科技企业上市之数据合规(中)——识别风险篇
作者:陈际红 韩璐 王雨婷
引言
我们在上篇梳理了中国证券监督管理委员会(“证监会”)发行审核委员会(“发审委”)在企业上市审核中关注的数据合规问题。本篇中,我们梳理了既往上市企业申报过程中面临的主要数据合规风险点,以期全面展现拟上市企业将面临的数据合规审查趋势。在下篇中,我们将分三个部分讨论拟上市企业如何开展数据合规治理工作,以妥善应对审核机关问询,并有效降低行政监管、民事甚至刑事风险。
一、企业上市的数据合规审查趋势
统计分析揭示上市企业申报过程中数据合规审核有以下的特点:
数据合规是全行业全领域企业所面临的普遍挑战:不仅科技企业面临日趋严格的数据合规审查,身处传统行业的拟上市企业,如业务经营涉及大量用户数据[1],或在销售设计端运用云计算与大数据技术[2],也会在申请上市过程中面临审核机关就数据合规相关的问题的问询。
审核机关的问询更加具体、有针对性。我们注意到,在《网络安全法》颁布之初发审委的问询相对笼统和概括,关注点在于企业数据来源是否合规、是否建立内部控制制度。随着数据保护规范不断完善,发审委的问询问题逐渐具体化到企业是否建立数据供应商甄选机制,是否建立数据备份机制、防泄漏机制与到期数据处理机制等具体制度,以及该等制度是否实际得到有效执行。
审核机关对拟上市企业问询回复的审查更加深入。在梳理近期拟上市企业审核问询函及回复的过程中我们发现,发审委将针对企业回复中不明晰的阐述持续追问,例如某企业在问询回复中称其产品“不曾亦不会获取用户的隐私数据”,随后发审委发起了进一步问询,要求该企业解释这一认定的依据是否充分合理。为准确回答该等问询问题,拟上市企业需对企业数据进行全面和准确的风险识别并落实相应合规措施。
审核机关的问询同样关注企业如何相应匹配技术性措施。发审委针对拟上市企业系统与技术的关注体现在两个方面。一是要求企业对其信息保护技术体系进行说明,二是要求企业对其核心技术的合法合规性进行说明,企业核心技术可能包括移动客户端技术、大规模通信技术、分布式处理技术、大数据技术以及大规模数据存贮技术等。因此,拟上市企业的数据合规治理不仅包括对数据的识别和合规风险管控,也包括对信息系统和技术的管理。
审核机关的问询覆盖数据全生命周期。相较企业日常经营中采取的平衡商业需求与数据合规要求的合规标准而言,审核机关针对拟上市企业的数据合规审查标准往往更为严苛,其数据收集、使用、共享、数据安全制度、以及与商业伙伴的合作业务模式均会落入发审委审查的范围。同时,拟上市企业为满足上市披露要求,对其数据相关产品及服务模式的公开披露也将进一步扩大企业的合规风险。
二、企业上市前应当基于具体商业模式确定数据风险
上市过程中企业的数据治理将面对发审委的全方位考察。除此之外,拟上市企业还应做好成功上市所带来的后续合规风险的规避。成功获批上市的企业将在其招股说明书中按发审委要求或自行决定披露投资者需特别关注的风险因素,该等风险披露将把企业潜在的数据风险暴露在投资者、产品与服务的使用者、以及同行业竞争者的关注之下,随之而来的可能行政处罚风险及潜在的民事侵权诉讼风险和不正当竞争诉讼风险。
因此,在上市筹备阶段,拟上市企业应当将采取有效且有针对性的数据合规治理措施纳入上市整改工作范围之中,以防范该等风险。通过对既往上市企业涉及的数据合规问询的梳理,我们整理了既往上市企业申报过程中面临的主要数据合规风险点,以期对拟上市企业开展合规治理工作有所助益。
企业一
利用大数据向移动应用开发者和广告主提供服务[3]
风险因素:(1)不当使用互联网信息的风险。公司通过向移动应用开发者提供第三方消息推送服务,覆盖了大量移动终端和活跃用户。虽然公司一贯重视信息数据的保护并建立了完善的信息保密制度和操作流程,但在业务开展过程中,一旦公司员工或数据合作方、客户基于自身原因造成了信息的不当使用,将会对公司声誉造成不利影响,甚至可能会对公司的业务开展造成不利影响,进而影响公司的经营业绩。(2)数据资源安全风险。对于获取的数据,公司建设了数据管理中心机群,公司采用了防火墙、数据加密等技术,以保障数据资源存储、使用的安全性、可靠性。但如果公司受到互联网上的恶意软件、病毒的影响,或者受到黑客攻击,将会影响公司信息系统正常运行,或者导致公司信息数据资源泄露、损失,从而可能会损害公司的市场声誉,对公司经营业绩造成不利影响。
企业二
运营内容类导购平台[4]
风险因素:公司因用户个人信息保护不当所面临的法律及用户流失风险。作为互联网信息服务提供者,公司在经营过程中会获取用户的手机号码、家庭住址、身份证号等个人信息。根据国家相关法律法规的规定,发行人收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责,不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。若由于内部管理或外部原因造成用户信息的泄露,公司将会面临承担相应法律责任以及用户投诉和用户流失的风险。
企业三
以爬虫技术为基础非法获取数据[5]
风险因素:因使用爬虫技术非法获取数据引发的刑事责任风险。公司通过股东成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录数据,并将上述数据保存在运营商数据库中,利用研发的爬虫软件、加粉软件,远程访问数据库中的数据,非法登录网络用户的淘宝、微博等账号,进行强制加粉、订单爬取等行为,从中牟利。公司该等行为构成非法获取计算机信息系统数据罪。
