当数据合规遇见资本市场：从墨迹IPO被否谈起 （下）

当数据合规遇见资本市场：从墨迹IPO被否谈起（下）

Original 陈际红蔡鹏等中伦视界 2020-09-01

作者：陈际红蔡鹏刘洋薛泽涵

导言

2019年10月11日，中国证券监督管理委员会（“证监会”）发布公告[1]（简称“《公告》”）称，北京墨迹风云科技股份有限公司（简称“墨迹公司”）首发申请未予通过，用户数据收集及处理合规问题是一大关键问题。我们在上文具体分析了《公告》提出的墨迹公司存在的五个方面的数据合规问题，正是这些问题成为墨迹公司IPO的障碍。

数据是现代企业的血液，合规决定存亡

监管的趋势和密集行动导致合规事件一触即发，随时都有可能成为企业IPO路上的“拦路虎”。纵观2019年网络安全与数据保护领域的行政执法，个人信息保护领域执法活动密集[2]，占据网络安全行政执法活动的半壁江山，具体如下：

自2019年1月，国家网信办、工信部、公安部、市场监管总局四部门联合开展App个人信息专项治理工作[3]以来，从全国范围到地方监管的执法力度日益加强。2019年7月，App专项治理工作组先后两次向社会公布了50款违法违规收集使用个人信息的App[4]；2019年7月，市场监管部门打击侵害消费者个人信息违法行为专项执法行动取得阶段性进展[5]；2019年9月，国家计算机病毒应急处理中心公布《移动APP违法违规问题及治理举措》，曝光多个APP涉嫌超范围收集个人信息、恶意扣费、远程控制等违法违规行为[6]。2019年9月16日至22日，由中央宣传部、国家网信办等十部门联合主办的国家网络安全宣传周活动举办，更加显现出国家对网络安全、数据保护的高度重视。

对于现代企业，数据就像血液，流淌在企业的每个“毛细血管”中。从企业管理的横向角度，数据合规贯穿于业务（模式分析、隐私条款、业务界面、DPA设计）、产品（数据存储、产品界面、个人信息）、并购（数据审查）、员工（入职、离职）、合作伙伴（尽调）等各个方面。从数据全生命周期的纵向角度，面临的数据合规基本问题如下清单所示：

序号	环节	基本问题
1	收集	有无个人信息收集处理规则规则呈现形式及内容详尽程度是否符合当前个人信息保护相关法律法规要求以及监管实践
2	是否已取得用户授权同意是否针对不同的应用场景满足相应的授权同意要求（例如用于市场营销场景下的明示同意）
3	是否采取管理措施和技术措施以保证数据来源合法性收集渠道和方式是否合法合规（尤其是涉及数据合作、数据爬取、数据众筹等）
4	使用	是否按照法律规定及与用户的约定（个人信息收集处理规则）等如实使用所收集的个人信息，未超出约定范围使用
5	对于数据融合、画像分析、市场营销推广等高风险使用场景，是否满足相应的合规要求
6	是否存在非法交易数据等违法使用场景
7	管理	是否指定了数据和网络安全管理人员，并赋予相应的权限和资源
8	是否制定PIA工具以及实施情况如何
9	是否保障数据主体享有法律法规约定的权利（查看、更正、删除个人信息权利、注销账户等），实践操作与约定是否相符
10	是否基于必要原则和最小原则，做好对个人信息内外部访问权限的管控
11	是否已采取相应技术措施防止个人信息被非法拷贝、丢失或者盗窃
12	是否做好事件发生后告知相关用户、风险管控以及报告主管机关的应对措施是否制定个人信息安全事件应急预案
13	流转	会与谁共享个人信息（包括委托处理及合作共享）共享个人信息的方式是否安全相关用户是否知道上述个人信息共享场景及相应安全措施
14	是否与相应数据合作第三方签订数据处理协议，以厘清双方在数据保护及合规处理方面的责任义务
15	是否存在跨境传输场景，所涉的个人信息是否为不可跨境传输的信息类型对于数据接收方是否做到审慎评估对方数据保护能力

让数据风险不再成为IPO的拦路虎

拟上市企业，特别是拟在科创版上市的企业均为高科技行业的排头兵。它们的业务模式具备创新性，数据的利用具有领先性。墨迹天气IPO因数据合规等问题被证监会否决的事件只露出了冰山一角，如何消灭这只IPO漫漫征程上的“拦路虎”，我们的建议如下：

1、企业应当具有数据战略

所谓数据战略，指企业应当具有长期的数据指导方针，以持续的资源投入来保证数据资产聚集和应用的竞争优势。概括讲，企业应当有一个包括最高管理层参与的数据委员会，以形成有效的企业数据战略、执行准则、资源投入和内部协同。在数据委员会中应当包括具有决策权的法律人员，并赋予其说不的权利。

