2023年美股IPO数据合规年度观察

作者丨刘平 刘浩

前言

在上两篇文章《2023年境内IPO数据合规年度观察》、《2023年港股IPO数据合规年度观察》中，我们分别对2023年度境内IPO和港股IPO的数据合规情况进行了回顾和总结。

在这一篇文章中，我们将对2023年度美股IPO数据合规情况进行回顾和总结，主要内容包括：美股IPO数据合规事项的信息披露要求、2023年度美股IPO数据合规概况（包括披露数据合规情况的企业数量、所在行业分布、披露要点等方面的数据）、2023年度美股IPO数据合规事项的问询关注要点和招股书披露要点及应对思路等。

一、美股IPO数据合规事项的信息披露要求

（一）中国证监会对境外上市数据合规事项的要求

中国证监会依据其2023年2月17日公布的《境内企业境外发行证券和上市管理试行办法》（证监会公告[2023]43号）（以下简称“《管理试行办法》”）相关规定，在办理境外上市备案的过程中，要求拟境外上市企业及其中介机构就数据合规方面的某些关注事项，以出具补充材料的形式作出补充说明。相关规定具体如下：

点击可查看大图

此外，根据中国证监会在其官网公布的《境外发行上市备案补充材料要求公示》，在要求作出补充说明的关注事项中，与网络安全、数据合规、个人信息保护相关的问题是中国证监会重点关注的问题类型之一。具体问题包括但不限于以下方面：

（1）开发、运营的网站、APP、小程序、公众号、智能终端等产品情况；

（2）收集及储存的数据或个人信息类型、规模、来源、收集及使用情况；

（3）向第三方、向境外提供数据或个人信息的情况；

（4）上市前后个人信息保护和数据安全相关的安排或措施。

综上所述，拟境外上市企业应在向中国证监会提交的备案报告、法律意见书等备案材料中对企业业务经营涉及的数据合规问题进行充分说明。

（二）美国证券交易委员会对数据合规事项的披露要求

根据美国证券交易委员会（Securities and Exchange Commission, SEC）于2021年9月更新的《适用于某些外国私人发行人的注册声明》（Registration Statement for Securities of Certain Foreign Private Issuers，即Form F-1）的“第一部分 - 招股书中需要的信息（Part I - Information Required in Prospectus）”，SEC在该部分并未明确规定数据合规事项在招股书中的具体披露要求。

经梳理2023年度赴美上市企业的招股书，涉及数据合规事项的内容通常在“招股书概述（Prospectus Summary）”、“风险因素（Risk Factors）”、“业务（Business）”、“法规（Regulation）”四个章节进行披露，具体如下：

1. “招股书概述（Prospectus Summary）”章节

根据Regulation S-K项下的Item 503，“招股书概述”章节不应仅对招股书文本进行重复，而应审慎考虑并确定本次发行中的主要方面，并确定如何以清晰、简洁的语言突出这些要点。

根据上述规定，并结合2023年度赴美上市企业在招股书中披露的相关内容，我们理解，拟赴美上市企业需要在“招股书概述”章节披露的涉及数据合规事项的内容通常包括：

（1）相关企业在网络安全、数据安全、个人信息保护领域所面临的主要风险概述；

（2）中国有关主管部门在网络安全、数据安全、个人信息保护领域的主要立法和监管措施概述（尤其是针对网络安全审查问题）；

（3）相关企业在网络安全、数据安全、个人信息保护领域的合规情况概述。

2. “风险因素（Risk Factors）”章节

根据Regulation S-K项下的Item 105，“风险因素”章节讨论使得对发行人的投资具有投机性或风险性的重要因素，该章节的讨论必须运用相关标题进行有逻辑性地排列，并且每个风险因素均应在小标题项下列出。

