根据2025年度的《境外发行上市备案补充材料要求公示》,证监会对于拟在境外上市企业的数据合规问题关注度逐步攀升,重点关注问题如下:
从审查实践看来,证监会采取“实质重于形式”原则,既关注数据全生命周期管理的合规性,又强调行业差异化监管要求,同时要求上市前后合规措施的延续性、动态监管。
根据2023年11月香港联交所刊发的《新上市申请人指南》,结合港股IPO案例分析,在港股IPO企业上市文件中所需披露的数据合规相关内容主要集中在以下几个方面:
(1)指定成立一个由资讯保安或数据管理、合规、法律及运作风险职能的代表所组成的数据管治委员会。 (2)该委员会负责监督在数据风险管理框架及有关识别和处理数据风险事宜的监控措施方面的实施。 (3)该委员会获提供有关重大数据相关事宜的管理层报告,并定期在会议上就此进行讨论。 | ||||
(1)可采用中央系统,以系统的方式追踪就数据风险事故所采取对策的进度及实施补救措施。 (2)对员工进行培训和年度演练,模拟发生数据风险事故情况及应对处理。 | ||||
数据 收集 | (1)在收集数据作特定商业用途一般会遵守《私隐条例》及其他适用的法律和规例。 (2)在获取任何客户数据前,会事先取得客户的同意,及向他们披露收集数据的目的。设法从经认可且可靠的来源(例如商业数据库)取得市场数据等其他类别的数据。 (3)为确保数据质量而采用的一些常见方法包括:评估数据来源的可靠性(例如对数据提供者进行尽职审查),及进行以风险为本的数据验证(例如核实关键数据的准确性和完整性)。 | |||
数据 分类 | (1)制定按照数据的敏感程度和相关风险将数据分类的流程。常见的数据类别包括“高度机密”、“机密”、“内部”及“公开”。 (2)数据分类旨在企业能够便利地以风险为本的考虑因素而制定对应的监控措施。一般而言,企业对机密数据将采取更严格的保障措施,例如:数据加密、数据屏蔽等。 (3)更进一步实施系统管控,以保护和保障在不同端点、网络和通讯渠道(例如:电子邮件和共用磁碟)的数据。 | |||
数据 使用 | (1)为了避免数据遭未经授权使用,企业会依照机密类别,按需向其员工授予获取数据的相应权限,并实施数据获取、访问监控和监察机制。 (2)备存各部门存入和取用机密资料的记录并由指定部门进行审查,以识别是否有任何不当处理机密数据的情况。 | |||
数据 存储 | (1)一般而言,企业为不同种类的数据(例如:个人身份资料和交易数据)设定最短的保留期限,以同时满足业务需要和符合监管固定。 (2)将机密数据(例如:客户、交易和雇员资料)存储在加密储存媒体中。 (3)除了在香港,还在多个境外地点保留其数据,特别是在其集团公司的营运所在地,以符合集团层面的数据备份及业务抵御能力规定。 | |||
数据 传输 | (1)企业会在公司内部及与位于香港境内外的第三方服务提供者和集团关联公司转移数据。加密技术是确保数据传输过程安全的最常用方法。 (2)禁止在其电脑系统上安装未经授权的软件和硬件。 (3)在处置敏感数据时,会粉碎纸质材料、销毁或消磁电子材料。 (4)由指定职能(例如:合规)或第三方服务提供者监察敏感数据的处置过程。 (5)参考各类数据的内部记录保密期限表,以厘定应何时处置数据。 | |||
在终止服务时,通过以下措施,指示服务提供者处置相关数据: (1)指派本公司的适当人员来见证和核实数据处置的过程; (2)要求该服务提供者确认相关数据已获妥善处置。 |
| 明确业务领域在数据合规领域所涉司法辖区的核心监管要要求,标注公司当前数据合规状态,同时纳入最新发布的征求意见稿内容,并说明法规动态跟踪机制。 |
就互联网信息服务及数据安全,香港联交所要求披露: (1)若申请人的业务涉及提供互联网信息服务,则需提供监管架构详情(如:牌照规定及提供有关服务是否受外资拥有权限制)。 (2)在业务运作过程中获得的个人资料以及资料保护政策(例如:所涉及的个人资料类型、有关资料收集、储存、处理、使用、转移、披露、存储及销毁的措施。 (3)所有相关司法权区的个人资料及隐私权保护的法律法规的合规情况(包括任何重大资料泄露事件)。 | 应系统化展示数据全生命周期管理,即系统披露数据全生命周期管理措施,包括数据收集、储存、处理、使用、转移、披露及销毁合规方式及销毁流程等具体操作。 同时需说明内控机制,如数据合规团队职责、技术防护措施实施情况以及第三方审计管理等实际运作方案。 分地区列明己满足的监管要求,做出合规声明。 |