2、根据拟上市企业的商业模式定制数据

合规方案

合规追求目标是企业效率和风险管控的平衡。不同的企业在不同的发展阶段，基于数据层面所面临的监管压力不同，如果进行“一刀切”式的合规，必然影响企业的阶段性发展、甚至是企业经营的成败。相反，如果过分突出企业的发展效率而漠视法律风险的管控，则会带来存亡之虞。因此，只有以现有法律和监管为基础，划定企业的业务红线，契合企业的商业模式，找到最佳解决路径，才是拟上市企业数据合规的必由之路。

3、在拟上市企业经营中做好全方位

合规管理

制定个人信息保护全周期、全流程的制度，采取完善的技术保护措施，并将数据合规管理工作应渗透在数据收集、存储、使用、传输、跨境提供等各项数据操作行为中，以保证整体数据收集处理行为的合法合规；做好合规培训，让数据合规意识成为企业的合规文化之一；同时对数据处理记录进行有针对性的管理和留存，以应对监管机构审查的准备。

4、上市前做好风险细致排查

对照《网络安全法》及其配套法规、网络安全及个人信息保护相关政策要求及最新监管趋势，全面盘点整体数据处理工作，排查可能存在的数据合规风险并形成有效的应对措施和方案。

5、上市后的持续跟踪、合规落实及

清晰披露

企业上市逐步由“审核制”向“备案制”过渡，对上市企业的监管也慢慢向倾向上市后的严监管。而数据合规工作亦是一项长期工程，监管环境和法律体系尚在成熟完善之中，对于已经上市的企业，应对国内个人信息保护不断变动的立法执法环境，应做到内部管理制度及技术措施、外部个人信息收集处理规则及相关协议条款的及时更新完善，以紧跟合规要求及业务发展实践；对影响业务开展的个人信息处理行为、重大风险等要及时进行评估，甚至在符合规范的条件下予以披露。

结语

综上所述，墨迹天气IPO被否事件仅仅是拉开了资本市场关注数据合规问题的序幕。显然，对于拟上市企业，数据合规已经是上市路上不可回避的重要问题，而数据本身的无形性、技术性和复合性的特点更是给拟上市企业的IPO之路带来了前所未见的困难和阻碍。寻求规范化是企业上市的目标，只有培养积极的合规心态，尽早的布局以及开展数据合规工作，专业地处理数据合规问题，才能让企业的IPO之路不再“磨叽”！

[注]

[1] 详情可见证监会于2019年10月11日发布的《第十八届发审委2019年第142次会议审核结果公告》，网址：http://www.csrc.gov.cn/pub/zjhpublic/G00306202/201910/t20191011_364295.htm，访问日期：2019年10月12日。

[2] 根据公开资料显示，从2019年1月至今，网络安全领域的部委层面执法活动约有18起，其中涉及个人信息保护的执法活动约有11起（例如，2019年1月，国家网信办等四部门联合开展App个人信息专项治理工作）、涉及内容治理的执法活动约有2起（例如，2019年1月，国家网信办开展网络生态治理专项行动）、涉及网络安全等级保护的执法活动约有1起（例如，2019年5月，国家网信办等四部委联合开展互联网网站安全专项整治，将处罚并曝光违法违规网站等），涉及网络漏洞方面的执法活动约有1起（例如，2019年5月，国家网信办等四部委联合开展互联网网站安全专项整治，将处罚并曝光违法违规网站等），其他网络安全方面的执法活动约有3起（例如，2019年6月，市场监管总局等部门发布《2019网络市场监管专项行动（网剑行动）方案》）。具体请见国家网信办、工信部、市场监管总局等监管机构官网。

[3] 2019年1月25日，国家网信办等四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》，开展为期一年的App个人信息专项治理工作。详见http://www.cac.gov.cn/2019-01/25/c_1124042599.htm?from=singlemessage，访问日期：2019年10月12日。

[4] 2019年7月11日、16日，App专项治理工作组向社会公布了50款违法违规收集使用个人信息的App并督促其运营者限期30日内进行全面整改工作。

[5]详见http://www.gov.cn/xinwen/2019-07/04/content_5405896.htm，访问日期：2019年10月12日。

[6]详见http://www.cverc.org.cn/zxdt/report20190918-5.htm，访问日期：2019年10月12日。

The End

作者简介

陈际红律师

北京办公室合伙人

业务领域：知识产权, 反垄断与竞争法, 科技、电信与互联网

蔡鹏律师

北京办公室

非权益合伙人

业务领域：知识产权, 科技、电信与互联网, 合规/政府监管