中资港股企业的数据合规工作，需同时遵循香港本地监管规则与内地数据安全法律法规，两大监管体系虽监管侧重点、执行路径存在差异，但核心均围绕“风险可控、披露充分、权责清晰”展开，企业应遵循双向合规要求，方可规避跨境监管冲突风险。

（一）香港本地监管：以信息披露与企业管治为核心

香港地区针对上市企业的数据合规与隐私保护监管，以港交所《上市规则》为基础，配套专项指引与执法规范，形成了覆盖发行、上市后全流程的监管框架，核心聚焦投资者保护与信息披露透明度，对发行人的合规义务作出刚性约束。

其一，上市规则明确强制披露义务。根据港交所《上市规则》、《新上市申请人指南》，发行人需在招股文件、定期报告中，完整披露数据安全内控机制、个人信息处理流程、跨境数据流转安排及潜在合规风险；若披露内容缺失、表述模糊或与实际情况不符，将直接触发聆讯问询，甚至被要求追加尽调、暂缓上市流程。

其二，ESG合规披露全面升级。港交所新版 ESG 报告守则已将数据安全、个人信息隐私保护纳入核心非财务披露范畴，从以往的自愿补充提升为 “不遵守就解释” 的硬性披露要求。企业须结合业务实际，披露数据合规政策、管控措施、重大风险事件及整改情况，并鼓励量化相关 KPI（如安全事件、合规投入、认证覆盖）。该项披露质量直接影响机构投资者判断、企业市场估值与资本市场认可度。

其三，IPO尽调与执法问责持续从严。香港证监会强化对IPO项目数据合规事项的监督核查，明确要求保荐机构、法律服务机构开展实质性尽职调查，严禁隐瞒合规瑕疵、虚假披露；若发行人存在数据违规行为、中介机构尽调失职，将面临监管约谈、行政处罚，情节严重的直接否决上市申请，相关责任方将被连带追责。

（二）内地跨境监管：以数据安全与主权保护为底线

对于境内主体赴港上市行为，内地监管围绕数据安全、跨境流转、国家主权等核心议题，依托《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》《关键信息基础设施安全保护条例》《数据出境安全评估办法》《个人信息出境标准合同办法》《个人信息出境认证办法》《促进和规范数据跨境流动规定》《个人信息保护合规审计管理办法》《工业和信息化领域数据安全风险评估实施细则（试行）》等法律法规、实施细则、标准，构建了全链条监管体系，划定了不可触碰的监管红线。

一方面，境外上市备案将数据合规列为核心审查事项之一。根据近期中国证监会国际合作司针对拟赴境外上市企业发布的备案补充材料要求，资质许可，处理数据的主要类型、规模、具体方式，处理个人信息的规模，向公众开放且处于运营状态的网站、APP、小程序、公众号合规性，上市前后个人信息保护和数据安全的安排或措施，数据跨境合规性，重要数据识别与管控，数据出境安全评估，网络安全审查落实情况等事项，属于备案必查补正内容，企业需提交完整信息披露，以及境内律师需对此出具专项法律意见。

另一方面，常态化合规义务刚性落地。境内企业赴境外发行上市，涉及数据处理活动的，应当依法依规依场景开展数据安全风险评估、定期开展个人信息合规审计，重点排查数据存储、流转、权限管控等环节安全风险，并按规定报送评估报告。未依法履行相关义务或者提供不实评估、审计材料的，将依法承担相应法律责任，可能被纳入重点监管范围，并对境外上市备案、持续监管及后续资本运作产生不利影响。

此外，底层合规标准严格执行。企业需落实数据分类分级管理、个人信息最小必要收集、网络安全等级保护等要求，关键信息基础设施运营者所处理数据本地化存储，数据/个人信息出境需依法完成安全评估、标准合同备案、认证等法定程序，严禁违规跨境提供数据；涉及关键信息基础设施、算法应用、大模型应用的，还需履行专项合规审批与备案义务。

港股IPO数据合规风险贯穿筹备、审核、上市后全流程，其中上市筹备期、上市审核期是监管核查的重中之重，也是企业合规整改的核心阶段。监管核查已从传统个人信息、数据跨境范畴，延伸至网络安全、关键信息基础设施、重要数据、算法与大模型、开源合规等新兴领域，一旦存在排查疏漏、整改不到位，极易成为审核“卡壳”的关键障碍。结合近年港股IPO审核实践、监管问询函及最新口径，两大核心阶段的合规要点与关注重点如下：

