该拟上市企业数据采集行为的合法性提出五项具体问询,涵盖如下方面:数据采集具体情况、数据采集相关的内部控制制度建设与落实情况、自动化采集数据的具体情况及合规性措施、采购数据的具体情况及数据来源合规审查、数据采集行为是否符合适用法律的相关规定。
(二) 金融行业
1. 数据分类分级制度与措施的制定与落实
金融行业各类业务的开展必然伴随着大量身份数据、金融数据、交易数据等敏感数据的处理,因此,上市数据合规的监管侧重于审查其数据分类分级制度的建立与落实。例如,东莞银行股份有限公司、广东南海农村商业银行股份有限公司均在招股书中不同程度地披露了各自针对数据安全、信息系统安全事件等制定了相应的分类分级制度或采取了相适应的分类分级管理措施。
值得注意的是,国家网信办于2026年1月24日对外公布《金融信息服务数据分类分级指南(征求意见稿)》,就金融信息服务数据的分类分级规则作出若干细化规定。后续该指南的正式发布与施行,可能会进一步推动相关监管对金融行业拟上市企业在数据分类分级层面的关注。
2. 金融监管机构的数据合规通报与整改
鉴于对金融行业监管要求严格,拟上市金融企业在招股书相关章节披露其接受监督检查和受到行政处罚的情况时,会细化披露报告期内所受到的金融监管机构的相关通报,若该等通报涉及数据合规事宜,拟上市企业也会一并披露具体情况及整改措施。
例如,广东南海农村商业银行股份有限公司在其招股书中,以清单形式详细披露了报告期内其接收到的来自中国人民银行及其派出机构、国家金融监督管理总局(原中国银保监会)及其派出机构等金融监管机构的各类通报,其中包含诸多数据合规相关问题及整改事项,涵盖对客户敏感信息管控不到位、信息系统管理不完善、金融专网安全管理有待规范、网络和数据安全管理不到位、网络和数据安全事件应急预案不完备等方面。
(三) 消费品制造与批发零售行业
由于C端消费者是消费品制造与批发零售业拟上市企业的一大客户群体,该类企业主营业务的开展涉及通过各前端触点(包括但不限于网页、APP、小程序、自研或第三方平台等)处理大量消费者的个人信息,基于此,该类拟上市企业的数据合规重点落在前端触点所收集个人信息的全生命周期的合规性与安全性,涵盖收集、存储、使用、共享、删除等以及相适应的安全措施。
以杭州觅睿科技股份有限公司为例,其作为智能网络摄像机及物联网视频产品的制造商,涉及通过运营的三款消费端APP收集C端用户的个人信息。一方面,该企业在招股书中详细披露了报告期内运营APP因违规收集个人信息而被通报和要求整改的情况;另一方面,北交所在问询中特别要求该企业进一步说明通过前端触点处理用户个人信息的具体情况,包括个人信息的收集、存储、使用、信息安全与数据保护安全措施、个人信息安全事件等方面。再如,从事母婴用品批发和零售的成都孕婴世界股份有限公司也在A股上市过程中被问询到用户个人信息的收集、存储、使用、保护等全生命周期合法合规性的问题。
(四) 生物与医药行业
1. 基因信息保护
基因信息处理是生物与医药行业拟上市企业会被监管单独关注和问询的数据处理活动。例如,杭州联川生物技术股份有限公司的上市问询回复专门针对其主营业务开展过程中对于基因信息的获取、分析处理与使用、存储等环节的信息保护进行说明,包含脱敏处理、目的限制、安全存储、自动删除、多余样本销毁等内容。
2. 伦理审查备案
根据《科技伦理审查办法》《涉及人的生命科学和医学研究伦理审查办法》《涉及人的生物医学研究伦理审查办法》等相关法律规定,企业从事涉及人的生物医学研究或涉及实验动物的科技活动需要依法开展伦理审查工作。对此,监管会在问询中要求拟上市企业说明其是否涉及以及是否已完成(若涉及)伦理审查备案工作。在杭州联川生物技术股份有限公司提交北交所的上市问询回复中,该企业通过阐释其开展的业务并未直接进行生物医学研究活动来论述自身并非伦理审查工作的管理责任主体,无需建立科技伦理(审查)委员会或进行伦理审查备案。
3. 内部信息系统的可靠性与数据交互的安全性
