宜未雨而绸缪——企业上市关注的重点数据合规问题
党的十九届四中全会《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》首次增列“数据”作为生产要素,提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”。随着云计算、大数据分析和物联网等技术的持续发展,数据作为国家基础性、战略性的资源以及企业的竞争资产,已经受到各界的认可和接受。对于拟申请上市的企业而言,数据不可避免的将成为企业资产价值评估的核心与重点。
另一方面,依托于互联网、大数据、云计算等业务平台的数据驱动型企业,在业务开展的过程中积累了庞杂繁多的各类数据,利用数据商业化进行变现与盈利,将进一步拓宽数据驱动型企业的增值空间。在企业积极探索数据资产商业化的过程中,如何确保合法合规地获取、流通、应用数据,是企业数据商业化的首要任务,也已经成为证监会重点关注的问题之一,并成为影响企业上市成功与否的重要因素。2017年至今,已有不少企业申请IPO时被审批机构询问数据合规问题,此类问题甚至成为了一些企业IPO申请被否的原因之一。
上市主管机构紧密关注上市申报企业的数据合规
《首次公开发行股票并上市管理办法》、《首次公开发行股票并在创业板上市管理办法》和《科创板首次公开发行股票注册管理办法(试行)》均明确将发行人生产经营符合法律、行政法规的规定,符合国家产业政策作为企业IPO上市的必要条件。发行人作为信息披露第一责任人,应当诚实守信,依法充分披露投资者作出价值判断和投资决策所必需的信息,所披露信息必须真实、准确、完整,不得有虚假记载、误导性陈述或者重大遗漏。数据显示,在IPO未过会的企业的反馈意见中,合法合规问题是出现频率最高的风险关注点之一,数据合规问题作为证监会目前关注的重点,不容忽视。
图:2018年IPO被否企业原因分析[1]
自《网络安全法》2017年6月1日正式实施以来,网络安全与数据合规在立法的基础上得到了快速的贯彻,并愈发受到网信办、工信部、公安部等监管部门的重视。基于上市申报过程中的信息披露义务,企业将不可避免地需要在信息披露过程中直面其数据处理过程可能产生的业务风险,数据处理相关业务商业模式的合法性,及其对企业未来持续发展的影响。在我们处理的数据合规项目中,主管机构不仅明确关注数据来源、数据处理的普通合法合规问题,并进一步追问涵盖数据采集的方式、对象、价格、趋势、成本等深层次的问题。在部分项目申请上市过程中,主管机构已经不满足于拟上市客户公司对于数据业务所提供的概括性、原则性的说明,而进行多轮、递进式的问询,以便获取详尽的答复。
上市主管机构提出的数据合规问题综述
根据证监会公开披露的审核公告以及我们的法律实践,我们对上市主管机构对拟上市企业提出的数据合规问题进行了整理,主要可以分为数据来源合法合规问题、数据使用合法合规问题、数据相关的业务经营问题三类。
1. 数据来源合法合规问题
数据来源合法合规性是主管机构关注点的重中之重。以下是上市主管机构提出的部分数据来源合法合规问题的示例:
请说明发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规;
请说明发行人为客户提供数据分析服务时,主要的数据获取途径;
请说明要求发行人说明是否对数据来源进行分类,数据采集和应用过程中是否获得用户许可,是否存在侵犯用户权益(隐私权、肖像权等)的情形;
请说明发行人采集数据(包括自行采集,也包括向供应商采集)时,是否获得了相关信息主体(及用户)的合法授权,获取用户数据的手段及方式是否合法合规;
发行人收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》,APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。请发行人代表说明;
