正文：

　　在【企業上市過程面臨的數據合規問題和相關風險：境內篇】，我們梳理了中國公司在境內上市時證券監管機構所提出的相關問題；在本篇中，我們主要關注《網絡安全法》生效后在境外上市（包含在美國和香港上市）的中國公司在招股書等公開文件中披露的重大風險，對其進行了翻譯和整合，總結出在網絡安全和數據保護方面境外上市公司的普遍性合規風險和相關行業的特殊性合規風險，供讀者參考。由于境內外上市公司披露的材料有所不同，所以境內篇和境外篇所利用的材料和文章的結構也有較大差別，但我們認為其中揭示的風險點對于境內外上市公司和非上市公司都是相通的，值得深入研究和系統應對。

　　普遍性合規風險

　　數據安全方面

　　任何安全漏洞和數據解密，包括網絡攻擊、未經授權的訪問和使用、計算機病毒、硬件或系統軟件被入侵或類似的破壞或中斷，都可能導致公司的保密技術遭受損害或破壞、用戶數據和保密信息泄露、降低用戶體驗、侵犯用戶隱私等后果，從而導致公司聲譽受損、合同提前終止、訴訟、監管調查或公司面臨其他責任的后果。

　　公司自身、應用程序開發商以及客戶所使用的數據安全措施可能因第三方操作失誤、員工工作失誤、瀆職或其他原因而遭到破壞，公司技術基礎設施中的設計缺陷可能被暴露和利用，從而可能導致他人未經授權訪問開發人員、客戶以及終端用戶的機密信息。

　　未經授權訪問和攻擊系統的技術正在不斷變化和發展，并且其在發起攻擊前通常難以被識別，公司可能無法預測這些技術，難以實施適當的預防措施，因而存在安全漏洞。

　　公司無法保證公司的員工將來不會違反保密協議。

　　如果公司未能保護客戶數據和隱私，客戶可能會察覺到公司的第三方渠道泄漏或濫用客戶數據。

　　如果公司未能遵守隱私政策和數據安全措施，不當使用或披露數據，則可能導致未經授權發布或傳輸個人身份信息或導致其他用戶信息泄露，從而可能導致訴訟、監管調查、聲譽受損等不利后果。

　　第三方保險安排未必足以涵蓋因個人信息泄露產生的虧損。（此處摘自港股招股書原文）

　　數據立法和監管對業務的影響

　　中國的個人信息保護相關法律法規和標準的解釋和適用仍然處于不確定狀態，并在不斷調整中。相關政府部門可能會以對公司不利的方式解釋或實施法律法規。公司無法保證根據中國的《網絡安全法》及其配套法規，公司已經采取或將要采取的措施是完全充分的，中國不斷發展的隱私保護監管框架可能會要求公司改變目前的業務實踐。

　　除了有關個人隱私和數據安全的法律、法規和其他適用規則外，行業團體或其他私人方也可能提出新的和更嚴格的隱私實踐標準。例如，《個人信息安全規范》要求數據控制者必須提供收集和使用個人信息的目的，要求數據控制者對其核心功能與附加功能進行區分，以確保數據控制者只會根據實際需要來收集個人信息。公司無法確保能夠滿足這些可能不斷出現的新標準。

　　在全球市場戰略下，公司業務會涉及到不同的司法管轄區，因而公司需受其個人信息保護法律和法規的約束，但公司可能無法及時調整內部政策以同時符合各管轄區的不同要求。例如，如果有歐盟境內的居民安裝了裝有公司SDK的APP，或公司的其他用戶到歐盟境內旅行，則公司可能需要遵守GDPR的相關要求。

　　世界各地的監管機構近期正在制定或醞釀一系列有關數據保護的立法和監管提案，這些立法和監管提案如獲通過，其解釋和適用除了可能導致公司被罰款外，還可能會要求公司改變目前的數據業務實踐，這可能對公司的業務產生不利影響。

　　中國監管機構越來越關注數據安全和數據保護領域的監管，公司預計這些領域將受到監管機構的更多關注，并吸引持續的或更多的公眾監督和關注，這可能會增加公司的合規成本，并使公司面臨數據安全和保護相關的更高風險和挑戰。

