交易所问询函对企业数据合规的影响

雷丁华 丁澄 薛丽达

【摘要】问询函制度对企业数据合规起到了重要的监管作用。通过分析深交所问询的内容、 严厉程度与问询函发布后社会各方的反应， 结合相关法律法规规定的数据合规义务， 分析问询函对企业数据合规的影响机制。研究发现： 交易所问询函通过引起投资者投资意愿的变化、 社会舆论压力的加强以及运用自身内容特点和监管措施， 从声誉效应和威慑效应两个方面影响企业数据合规治理， 增强企业数据合规性。研究结论为问询函治理数据合规提供了案例证据支持， 对完善数据合规治理具有一定的政策意义。

【关键词】交易所问询函；数据合规；声誉效应；威慑效应

【中图分类号】 F272；F832.5     【文献标识码】A      【文章编号】1004-0994（2024）11-0102-7

一、 引言

云计算、 大数据和人工智能等新一代信息技术在经济领域的深入运用， 为数字经济发展提供了重要的驱动力， 数据日益成为驱动经济发展的战略性资源。2020年国务院印发的《关于构建更加完善的要素市场化配置体制机制的意见》指出， 数据成为数字经济的一种新的生产要素。然而， 在新技术推动市场发展的同时， 相伴而来的是数据违规问题越来越严重， 数据的价值挖掘与数据安全和隐私保护之间存在的矛盾越来越凸显， 数据泄露、 滥用、 盗用等事件接连发生， 2021年的“滴滴事件”就是数据安全危机的典型案例之一。由此可见， 数据合规问题制约了数字经济的发展。我国政府对此高度重视， 2021年9月1日， 《数据安全法》正式开始实施， “总则”中的第四条明确规定： “维护数据安全， 应当坚持总体国家安全观， 建立健全数据安全治理体系， 提高数据安全保障能力。”可见， 应对和处理数据合规问题刻不容缓。

目前， 关于数据合规治理层面的研究主要集中于技术手段与法治手段。“数据合规”是指企业涉及数据处理等的行为要符合相关法律法规的规定。Withers（2019）提出， 数据合规通常是指确保数据（尤其是敏感数据）免受丢失、 被盗、 损坏和滥用的正式标准与实践， 这意味着相关机构和组织必须遵守数据收集、 管理和存储的相关规定。就企业而言， 数据合规与数据安全存在着一定的联系， 不同行业均有不同程度的大数据安全需求（胡坤等，2014）， 数据安全可以被视为数据合规的某一方面（何航，2022；胡玲和马忠法，2023；杨慧妍，2023）， 企业在数据运用过程中应当保证数据采集、 数据存储、 数据传输、 数据处理等方面的合规性与安全性（林璐，2023）。针对数据合规的概念和要素， 马明亮（2022）提出可以利用合规科技对企业数据合规进行治理。合规科技是以数据为驱动力， 以区块链、 云计算、 人工智能等技术为依托的科技管理手段， 通过对数字技术的设计和集成完成对企业数据风险的识别与自动化的监管。合规科技可以及时获取真实、 全面的数据， 提高数据处理的效率和安全性， 还可以在与第三方的合作过程中检测追踪数据腐败问题， 提升数据采集、 数据处理、 第三方合作等方面的合规性。而毛逸潇（2022）提出， 要建立数据合规行业认证制度来规范企业数据合规治理。在数字经济时代下， 面对不同行业、 不同业务的众多企业， 需要引入普遍使用的数据合规制度来应对数据合规问题， 相关部门应当根据已有的数据合规的法律法规， 并根据不同行业特征制定更加精细化的数据合规标准， 建立数据合规认证制度， 对企业做出合规程度评级并进行分级管理。

问询函的发布作为一种市场监管手段， 能缓解信息不对称（李晓溪等，2019）， 规范企业的信息披露行为（Bens等，2016；陈运森等，2018；赵丙艳和叶春明，2020）， 向市场传递信号（翟淑萍等，2020）。对于面临需要上市的公司， 如果公司业务涉及数据处理领域， 数据合规就成为公司在上市过程中的一道“必答题”， 而证券交易所（简称“交易所”）处在市场监管一线， 数据处理是否合规是其审核问询的重点内容。因此， 本文从交易所问询函角度出发， 以华大基因为研究对象， 分析问询函对企业数据合规的影响机制， 探讨问询函是否对企业数据合规治理具有一定的监管作用。