请说明发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否存在违反收集使用规则使用个人信息的情况,发行人相关内部控制措施是否合法合规并得到有效执行。
为答复上市主管机构提出的上述问询,并通过主管机构的审批。我们理解,首先,企业须确保其自行收集个人信息时已经征得个人信息主体对收集、使用的目的、方式与范围的充分授权同意,并符合收集信息的必要性原则;其次,企业应重视其自行收集个人信息的途径的合法性,如禁止使用非法的爬虫技术从其他网络运营者的平台抓取数据;再者,在从数据供应商间接获取个人信息的场景下,企业还应关注供应商的数据来源合法性,要求供应商就个人信息的充分授权提供有效、充足的承诺与证明,确保授权范围能覆盖企业处理数据的业务需求。
2. 数据使用合法合规问题示例
数据使用的合法合规,既要求企业在处理个人信息时充分保障个人信息主体的相关权益,也要求企业采取严格的数据安全保护措施。以下是上市主管机构提出的部分数据使用合法合规问题的示例:
请说明发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险;
请说明在报告期内发行人对个人消费者及企业客户信息等数据资源的使用和维护的合法合规性,是否存在纠纷或潜在纠纷,并进行风险提示;
数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷;
请发行人说明其数据供应商的合规性、是否对数据供应商建立完善评价体系、是否向第三方提供数据。
从上述问询示例可以看出,为满足数据使用合法合规的要求,企业需要重点关注三个方面:其一,在数据使用(包括数据融合)的过程中,应确保不会超出相关个人信息主体的授权范围;其二,做好数据安全管控,采用加密存储、设置访问权限、数据备份、选用多个服务提供商等多重数据安全风险防控措施;其三,严控数据的对外输出,在对外转让、披露、共享个人信息时应获得个人信息主体的充分知情同意,并确保数据转让、共享的接收方具有充足的数据安全保护与管理能力。
3. 数据相关的业务经营问题
在数据相关的业务经营问题方面,上市主管机构更多关注企业数据相关的商业模式的可持续性和收益情况,以下是主管机构提出的部分数据相关的业务经营问题的示例:
报告期各类数据所对应的数据采集方式和供应商、数据采购成本、数据分析方式、产品服务内容;
在向供应商采购数据的数据采集方式下,主要的交易对手方、主要交易对手在报告期内是否发生重大变化,与不同交易对方的采购单价是否存在重大差异及原因;
请说明发行人不同来源获取数据的所有权归属情况;
请说明发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似,是否对数据供应商存在重大依赖;
针对各主要信息采集内容所对应的劳务费等问题,与同行业可比公司及数据采集市场的比较情况及差异原因。
从上述问询示例中,我们可以看到上市主管机构对于数据使用权益、数据商业化模式可持续性的关注。为更准确地评估企业的数据使用权益和数据商业化模式,一方面,企业须充分认识其各类数据资产的权益边界,这要求企业对其数据从安全、合规与价值的三个维度开展充分的分级分类评估,进而明确对各类数据分别可提出的权益主张。另一方面,企业应在明确数据资产边界的前提下构建数据资产管理体系,在合规、安全的基础上充分挖掘各类数据作为资产的商业价值。
上市主管机构认定数据业务合法合规性的参考依据
从证监会在审批公告中披露的数据安全相关质询问题描述看,审批部门不仅会对照《网络安全法》、《儿童个人信息网络保护规定》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等已经生效的法律法规和司法解释,还会将国家推荐性标准《信息安全技术个人信息安全规范》《个人信息安全规范》)作为参照依据,甚至关注APP专项治理工作组公开的整改通知,要求企业对整改通知中披露的数据安全相关问题进行具体说明。
