去年帮一家港股上市公司处理分拆业务注销时，客户突然问我：张老师，我们那个被分拆出去的子公司注销了，之前每年做的网络安全防护审计，是不是也跟着一起注销掉？我当时就愣了一下——这问题看似简单，背后涉及的法律和合规风险，比客户想象的复杂多了。<

>

很多境外上市公司在分拆业务时，往往聚焦于资产分割、人员安置、税务处理这些显性问题，却容易忽略网络安全防护审计这类隐性合规环节。毕竟业务都注销了，审计报告还有存在的必要吗？今天我就以20年财税合规从业者的经验，结合几个真实案例，跟大家好好聊聊这个麻烦事。

先搞懂：网络安全防护审计到底是个啥？

咱们先别急着下结论，得先明白网络安全防护审计到底审计的是啥。简单说，它不是普通的财务审计，而是针对企业信息系统、数据安全、网络防护措施的一次全面体检。比如你的业务系统有没有漏洞？用户数据加密做得怎么样？遇到黑客攻击能不能及时响应？这些都得审计。

对境外上市公司来说，这个审计报告的意义可不小。一方面，国内《网络安全法》《数据安全法》明确要求，关键信息基础设施运营者、处理大量个人信息的公司，得定期做安全审计；境外上市地（比如美国SEC、香港联交所）也会关注企业的网络安全合规情况，万一出事，轻则被监管问询，重则可能触发退市风险。

那问题来了：如果分拆出来的业务注销了，这个审计是不是就该寿终正寝了？

案例1：数据赖着不走，审计责任跟着甩不掉

我之前服务过一家在纳斯达克上市的科技公司，主营业务是SaaS服务。2021年，他们把海外市场业务分拆出去，成立了一家新子公司，后来因为战略调整，这家子公司在2023年注销了。客户当时觉得业务都没了，审计报告肯定不用管了，结果差点栽了跟头。

事情是这样的：子公司注销时，他们把海外用户数据迁移到了母公司系统，但忘了对迁移后的数据重新做安全审计。半年后，母公司的系统被曝出数据泄露，源头竟然是当年子公司迁移的那批数据——因为迁移过程中加密没做好，留下了漏洞。用户一怒之下把母公司告了，监管也介入调查。最后母公司不仅赔了钱，还被SEC质疑信息披露不充分，股价大跌了一截。

这个案例很典型：业务注销了，但数据还在，审计责任就可能跟着数据走。《数据安全法》第32条写得清清楚楚，数据处理者因合并、分立、解散、被宣告破产等原因需要转移数据的，应当明确数据安全责任主体，确保数据安全。说白了，你把数据甩给母公司，母公司就得承担新的安全审计责任，原来的审计报告自然不能注销，反而可能需要补充审计。

案例2：纯内部业务，审计或许能歇一歇？

不过也不是所有情况都得留着审计报告。我去年还处理过一家港股上市的制造企业，他们分拆了一个内部研发子公司，这个子公司不对外提供服务，只给母公司做技术支持，系统也完全内网隔离，不涉及外部用户数据。后来子公司注销时，客户问：这种纯内部业务，审计报告是不是可以不用管了？

我让他们先做了两件事：一是请第三方机构确认系统彻底销毁，无数据残留；二是向当地网信办提交了业务终止及数据安理说明。结果监管部门核查后，同意他们终止网络安全防护审计——因为业务注销后，既没有系统残留，也没有数据留存，审计对象消失了，责任自然也就没了。

这个案例说明，关键看注销后还有没有‘尾巴’。如果业务彻底清干净了，没有数据、没有系统、没有对外接口，那审计报告或许能跟着注销。但现实中，这种彻底干净的情况其实很少，尤其是涉及用户数据的业务，数据迁移、历史留存、系统整合，哪个环节都可能留下隐患。

政策没说死？那企业到底该咋办？

可能有企业会问：有没有明确政策规定，业务注销后审计必须终止？坦白说，目前国内还真没有一刀切的条文。网信办《网络安全审查办法》《网络数据安全管理条例（征求意见稿）》里，更多是强调谁运营、谁负责，但运营的边界在业务注销时确实模糊。

境外上市地的规则更复杂。比如美国SEC的萨班斯法案要求上市公司对财务报告内部控制的有效性负责，如果分拆业务涉及财务数据系统，即使业务注销，母公司可能仍需对相关系统的安全审计负责；香港联交所《上市规则》第13.24条则要求上市公司确保持续遵守适用法律，业务注销后的合规责任，可能需要看上市地监管的自由裁量权。

这种情况下，我的建议是：别赌监管不会查，而是主动做风险评估。分拆业务注销前，企业得先回答几个问题：

1. 注销的业务有没有涉及用户个人信息、重要数据？

2. 注销后，数据、系统、接口是彻底销毁，还是转移给了其他主体？

3. 境外上市地有没有对分拆后合规有额外要求？

如果答案是有数据残留或涉及上市地规则，那最好别急着注销审计报告，先请专业机构做个安全审计责任评估，明确注销后的责任边界，必要时向监管部门报备。

20年经验注销业务容易，注销责任难

做了20年财税合规，我见过太多企业因为想当然踩坑。总觉得注销就是结束，但实际上在监管眼里，很多结束只是责任的转移或延续。尤其是网络安全这种一票否决的领域，一旦出事，历史审计报告就是呈堂证供，你想注销都注销不掉。

我常说：企业做分拆，就像孩子长大分家。分家时不仅要把财产分清楚，还得把‘债务’（比如合规责任）算明白。不然以后孩子惹了事，当父母的（母公司）照样得兜底。

上海加喜财税：企业注销，干净比快速更重要

在企业注销过程中，财务凭证不完整是常见硬伤，很多企业因历史凭证缺失、账务不清，导致无法通过税务清算，最终被列入经营异常名单。而知识产权方面，若注销前未明确专利、商标等归属，可能引发股东纠纷，甚至导致知识产权被悬置，影响后续交易或融资。上海加喜财税（https://www.110414.com）通过全流程合规清算+知识产权梳理服务，帮助企业补全财务凭证，明确知识产权处置路径，确保企业干净注销，不留合规隐患。