二、 案例简介

华大基因（深圳华大基因股份有限公司）于1999年成立， 是一家在生命科学领域专注于基因领域研究和解决方案提供的高科技公司， 是中国生命科学领域的领先企业之一。华大基因被问询的源头是在2015年9月7日， 科技部在其官网公开一则《行政处罚决定书》， 其中显示华大基因旗下华大科技（深圳华大基因科技服务有限公司）与华山医院未经许可与英国牛津大学开展中国人类遗传资源国际合作研究， 华大科技未经许可将部分人类遗传资源信息从网上传递出境， 而华大科技是华大基因集团旗下子公司， 成立于2012年， 且华大基因对其有绝对控股权， 持股比例为90.91%。2017年7月14日， 华大基因上市， 《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》第六十七条规定： “发行人应披露近三年内是否存在违法违规行为， 若存在违法违规行为， 应披露违规事实和受到处罚的情况， 并说明对发行人的影响； 若不存在违法违规行为， 应明确声明。”而华大基因的招股说明书中并未披露旗下子公司华大科技受到的这项处罚。2018年10月24日， 科技部官网更新6条处罚信息， 华大基因涉及其中， 值得注意的是， 此为科技部首度公开涉及人类遗传资源的行政处罚。10月25日， 华大基因就此次受罚信息公开， 随即有媒体将此事报道出来。10月26日， 深交所针对行政处罚书以及媒体报道， 对华大基因下发问询函， 问询函的主要内容是数据合规问题， 涉及数据保护、 数据采集和数据跨境等方面。华大基因在收到问询函的第二天做出了回复， 详细回答了深交所的问题， 且之后并未收到关于数据合规问题的问询函。

三、 华大基因数据合规的义务

在日常的数据相关活动中， 各行各业的企业均存在或多或少的数据合规问题。从外部威胁来看， 随着企业数据资源的不断丰富， 企业受到黑客的攻击也会越来越猛烈。同时， 何航（2022）认为企业数据合规体系构建正面临“监管高压”“外部工具匮乏”等多重挑战。针对这一系列的攻击和挑战， 危红波（2021）总结出造成我国数据合规性不足的成因在于技术缺陷、 利益驱动、 矛盾爆发、 心理问题、 法制短板、 监管不力等方面的问题。除了外部威胁， 企业内部的治理缺陷也不容忽视， 根据云计算数据安全风险的关联效应的研究， 技术风险、 管理风险占了相对较大的比重（王志英等，2015）； 另外， 就数据跨境而言， 参与全球数据跨境流动的企业可能存在内部数据合规管理体系不完善、 合规激励机制不健全等现实难题（陈兵，2023；梅傲和侯之帅，2022；Dan，2016）。基于对数据合规问题的分析， 目前常规的评估内容主要集中在数据采集合规、 数据存储合规、 数据出境合规等方面， 具体内容涉及数据的收集与分级分类、 数据存储的安全措施和存储地点的安全管理、 数据出境和传输管理， 以及数据公开和第三方合作规范化。

就华大基因而言， 其本身性质存在特殊性。华大基因是一家在生命科学领域专注于基因领域研究和解决方案提供的高科技公司， 属于医疗行业。医疗行业的违规行为受到广泛关注， 而基因资源又是国家的重要战略性资源， 对国民健康及生物产业具有举足轻重的作用和意义。并且， 华大基因的业务范围不仅仅局限于国内， 还包括国际交流合作， 这就涉及数据跨境、 数据出境合规等问题， 在数据合规方面上升到了国家层面。因此， 要想探究交易所问询函对华大基因数据合规治理的影响机制， 在常规数据合规评估内容的基础上， 根据医疗行业数据治理和数据跨境的法律法规， 进一步分析出此类企业数据合规应尽的义务是非常有必要的。

该类企业合规业务主要包含五个方面： 第一， 关于数据合规基础， 需要关注数据资产的梳理、 映射分析和全生命周期管理； 第二， 关于内部控制合规义务， 需要关注数据的分类分级、 数据访问权限、 网络安全等级保护制度、 个人信息处理规则、 内部安全管理制度和安全事件应急预案； 第三， 关于强制性专项义务， 需要关注个人信息保护影响评估（PIA）和数据安全合规审计； 第四， 关于特定业务场景专项义务， 在上市层面需要关注上市网络安全审查和上市数据安全评估， 其中上市根据地点不同分为“赴港上市”和“赴国外上市”， 而在数据出境层面， 需要关注数据出境安全评估、 专业机构个人信息保护认证和标准合同； 第五， 关于特定主体类型专项义务， 需要关注关键信息基础设施运营者、 重要数据处理者和处理100万人以上个人信息的数据处理者。

