北交所观察之三十四|北交所数据安全及合规性审查关注要点
摘 要
2021年9月1日《中华人民共和国数据安全法》(以下简称《数据安全法》)已颁布实施。北交所在对公开发行并上市的企业进行信息披露审核时,增加了对拟上市企业,尤其是对科技公司的数据安全性及合规性的审查。在北交所网站公开的多份补充法律意见书中显示,北交所的《审查问询函》要求保荐机构或发行人律师核查发行人数据安全及合规性情况并发表明确的意见。本文将根据北交所公布的相关案例信息,梳理并总结监管部门对发行人的数据安全及合规性的审查要点,并提供应对措施。
01
数据安全及合规性审查要点一是公司是否存在收集或使用客户数据的情形;
二是公司是否存在对外采购原料数据的情形;三是数据安全监管政策变动趋势对发行人的影响。公司是否存在收集或使用客户数据的情形
公司是否存在对外采购原料数据的情形
数据安全监管政策变动趋势对发行人的影响
02
公司各类细分产品用到的测试数据皆为公司根据历史知识模拟业务人员日常操作形成的数据或公开市场数据…… | ||
产品在实施配置及项目测试配置阶段主要采用在客户的私有云或专属云的部署方式……不涉及相应数据回传至公司服务器储存及处理的情形。项目测试及实施配置阶段中使用的数据一般为模拟数据,其中实施配置阶段可能会涉及接触客户数据或者个人信息的情形,但项目实施环境位于客户内部私有环境,初始化系统后交付客户使用,只有客户具有系统的使用权限,公司及其员工的整个测试及配置过程均在客户监控下完成…… | ||
当产品交付给客户后……公司及其员工并不直接参与客户的运营和使用过程,仅为产品运行提供运维服务…… | ||
项目解决方案设计……客户化开发……均不涉及数据收集、存储、传输、处理、使用的情形。 | ||
由于公司的主要客户为银行……合规意识较一般行业的企业更高,发行人在与客户签署的项目合同中往往会约定信息保密条款…… | ||
公司的主要客户为银行、保险……对于上述金融行业企业的监管更为严格,各主要客户均会按照相应监管要求制定相应的信息安全内控制度,建立较为完善的信息安全防护体系,强化金融信息与网络安全防护能力。同时上述金融行业企业亦受到中国银行业协会、中国保险行业协会、中国证券业协会等自律组织的行业规范约束…… |
| 结合公司研发模式、产品功能情况,说明公司是否存在对外采购原料数据的情形 | 公司的研发模式主要为自主研发……公司业务开展的主要过程包括产品研发及测试、项目解决方案设计……公司开展业务各阶段均不存在公司对外采购原料数据的情形。 |
| 结合大数据和人工智能等技术在公司产品中应用情况,说明公司是否存在对外采购原料数据的情形 | 大数据技术在公司产品中的应用主要为数据分析,人工智能技术在公司产品中的应用主要为 OCR 技术与 RPA 技术,上述应用中均无外采原料数据的需求。 |
| 《数据安全法》《个人信息安全规范》等法律法规的出台对发行人业务开展或研发模式的具体影响 | 由于公司在研发产品、提供服务的过程中,均不存在收集、存储、传输、处理、使用客户数据或个人信息的情形,亦不存在外采原料数据的情形。因此,《数据安全法》《个人信息安全规范》等法律法规的出台不会对公司业务开展及研发模式产生重大不利影响。公司后续相关产品及服务将持续符合包括《数据安全法》《个人信息安全规范》在内的法律法规相关规定,在满足数据安全及信息保密的前提下向客户提供相关产品及服务。 |
| 关于公司主要客户在使用公司产品过程中是否存在违反《数据安全法》《个人信息安全规范》等法律法规的情形的说明以及对公司的影响 | 但公司的主要客户为银行、保险、证券等金融行业客户,相对于一般行业而言,中国证监会、中国银保监会等监管机构对于上述金融行业企业的监管更为严格,同时上述金融行业企业亦受到中国银行业协会、中国保险行业协会、中国证券业协会等自律组织的行业规范约束,因此公司主要客户违反数据安全监管规定的风险较小……据此,在公司本身并不存在收集、存储、传输、处理、 使用了其他个人信息或数据的情形下,即使公司的主要客户在使用公司产品过程中出现违反上述数据安全监管规定的行为,公司也不会成为处罚对象,但可能受到有关负面舆论报道及其他或有事项的影响,对公司业务开展、市场拓展、品牌形象造成不利影响。 |
结 语
拟在北交所上市的企业,尤其科技企业,应关注研发产品、提供服务以及主要客户等各个环节涉及到的客户数据和个人信息的安全和合规性,重视对相关管理制度的完善,在提交上市申请材料时,对数据和信息的安全和合规性进行真实、完整的披露,避免补充提交相关法律意见,延长上市审查时间。
精彩推荐
点击图片查看
更多精彩文章请点击以下“栏目名称”阅读