根据上述规定，并结合2023年度赴美上市企业在招股书中披露的相关内容，我们理解，拟赴美上市企业需要在“风险因素”章节披露的涉及数据合规事项的内容通常包括：

（1）中国网络安全、数据安全、个人信息保护领域相关立法和监管措施的主要内容；

（2）该等立法和监管措施与相关企业业务之间的关系和对企业业务产生的影响；

（3）该等立法和监管措施是否可能对相关企业造成重大风险，该等重大风险具体包括哪些。

3. “业务（Business）”章节

根据Regulation S-K项下的Item 101，“业务”章节应描述关于业务总体发展、已完成和拟完成的业务等方面的重要信息。

根据上述规定，并结合2023年度赴美上市企业在招股书中披露的相关内容，我们理解，拟赴美上市企业需要在“业务”章节披露的涉及数据合规事项的内容通常包括：

（1）相关企业的数据处理活动，包括数据收集、存储、使用、加工、传输、提供、公开、删除等数据全生命周期的介绍；

（2）相关企业在运营过程中所采取的网络安全、数据安全、个人信息保护相关内控措施；

（3）上述数据处理活动及内控措施是否符合中国网络安全、数据安全、个人信息保护相关法律法规的合规要求。

4. “法规（Regulation）”章节

根据Regulation S-K项下的Item 101(c)(2)(i)，招股书中需要描述遵守法律法规可能对发行人产生的重大影响。

根据上述规定，并结合2023年度赴美上市企业在招股书中披露的相关内容，我们理解，拟赴美上市企业需要在“法规”章节披露的涉及数据合规事项的内容通常包括：

（1）相关企业在网络安全、数据安全、个人信息保护领域需遵守的主要法律法规要求；

（2）违反上述法律法规要求可能承担的法律责任。

二、2023年度美股IPO数据合规概况

根据美中经济与安全审查委员会（U.S.-China Economic and Security Review Commission, USCC）于2024年1月8日更新的《在美国主要证券交易所上市的中国公司》（Chinese Companies Listed on Major U.S. Stock Exchanges），2023年度成功赴美上市的中国企业[1]共有24家，其中披露数据合规情况的企业概况如下：

（一）披露数据合规情况的企业数量

在上述24家企业中，全部24家企业均在招股书中披露了数据合规相关情况。如以下图表所示：

点击可查看大图

由此可见，SEC在美股IPO中对数据合规问题的关注范围非常广泛，美股IPO中对数据合规事项的披露基本属于必备事项，拟赴美上市企业应提前在日常业务运营中规范数据合规工作，并在招股书中对数据合规情况进行充分披露。

（二）披露数据合规情况的企业所在行业部门（Sector）

在上述24家企业中，非必需消费品[2]（Consumer Discretionary）行业部门有9家，科技（Technology）行业部门有4家，工业（Industrials）行业部门有4家，必需消费品[3]（Consumer Staples）行业部门有3家，卫生保健（Health Care）行业部门有2家，金融（Finance）行业部门有1家，房地产（Real Estate）行业部门有1家。具体如以下图表所示：

点击可查看大图

从以上图表可以看出，赴美上市企业无论其所在的行业是传统行业还是非传统行业，均对数据合规事项进行了披露。因此，各个行业的拟赴美上市企业都应对数据合规问题予以充分重视。

（三）数据合规事项的披露要点

我们对上述24家企业的招股书进行了梳理，总结了2023年度成功赴美上市企业在招股书中重点披露的数据合规事项，具体如下：

点击可查看大图

在招股书中重点披露的上述数据合规事项中，网络安全审查、中国数据合规立法对公司业务的影响、网络/数据/个人信息安全事件是几乎所有赴美上市企业在招股书中需要重点披露和论证的问题。而其他的数据合规事项（如：数据全生命周期的合规性、数据合规制度建设、数据出境安全评估等），也属于需要重点披露的内容。

三、2023年美股IPO数据合规事项的问询关注要点和招股书披露要点及应对思路

经梳理2023年度赴美上市的24家企业的招股书中披露的数据合规相关内容以及SEC关于数据合规事项的相关问询，我们总结了赴美上市企业涉及数据合规事项的6大类问询关注要点和披露要点（包括：网络安全审查、中国数据合规立法对公司业务的影响、网络/数据/个人信息安全事件、数据全生命周期的合规性、数据合规制度建设、数据出境安全评估），并提出相关应对思路。具体如下：