在对华大基因收到的问询函关于数据合规方面的内容进行分析时， 需注意到深交所在问询时注重将常规的数据合规要求与案例特殊的数据合规义务相结合， 以达成普适性与特殊性的统一， 有利于提升问询的实际效果。

四、 深交所对华大基因问询的特别关注事项

（一） 问询函分析

深交所在受到媒体报道引发的舆论影响之下， 于2018年10月26日下发对华大基因的问询， 问询函中除了提到华大基因确实未披露控股子公司华大科技于2015年9月7日收到我国科技部《行政处罚决定书》的事项， 还涉及第三方合作方的华大基因研究院用“无创产前基因检测”技术收集了超过14万名中国孕妇的部分基因组样本（以下称为“‘14万中国人基因大数据项目”）的事件， 具体问询内容如表1所示。

1.数据合规问询内容重要性凸显。此前关于数据合规方面的问询， 大部分属于业务合规的附带内容， 在法律意见书中也只是作为答复的一部分， 并未将其作为章节单列。《数据安全法》《个人信息保护法》（下称“两法”）颁布施行后， 发审委更加重点关注数据合规内容， 也促使律师事务所在法律意见书中将该内容单列。如表1所示， 华大基因收到的问询函是将数据合规问题作为问询函件的主体问询内容， 再根据数据合规业务不同方面深入问询， 数据合规问题已成为交易所下发问询函的主要目的之一。

2. 数据合规问询内容表述更加直接明了。两法颁布前， 数据合规内容尚无明确立法（国家推荐标准除外）， 交易所问询涉及数据的内容和方式较为广泛、 多样化， 多数情况下按照《信息安全技术 个人信息安全规范》的体系进行发问。两法颁布之后， 在有明确法律依据的前提下， 对于数据相关的常规问询内容变得更为直接简洁。如表1所示， 深交所下发的问询函明确点出了“说明‘14 万中国人基因大数据项目是否与外方机构或个人存在合作”“相关的数据采集行为是否合法合规”和“样本及数据是否存在向外方机构或个人泄露的风险”等问题， 直接对应了数据合规业务中的“数据交换合规”“数据采集合规”和“数据传输合规”等方面， 问询内容简明扼要， 针对性强， 具体反馈意见需要发行人根据实际情况展开分析。

3. 数据合规问询内容更加专业。在现有的数据合规法律体系下， 将常规数据合规要求与华大基因所属的医疗行业的数据合规义务相结合进行问询， 可以增强问询的专业性， 提升问询的实施效果。如表1所示， 根据华大基因收到的问询函中的“（基因数据）相关项目开展是否符合《人类遗传资源管理暂行办法》等法律法规的规定”和“向深圳华大基因研究院提供样本数据是否符合《人类遗传资源管理暂行办法》”， 深交所两次提到医疗行业的相关法规《人类遗传资源管理暂行办法》， 做到了对于具体领域的数据合规问询， 体现了问询内容的专业性， 并且在具体领域中根据常规数据合规方面细分出关于数据采集、 数据来源、 第三方等问题， 可见问询内容的全面、 细致和审慎。

4. 数据合规问询内容敏感性提高。当涉及重要的数据资源时， 数据合规的要求往往会更为严格， 问题也会更加敏感， 尤其是在数据出境方面， 因为数据出境不仅仅涉及企业层次的合规， 更涉及国家层面的数据安全管理。如表1所示， 由于华大基因本身企业性质的特殊性， 深交所下发的问询函重点关注“基因资源”和“国内与国际交流合作项目”， “说明‘中国女性单相抑郁症的大样本病例对照研究国际科研合作项目的主要内容”“说明‘14 万中国人基因大数据项目是否与外方机构或个人存在合作”和“说明与深圳华大基因研究院合作模式”等问题都体现了问询函对于华大基因是否符合“数据泄露风险”“第三方合作方面”和“收集信息的合法性基础”等数据合规要求的敏感性。

5. 数据合规问询函严厉程度增强。交易所下发的问询函问询的问题主要有3小点， 首先将这3小点进行分行处理， 共11条语句。然后， 对这11条语句进行分词处理： 第一步， 剔除标点符号； 第二步， 去除与问询重要内容无关的词以及目前已经停止使用的词。最后， 在此基础上将处理结果导入ROST CM6软件， 选择金融领域分析功能， 对文本进行情感分析。分析结果显示： 积极情绪占比为29.4%， 中性情绪占比为31.95%， 消极情绪占比为38.65%。