由此可见,在我国个人信息保护法律法规尚未完整建立的前提下,上市主管机构与网信、公安、工信等个人信息保护行政监管部门一样,会将《App违法违规收集使用个人信息行为认定方法》(《认定办法》)、《个人信息安全规范》等监管部门或行业的合规指引和标准作为认定数据业务合法合规性的参考依据。同时,上市主管机构也会慎重考虑上述行政监管部门或其授权机构的行政执法和监管案例。
对于拟申请上市的企业而言,应当对标上市主管机构的评估依据,密切关注最新的数据保护相关的立法动态、数据合规执法和监管趋势。概括而言,企业应当:
(1)严格遵守各监管部门制定的网络安全与数据保护规范性文件,特别是自2019年以来出台的正式文件,包括《密码法》、《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》和《认定方法》等,以及可能于2020年出台正式文件的重要草案,如《民法典(人格权编)》、《数据安全管理办法(征求意见稿)》、《网络安全审查办法(征求意见稿)》、《个人信息出境安全评估办法(征求意见稿)》和《个人信息安全规范(第三次征求意见稿)》等;
(2)关注并积极应对日益活跃的多部门数据合规联合执法活动。2019年,中央网信办、工信部、公安部和市场监管总局在全国范围内联合开展的App违法违规收集使用个人信息专项治理取得了阶段性的成果。随着《认定办法》的出台,可以预见,网络安全与数据保护严格执法必将持续。
(3)以各执法部门发布的执法公告与案例为鉴,随着执法活动的深入,监管部门会通过公告或通报的形式对外公开具体的执法案例,如工信部《关于侵害用户权益行为的App通报》(第一批于2019年12月底发布,第二批于2020年1月初发布)。企业在开展数据合规工作的过程中,宜持续跟踪公开的执法案例,相应调整自身的产品、服务设计与合规实践。
重点数据合规问题应对之数据来源合法合规
数据收集是数据全生命周期的起点,数据来源的合法合规是数据处理、数据商业化开发的前提条件。通常企业收集用户数据的来源主要包括:(1)直接面向用户收集;(2)从公开网络平台或半公开网络平台采集用户数据;(3)从合作方间接获取用户数据。针对不同的数据来源,企业不仅应当采取不同的合规措施和应对方案,确保数据来源的合法性,还应该形成数据处理记录或其他必要的自证合规的记录材料。
1. 直接面向用户收集—授权同意
在目前既有的法律法规体系下,对个人信息的处理仍以“授权同意”为核心展开。为了从源头保证和提升数据的质量,企业应当注重商业模式的优化和调整,为数据采集、数据可持续处理奠定合规基础。
企业应当基于公司实际的数据处理情况和需求,依据《认定方法》、《个人信息安全规范》的相关规定,重新审查和评估企业现有的隐私政策和其他用户告知授权文本的合规性;根据最新的监管要求和执法监督案例,对各产品业务线的隐私政策和其他用户告知授权文本进行针对性的完善,不仅要确保数据处理合法性中授权同意的获取,同时也应当在遵守必要性原则的前提下以合理、合法的方式预留后续发展的空间。值得注意的是,信安标委公开的《信息安全技术 移动互联网应用(App)收集个人信息基本规范(法律意见书)》列出了地图导航、网络约车、即时通讯、博客论坛、网络支付、新闻咨询、网上购物等21种常用服务类型收集的最小必要信息,服务类型最小必要信息涉及的最小必要权限范围。