（一）网络安全审查

经梳理2023年赴美上市的24家企业的招股书中相关内容，24家企业（占比100%）均对其是否应当进行网络安全审查进行了披露。披露的主要内容是企业是否应当根据《网络安全审查办法》（2021）进行网络安全审查，以及国家网信办于2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》中关于网络安全审查的内容对企业的潜在影响。

1. 根据《网络安全审查办法》应当进行网络安全审查的情形及应对思路

根据《网络安全审查办法》（2021），我们总结了应当进行网络安全审查的四种情形，包括应自主申报的三种情形，以及主管部门依职权审查的情形：

（1）应自主申报的情形一：关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的；

（2）应自主申报的情形二：网络平台运营者开展数据处理活动，影响或者可能影响国家安全的；

（3）应自主申报的情形三：掌握超过100万用户个人信息的网络平台运营者赴国外上市；

（4）主管部门依职权审查的情形：网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动。

根据相关规定，并结合2023年赴美上市企业招股书中披露的相关内容，我们总结相关企业可参考以下应对思路，论证其是否需要根据《网络安全审查办法》（2021）的规定申报网络安全审查：

（1）针对应自主申报的情形一（关键信息基础设施运营者采购网络产品和服务，影响或者可能影响国家安全的），我们建议相关企业在招股书中论证企业是否属于“关键信息基础设施运营者”，如属于“关键信息基础设施运营者”，则需进一步论证企业采购网络产品和服务是否影响或者可能影响国家安全。

（2）针对应自主申报的情形二（网络平台运营者开展数据处理活动，影响或者可能影响国家安全的），我们建议相关企业在招股书中论证企业是否属于“网络平台运营者”，如属于“网络平台运营者”，则需进一步论证其开展数据处理活动是否影响或者可能影响国家安全。

（3）针对应自主申报的情形三（掌握超过100万用户个人信息的网络平台运营者赴国外上市），这是赴美上市企业在招股书中需重点论证的问题，也是美股IPO和港股IPO在网络安全审查方面披露要点的重要区别，我们建议相关企业在招股书中根据其实际情况进行披露，具体如下：

- 若相关企业认为其需要申报网络安全审查，则披露内容一般包括：

• 作为掌握超过100万用户个人信息的网络平台运营者，相关企业已就赴美上市申请并完成了网络安全审查。

- 若相关企业认为其无需申报网络安全审查，则披露内容一般包括：

• 由于相关企业在中国未运营任何网络平台，因此其不属于“掌握超过100万用户个人信息的网络平台运营者”。

• 相关企业已收到有关主管部门（如：中国网络安全审查认证和市场监管大数据中心，CCRC）的书面确认，若相关企业未掌握超过100万用户的个人信息，则其无需就赴美上市申请网络安全审查。因此，基于相关企业未掌握超过100万用户个人信息的事实，其无需就赴美上市申请网络安全审查。

• 相关企业在申请网络安全审查之后，收到了网络安全审查办公室的书面通知，该通知的主要内容为：相关企业无需就赴美上市申请网络安全审查。

（4）针对主管部门依职权审查的情形（网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动），我们建议相关企业在招股书中说明网络安全审查办公室是否向企业发出网络安全审查通知，或对企业的赴美上市计划提出反对意见或不同意见。

2. 《网络数据安全管理条例（征求意见稿）》中与网络安全审查相关内容的潜在影响及应对思路

国家网信办于2021年11月14日公布的《网络数据安全管理条例（征求意见稿）》第13条规定，“数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（1）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（2）处理100万人以上个人信息的数据处理者赴国外上市的；

（3）数据处理者赴香港上市，影响或者可能影响国家安全的；

（4）其他影响或者可能影响国家安全的数据处理活动。”

《网络数据安全管理条例》的正式文件目前尚未颁布，我们理解，如该征求意见稿的上述内容最终正式颁布，对美股上市中的网络安全审查的影响主要体现在：“处理100万人以上个人信息的数据处理者赴国外上市的”，应当按照国家有关规定，申报网络安全审查。