信息系统的数据合规披露一般情况下只是作为拟上市企业表明其已经履行网络安全、数据安全义务的一项证明,监管在上市过程中也通常不会单独要求拟上市企业就信息系统的安全性作出进一步说明。但在生物与医药行业,监管会额外关注到拟上市企业的内部信息系统情况,并要求拟上市企业说明其内部信息系统的可靠性或者内部信息系统数据交互的安全性。
例如,上海百英生物科技股份有限公司在A股上市过程中便收到要求说明其业务活动所使用信息系统间交互、数据传输的内控措施及有效性,该企业通过对业务开展方式及与信心系统的依赖度、内部针对信息系统采取的制度及技术安全措施等方面予以回复。再如,杭州联川生物技术股份有限公司在上市时也存在被问询到信息管理系统的内部控制是否健全有效的情况。
第三部分:美股IPO数据合规专题
尽管在国际环境动荡、地缘政治冲突和贸易局势紧张的多重影响下,全球资本市场波动不断,但2025年中国企业在美上市整体呈现稳步增长的复苏态势,全年共计近七十家,且部分企业的融资规模也较为亮眼。
回顾整年来中国企业赴美上市涉及到的数据合规相关要求及问题,不难发现其中既有延续往年的监管重点,亦有新增的关注要点和变化。
一、 数据合规监管的长期重点:网络安全审查
根据《网络安全审查办法》(以下简称“《审查办法》”)第七条,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查(以下简称“网安审”)。此外,对于关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,也应依法进行网安审。自《审查办法》正式施行以来,网安审这一强制性合规义务即成为中国企业赴美上市在数据合规方面亟待解决的首要门槛,也是相关监管机构长期关注的数据合规重点问题。
自2025年成功在美上市的中国企业针对网安审的披露情况来看,各上市企业在网络安全审查方面的披露主要分为以下三种情形:
(1) 无需进行网安审申报:该类企业侧重于从处理个人信息的规模、不属于关键信息基础设施运营者等方面论述自身无需进行网安审的理由。例如,因立夫(INLIF LIMITED)在招股书中,既披露其截至招股书之日未收到任何监管部门认定其或其中国境内子公司为关键信息基础设施运营者或要求其进行网安审的相关通知,又披露其处理中国境内个人信息所涉及的总人数不足100万人。
此外,基于风险披露的完整性,部分无需进行网安审申报的企业也会在招股书中作出不排除自身因业务持续发展或所处法律监管变化而在此后可能适用网安审程序的保留说明。例如,根据好定多(MaxsMaking Inc.)在招股书中的披露,其虽认为自身无需进行网安审,但若因其误判或适用的法律法规或相关解释发生变更,则其可能会在未来适用《审查办法》所规定的网安审程序。
(2) 自评估需要进行网安审,但在主动申报后被告知无需网安审:根据软云科技(Ruanyun Edai Technology Inc.)在招股书中的披露,其作为掌握超过100万用户个人信息的网络平台运营者依据《审查办法》向网络安全审查办公室主动申报了网安审,但随后被网络安全审查办公室告知其无需就该美股上市进行网安审。
(3) 自评估需要进行网安审,并在上市前已完成网安审:该类企业的披露侧重于说明其所处理个人信息的规模已达到赴国外上市申报网安审的法定门槛,以及其已经申报并完成网安审的事实状态。例如,霸王茶姬(Chagee Holdings Limited)即在招股书中披露其掌握超过100万用户个人信息且据此向网络安全审查办公室申报并完成了网安审。
二、 数据合规披露的关注趋势:算法与人工智能监管
伴随着算法与人工智能监管在相关技术呈现跨越式与井喷式发展后的不断强化,越来越多拟赴美上市的中国企业开始针对其正在或拟在业务开展过程中的算法与人工智能应用情况进行合规披露,说明自身在中国法下需要遵守的算法和人工智能相关数据合规义务,并披露其在业务中应用算法或人工智能类工具存在增加数据安全与隐私合规风险的可能性。但目前该等针对算法和人工智能应用情况的披露大多仅体现在招股书的风险因素章节,2025年在美上市的中国企业在招股书业务章节大多并未对其算法或人工智能应用的合规义务履行情况作出更多细化的披露。