按照当前的监管要求,企业应当在隐私政策和其他授权文本中,根据收集使用个人信息目的(包括委托的第三方或嵌入的第三方代码、插件),逐一列出收集使用个人信息的目的、方式、范围,否则存在被认定为“未明示收集使用个人信息的目的、方式和范围”。对于存量的可能存在授权瑕疵的数据,企业应当尝试通过隐私政策推送或更新的方式,再次取得用户的补充授权。如果无法取得补充授权,企业应当对存在瑕疵的用户进行数据清洗与分类,并对高风险的数据进行数据隔离或删除。避免因对外法律文本的缺失或不足引发各方对企业合规性程度的质疑和挑战。
2. 从公开网络平台或半公开网络平台采集用户数据
除用户主动提供、企业运营APP时网络系统自行收集的个人信息以外,为提升用户数据的价值,部分企业会自行或委托第三方通过爬虫技术从公开网络平台或半公开网络平台抓取数据,与企业直接收集和企业从供应商处获取的数据进行融合和商业化使用。
爬虫技术是互联网企业普遍运用的网络信息搜集技术,为数据收集者提供了极大的便利。但同时,爬虫技术的滥用也可能对其他网络运营者的正常经营造成不利影响,如导致网页瘫痪、侵犯他人知识产权等合法权益,从而可能引发民事乃至刑事责任。自2019年9月以来,公安机关就对未经授权使用爬虫技术等非法获取个人信息的行为进行查处。企业应重新审视自身数据获取手段和方法的合规性,尤其应当避免从违法违规的供应商采购数据,或者采用可能破坏目标网络平台信息系统的技术进行数据采集,以免构成“非法获取计算机信息系统数据罪”或者“侵犯公民个人信息罪”。
除刑事责任以外,不当使用爬虫技术也有可能引发诉讼争议。尽管现行的法律法规并未对于个人信息等相关的数据财产权益做出任何明确的规定,但国内多个典型的互联网不正当竞争纠纷案件(包括淘宝(中国)软件有限公司与安徽美景信息科技有限公司不正当竞争纠纷案((2018)浙01民终7312号)、北京淘友天下技术有限公司等与北京微梦创科网络技术有限公司不正当竞争纠纷案((2016)京73民终588号)等)都认可了网络平台对其数据资产的权益,行业、法律实务界和学术界也逐步认可了网络平台之间共享用户数据的“三重授权原则”,即“用户授权平台方+平台方/第三方授权+用户授权第三方”。企业在未取得上述三重授权的前提下,通过爬虫技术从第三方网络平台不当采集数据,也有可能构成不正当竞争的行为。
3. 从合作方间接获取用户数据
数据驱动型企业虽积累了大量的数据和相关模型能力,但内部的数据源总是或多或少存在一定的欠缺,此时,外部第三方数据源将成为产品功能实现中重要的“生力军”。但每每谈及第三方数据源,总有这些数据合规问题无法绕开:(1)供应商数据来源合法吗?(2)供应商的用户授权是否能够覆盖企业处理数据的所有业务需求?(3)如何核查第三方数据源的合法性?
为此,企业应当按照以下步骤确保引入的数据供应商数据来源的合法合规性:
(1)核实引入第三方数据源的必要性和可行性;
(2)要求第三方数据源就用户授权提供有效、充足的承诺与证明;
(3)确保第三方数据的用户授权范围足够覆盖企业处理数据的业务需求;
(4)制定《外部数据采购管理制度》并严格按其提请流程。
重点数据合规问题应对之数据使用合法合规
1. 数据融合的合规重难点
数据融合是挖掘数据资产价值的重要手段,目的在于利用多渠道、多元化的数据,形成更加完善的用户画像,其中必然涉及大量用户个人信息与行业监管数据的收集与处理。因此,数据融合的合规重难点在于,从源头与过程把握相关数据的安全保障与合法利用。
就“源头控制”而言,首先,在数据使用(包括数据融合)的过程中,企业应确保不会超出相关个人信息主体的授权范围。在满足数据处理必要性的前提下,考虑到针对超出初始范围的个人信息处理活动再获得授权的可行性较低,企业应注意在初始授权范围中保留一定的弹性空间,以尽可能符合目的关联性的要求。同时,企业应当梳理数据融合涉及的个人信息与行业监管数据,以便识别合规风险,确认在数据处理中可能面临的合规要求(如在数据采集、存储、使用或共享方面的要求)。
