头部AI企业IPO“兵败”,审委会关心哪些数据合规问题?
5月9日,思必驰科技股份有限公司IPO上会“兵败”。根据IDC发布的《中国人工智能软件及应用市场半年度研究报告-2021H1》,思必驰在中国人工智能之语音语义市场排名第四。
虽然思必驰公司IPO之路止步的主要原因是硬科技属性和经营持续性受质疑,但是问询涉及数据合规性问题已经成为常态,值得拟上市企业予以重视。
审委会关心哪些问题?如何回复?以下十个问题,供参考。
问题1:企业各项业务及研发获取、存储、使用数据内容,对应的数据来源、数据权属?
回复思路:结合公司业务模式,说明用于实现产品的具体功能是否涉 及自然人用户的数据信息↓
用户协议/隐私政策用户是否知情同意、授权公司处理加工数据
↓
公司与数据供应商是否约定有权处理脱敏后的数据信息,且经过数据主体的授权许可,公司有权在授权范围内使用原始数据
问题2:企业数据采集、处理等情况及其合规性?
回复思路:结合具体业务,从数据采集的基本原则、合规管理要求两方面进行回复↓
是否开展过数据采集审计工作
问题3:业务开展是否符合《数据安全法》《个人信息保护法》《网络安全法》《网络安全审查办法》等法律法规的相关规定,是否已取得必要的业务资质、许可、备案?
回复思路:公司是否制定了数据安全内控制度、是否组织开展数据安全教育培训↓
是否对数据处理活动进行风险监测,发现数据安全缺陷、漏洞等风险,是否有风控机制
↓
是否对数据进行分级保护,有无重要数据
↓
用户协议/服务协议是否明示数据处理规则、目的、方式、范围,对个人敏感信息,是否获得了单独同意
↓
是否存在数据出境、征信等业务,按照法律、行政法规强制性规定取得业务资质、许可或备案
问题4:公司对获取的数据进行深度挖掘、建模、分析处理提供的数据是否存在与原始数据不匹配、不准确导致数据失真的情形,公司如何确保此类经过加工处理的数据与原始数据的同一性,真实、准确性?
回复思路:公司进行产品设计,是否确保建模的依据客观权威↓
是否通过成熟度模型集成能力测试(CMMI3),在模型研发的实操过程中,对业务逻辑设计、代码开发、测试验证、部署实施等各环节是否均有严格的流程管控和评估标准,确保产品研发过程可追踪,代码质量可控
↓
是否避免了人为因素干扰,确保不会出现人为失误导致的数据失真情形
↓
对于新模型产品,公司是否建立了数据测试验证、纠正机制
↓
是否按照《征信业管理条例》建立沟通反馈机制,提升响应速度,制定更正措施
问题5:企业可获取、使用的数据具体类型、数量规模,有没有与电商平台、品牌方之间关于用户个人数据使用的合作机制、权责划分机制?
回复思路:梳理用户个人信息、订单管理信息、公司可获取使用是数据类型、平台运营信息等具体约定↓
在公司的各项业务中,是否仅在品牌方及用户授权的范围内使用用户个人信息,并仅对前述范围内使用个人信息的行为负责
↓
公司使用或维护的消费者个人信息是否来自于第三方平台、品牌方的授权及合同相对方
问题6:企业是否存在使用盗版软件(或数据库)的情形,企业相关数据获取、处理等使用的软件(工具)是否存在侵权风险?
回复思路:介绍财务系统软件、研发代码管理软件、办公软件等授权或许可情况↓
是否使用开源软件,并介绍种类
↓
是否存在软件执法、诉讼、投诉等纠纷
问题7:公司数据管理有哪些不完善的具体情形?
回复思路:内控制度方面,是否建立系统性的数据管理相关制度↓
数据采集方面,对于被自动化访问的对象,是否定期审阅用户协议
↓
数据使用方面,是否对涉及到用户个人敏感信息的岗位进行关于个人敏感信息数据安全的针对性培训
↓
数据存储方面,产品数据库中用于字段加密的密钥是否单独存储密钥,是否定期变更管理及定期检查
问题8:AI的初始训练、迭代更新、模型训练上所需的大量数据的具体来源?