6. 数据合规问询函情绪比较消极。鉴于2015年的华大科技行政处罚事件的影响， 以及在招股说明书中确实未披露该事件， 深交所对华大基因的印象有负面偏向。同时， 华大基因作为医疗科技型企业， 涉及人类遗传资源数据， 因此深交所对公司数据的合规要求更加严格。从保护国家数据安全和个人隐私数据安全的角度来考虑， 深交所对其也更为重视。综上， 深交所公布问询函的情绪状态中消极情绪比积极情绪占比更高。

由此可见， 深交所决定下发问询函体现了其对华大基因在数据合规方面存在的不满， 并通过指出“科技部行政处罚”“‘14万中国人基因大数据项目”以及“招股说明书中的未披露问题”等表现出了监管信号。

（二） 问询函发布后的利益相关者反应

深交所通过下发问询函向市场传递了华大基因数据违规的具体信息， 引起了投资者、 媒体和社会公众的广泛关注与讨论。

1. 投资者反应。作为企业直接的利益相关者， 问询函的发布会影响投资者的利益和投资决策， 而投资者的反应进一步影响着企业数据合规的治理。本文将从股吧讨论量、 股价变化和股票流动性水平三个方面来分析问询函发布后投资者的反应。

从股吧讨论量来看， 当交易所宣布对企业进行问询时， 这一消息在一定程度上会导致投资者情绪的改变， 而与投资者利益直接相关的就是股价的变动趋势， 股吧讨论量作为一个直接表现形式， 其属性能够反映投资者的情绪状态。因此， 在分析相关利益投资者的关注变化时， 选择每日股吧讨论量来反映。根据问询函发布的时间和投资者讨论的喜好， 选取东方财富吧2018年10月23日至26日的数据作为分析范围， 如图1所示。

根据发帖数量，  2018年10月24日工信部公布行政处罚事件至26日交易所发布问询函期间， 股吧讨论一直在持续， 并且在26日达到峰值， 发帖数为104个， 体现了股民们对华大基因数据合规问题被问询的超高讨论度。从发帖情绪来看， 工信部公布数据违规行政处罚案件之前， 华大基因的发帖情绪整体上看比较稳定， 三大情绪占比均匀， 积极帖子数量相对占比较高， 原因在于华大基因作为中国生命科学的领先行业之一， 规模较大且基因数据方面的系统处理等技术水平较高， 发展前景较好。而在华大基因受到行政处罚的信息公开之后， 带有消极情绪的发帖数量有较大幅度的增加， 尤其是在26日深交所下发问询函当日， 带有消极情绪的发帖数量和所占比重都达到峰值， 其中有不少发帖的内容集中于“数据采集违规”“数据泄露”等负面词汇， 表明大部分股民对华大基因是否存在数据违规现象还是抱有担心迟疑的态度。

从影响股价变化来看， 当问询函正式发布之后， 其会对市场传递出负面的信号， 投资者出于对自身利益的考虑， 可能会改变自己的投资行为， 从而使得华大基因的股价受到影响。从图2华大基因每日股价的变化情况可以看出， 随着科技部在10月24日公布对华大基因数据违规行为的处罚信息和10月25日媒体的相关报道， 华大基因的收盘价出现明显下滑， 表明了投资者对于华大基因数据合规问题的担忧与谨慎。10月26日， 深交所宣布向华大基因下发问询函， 向投资者传递出相对消极的信号， 因此股价又一次出现小幅度的下滑。

从股票流动性水平来看， 借鉴熊家财和苏冬蔚（2016）关于股票流动性水平的实证研究， 选取日均换手率作为反映股票流动性水平的指标。在华大基因被问询的

（-10，10）窗口期， 10月24日科技部公布处罚信息之后， 华大基因的股票流动性水平处于最高状态5.72。但在10月24日至问询函发布日之间， 其股票流动性水平有所下降， 在问询事件发生日达到了这一期间的最低点2.75， 原因在于华大基因在此期间未做出任何正式说明， 鉴于其规模较大且以往信用较好， 部分投资者持观望态度， 仍然将股票保留。10月26日深交所正式下发问询函， 向市场传递出消极的信号， 导致又有一部分投资者选择出售手中的股票， 股票流动性水平也有小幅度的提升。

2. 媒体反应。媒体报道的倾向性会影响社会其他主体对于企业的态度。以华大基因收到问询函的日期为起点， 在2018年10月至2019年10月之间共有327条相关新闻报道， 且报道华大基因受到科技部处罚的居多， 而涉及数据合规的共有95条， 其中对应问询函的共有10条， 如表2所示。