企业四
以爬虫技术非法爬取用户发布在第三方平台上的内容[6]
风险因素:因使用爬虫技术引发的侵权与责任不正当竞争责任。公司未经许可在其运营的APP中的明星账号中设置微博专题,并嵌套该明星的新浪微博界面,完整展示该明星微博包括界面和内容在内的全部数据。
企业五
互联网新媒体营销解决方案提供商[7]
风险披露:供应商相对单一的风险。公司向关联方采购占比分别达到40.16%和 75.48%,对该单一供应商存在一定程度的依赖。未来如果市场发生重大不利变化或关联方因特殊原因停止向公司提供账号推广服务,可能对公司盈利能力产生较大影响。
企业六
提供大数据的存储、管理、挖掘、分析服务[8]
风险披露:(1)内部控制风险。随着公司的业务发展,公司总体经营规模将逐步扩大,这将对公司在战略规划、组织机构、内部控制、运营管理、财务管理等方面提出更高要求。股份公司设立前,公司内控体系不够健全,运作不够规范。公司整体变更为股份有限公司后,逐步建立健全了法人治理结构,制定了适应企业发展的内部控制体系。但由于股份公司运行前期缺少专业机构的辅导和督导,公司及管理层的规范运作意识不高,在实际运行中存在一定程度的不规范性。(2)数据来源合法性的风险。公司作为一家大数据公司,业务涉及到数据的收集,如果收集到的数据涉及个人隐私、国家安全或其它非法数据,将面临法律方面的风险。
企业七
以互联网为工具提供金融数据分析和证券投资咨询服务[9]
风险因素:互联网系统及数据安全风险。互联网及相关设备客观上存在着网络基础设施故障、软件漏洞、网络恶意攻击及自然灾害等因素引起网络瘫痪的风险。上述风险一旦发生,客户将无法及时享受公司提供的产品和服务,严重时可能造成公司业务中断,从而影响公司的声誉和经营业绩甚至引起法律诉讼。
企业八
第三方云计算服务商[10]
风险因素:信息安全与数据保密风险。公司的各类产品服务及其赖以运行的基础网络、处理的数据和信息,可能存在软硬件缺陷、系统集成缺陷以及信息安全管理中潜在的薄弱环节,从而导致不同程度的安全风险。由于信息系统本身固有的安全特点,公司存在不可预测的信息安全与数据保密的风险,一旦发生信息安全事故,可能存在业务系统产生漏洞,客户数据泄密或流向错误,从而对公司的经营造成影响。
企业九
提供专业的网络信息安全服务[11]
风险因素:因最终客户发生数据泄密及其他网络安全事件时,公司承担罚款或赔偿的风险。当最终客户发生数据泄密及其他网络安全事件时,如主管部门认定公司在提供相应产品或服务时违反了国家与网络安全和信息安全相关的法律法规,公司可能承担相应的法律责任,并可能需根据销售合同的约定向客户承担相应的赔偿责任。
企业十
提供智慧城市业务[12]
风险因素:公司运营业务尚未取得第三方测评机构出具的信息安全等级保护测评报告的风险。信息安全测评认证中心仍在进行测评工作,正式测评报告尚未出具,如正式测评报告的安全保护等级高于第三级以上(含第三级),则公司存在未及时进行信息安全等级保护测评而被主管部门责令改正、给予警告的风险。
结语
《科技企业上市之数据合规》共分为上、中、下三篇,以上是中篇的全部内容。我们将在下篇中分三个部分讨论拟上市企业如何开展数据合规治理工作,以妥善应对审核机关问询,并有效降低行政监管、民事甚至刑事风险。
[注]
[1] 北京科锐国际人力资源股份有限公司。
[2] 广州尚品宅配家居股份有限公司。
[3] 浙江每日互动网络科技股份有限公司。
[4] 北京值得买科技股份有限公司。
[5] 北京瑞智华胜科技股份有限公司、周嘉林、黄健等违法运用资金罪一审刑事判决书(2019)浙0602刑初636号。
[6] 上海复娱文化传播股份有限公司(831472)与北京微梦创科网络技术有限公司不正当竞争纠纷二审民事判决书(2019)京73民终2799号。
[7] 北京瑞智华胜科技股份有限公司。
[8] 数据堂(北京)科技股份有限公司。
[9] 北京指南针科技发展股份有限公司。
[10] 优刻得科技股份有限公司。
[11] 杭州安恒信息技术股份有限公司。
[12] 杭州鸿泉物联网技术股份有限公司。
点击阅读
The End
作者简介
陈际红 律师
北京办公室 合伙人
业务领域:知识产权, 反垄断与竞争法, 科技、电信与互联网
韩璐 律师
北京办公室 知识产权部
王雨婷
北京办公室 知识产权部
作者往期文章推荐:
《App数据收集划定红线:<App违法违规收集使用个人信息行为认定方法>解析》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(下)》
《他山之石:EDPB<关于GDPR第25条设计和默认的数据保护指南>解读(上)》
《打造中国版的SCC | <个人信息出境安全评估办法(征求意见稿)>评析》
《国家安全更聚焦 |<网络安全审查办法(征求意见稿)>出新招》
《儿童个人信息保护新规出台,与COPPA的明示同意区别有哪些?》
《小数据安全法出台 |<数据安全管理办法(征求意见稿)>解析》
《App监管再加码:<App违法违规收集使用个人信息行为认定方法(征求意见稿)>公布》
《管理措施和技术措施的平衡:<互联网个人信息安全保护指南>》
《实施半年后再修订:<信息安全技术个人信息安全规范>应时而变》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。