针对上述内容，我们建议相关企业在招股书中可从以下几个方面进行论证：

（1）《网络数据安全管理条例》目前尚未正式颁布，其何时会正式颁布存在不确定性；在正式颁布前，其中关于网络安全审查的内容可能出现变动或调整。

（2）可进一步论证即使在现有《网络数据安全管理条例（征求意见稿）》第13条第（2）款的内容将来正式颁布的情况下，企业赴美上市是否需要根据该条款申报网络安全审查。这里的关键是论证赴美上市企业是否“处理100万人以上个人信息”。

关于美股上市中的网络安全审查相关问题，我们将在下一篇文章《网络安全审查系列文章（三）：美股上市中的网络安全审查》中进一步详细论述。

（二）中国数据合规立法对公司业务的影响

经梳理2023年赴美上市的24家企业的招股书中相关内容，24家企业（占比100%）全部就中国数据合规相关立法对公司业务的影响进行了披露。披露要点一般包括：

（1）中国目前的数据合规相关立法对公司业务的影响：

• 中国目前在网络安全、数据安全、个人信息保护领域的主要法律法规；

• 该等法律法规与相关企业业务之间的关系和对企业业务产生的影响；

• 截至目前，相关企业遵守该等法律法规的情况。

（2）中国未来的数据合规立法趋势对公司业务的潜在影响：

• 中国正在加强数据合规领域的监管，网络安全、数据安全、个人信息保护领域的法律法规处于不断变化和发展过程中；

• 有关主管部门未来对于该等法律法规的解释和实施存在不确定性；

• 若相关企业未来遵守该等法律法规，可能对其业务产生的影响；

• 若相关企业未来违反该等法律法规，可能需承担的法律责任。

（三）网络/数据/个人信息安全事件

经梳理2023年赴美上市的24家企业的招股书中相关内容，24家企业（占比100%）全部就其业务经营中可能发生网络/数据/个人信息安全事件的风险进行披露。披露要点一般包括：

（1）相关企业在业务经营过程中发生的或可能发生的网络/数据/个人信息安全事件（例如：数据泄露、勒索软件攻击、计算机病毒等）；

（2）该等网络/数据/个人信息安全事件的发生原因（例如：内部人员疏忽、外部恶意攻击等）；

（3）尽管相关企业已采取相应内控措施，该等措施可能无法保证完全避免该等网络/数据/个人信息安全事件的发生；

（4）一旦发生该等网络/数据/个人信息安全事件，相关企业业务可能受到的影响以及相关企业可能承担的法律责任。

（四）数据全生命周期的合规性

经梳理2023年赴美上市的24家企业的招股书中相关内容，17家企业（占比约71%）就其业务经营中涉及的数据全生命周期（包括数据收集、存储、使用、加工、传输、提供、公开、删除等）的合规性情况进行了披露。

赴美上市企业就该部分的披露要点及应对思路与境内上市企业基本一致，具体可参考我们在《2023年境内IPO数据合规年度观察》一文中论述的相关内容。

（五）数据合规制度建设

经梳理2023年赴美上市的24家企业的招股书中相关内容，16家企业（占比约67%）就其数据合规制度建设情况进行了披露，披露的内容包括但不限于：建立数据合规管理制度、数据分类分级保护制度，确定个人信息处理的操作权限，采取加密、去标识化、备份等网络及数据安全技术措施等。

赴美上市企业就该部分的披露要点及应对思路与境内上市企业基本一致，具体可参考我们在《2023年境内IPO数据合规年度观察》一文中论述的相关内容。

（六）数据出境安全评估

经梳理2023年赴美上市的24家企业的招股书中相关内容，5家企业（占比约21%）就其是否应当申报数据出境安全评估进行了披露。

1. 根据《数据出境安全评估办法》应当申报数据出境安全评估的情形及应对思路

根据《数据出境安全评估办法》（国家网信办令第11号）第4条，数据处理者向境外提供数据，有下列情形之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（1）情形一：数据处理者向境外提供重要数据；