在95条数据合规相关报道中， 由于行政处罚和下发问询函对企业造成的双重负面影响， 加之数据跨境事件的敏感性， 2018 年媒体大多持消极态度。2019年， 虽然华大基因在2018年因未披露此事项而被问询， 但由于数据违规事件追溯到2015年， 间隔时间相对较长， 并且华大基因及时积极地回复了深交所， 加之在2017年科技部已批准华大基因恢复国际项目工作， 因此多数以被媒体看好为主。

媒体作为外部监管力量， 同时也是交易所问询的重要依据， 此次华大基因被问询是以华大科技行政处罚案件公布为由， 在媒体传播下， 社会舆论越来越多， 吸引了深交所的问询。问询函的公布不仅再次引发了媒体的报道， 同时在媒体报道的加持下， 也会进一步引起群众和利益相关投资者的反应。

3. 社会公众反应。公众的关注和讨论能够发挥舆论监督督促企业改善自身行为的作用（沈洪涛和冯杰，2012）。在科技部公开处罚信息之前， 华大基因百度指数均低于平均值3777， 反映出公众对其的关注度较低； 而在处罚信息公开和媒体报道下， 该指数上升到3916， 关注度略微提升。在深交所发出问询函的2018年10月26日， 华大基因百度指数达到高峰7964， 体现出问询函的发布引起了公众的强烈关注， 并且公众在关注过程中表达出对于此次事件的担忧和疑虑， 希望华大基因能够尽快就数据合规问题进行解释。由于科技部的处罚、 媒体的报道、 问询函的发布等多重因素， 虽然华大基因后续及时积极地回函， 但百度指数仍稳定在平均值以上， 表明公众对于华大基因数据合规问题有着持续性的监督和质疑。此时， 为了稳定企业的声誉， 华大基因会更加关注数据合规问题并对外发布积极消息， 挽回公众的信任。由此可知， 问询函会产生较强的社会监督力量， 从而督促华大基因重视并主动应对数据合规问题。

（三） 被问询企业的反应

在深交所和外界利益相关者的双重压力下， 华大基因在问询函发布的第二天进行了回函。在回函中， 华大基因解释了涉及的违规行为的具体情况， 强调数据采集获得了相关部门知情同意书和科研使用许可， 不存在强制使用数据资源的风险。同时， 华大基因指出企业数据一直由深圳国家基因库存储， 符合《人类遗传资源管理暂行办法》和国家信息安全等级保护3级的认证， 不存在泄露个人和机构隐私的风险。并且， 华大基因表明部分中国人类遗传资源的国际合作业务已暂停， 相关研究全部在境内完成， 不存在遗传资源数据出境的情况。

在整个反馈过程中， 华大基因一直及时且积极地对数据采集、 数据存储、 数据跨境等数据合规相关问题进行回复和整改， 其数据合规程度也得到了相应提升。在数据采集方面， 华大基因在项目中增加向用户提供数据使用权限选择的信息， 增加了数据“收集”和“分级分类”模块的合规性。在数据存储方面， 华大基因对外公布了数据安全体系和数据存储地点等信息， 提升了数据“存储的安全措施”模块的合规性。在数据跨境方面， 华大基因宣布暂停了部分国际合作项目， 并阐述了数据出入境许可和数据出境管理方案， 增强了“第三方合作”和“数据出入境管理”模块的合规性。

在两法颁布前， 不少IPO公司对于企业内部数据安全与合规问题未引起足够重视， 尚未形成一个完整的数据合规治理体系， 而在两法颁布后， 随着数据方面的法律法规、 行政条例等的发布和健全， 企业在回函时的回复内容更加深入精确， 结合华大基因的整个回函过程可以看出， 主要体现在两个方面： 第一， 对交易所提出的问题进行直接且精准的回答， 并在回答时引用一些数据安全与合规方面的制度条文和技术标准或者是数据的分类分级标准等， 而不是仅根据一些通用的内部运行规定， 这使得反馈的整个流程逐渐实现规范化、 完整化、 体系化。第二， 近些年的IPO公司法律意见书所披露的内容显示， 有相当数量的公司已经设立了内部数据合规治理委员会和小组， 由企业高管担任负责人， 建立了内部数据安全与合规组织体系， 制定了一整套较为完善的内部数据安全与数据保护的管理制度， 使得企业可以快速且准确地定位交易所问询的内容或自我管控、 监督发现的疑点， 及时分析并构思出有针对性的解决方案， 力图做到高效提升企业整体的数据合规性。同时， 还有部分公司聘请了外部律师事务所作为数据合规方面的专项顾问， 根据现行法律体系下的数据安全与合规重点对企业从上到下、 从里到外做了全面系统的合规安排。

