世辉观点|企业上市过程面临的数据合规问题和相关风险:境内篇2022版
作者:王新锐、冯博林
随着网络安全与数据保护领域的立法逐渐完善,数据保护执法活动与日俱增,企业数据合规情况越来越受到证券监管机构和投资者的重视。企业上市过程中,数据保护合规方面的问询已成为“必选题”。
我们曾发布【企业上市过程面临的数据合规问题和相关风险:境内篇2021版】,对境内上市监管机构要求发行人具体说明的问题或者企业根据要求披露的风险进行了整理。
本文在上一版基础上,结合上文发布至今一年来A股上市公司的交易所问询与公开披露文件等,对监管机构重点关注的数据合规风险进行了更新,以期为未来A股上市实务提供参考价值。
● 发行人来源于供应商采购和自主获取的大数据的区别及报告期内占比,自动化访问获取的企业数据如何确保来源合法性,发行人调查供应商及数据来源合法性的具体方式及有效性。
● 发行人产品研发、销售及使用过程中涉及到的数据采集、处理、使用等情况及其合规性,数据内容是否涉及个人隐私或涉密信息,是否获得相关数据主体或主管部门的明确授权许可。
● 主要产品及核心技术涉及的数据来源及类型、数据获取方式、存储方式,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯个人隐私的情形。
数据权属问题
数据权属问题
● 发行人各项业务及研发分别获取、存储、使用哪些数据,对应的数据来源、数据权属,是否存在销售数据的情形。
● 发行人相关数据的所有权归属及是否存在本地化情况,是否存在违法违规收集、存储、使用、传输个人信息等情况。
● 发行人是否为客户提供个人数据存储及运营的相关服务,是否存在收集、存储个人数据,对相关数据挖掘及提供增值服务等情况;如是,请说明是否取得相应资质及提供服务的具体情况,是否存在违法违规收集个人信息情形。
● 以表格形式列示,发行人各项业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途,是否存在超出数据获取协议或隐私政策的情形。
● 标的资产生产及研发过程中是否存在收集、存储个人数据,对相关数据挖掘及提供增值服务等情况,是否存在利用或者泄露客户隐私风险,如是,请说明是否取得相应资质及提供服务的具体情况并进行针对性风险提示。
● 数据是否存在使用范围、主体或期限等方面的限制,发行人是否存在超出上述限制使用数据的情形。
● 发行人与电商平台、品牌方之间关于用户个人数据使用的合作机制、权责划分机制。
● 以表格形式列示,发行人各项业务中所销售或交换的各类信息数据的内容、来源、加工处理方式、交付产品形态、客户类型。
● 发行人是否从事境外数据业务,是否存在向境外主体提供或销售数据产品及服务的情形。
● 发行人是否建立有效的内部控制制度确保业务开展中涉及的数据合规性。
● 报告期内发行人数据管理不完善的具体情形、影响范围、严重程度,是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形,目前发行人针对该等不完善情形的具体整改情况及效果,发行人数据合规纠纷的解决机制。
● 发行人关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况,是否能够有效保障数据安全及业务合法合规。
● 发行人关于保障医疗安全的制度及措施是否完善,患者数据管理、相关内部控制的有效性。
● 本次交易完成后发行人在落实网络安全管理制度、保护公民个人信息方面的保障措施。
● 广告换数据、数据换数据的业务模式是否符合行业惯例,数据交易对手方是否具有获取、使用、销售数据的资质,该等数据来源是否合法,该类业务模式是否合规。
● 在病例上传以及阅片、判读的过程中,发行人如何保证患者的隐私安全,发行人是否存在侵犯患者隐私的行为,是否存在纠纷或潜在纠纷。
● 通过科研合作产生数据集或基于真实医疗业务数据开展技术研发的,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯患者隐私的情形。
● 发行人说明向客户提供公司主要产品及服务而直接或间接获得相关学校、师生的具体数据和个人资料等信息的情况。
● 发行人、开发者、集成商、终端客户在技术、业务及产品(或服务)中涉及到数据采集、管理、运用的具体环节,不同环节涉及的数据的具体类型,发行人OS与SAAS层的数据交换、数据存储情况。
● 发行人在保证人工智能技术可控、符合伦理规范的措施和规划,以及对客户隐私数据的保护措施。
● 近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响,发行人业务开展是否符合该等法律法规规定,是否存在本次发行上市未履行的前置程序或其他障碍,相关风险揭示是否充分。
● 近期立法对个人信息采集和人脸识别应用范围等进行约束的具体体现,对发行人业务开展的影响,是否存在违反相关规定的情形。
● 发行人业务开展及资质、许可取得情况是否符合《数据安全法》《网络安全法》《个人信息保护法》等数据安全及信息保护相关法律法规的规定,发行人采取的保护措施,是否发生过泄密行为或存在纠纷、潜在纠纷,相关风险是否充分揭示;已到期及即将到期的业务资质、许可证书等的续期情况。
● 结合《数据安全法》《个人信息保护法》《网络安全审查办法》等相关法律法规,说明发行人使用用户个人数据的合规性。
版权与免责
本文章仅供业内人士参考,不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意,本文章不得被用于其他目的。如需转载,请注明来源。如您对本文章的内容有任何疑问,可联系世辉律师事务所。
王新锐 合伙人
wangxr@shihuilaw.com
王新锐律师毕业于清华大学法学院,执业已超过18年,曾长期在国内顶尖律师事务所工作,现为世辉律师事务所合伙人。王律师长期深耕网络安全和数据保护业务,其提供深度法律服务的客户包括数十家中外顶级科技公司,亦为多个中央部委和地方政府的数据立法和监管工作提供支撑。王律师作为中方专家,入选ICC(国际商会)、B20(二十国集团工商峰会)等国际组织的数字治理工作组。
王律师是《个人信息保护国际比较研究》、《数据服务框架》两本书的主要作者,并有大量文章和译作公开发表,专业观点经常被新华社、人民网等国内外主流媒体引用。近两年,王律师作为课程讲师在北大、清华等多所著名高校讲授网络法和数据保护相关内容,并兼任对外经贸大学法学院高级研究员。
2018年以来,王律师本人和团队在TMT和数据保护领域先后获得钱伯斯、The Legal 500、ALB、商法、China Law & Practice、asialaw、LEGALBAND等多个法律专业评级机构的推荐,其中包括ALB China十五佳TMT律师、The Legal 500亚太数据保护领先律师、LEGALBAND中国顶级律师排行榜:网络安全和数据保护(第一梯队)(2019-2021)等个人奖项。
冯博林 合伙人
fengbl@shihuilaw.com
冯博林律师的主要业务领域包括风险投资和私募融资、收购与兼并、跨境投资、境外证券发行与上市以及企业常年法律顾问服务,涉及的行业包括新药研发、医疗服务、互联网、新能源、半导体、金融服务、教育/培训、餐饮、人工智能、游戏、在线旅游平台、物流等领域。