值得注意的是,除关注中国法下的算法与人工智能监管情况,部分企业还就可能面临的全球范围内的算法与人工智能监管作出风险披露。例如,亚盛医药在招股书中披露,鉴于人工智能已逐渐演变为包含美国在内的全球范围的数据合规关注要点,其若在开展业务时应用人工智能相关技术,可能会出现无法预判需要面临的法律适用、监管应对与行政处罚的风险。
三、 《网数条例》生效所带来的数据合规披露变化
《网络数据安全管理条例》(以下简称“《网数条例》”)自2025年1月1日起正式施行,促使赴美上市企业开始从更多维度审视和披露其数据合规情况。
其一,对于自身个人信息处理活动合规情况的细化披露。基于《网数条例》细化了个人信息处理的若干合规义务,部分赴美上市企业已结合《网数条例》相关规定细化披露其合规情况。例如,霸王茶姬在招股书中即披露其将就《网数条例》规定的第三方共享或委托处理下的合同义务持续采取合规措施,以确保所处理个人信息的安全。
其二,对于重要数据的合规与识别。经梳理各家赴美上市企业的数据合规相关披露内容,我们发现,2025年在美上市的中国企业并不涉及重要数据的处理活动,但多数企业仍会在招股书中对重要数据作出一定程度的论述与披露,且主要围绕合规与识别两部分展开:一方面,多数在美上市企业会在招股书的监管概览章节基于《网数条例》的相关规定说明重要数据处理者需要履行的合规义务,例如网络数据处理活动风险评估、数据出境安全评估等。另一方面,各企业会结合《网数条例》对于重要数据的定义在风险因素章节阐述其不涉及重要数据处理活动的情况。此外,也有企业关注到《网数条例》第二十八条的规定,并通过表明其处理个人信息的规模未达1000万人以上来排除适用该条规定的强制性义务。
总 结
2025-2026年,资本市场对中国企业数据合规的监管已完成从“形式合规”向“实质风险防控”的全面转型,呈现出以下核心趋势:
1. 港股:深度重构与双重压力
港股不仅关注制度文件的完备性,更重视数据处理全生命周期的执行落地;不仅覆盖境内合规,更延伸至境外业务的数据保护适配;不仅要求静态披露,更强调动态风险应对能力。特别是AI、自动驾驶、医疗等重点领域,监管的问询颗粒度显著细化。对于拟赴港上市企业而言,建议参考上文提示要求并关注最新案例的问询要点,尽早提前启动数据合规专项工作。
2. A股:行业覆盖与深度问询
A股IPO的数据合规监管,在整体市场逐步温和发展的大环境下,继续加深以行业为代表审查思路,并针对信息技术与信息服务、金融、消费品制造与批发零售、生物与医药等重点行业的数据合规情况,展开了更为精深和细致的问询与监管。针对这一情形,拟上市企业应明晰其所处行业在网络安全、数据安全与个人信息保护方面的相关要求,以行业监管为抓手,以合法合规为准线,将业务开展的数据合规工作标准化和前置化,从而更好地应对上市监管对数据合规的披露和审查要求。
3. 美股:安全审查常态化与新规对标
赴美上市中网络安全审查仍为首要门槛。随着企业“走出去”经营的普遍性,合规披露正从中国法延伸至全球监管风险。另外,企业需审视业务中AI应用带来的隐私安全与监管不确定性等挑战。
在IPO的竞赛中,数据合规已经不再是一个简单的法律议题,它关系到企业的信誉、成本以及长期的生存能力。因为监管红线是刚性的,所以任何在数据合规上的投机行为都会在日益穿透式的监管下无所遁形。因此,企业必须以严谨态度,从业务底层逻辑出发,构建全维度的合规屏障。只有通过深度、专业的合规整改,企业才能在变幻莫测的资本市场中,实现跨越式的发展。
作者简介
蔡鹏 律师
北京办公室 合伙人
业务领域:网络安全和数据保护,知识产权权利保护,合规和调查
行业领域:电信和信息,智能技术和应用,医疗健康
苏阳阳 律师
北京办公室 知识产权部
周凌霄 律师
北京办公室 知识产权部