基于以上分析， 在面对华大基因的数据违规情况时， 深交所根据相关法律法规在问询内容中直接且专业地指出数据采集、 数据存储、 第三方合作等具体的数据合规问题， 并提升问询的严厉程度， 再一次加强了威慑信号。同时， 问询函的发布向外界传递了华大基因数据违规的详细信息， 引起相关利益投资者、 媒体和社会公众强烈的关注与讨论， 也从外部形成了巨大的舆论压力， 影响企业的声誉， 发挥惩戒作用， 迫使企业管理层纠正违规行为（马壮和王云，2019）。因此， 在各方的监督下， 华大基因为了企业的发展需要及时地就数据合规问题向外界进行解释和反馈， 企业的数据合规程度也随之提高。

五、 交易所问询函对企业数据合规的影响机制

根据深交所对华大基因的问询过程， 问询函主要通过引起投资者的关注和社会舆论， 以及运用其自身内容特点和监管措施来影响华大基因数据合规治理。根据声誉约束理论， 声誉作为企业的一项重要无形资产， 能够给企业带来极大的利益， 尤其是在企业的融资过程中， 良好的声誉能够稳定投资者的投资情绪与投资意愿。深交所问询函的发布引起了媒体和社会公众对华大基因数据违规问题的广泛关注， 也向投资者传递了负面的信号， 企业的声誉受到损害， 股价和股票流动性水平都经历了较大的波动， 此时， 在社会舆论和投资者投资决策变化的双重压力下， 为了企业的发展， 华大基因选择在第二天积极进行回函。此外， 根据威慑理论， 一般而言， 威慑作用是指当企业因某种行为被惩罚后， 会在未来避免类似行为。在数据合规领域， 当违反数据合规和数据安全的代价增大时， 企业数据合规性会相应提高。深交所下发的问询函根据数据合规相关法律法规明确指出了华大基因在数据采集、 数据存储、 数据跨境等方面的问题， 内容针对性强、 严厉程度高， 如果华大基因未能及时对数据合规问题进行回复和解释， 将会受到深交所的处罚。基于以上分析， 本文总结出交易所问询函对于企业数据合规治理的影响机制主要是从声誉效应和威慑效应两方面来实现。

（一） 声誉效应

问询函通过引起相关利益投资者和社会舆论关注使企业自身注重声誉效应， 进而影响企业数据合规性。在市场经济活动中， 当企业发生数据违规问题时， 根据信息不对称理论， 企业在信息掌握层面占据更大的优势， 此时， 为避免被进一步监管问询和股价波动， 企业会对涉及数据违规的行为进行隐瞒和掩盖， 从而使得外部利益相关者的信息接收环境相对闭塞， 导致不能够及时充分地掌握真实准确的消息（云虹等，2024）。如果不及时处理解决数据违规问题， 任由其长期持续下去， 不仅可能造成数据泄露、 数据滥用等现象， 最终还会大大损害企业和投资者的利益。对于交易所来说， 当其识别出可能存在数据违规问题的公司时， 会发出问询函。根据信号传递理论， 问询函的发放过程同时伴随着信号的传递， 交易所通过下发问询函向市场传递出消极的信号， 这将导致企业声誉受损并形成负面的溢出效应（罗琦等，2023）。声誉作为一种隐性激励机制， 可以缓解企业与外部信息使用者之间的信息不对称问题， 进一步地影响外部利益相关者对该公司的心理预期， 如果企业声誉降低， 投资者可能会改变自己的投资行为， 导致股价下跌等对企业不利的情况出现。

此外， 问询函具有社会监督有效性且有助于维护公共利益， 交易所发放问询函会受到相关媒体的报道和社会公众的广泛讨论， 这会使得数据合规问题处于舆论的中心， 而舆论形成的巨大外界压力也会对声誉造成影响， 从而提供预防性监管并降低金融市场风险（王文姣和傅超，2022；钟佳琴等，2023；张俊生等，2018）。当企业意识到自身声誉和发展面临危机时， 为了及时止损， 其不仅会加强披露数据合规方面的具体信息， 还会对确实存在数据违规问题的情况列出一系列整改措施并对外公布， 以此给市场传递积极的信号， 挽回外界对企业的信任， 提高企业的声誉， 保证企业的长期发展。

综上， 交易所问询函能够通过声誉效应促进企业数据合规治理， 且影响较大， 一旦交易所发现企业存在数据违规行为并做出反应， 企业往往会选择及时充分地回复问询函， 并且做出积极整改， 避免数据合规问题的再次出现。