回复思路:公司获取数据方式主要包括在经员工授权同意的前提下向员工采集数据、向专业数据供应商采购以及使用互联网公开数据采集数据,不存在违法收集数据的情形↓
公司与相关供应商签订的数据采购合同,是否约定了供应商须遵守中国法律关于采集人脸面部信息规定的相关条款,须确保采集方式合法合规(应先征得被采集人同意并告知数据用途),因供应商违反法律规定所产生的责任由供应商自行承担
↓
模型部署应用后,是否需要完全重新训练,还是客户提供数据部分训练即可完成模型迭代
问题9:在场景应用过程中是否接触、收集、利用人脸数据信息,数据采集和使用过程中是否获得被收集者许可,是否存在侵犯个人隐私、肖像权等权益的情形?
回复思路:公司业务是否涉及智慧安防、城市治理、疫情防控等特殊领域↓
业务是否基于满足公共安全、公共卫生等重大公共利益的需要
↓
解释说明公司扮演的角色,是否收集、存储、利用相关数据
↓
业务模式是否符合有关人脸识别信息处理的监管规则
问题10:公司是否从事境外数据业务,是否存在向境外主体提供或销售数据产品及服务的情形?
回复思路:是否涉及向境外主体提供数据、产品及服务,如果有,需要进一步说明是否符合数据出境的审批备案规定↓
目前未规定境外数据向境内流动的情形,公司是否涉及境外数据的获取、处理
↓
境外公开数据,公司是否参与收集
↓
如果从数据供应商获取此类数据,业务商洽中是否要求数据供应商作出承诺或确认,以保障数据来源合规性,并审核评估采购数据类型范围、目的、用途、时间、授权函
↓
是否调查数据供应商资质、数据来源的合法性,确认供应商不存在信息、数据权属及知识产权相关重大争议;调查确定供应商不存在重大违法、违规、行政处罚记录、重大法律纠纷或相关负面报道
随着《网络安全法》《个人信息保护法》《数据安全法》这些数据基本法的实施,数据合规配套法规体系的日益完善,目前为止,已有百余家企业的IPO问询涉及数据合规问题,数据合规覆盖的行业越来越广,问询的内容既有各家企业的“特色”,也有一些共性问题,问询的内容及答复值得关注。不论是已经上市的企业,还是拟上市的企业,在数据收集、数据使用、数据共享、数据存储、境外上市/数据出境及数据安全保障的各个环节,企业都应在日常运营、管理中落实数据合规义务,避免因数据不合规影响上市进程。
本文不作为针对任何案件或问题的法律意见或建议,不代表单位立场。
张立峰
上海市协力律师事务所
上海师范大学法律硕士,“上海市优秀毕业生”。研究方向为知识产权、数据合规、元宇宙等领域,曾协助主办律师为企业及机构提供数据合规、知识产权尽职调查、计算机软件系列维权、地方规章合法性评估等法律服务。曾参与课题《区块链技术下的数字版权保护研究(2019)》《大数据背景下互联网平台的反垄断规制(2021)》《公共数据治理和应用过程中的知识产权保护研究(2022)》《数据知识产权制度基础问题研究(2022)》,并在《中国法学教育研究》《珞珈法学》等期刊发表过多篇论文。
(本文为授权发布,仅代表作者观点,未经许可不得转载)
【协力案例】首例主题游乐园侵害知名网游商标权案件宣判,判赔160万余元
游戏用户协议注意要点及裁判意见解析
陈绍玲:人工智能技术应用的法律保障规则展望
漫谈:维米尔,与《戴珍珠耳环的少女》无关的著作权故事
ChatGPT时代,知识产权从业者面临的挑战
ChatGPT生成物也许只是一种文字工业品——关于ChatGPT生成物著作权保护热议的思考
网络游戏黑灰产的反法规制探析
游戏发行运营商“版”申请及合规要点
AI参与创作的作品,是否享有著作权?美国版权局这么说
违反竞业限制并不必然构成商业秘密侵权
刘维:论商标权穷竭的功能虚置与价值回归
构建中国特色的著作权集体管理制度
游戏独代协议九大注意要点
ChatGPT对法律领域的挑战到底在哪里?
漫谈:一本定价为49.9元的AI诗歌出版物
上海知识产权法院:传播未经授权的有声读物的网络平台之责