　　即使公司使用的是匿名化的設備層面的移動信息，該信息也仍然有可能被認定為中國《網絡安全法》下的個人信息，從而需要符合相關規定和要求。中國法律法規中對于個人信息的收集、存儲、使用、處理、披露和轉移都有相關的規范要求，根據這些法律法規，互聯網信息服務提供商在收集用戶的個人信息前必須獲得用戶同意，并且不能收集與其提供的服務無關的個人信息，同時互聯網信息服務提供商也必須就信息收集和使用的目的、方式和范圍告知用戶。

　　輿論風險

　　一些對公司收集、存儲、處理和使用數據的做法的擔憂（即使沒有實際根據），也可能損害公司的聲譽和業務經營。

　　對于公司平臺的安全或隱私保護機制和政策的任何負面宣傳，以及對公司提出的任何索賠或監管機關對公司的處罰，都會有損公司的公眾形象、聲譽以及業務發展。

　　如違反公司的網絡安全措施，或公司的平臺受到攻擊而導致用戶的個人信息遭受未經授權的入侵，公司的服務可能被視為不安全及不可靠。因此，用戶可能會減少或停止使用公司的服務，可能有損公司的業務及經營業績。

　　第三方對公司的影響

　　公司無法保證其應用開發商和業務合作伙伴所采取的數據保護措施的有效性，其存在的網絡安全漏洞可能導致公司客戶信息泄露。

　　公司無法控制應用開發商及業務合作伙伴等第三方的具體活動，如果其行為違反了中國《網絡安全法》或與保護個人信息相關的其他法律法規，或未能完全遵守與公司達成的服務協議，公司可能也會面臨被處罰的風險。

　　第三方網上支付平臺的運營安全及其收取費用的行為可能會對公司的業務產生重大不利影響。公司無法控制第三方網上支付供應商的安全措施，而公司所用網上支付系統出現安全漏洞或會令公司面臨訴訟，并可能就未能保障客戶保密信息產生負債。（此處摘自港股招股書原文）

　　相關行業的特殊性合規風險

　　數據服務類公司

　　公司通過為移動應用程序開發者提供服務，可以訪問用于開發特定行業數據解決方案的大量移動數據。基于公司集中式的專有數據處理平臺以及人工智能和機器學習，公司能夠從數據中發掘出有效可行的見解，并開發各種數據解決方案。但某些應用開發者可能禁止或限制公司訪問或使用公司業務所需的數據。

　　終端用戶所使用的某些計算機軟件或程序可能會限制公司訪問用戶數據，或者終端用戶可能會對公司使用其數據提出異議。如果公司未來無法繼續獲取大量移動數據，公司將失去競爭優勢，公司可能無法有效地提供和改進現有數據解決方案以響應客戶的需求。

　　用戶對數據隱私的態度在不斷變化，用戶會擔心其個人信息被公司客戶或其他人訪問、使用或共享，這可能會對公司獲取數據的能力產生不利影響。

　　如果有其他的數據解決方案提供商發生嚴重的安全漏洞事件，公司的客戶和潛在客戶可能會對公司的開發服務或數據解決方案的安全性失去信任。

　　公司收集匿名的、設備層面的無法識別個人身份的數據，如應用程序要求用戶做出相應授權，發行人是否能接收個人身份信息，或者收集的數據是否可以通過其他方式用于識別個人身份。（此處摘自SEC對發行人的問詢）

　　互聯網金融公司

　　公司通過線上提供金融服務時會收集借款人的某些個人信息，并且還需要將該種個人信息與公司的業務合作伙伴（如信貸機構等）共享，以便為借款人提供信貸，公司已就該種收集和使用個人信息的行為取得了借款人的同意，并且建立了信息安全系統以保護用戶信息。但是，相關法律對于維護網絡安全和保護個人信息的要求仍存在不確定性，公司無法保證公司目前的信息安全政策和實踐完全符合現在或將來適用的任何法律法規。

