数据治理不合规，这家企业IPO被否

数据治理不合规

这家企业IPO被否

zz

 一、

  IPO未通过 

墨迹科技旗下墨迹天气App是一款天气类App，拥有5.56亿的累计装机量。2018年1月23日，北京墨迹风云科技股份有限公司向证监会报送《创业板首次公开发行股票招股说明书》。招股说明书中表明，墨迹公司目前的主要产品为墨迹天气 APP， APP为用户提供免费的综合气象服务、为广告客户提供互联网广告信息服务。同时，墨迹公司未来的企业转型规划集中在结合运营积累的用户数据，逐步探索开展企业级业务，利用气象技术和个人用户端数据为各行业企业提供基于气象情况的精准运营服务，从而实现向互联网综合气象服务提供商的转型。

遗憾的是，2019年10月11日，中国证券监督管理委员会发布公告，北京墨迹风云科技股份有限公司首发申请未予通过。

在公告中发审委提出了四条问题：一、许可资质存在欠缺；二、数据合规性存疑；三、广告收入的持续性存疑；四、与股东存在较多关联交易。其中第二条，有针对性地对墨迹风云的数据治理提出了质疑。

 二、

早有征兆 

首先值得注意的是，证监会的质询是从App治理组在2019年7月16日发出的《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》开始的。

此次整改是由四部门【全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会】成立的App专项治理工作组联合执法，对用户数量大、与民众生活密切相关的App隐私政策和个人信息收集使用情况进行评估。这次整改也并非突击检查，而是早有预告：国家网信办官网在2019年01月25日就发布过《关于开展App违法违规收集使用个人信息专项治理的公告》，公告中明确提示了App运营者收集使用个人信息时要严格履行《网络安全法》规定的责任义务，收集信息要遵循合法、正当、必要的原则，以明示的方法取得用户同意，且不得变相强制同意等。这些都是明确规定在了《网络安全法》第四十一条和第四十二条的。

而更有意思的是墨迹科技早在2016年就开始向证监会递交申请，在企业准备IPO的过程中还被不注意合规治理，尤其是明知自己所运营的App用户受众极广，毫无争议地属于“用户数量大、与民众生活密切相关的App”还被监管者抓了典型，这严重暴露了企业合规意识不足的致命伤。

 三、

数据收集 

其次，证监会对墨迹的质询问题的主要内容看，主要涉及的也都是App采集、使用用户信息中的常见环节。

第一点：在获取用户数据的过程中是否对用户有明示提示，使用范围是否明确告知，用户授权在法律上是否完备，获取的手段是否合法合规。这是整个数据治理环节最开始的源头，同时也是最关键的部分，无论是刑法规定还是民法规定，一旦数据的来源是非法的，后续有关于此的任何处理环节，包括共享、交易、传输、分析等行为都可能是不合规的。

在刑法第二百五十三条之一【侵犯公民个人信息罪】第三款规定了，窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚。其中“以其他方法非法”的定义就较为宽泛，体现了刑法对侵犯信息的打击力度，在最高人民检察院发布的《检察机关办理侵犯公民个人信息案件指引》提到对“非法获取”的审查认定特别强调了“在履行职责、提供服务过程中，违反国家有关规定，未经他人同意收集公民个人信息，或者收集与提供的服务无关的公民个人信息的，也属于非法获取公民个人信息的行为。”

国家标准《个人信息安全规范》作为指导性的文件，对收集个人信息的要求更是给出了近一步具体的实践指引，如不得以捆绑的方式要求用户一次性开启多项业务功能收集信息的权限。在司法实践中，用户即使明示同意收集，这样捆绑获得的授权也未必能被认定为有效，依然可能导致收集方式被界定为非法。

 四、

数据使用 

第二点：在数据使用的过程中是否也做到合法合规，商业化变现的过程中是否存在用户隐私被侵犯等合规问题。墨迹天气作为免费的App，和大多数的应用软件一样都是靠对用户进行画像，实现广告主内容的精准推送来获得主要利润。但形成画像并使用的过程中涉及大量的个人信息使用和处理，需要通过用户不同的行为痕迹分析其应用场景，因此这也是App们违规风险的高发区域。

正如证监会的质询词中提到的，墨迹天气的确有被相关媒体报道过疑似上传用户隐私，违规使用信息的情况。2019年2月，墨迹天气被爆上传用户Wi-Fi信息，包括用户当前正在使用的IP、连接Wi-Fi名称等。事后墨迹官方及时回应，也证实了其收集的Wi-Fi都是公共场所的Wi-Fi，不涉及用户私人的信息，而上传的目的也是为了在GPS的基础上更省电地帮助定位，提供精准的天气预报。而关于使用已经合法公开的信息是否侵犯个人信息权益，在我们前一篇文章中也有讨论，2014年最高人民法院同样规定了“公开自然人自行在网络上已经公开或是其他已合法公开的信息不承担侵权责任”。

国家标准《个人信息安全规范》5.6(f)、(h)也提到了个人信息主体已经向社会公开的或是从合法公开披露的信息中收集的个人信息，不再需要授权才能使用。公共场所连接的Wi-Fi名称也应当属于已经向社会公开的信息，因此收集这类信息不属于侵犯用户个人信息。

 五、

数据处理 

第三点：数据处理的整体流程的内部控制制度是否完善，执行是否到位，如面对数据泄漏等安全事件的应急方案及其可行性如何。并非只有安全事件发生了企业才会被追究责任，企业内部的技术、制度方面的安全措施是否符合其信息系统的要求本身也是检验合规与否的重要标准，《网络安全法》第二十一条规定“国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。”实践中出现越来越多的单位因为网络日志留存不足六个月、没有对关键信息做好相应的防入侵保障等被处罚的情况。网络安全等级保护制度就是一个帮助企业做好相关工作，并且应对监管部门问责的良好手段。