（二） 威慑效应

问询函通过自身内容特点和监管措施发挥威慑效应， 进而影响企业数据合规性。当企业收到交易所发布的问询函之后， 必须在规定时间内对问询内容进行积极的回应， 对问询函内容中具体指出的数据采集、 数据存储、 数据跨境等数据合规问题进行详细的解释， 并且企业需要主动与监管部门进行沟通， 积极配合各项要求， 尽快完成对数据违规问题的整改。如果企业在一轮问询后对于数据合规的重点事项和细节问题仍未解决或回复不清晰， 交易所还会进行再次问询； 如果问题持续未得到解决， 该企业将会被视为“不合格”的企业， 很大可能会受到交易所的处罚， 包括但不限于退市和高额罚款等消极后果（陈运森等，2019）。

此外， 交易所问询具有警示和纠偏功能， 问询函的内容会将数据合规领域的法律法规和被问询企业所属行业的相关政策规定相结合， 向企业传递法律风险警示的信号， 理论上， 这能够督促企业采取补救措施以缓解诉讼风险， 进而帮助企业满足监管要求（洪祥骏和何平，2023）。如果企业对问询函置之不理， 不及时积极地进行回复， 在行政处罚和法律责任方面将面临难以预想的法律风险。因此， 企业必须认真对待问询函， 并且制定关于数据合规问题的相关应对措施， 积极配合监管机构进行相关法律法规的执行工作， 避免法律问题的发生。这样可以尽量避免产生不必要的法律诉讼， 也能够最大限度地避免企业因相关法律问题面临损失。

由此， 交易所问询函能够通过威慑效应促进企业数据合规治理， 企业在收到问询函后往往会主动、 及时、 积极地进行回复， 并且按照法律法规的要求， 认真配合有关部门进行整改， 提升自身数据合规性， 避免遭受更加严重的监管处罚和法律诉讼。

总而言之， 问询函的发布能够引起企业利益相关者和社会舆论的关注与监督， 并结合其自身问询内容、 释放的法律警示信号和后续处罚措施， 通过声誉效应和威慑效应两个方面对企业造成影响， 迫使企业重视且积极应对数据合规问题， 并做出相应整改， 提升数据合规性。

六、 结论与建议

本文通过整理深交所对华大基因数据合规问题的问询以及相关的政策法规， 从两个方面总结了交易所问询函对企业数据合规的影响机制： 从声誉效应角度来看， 交易所问询函通过向市场传递负面信号， 引起媒体报道和社会公众的强烈关注， 并使得投资者的情绪和心理产生波动， 从而改变其投资行为， 影响企业的股价， 此时企业为了维护声誉和发展， 会积极应对和处理数据合规问题， 提升数据合规性， 向投资者释放积极的信号， 挽回外界对企业的信任； 从威慑效应角度来看， 交易所问询函通过自身的问询内容、 处罚措施和释放法律风险警示信号以达到对企业的威慑作用， 企业为了避免遭受更加严重的监管处罚和法律诉讼， 往往会重新考虑违规成本， 停止数据违规行为， 主动配合相关部门进行纠正， 自觉建立数据合规治理体系， 增强企业数据合规性。

对于意欲上市的企业， 本文从数据合规方面提出如下建议： 第一， 加强对数据保护和监管技术的研发与升级。在互联网时代， 数据已经成为一项新型且重要的生产要素， 数据安全和合规的重要性也越来越凸显。数据保护和监管技术是数据合规内部治理的方法基础及有效工具， 从用户个人数据隐私保护到企业内部数据合规再到国家重要数据资源安全， 从事前防范到事中监管再到事后追溯， 都离不开关键技术的应用与突破。因此， 企业需要加强数据流通过程中合规监测、 保护和处理的技术研发与升级， 做到全环节、 全模块覆盖。第二， 建立全面规范的数据合规治理体系。数据搜集、 数据存储、 数据交换、 数据传输等相关数据工作是一个流通的过程， 在技术革新完善的基础上， 要想实现整体的数据安全和合规， 企业内部管理层需要建立一套数据合规治理的运行机制、 建设标准和应用平台， 在统一的数据合规规范框架下利用技术手段实现各级各类数据资源的连接、 集成和共享， 最终形成有序、 动态、 可持续发展的数据合规内部治理体系， 既提升数据合规性和安全性， 又提高日常数据工作的运行效率。

本文是从交易所问询函的角度研究其对企业数据合规的影响机制， 研究视角较为新颖， 但整体内容存在着局限性： 仅单一研究了华大基因的整个问询过程和监管机制， 实际上， 问询函对于不同环境、 不同行业和不同企业数据合规问题的监管机制可能是不一样的， 因此未来还需要进一步探究。