　　公司會從外部數據源收集一些數據進行信用評估，該種外部數據源可能違反了中國《網絡安全法》，公司可能因此無法使用相關數據開展業務。

　　如果借款人或其他第三方提供的或公司收集的數據不準確、不完整或有欺詐性，則公司的信用評估的準確性可能會受到影響，可能減弱客戶對公司的信任。

　　公司從用戶處收集、存儲和處理某些個人和其他敏感數據，這可能使公司成為網絡攻擊的目標。未經授權披露個人敏感信息或機密的客戶數據，無論是因為系統故障、員工疏忽、欺詐還是盜用，都可能導致客戶和投資者的機密信息被盜并用于犯罪目的，會損害公司的聲譽并導致公司失去客戶。

　　公司收到了客戶關于其個人信息泄露的一些投訴，雖然公司已對此類泄漏進行了調查，但公司無法保證不會發生其他類似的事件和投訴。

　　根據中國《網絡安全法》，關鍵信息基礎設施的運營商，包括公共通信和信息服務以及金融業和其他重要行業和領域，應將在中國境內運營期間收集和生成的個人信息和重要數據儲存在境內，如需向境外傳輸，則應按相關規定進行安全性評估。公司所使用的數據中心位于海外，可能需要在不同地點之間傳輸某些個人數據，并且由于此類數據被用于金融服務，公司可能會受到中國《網絡安全法》規定的安全性評估要求的約束。公司無法保證，公司目前采用的評估個人數據安全的措施可以滿足相關政府部門現在或未來的要求。

　　電子商務公司

　　公司的業務會生成并處理大量數據，因而面臨處理和保護大量數據所固有的風險。電子商務行業面臨的一個重大挑戰是機密信息的安全存儲及其在公共網絡上的安全傳輸。

　　中國政府機構可能要求公司共享公司所收集的個人信息和數據，以符合中國有關網絡安全的法律。

　　在公司平臺上進行產品銷售均須通過第三方在線支付服務進行結算。第三方在線支付服務提供商在信息安全措施等方面的漏洞會損害公司客戶的利益，從而對公司的聲譽、公眾形象、業務前景等方面產生不利影響。

　　公司的客戶使用的付款處理服務或其他第三方服務可能會未經授權入侵公司用戶的數據。

　　公司與簽約的第三方物流服務提供商共享有關平臺用戶的某些個人信息，例如平臺用戶的姓名、地址、電話號碼和交易記錄，第三方物流服務提供商可能違反其保密義務并非法披露或使用有關平臺用戶的信息。

　　視頻類公司

　　公司的業務優勢在于能夠制作極受大眾歡迎、引領潮流的原創內容，但公司面臨著黑客非法訪問和非法分發尚未發布的原始內容的風險。

　　公司的產品和服務涉及用戶和廣告客戶信息的存儲和傳輸，特別是計費數據以及原始內容，網絡安全漏洞可能使公司丟失此類數據。

　　可能存在第三方入侵公司的用戶帳戶并將用戶流量導向到其他互聯網平臺的情況，使公司丟失客戶。

　　公司需依靠第三方（如第三方在線支付處理商）的計費和支付系統來確定付費用戶的消費記錄并收取此類付款。公司無法控制第三方支付服務提供商的網絡安全措施，如果公司使用的在線支付系統存在安全漏洞，可能會使公司面臨訴訟以及承擔未能保護客戶機密信息的責任。

　　作為移動端直播平臺，公司的業務涉及大量用戶數據及其他相關信息。任何用戶數據泄露或丟失，或用戶制作任何不當內容，均可能對公司聲譽造成不利影響，若屬嚴重情況，公司或須承擔潛在的法律責任。

　　教育類公司

　　未獲授權披露或使用學生、老師及其他個人敏感數據（不論通過破壞網絡安全或以其他方式）可能令公司面臨訴訟或對公司的聲譽造成不利影響。

　　醫療類公司

　　與患者醫療保密相關的法律法規在未來可能對信息披露和使用的要求更加嚴格，包括限制轉移醫療保健數據。于2017年生效的《網絡安全法》指定醫療保健為優先保護領域，因為其是關鍵信息基礎設施的一部分，且中國國家互聯網信息辦公室正在試圖最終確定跨境轉移個人信息法規草案。（此處摘自港股招股書原文）