此外，数据泄漏等安全事件发生后企业计划如何应对也是重点关注内容，《网络安全法》第五十五条规定了“网络安全事件发生后，网络运营者应当采取技术措施和其他必要措施来消除安全隐患、防止危害扩大，并及时向社会发布与公众有关的警示信息。”《国家网络安全事件应急预案》的第四条第一款，列明了事发单位应在网络安全事件发生后立即启动应预案，实时处置并及时报送信息的义务。

国家标准《个人信息安全规范》则是在10.1（个人信息安全事件应急处置和报告）和10.2（安全事件告知）中详细列明了个人信息控制者在安全事件发生后具体应当如何向执法机关、有关部门以及可能遭受影响的个人主体发送警示信息，并且制定事前的应急预案和相应的事后补救措施都必须经过审查。

第四、五两点都是分别关于有关政策变动和主管部门的监管企业如何针对性做出调整的，重点在于企业是否有及时识别并更新其在数据治理领域的合规义务的能力，主要内容还是离不开上述信息处理的各个环节。

 六、

过不去的坎？ 

不得不承认，证监会对墨迹的这一套数据合规的质询组合拳打得是又专业又全面，几乎涵盖了数据处理端的全过程，并且结合了现有法律、行业内部的技术标准、发展动态。从墨迹最终被拒绝首发的结果来看，墨迹长达三年的准备内容肯定没有很好地帮助其应对这一套质询问题，但是否意味着一旦审查者较起真来，数据合规问题就一定是横在IPO面前过不去的坎呢？

答案当然是否定的，虽然问题很多也很全面，但都是数据治理合规中最常见的环节，如等级保护制度，是我们一再强调，建议企业充分利用的一项制度，又比如信息安全事件的披露义务，也是我们专门用推特的案例讲过的重点。所以答案恰恰相反：在法治建设不断推进的社会中，良好的合规治理工作反而会是企业发展道路上最好的助推剂。

根据最新修订的行政处罚法第三十三条，第二款“当事人有证据足以证明没有主观过错的，不予行政处罚。”这一条意味着合规工作中的进展，如，在即将投票通过的ISO37301国际标准下进行认证，获得网络安全等级保护测评报告等一系列成果都有机会成为将来企业出现问题后的无主观过错的有力证据，免除行政处罚，从而让合规工作做得好的企业进一步扩大合规红利的优势。也说明了实践中监管者判断企业是否合规，逐渐趋于过程导向和结果导向相结合，也为企业如何回答证监会类似的质询问题提供了新的解决思路。

事实上，真正的难点并非是合规的要求有多高，而是合规的规定并不明确，我们国家虽然有很多规制网络安全的立法，但散见于“管理规定”、“实施办法”，从上述分析中摘取的法律规范形式的多样性也不难看出，我国集中性的立法还不够。究竟应当如何操作才能符合要求并不清晰，以《网络安全法》为例，第四十一条规定信息收集应以被收集者同意为前提，但何种同意形式为有效，还需要进一步通过《网络安全实践指南—移动互联网应用基本业务功能必要信息规范》、《信息安全技术 个人信息安全规范》等行业规范、国家标准等不属于强制性规定的条文中寻找可行的措施。执法主体更是不确定，常见的就有网信办、工业和信息化部、公安部、市场监督总局以及各行业主管部门。因此这就对有进一步发展计划的企业提出了更高的合规要求：合规管理工作必须体系化并且有正确的方法论。

面对冗杂混乱的法律法规标准和执法环境，把握正确的合规方法论就可以化繁为简。

举例而言：

1、通过识别实质性合规义务了解需要满足的法律法规要求【如刑法、民法、行政法规等相关规定】，通过识别控制性合规义务【如国家标准、行业标准、实践共识】等来掌握达到要求的具体操作方案，就不会做无用功。

2、准确识别风险和风险源，并且做好风险评价，通过风险的三个维度【风险源引发风险的频率，风险发生的可能性及其损害程度】来对风险评级，可以有的放矢，集中资源解决重点问题。

同样作为在IPO中面临数据合规问题的企业，深信服科技股份有限公司就在2018年遇到过“是否存在泄漏国家秘密、保密信息、个人信息的情况，是否建立完善的内部管理制度”的质询。作为一家专注于企业级安全、云计算及IT基础设施的产品和服务供应商，深信服的客户群体可能覆盖金融、政府、运营商等重点领域，会面对这样的质询完全是理所当然的，深信服也凭借充足的准备成功通过首发审核。

回到开头说过的墨迹天气的问题，其作为一款受众广、影响大的App对最基本的数据合规问题都没有解决，只能说明合规的方法论还不够科学，准备的方向还不够集中，也根本不知道如何做才能修正错误满足合规要求，才导致一次小小的警告性质的公告就将其合规问题全盘暴露出来，最终击倒企业本身。

因此，即使有再多散乱的法律规定和执法主体，只要掌握合规体系化建设的主线，化繁为简，金色盾牌自会屹立不倒。他强任他强,清风拂山岗,他横由他横,明月照大江！

陈立彤 律师

大成上海办公室高级合伙人，国际风险与合规协会副会长，福特公司前亚太区合规总监，中国律师、美国纽约州律师

联系方式：henry.chen@dentons.cn

雷莉 律师

大成成都办公室高级合伙人，大成中国区公司委家族企业治理研究中心主要成员，拥有十年企业财务管理经验，会计师，四川省优秀律师

联系方式：leili@dentons.cn