（一）上市筹备期：全维度合规排查与前置整改

上市筹备期是数据合规整改的黄金窗口期，此阶段需开展全覆盖、穿透式合规排查，绝非单一维度的瑕疵修补，而是要覆盖数据全生命周期、全业务场景、全技术应用，排查事项需全面贴合境内外监管要求，核心排查维度细化为八大类，每类均包含具体实操事项：

1. 个人信息处理全流程合规排查

这是最基础、最高频的核查事项，需全面梳理用户个人信息收集、存储、使用、加工、传输、删除、销毁全流程，重点排查：收集范围是否严格遵循“最小必要、目的限定”原则，是否存在超范围收集生物识别、通讯录、位置信息等敏感个人信息；用户授权机制是否合法有效，是否存在强制授权、捆绑授权、默认勾选授权等违规情形；隐私政策、用户协议是否清晰告知处理规则、跨境流转情形；个人信息泄露、篡改、丢失后的应急处置与用户告知机制是否健全；是否建立个人信息投诉、举报、更正、删除的处理流程，相关记录是否完整留存。

2. 重要数据识别与管控合规排查

依据《数据安全法》及各行业重要数据目录，精准识别企业是否涉及重要数据（如金融、医疗、交通、能源、政务相关核心数据，累计大量个人信息形成的数据集等）；重点排查：重要数据是否完成分类分级备案，是否实行专人管控、权限隔离；重要数据是否严格落实本地化存储要求，是否存在未经审批擅自向境外地区提供、存储的情形；重要数据处理、流转的全流程日志是否完整留存，是否建立定期风险评估机制。

3. 网络安全与等保合规排查

核查企业网络安全建设与监管要求的适配性，核心包括：是否按照相关规定完成对应等级的测评与备案，是否定期开展等保复测；是否建立网络安全监测、预警、处置机制，是否具备防范网络攻击、数据泄露的技术能力；是否存在网络安全漏洞未修复、安全防护措施缺位等问题；近年内是否发生网络安全事件、数据泄露事件，是否完成整改并向监管部门报备。

4. 关键信息基础设施运营者（CII）合规排查

判断企业是否属于金融、通信、能源、交通、公共服务、互联网等行业的关键信息基础设施运营者，若涉及则需专项排查：是否履行CII认定与备案手续；是否设置专门安全管理机构与负责人，是否开展常态化安全检测评估；是否采购安全可信的网络产品与服务，涉及关键设备、专用密码产品的是否取得相关认证；数据出境是否依法通过网络安全审查，是否存在违规跨境运营行为。

5. 数据跨境流转合规排查

针对赴港上市涉及的跨境数据交互，全面排查：向境外提供境内数据的（尤其涉及重要数据或敏感个人信息），是否依法履行数据出境安全评估、个人信息出境安全评估、标准合同备案、认证等法定程序；是否存在“先出境、后审批”“未审批即流转”的违规情形；跨境数据传输是否采用加密技术，是否建立境外接收方管控机制，确保数据接收、使用符合境内监管要求。

6. 算法与大模型/开源模型合规排查

针对18C章特专科技企业、互联网、人工智能企业，这是当前监管严查的新增重点，需排查：算法应用服务是否需要取得算法备案，是否建立算法公示、用户选择权退出机制，是否存在算法歧视、大数据杀熟等违规情形；大模型训练数据来源是否合法，是否存在未经授权使用他人数据、侵犯个人隐私/知识产权的情形；大模型对外提供服务是否履行安全评估、备案手续；开源模型使用是否遵守开源协议，是否存在开源组件侵权、违规商用、未履行披露义务的问题；模型跨境部署、境外调用是否符合数据安全与算法监管要求。

7. 资质与权属合规排查

核查企业数据处理、互联网运营相关资质是否齐全，是否存在无证经营风险：是否取得增值电信业务经营许可证（ICP/EDI）、网络文化经营许可证等行业必备资质；数据资产、数据库、算法模型的知识产权权属是否清晰，是否存在侵权纠纷、权属争议；是否存在非法获取数据、买卖数据、与第三方违规共享数据的情形。