（2）情形二：关键信息基础设施运营者向境外提供个人信息；

（3）情形三：处理100万人以上个人信息的数据处理者向境外提供个人信息；

（4）情形四：自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息；

（5）情形五：国家网信部门规定的其他需要申报数据出境安全评估的情形。

根据相关规定，并结合2023年赴美上市企业招股书中披露的相关内容，我们总结了相关企业论证其无需根据《数据出境安全评估办法》的规定申报数据出境安全评估的理由：

（1）针对情形一（数据处理者向境外提供重要数据）：

• 相关行业、领域的重要数据目录仍在制定过程中，重要数据的识别仍待有关部门的告知或者公开发布；

• 在重要数据目录发布之前，相关企业已根据相关规定建立了自身的数据分类及分级标准以界定重要数据，且认为其业务不涉及重要数据。

（2）针对情形二（关键信息基础设施运营者向境外提供个人信息）：

• 相关企业尚未收到被有关部门认定为关键信息基础设施运营者的任何通知；

• 根据相关规定，结合相关企业的业务性质、处理的数据或个人信息的类型、数量等因素，经过评估和分析，相关企业认为其不构成关键信息基础设施运营者。

（3）针对情形三（处理100万人以上个人信息的数据处理者向境外提供个人信息）：

• 相关企业处理的个人信息数量远小于100万。

（4）针对情形四（自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息）：

• 相关企业提供的个人信息不属于敏感个人信息；

• 自上年1月1日起累计向境外提供的个人信息或敏感个人信息数量远小于该标准。

（5）其他理由：

• 相关企业的日常运营不会触发数据出境。

2. 《规范和促进数据跨境流动规定》实施后应当申报数据出境安全评估的情形

2024年3月22日，《促进和规范数据跨境流动规定》（国家网信办令第16号）（以下简称“《规定》”）发布并实施，对《数据出境安全评估办法》规定的数据出境安全评估的触发标准进行了调整。

根据《规定》第7、8条规定，数据处理者向境外提供数据，符合下列条件之一的，应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估：

（1）对于关键信息基础设施运营者：

• 向境外提供个人信息；

• 向境外提供重要数据。

（2）对于关键信息基础设施运营者以外的数据处理者：

• 向境外提供重要数据；

• 自当年1月1日起累计向境外提供100万人以上个人信息（不含敏感个人信息）；

• 自当年1月1日起累计向境外提供1万人以上敏感个人信息。

根据《规定》第13条，《数据出境安全评估办法》与《规定》不一致的，适用《规定》。

因此，自2024年3月22日《规定》实施后，拟赴美上市企业应根据上述《规定》判断其是否需要申报数据出境安全评估，并就其是否符合上述《规定》中的应当申报数据出境安全评估的情形、是否应当申报数据出境安全评估进行披露。

结语

总体而言，所有2023年度赴美上市的企业均在招股书中对其业务经营涉及的数据合规情况进行了披露，披露内容详细、披露要点集中，并且SEC也对多个企业就数据合规事项进行了重点问询。因此，拟赴美上市企业有必要了解SEC在数据合规方面的问询关注要点和相关企业在招股书中就数据合规事项的披露要点，并参考本文提供的应对思路，提前在企业运营管理中落实各项数据合规要求，并对招股书中需披露的数据合规事项予以有效应对，为企业成功赴美上市在数据合规方面做好充分准备。

[注]

[1] 根据USCC的说明，此处的“中国企业”是指：（1）被相关证券交易所认定为来自中国的企业；（2）在向SEC提交的文件中将中国地址列为其主要办公地址的企业；或（3）大部分业务在中国开展，包括在境外设立但其价值最终与中国关联的企业。使用离岸公司实体在美国证券交易所上市的中国公司中，有些公司在其上市信息中隐藏或不标明其主要的中国公司注册地，这使得追踪工作变得复杂，很难保证这份名单涵盖了所有在境外注册的中国公司；仅在香港或澳门注册的公司也不包括在此名单中。

[2] 非必需消费品（Consumer Discretionary）包括汽车、家电、服装、奢侈品、酒店等在满足生活基本需求后的可选择性消费品。

[3] 必需消费品（Consumer Staples）包括食品、饮料、烟草及日用品等满足生活基本需求的消费品。

作者简介

刘平 律师

深圳办公室

非权益合伙人

业务领域：中国内地资本市场，网络安全和数据保护，反垄断和竞争法

刘浩 律师

深圳办公室 资本市场部

声明：本文来自中伦视界，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。