【 主 要 参 考 文 献 】

陈兵．数字企业数据跨境流动合规治理法治化进路［ J］．法治研究，2023（2）：34 ～ 44．

陈运森，邓祎璐，李哲．非处罚性监管具有信息含量吗？——基于问询函的证据［ J］．金融研究，2018（4）：155 ～ 171．

陈运森，邓祎璐，李哲．证券交易所一线监管的有效性研究：基于财务报告问询函的证据［ J］．管理世界，2019（3）：169 ～ 185+208．

何航．企业数据安全合规治理的关键问题与纾解［ J］．贵州社会科学，2022（10）：126 ～ 133．

洪祥骏，何平．财务顾问声誉与并购问询函的溢出效应［ J］．经济学报，2023（12）：1 ～ 39．

胡坤，刘镝，刘明辉．大数据的安全理解及应对策略研究［ J］．电信科学，2014（2）：112 ～ 117+122．

胡玲，马忠法．论我国企业数据合规体系的构建及其法律障碍［ J］．科技与法律（中英文），2023（2）：42 ～ 51．

李晓溪，杨国超，饶品贵．交易所问询函有监管作用吗？——基于并购重组报告书的文本分析［ J］．经济研究，2019（5）：181 ～ 198．

林璐．数字化转型背景下电力企业数据合规营销内控体系研究［ J］．价格理论与实践，2023（1）：194 ～ 198．

罗琦，王贤泽，王京东等．问询函监管对股价信息含量的影响研究［ J］．管理学报，2023（9）：1389 ～ 1397．

马明亮．合规科技在企业整改中的价值与实现路径［ J］．苏州大学学报（哲学社会科学版），2022（4）：60 ～ 70．

马壮，王云．媒体报道、行政监管与财务违规传染——基于威慑信号传递视角的分析［ J］．山西财经大学学报，2019（9）：112 ～ 126．

毛逸潇．“行检协同式”个人信息合规行刑衔接激励新模式研究［ J］．法学论坛，2022（6）：63 ～ 75．

梅傲，侯之帅．总体国家安全观视域下企业跨境数据的合规治理［ J］．江苏社会科学，2022（6）：169 ～ 176．

沈洪涛，冯杰．舆论监督、政府监管与企业环境信息披露［ J］．会计研究，2012（2）：72 ～ 78+97．

王文姣，傅超．上市公司并购商誉与异常审计收费——基于年报问询函中介作用的分析［ J］．中南财经政法大学学报，2022（5）：32 ～ 43．

王志英，苏翔，刁雅静，王平，葛世伦．中小企业云计算数据安全风险关联效应研究［ J］．计算机应用研究，2015（6）：1782 ～ 1786．

危红波．我国数字社会风险治理责任分配［ J］．学术交流，2021（10）：130 ～ 143．

熊家财，苏冬蔚．股票流动性与代理成本——基于随机前沿模型的实证研究［ J］．南开管理评论，2016（1）：84 ～ 96．

杨慧妍．国家安全视域下的数据出境合规体系研究——以国内首例涉案数据被鉴定为情报案为例［ J］．情报杂志，2023（6）：201 ～ 207．

云虹，王高婧，王皓左．财务报告问询函、信息披露质量与企业费用粘性［ J］．会计之友，2024（8）：51 ～ 59．

翟淑萍，王敏，白梦诗．财务问询函能够提高年报可读性吗？——来自董事联结上市公司的经验证据［ J］．外国经济与管理，2020（9）：136 ～ 152．

张俊生，汤晓建，李广众．预防性监管能够抑制股价崩盘风险吗？——基于交易所年报问询函的研究［ J］．管理科学学报，2018（10）：112 ～ 126．

赵丙艳，叶春明．交易所问询函的信息含量与投资者行为选择［ J］．当代经济管理，2020（10）：92 ～ 97．

钟佳琴，叶小杰，钱春海．科创板并购重组问询函的监督效应研究——以华兴源创为例［ J］．管理案例研究与评论，2023（4）：457 ～ 472．

Bens D. A.， Cheng M.， Neamtiu M.. The Impact of SEC Disclosure Monitoring on the Uncertainty of Fair Value Estimates［ J］． The Accounting Review，2016（2）：349 ～ 375．

Dan Jerker B Svantesson. Cross-border Data Transfers after the CJEU's Safe Harbour Decision［ J］． Alternative Law Journal，2016（1）：39 ～ 42．

Withers P.. Data Compliance： Achieving It All［ J］． International Journal for the Data Protection Officer， Privacy Officer and Privacy Counsel，2019（7）：19．