8. 历史合规风险与内控体系排查

全面梳理企业历史合规记录，排查是否存在数据合规相关的监管约谈、行政处罚、用户投诉、诉讼仲裁案件，相关问题是否完成彻底整改、消除遗留风险；核查企业数据合规管理制度是否健全，是否覆盖全业务、全流程，是否落地执行而非流于形式；是否设立数据合规管理岗位，是否开展员工合规培训，是否建立内部合规自查机制。

（二）上市审核期：聆讯与备案高频问询

审核阶段监管问询已从“泛化提问”转向“精准穿透”，境内证监会备案问询侧重实质合规性核查，港交所聆讯问询侧重披露充分性与风险可控性，两类问询均围绕筹备期排查的核心事项展开，且针对重点领域会细化追问，高频问询问题及监管核心意图如下：

1. 境内证监会境外上市备案核心问询

此类问询要求企业提供详实证明材料，严禁模糊答复，核心问题包括：

(1) 基础数据合规类：请详细说明发行人及境内运营主体处理的数据类型、规模，处理数据的具体方式，是否涉及个人信息、敏感个人信息、重要数据，相关数据的分类分级识别标准及落实情况；处理的个人用户信息规模，是否涉及向第三方提供个人用户信息；请提供个人信息出境、重要数据跨境提供的审批/备案文件，说明跨境流转的必要性、安全性及管控措施。

(2) 网络安全与CII类：请说明发行人是否属于关键信息基础设施运营者，是否履行网络安全等级保护测评及备案手续，是否发生过网络安全、数据泄露事件及整改情况；请提供近年度数据安全评估报告，说明评估发现的问题及整改结果。

(3) 算法与大模型类：请说明发行人核心算法、大模型的应用场景、训练数据来源，是否取得算法备案、模型安全评估备案；开源模型使用是否符合开源协议，是否存在知识产权侵权风险；模型跨境部署、境外调用的合规管控措施。

(4) VIE架构与整改类：请说明VIE架构下境内外数据流转的合规安排，是否存在数据安全风险；请详细说明数据合规整改的具体措施、完成时限、验收情况，是否存在未整改完毕的重大合规风险。

(5) 制度与组织架构类：请详细说明发行人是否建立健全数据安全管理制度体系、个人信息保护内控机制，相关制度文件是否覆盖全业务场景与数据全生命周期；请说明发行人数据合规内部组织机构、岗位设置、人员配置情况，是否明确合规管理责任人与职责分工，相关机制是否实际落地执行。

(6) 平台与用户数据统计类：请发行人提供所有向公众开放且处于运营状态的网站、APP、小程序（含微信小程序等各类小程序）、新媒体公众号/账号（含微博、抖音、小红书、B站等全平台官方账号）信息，列明平台名称、运营主体、访问地址、上线时间、核心功能；并同步统计并说明各平台收集、存储的用户信息规模、数据类型、存储期限、存储位置，提供相关数据台账与统计说明。

(7) 第三方合作与数据共享类：请说明发行人与第三方合作过程中的数据共享、委托处理合规情况，是否对合作方开展数据合规尽调，是否签订合规协议明确双方责任；请排查是否存在非法获取数据、数据买卖、违规对外提供数据等情形。

(8) 历史合规与应急处置类：请全面梳理发行人及境内运营主体历史数据合规相关的监管约谈、行政处罚、投诉举报、诉讼仲裁、数据泄露/网络安全事件，说明具体情况、整改措施及验收结果；请提供数据安全应急处置预案、演练记录及应急处置机制运行情况。

(9) 持续合规类：请说明发行人上市后数据合规的常态化管控机制，是否具备持续履行境内数据监管义务的能力。

2. 港交所聆讯核心问询

此类问询聚焦投资者知情权，要求发行人充分披露合规风险及应对措施，核心问题包括：

(1) 披露完整性与风险量化问询：请在招股书中补充披露数据合规相关的全部风险因素，包括但不限于数据跨境审批风险、监管处罚风险、算法合规风险、重要数据管控风险、第三方数据合作风险；请量化说明数据合规瑕疵对发行人经营业绩、持续运营、市场估值的潜在影响，补充风险应对的具体可行性措施。

(2) 内控有效性与执行落地问询：请详细说明发行人数据安全、个人信息保护的内控体系，相关制度的执行流程、监督考核机制及实际落地效果；请说明针对网络攻击、数据泄露、算法安全事件的应急处置预案、演练频次、处置流程及用户告知机制。