就“过程控制”而言,企业应当根据具体的数据融合商业模式(同一实体内打通vs同一集团内打通),确定企业在数据融合中的角色定位(数据控制者、数据处理者还是共同数据控制者)。在确定数据处理角色后,企业可以根据具体的数据处理角色,以合同、尽职调查、审计等方式促进合作方相应权利义务关系的落实。
更多数据融合相关的介绍可以参见我们的《“数”年快乐——万字长文说“数据融合”》。
2. 数据对外共享的管控责任
数据流通才能最大化地实现数据的价值,但数据的流转也增大了数据泄露等数据安全风险。根据《网络安全法》、《个人信息安全规范》等相关法律法规和标准规范,对于个人信息而言,企业在对外转让、披露和共享收集的个人信息时应当承担严格的注意义务:
(1)个人信息主体的授权同意:企业应当在对外共享收集的个人信息前,充分告知共享、转让个人信息的目的、数据接收方类型和可能的后果;
(2)协议管控数据接收方(包括接入平台的第三方):通过合同等方式明确双方角色定位,并据此规定个人信息接收方的责任和义务,在发现接收方违反法律法规或约定处理个人信息时立刻要求停止该行为与采取补救措施;
(3)必要的安全风险评估:企业在向他人提供个人信息前,应当评估可能带来的安全风险,但特殊情况除外,如从合法公开渠道收集且不明显违背个人信息主体意愿;个人信息主体主动公开;经过匿名化处理等。
(4)数据共享记录留存:留存与第三方交互、共享个人信息的日志记录、合同文本,作为企业自证合规的材料文本。
3. 数据安全风险控制
数据安全是个人信息保护和处理的前提条件,数据泄露、灭失对企业带来的毁灭性打击已足以敲响警钟,同时也会带来媒体的广泛关注。
为保障数据存储的安全合规,企业应将安全合规思维纳入到产品设计过程中:
(1)及时采取风险分散措施,例如选用多个服务提供商、数据本地备份等;
(2)及时采取风险控制措施,例如选择合格服务提供商、完善与服务商之间的权利义务约定等;
(3)适当采取风险对冲措施,例如购买商业保险等。
另一方面,随着产品功能的初步确定,功能调用完成或者服务结束后,数据如何处置又成为了数据驱动型企业的难题。根据当前的监管要求,在服务结束后或具体数据处理目的实现后,原则上,个人信息控制者应当及时删除或匿名化相关个人信息。
重点数据合规问题应对之数据相关的业务经营问题
1. 明确数据资产权益边界
发掘数据资产的商业价值,需要以清晰的权益边界为前提和基础;数据权益与权属不清,则意味着交易必然存在瑕疵,监管层面存在疑问,相应也伴随着法律风险。数据权属的准确认定目前在立法和实践中仍缺乏一致性意见,而权益的边界亦错综复杂。
2. 数据资产管理体系构建
寻求权益主张空间奠定了数据资产固定的理论基石,但为了确保数据资产的实际形成和价值发挥,企业仍需要相应构建必要的数据资产管理体系,以求能得到及时、准确的数据支持和服务。考虑到数据资产具有较强的流动性,因而在构建数据资产管理体系时,除遵循基本的数据治理规则以外,还需要加强对数据价值的梳理和管控。具体而言,分为:
(1)第一步:定义数据资产,包括特定模型下的数据资产盘点、数据资产的分级与分类
(2)第二步:管理数据资产,包括数据资产安全管理和数据资产价值管理。
更多数据权益及数据资产相关的介绍可以参见我们的文章《平安夜里说平安——“数据资产”的误区与合规条件》。
对于拟上市的企业而言,上述数据合规问题需要从技术、商业和合规多个层面来梳理及整改。总的来说,数据合规工作“宜未雨而绸缪,毋临渴而掘井”,为保证企业上市计划的顺利实施,建议企业尽早启动数据合规工作,结合自身业务建立合规体系,才能在上市过程中提交满意的答卷。
[1] 摘自理脉Legal Miner“2018年IPO审核反馈情况数据分析报告”,http://www.legalminer.com/blog/?p=3307
本文作者
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
包达
主办律师
合规业务部
林云汉
律师
合规业务部
感谢关注金杜研究院