2022年5月7日（周六）晚，上海賽博網絡安全產業創新研究院聯合安永(中國)企業咨詢有限公司主辦「數安周享會 · Cyber Talk」第三期直播活動。本期以“企業上市的數據合規之路”為主題，重點探討了企業上市數據合規監管要求、風險分析，并為上市或擬上市企業提出參考建議。

隨著科創版注冊制的推行，越來越多企業，尤其是中小型的科技型企業具備較高的上市需求。在此背景下，周旸從實務案例出發，站在企業內部的視角，重點分享企業上市過程中需要開展的合規準備工作。

01

典型案例分享

總體合規挑戰與企業應對目標

國內企業上市面臨的合規風險主要源于圍繞網絡安全和數據合規的監管要求提升、網絡安全和數據合規相關的法律法規快速更新。除此之外，若企業涉及海外業務，需重點關注數據跨境風險和海外監管風險。

為應對這些風險，建議企業重點考慮以下五個方向：

1、明確監管要求。制作“與時俱進”的法律法規合集，通過建立合規框架從而把不同的法律要求轉化為企業內部的實踐。此外，在開展合規工作之前，企業需要做好各種認證，奠定基礎。相關人員與一系列的規章制度是合規工作落地執行的必要前提，若沒有這些基礎，純粹的技術工具是無法做好合規工作的。

2、業務屬性決定合規成本。企業應當根據擬發行上市涉及的產品或業務，結合國家與地區的法律法規、行業相關的指導標準，判斷其所適用的具體合規要求。

3、存量業務合規。新的法律法規出臺后，不僅影響大企業正在開展的業務數據，同樣適用于企業的歷史存量數據。企業應立即開展合規自查，并對發現的問題進行整改優化。

4、合規內控體系。網絡安全與數據合規工作必定涉及到企業的多個組織與部門，而不局限于某單一部門。企業做好合規工作，跨部門協作的組織架構是必不可少的，建議成立相關的委員會進行統籌兼顧，融合到企業內控體系中。

5、第三方報告。在企業上市過程中，往往需要保薦機構出具報告佐證合規工作的完備性，其報告內容對企業合規工作的細致程度要求極高，往往需要多家輔導機構協作，出具結論性的正式報告。

網絡安全與數據合規的方法論及總體概述

為了應對網絡安全與數據合規風險，企業整個數據合規工作過程可以分為四個階段。其中階段一、階段二、階段四屬于企業常規的合規工作，而階段三則是針對企業上市過程中需要開展的更深入、更細致的準備工作。

階段一：合規要求梳理。其中包括IPO合規分析、外部合規分析、內部合規分析。在此過程中，合規工作人員需要制定相關法律法規的控制清單，并在合規工作過程中梳理并判斷哪些業務是適用這些要求的。

階段二：業務現狀梳理。擬上市企業，尤其是獨角獸企業，其外在業務通常以數字化的形式呈現，通過數據產生經濟效益與價值。這些數據的載體不再是文檔，而更多是字段級的數據資產。相較傳統的商業秘密與知識產權，這些數據的梳理工作需要更為細致，所花費的時間亦根據企業的規模和產品數量呈正相關。該項工作一般會按照數據生命周期、不同的載體進行全面梳理，從而形成對現狀的全面理解，將發現的問題對應到數據各生命周期，以便于針對性地開展整改。

階段三：合規評估與分析。這個階段最為核心的內容是技術核查，也就是通過技術手段對人員訪談的結果進行有效性和實質性的驗證。這部分的工作與企業上市審計的嚴謹性強相關，使得合規工作不只是停留在制度規范與人員意識層面，而是真正落實在企業的業務活動與應用系統中。

階段四：整改追蹤與報告。上市過程中，在確認風險與整改計劃后，其報告的出具需要依據整改工作的成效，結合企業上市的時間表，周期性地出具合規結論報告。同時應就開展的合規工作進行定期總結，形成長效機制，真正做到建立起一套行之有效的合規體系。

02

其他常見合規問題

合規與否，最終是法律問題，因此最終是否合規的結論應由律師給出。

保薦機構作為項目整體風險把控人，也將參與專業判斷和面對監管反饋。

咨詢公司的作用主要是從技術上、流程上、數據上把現狀和歷史上的情況排摸清楚，并進行呈現，為保薦機構和律師的最終判斷提供充分的信息。

關于網絡安全與數據合規的關注和問詢，是針對整個首發申報期間的。關于網絡安全與數據合規的評估，也是針對整個首發申報期間的。但是，很多歷史情況很可能無法完全還原，主要取決于企業系統和流程所保存的信息的完整性。

適用的法律法規，不僅涵蓋首發申報期間內已經生效的文件，也會考慮尚未生效但已處于征求意見稿階段的。

兩者都包含，既要看是否建立了適當的數據安全與合規體系，也要看數據安全和合規的實際情況（包括歷史和現在情況）。

流程評估：涉及組織架構、流程制度的設計與執行、監控與審計等各方面。

技術評估：包括對企業相關的技術應用有效性的評估，以及使用技術手段對網絡環境、數據傳輸路徑、存量數據等的實質性檢查。

整改的目標是達成現狀的合規，并建立能支持未來持續合規的體系和能力。

在體系流程的整改方面，主要是在現狀的基礎上根據合規要求和內部管理要求，進一步提升和完善組織架構、制度流程、監控與審計等各方面。

對于歷史留存下來的存量數據，相關的數據不合規項，都要進行整改，直到根據當前法律法規要求能達到合規。

03

數據生命周期合規治理

總結：企業上市開展網絡安全與數據合規治理工作，應著眼于數據生命全周期，制定合規治理目標，分析合規風險，并在上市的各個階段持續開展合規治理工作：

上市過程中：開展不同的合規性審查、合規差距分析，形成一份完整優秀的合規報告，作為招股說明書的一部分提交至監管機構。

上市披露階段：披露合規信息，接受監管問詢，在此過程中不斷完善合規工作。

成功上市后：在不斷完善網絡安全與數據合規內控制度的同時，通過引入自動化工具平臺，將合規要求通過技術工具落地，構建全方位的合規體系，確保持續滿足合規要求。