(3) 行业特殊合规问询：针对医疗、金融、人工智能、电商等行业，要求披露行业特殊数据（如患者隐私、金融交易数据、研发核心数据、用户行为数据）的专项合规处理措施、监管适配情况；针对18C章企业，要求说明核心技术数据、算法模型、大模型训练数据的合规性，以及合规风险对企业核心竞争力、业务可持续性的影响。

(4) 数据资产与业务合规问询：请说明发行人核心数据资产的权属、来源合法性，数据驱动业务模式的合规支撑；请说明数据合规相关资质（ICP/EDI、算法备案等）的有效性，是否存在资质到期、续期风险及应对方案；请说明数据合规投入、整改成本对财务状况的影响。

(5) ESG与治理层面问询：请结合港交所ESG指引要求，详细披露数据安全、隐私保护的治理架构、管控措施、绩效量化指标；请说明董事会、管理层对数据合规工作的履职情况，是否将数据合规纳入企业整体治理体系。

（三）上市后持续合规：常态化监管与风险防控

港股上市并非数据合规的终点，而是常态化合规运营的起点。已上市企业需履行持续合规义务，重点关注三大事项：按法律法规的要求完成数据安全评估、合规自查与信息披露，逾期未履行将被监管问询并限期整改；建立数据泄露、算法安全事件应急处置机制，妥善应对监管投诉、行政处罚，及时履行披露义务，避免引发股价波动、投资者索赔；涉及算法、大模型迭代、数据处理范围变更的，需及时履行备案、评估及披露义务。

针对港股上市全流程数据合规痛点，结合项目经验，我们构建了覆盖“前置尽调-体系搭建-审核应对-持续运维”的全链条合规解决方案，精准对接境内外监管要求，助力企业扫清合规障碍、平稳登陆港股市场：

（一）前置尽调与风险排查

组建资本市场+数据合规双专业律师团队，对照上市筹备期八大类排查事项，开展穿透式合规尽调，全面梳理企业数据处理、技术应用、跨境流转全场景，精准定位合规隐患；区分“重大实质性障碍”“一般瑕疵”“优化事项”分级分类，出具详细风险排查报告、整改方案及时间表，明确整改责任、路径与证明材料，提前化解审核问询风险，避免上市进程因合规问题延误。

（二）合规体系搭建与文件完善

结合企业业务模式、架构特点及行业属性，定制数据合规管理制度、隐私政策、跨境数据流转协议、算法合规手册；完成网络安全等级保护备案、数据出境安全评估、个人信息标准合同备案、算法备案、大模型备案/登记等法定手续；打磨招股书、ESG报告中的数据合规披露章节，确保表述精准、风险量化、措施详实，贴合港交所聆讯与境内备案披露标准，杜绝披露瑕疵引发的问询。

（三）审核问询应对与整改落地

针对境内外监管问询，组建专项应答小组，精准解读监管意图，出具专业答复意见，配套提供完整佐证材料；进一步推进合规整改落地，对接监管沟通事宜，完成整改验收；快速处理合规争议、处罚应对、补正工作，减少问询轮次、缩短审核周期，保障上市流程平稳推进。

（四）上市后常态化运维

已上市企业应实施数据安全评估、合规自查、内控优化、应急处置迭代等持续性事务；跟踪境内外监管动态，及时更新合规方案，履行定期披露、年度报备义务；针对算法迭代、大模型升级、业务扩张等场景，持续进行合规评估，规避上市后监管处罚、退市风险，筑牢长期合规防线。

基于当前监管趋势分析，我们预测，后续港股上市数据合规监管将呈现三大趋势：一是监管核查维度持续扩容，除传统数据合规外，算法、大模型、开源合规、关键信息基础设施等将成为必查事项，核查颗粒度进一步细化；二是境内外跨境监管协同不断深化，监管信息互通共享，违规成本持续攀升，行政处罚、上市否决、退市追责、中介连带问责等惩戒措施并行；三是数据合规披露日趋强制化、细化，合规能力将成为企业上市核心竞争力与资本市场估值的重要参考。

在此背景下，拟赴港上市企业应摒弃“临时抱佛脚”的心态，尽早启动全维度数据合规尽调与整改，尤其针对重要数据、算法、大模型等新兴合规领域，提前布局、规范管控；已上市企业需建立常态化合规管控机制，动态适配监管变化。