文章总结: 企业上市需通过网信办审查,境外上市拥超百万用户数据须强制申报。核心审查涵盖数据安全分级分类、跨境合规、全流程管控及个保合规收集、权利保障。红线包括未申报审查、违规出境及超范围采集。建议企业落实等保测评与内控管理,建立长效合规机制以规避风险。 综合评分: 88 文章分类: 政策法规,数据安全,安全建设,解决方案
企业IPO必看,网络安全审查清单
京数安
2025年12月29日 16:53 北京
公司上市网信办数据安全+个保审查(流程+核心内容)✅
依据《网络安全审查办法》《网络数据安全管理条例》,境外上市(含港股除外)且握超100万用户信息必报网信审查;境内上市由交易所问询+网信事后监管,高风险企业会专项核查
(注:港股≠国外上市,无需强制申报,但数据出境仍需合规)
一、审查核心流程(3步闭环)
-
企业主动申报:上市申请前向网信办提材料(申报书+国家安全影响分析+IPO文件)
-
网信办审查:10个工作日内定是否审查→30个工作日初审(复杂延15天)→意见一致出结论,不一致走90天特别审查(可延)
-
整改+持续合规:审查期按要求控风险,通过后纳入长效监管
二、数据安全审查核心内容(6大必查)
-
数据分级分类:核心/重要数据识别、目录备案是否合规,是否涉国家秘密
-
数据全流程安全:采集合法、存储加密、使用不超范围、废弃/销毁留痕
-
跨境数据合规:是否满足出境安全评估,有无被境外势力控制风险
-
安全机制:是否建全流程安全制度、等保定级备案+测评、应急处置预案
-
关键信息基础设施:涉通信/金融/能源等领域的,需额外核查供应链安全
-
风险评估:重要数据是否定期做安全评估,隐患整改是否闭环
三、个人信息保护审查核心内容(5大重点)
-
收集合规:是否明示目的+用户明示同意,敏感信息(身份证/人脸等)需单独同意,无过度采集
-
存储与权限:存储期限不超必要时限,员工权限最小化,防泄露/窃取
-
共享/转让合规:对外共享是否获用户同意,是否做匿名化/去标识化
-
主体权利保障:是否支持用户查询、更正、删除、撤回同意,响应通道畅通
-
内控管理:是否设个人信息保护负责人,超100万用户需建专职保护机构,员工合规培训到位
四、上市关键红线(踩线直接卡壳)
❌握超100万用户信息境外上市未申报审查
❌大量个人信息/重要数据违规出境
❌采集使用个人信息无同意、超范围,敏感信息保护缺失
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:京数安 《企业IPO必看,网络安全审查清单》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论