企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本文作者为北京安理律师事务所的王新锐律师和罗为律师。
正文:
随着在网络安全和数据保护方面的风险事件和立法日趋增加,当科技企业在上市时,网络安全、数据保护也越来受到证券监管机构和投资者的重视。我们在投融资业务中,尤其是代表企业参与C轮之后的融资业务,就多次遇到投资者对数据合规进行详细、严格的专项尽调。
为了对风险进行类型化,我们搜寻了数十份境内外上市公司招股书、法律意见书、问询函,总结了其中监管机构要求发行人具体说明的问题或企业根据相关要求披露的风险,并加以整理。我们认为有些问题从法律上来说表述并不准确,但尽量保持了原样。
由于境内外对信息披露的要求差别较大,分为上下两篇,本篇为境内篇,信息均来自于A股上市公司,下篇则来自于美股和港股上市公司。
数据源的合规性
获取用户数据信息的来源、获取途径、授权方式及协议,授权是否明确且合法有效。
收集用户信息获得用户同意的具体制度及相关安排,收集用户信息时是否明确告知收集信息的范围及使用用途。
通过向第三方数据供应商购买用户数据情况下,第三方数据商是否具有相关数据的所有权,其授权标的公司使用相关数据是否需要经过终端用户或者其他第三方同意,授权是否合法、合规。
通过APP与用户以《用户协议》、《隐私政策》等协议约定获得用户授权的过程在法律上是否完备,是否对客户的用户有明示,相关协议约定内容存在明显不利于个人用户的格式条款,是否符合相关法律法规的规定要求。
通过 APP 与用户以《用户协议》、《隐私政策》等协议约定获得用户授权过程中,收集个人用户信息、向个人用户推送广告等有无明确告知用户收集、使用信息的目的、方式和范围。
数据权属问题
发行人获得终端用户数据信息的权属,其使用是否存在权属风险。
标的公司采购所涉相关数据信息的产权归属及其法律依据。
数据的使用
发行人使用用户数据是否合法合规。
公司取得数据后用来做商业化变现的合规性。
是否根据与用户的约定收集、使用信息,对授权数据的使用(用于互联网营销或其他业务)是否超过授权范围。
对数据的使用是否超过必要的限度。
业务开展中是否涉及对个人信息的使用,是否留存客户用户数据、个人信息。
标的公司是否存在对相关信息数据进行存储、记录或者使用等情形,如是,相关行为是否符合法律法规、行业规范的要求;如否,标的公司是否能够被认定为大数据行业公司。
标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。
是否存在非法出售个人信息的行为。
数据共享
与 APP 开发者《XX使用协议》约定的“延展至XX使其可以获取实现相关推送功能所必要的合理信息”中“相关推送功能”是否包括利用该APP共享链路而向其他APP最终用户发送通知,APP 最终用户是否知悉通过链路共享而向其发送其他 APP 通知,是否取得 APP 最终用户同意或授权。
抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 APP 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本APP 服务之目的”。
数据安全保护制度
标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。请律师、独立财务顾问核查并发表明确意见。
数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果,避免或防止泄露用户隐私的具体制度及相关安排,是否存在泄密风险。
用户信息保护技术体系,尤其是防止外部恶意软件、病毒、黑客攻击和内部人员恶意导致的数据泄露的技术措施。
通过公安部门信息系统安全等级保护测评的情况。
对数据安全和个人隐私的保护措施与手段及其有效性,是否出现过个人信息、隐私泄露事件,是否存在侵权风险,是否存在纠纷或潜在纠纷,最近三年发生的严重泄密事件、重大诉讼、处理结果及有关的整改措施。
对提供产品、服务过程中掌握的个人信息、国家安全信息、国家秘密、保密信息所采取的防泄密措施和保障网络安全的内部管理制度及执行效果,有无泄露国家秘密、保密信息、个人信息的风险,是否发生过相关信息泄露事件,是否因此受到过行政处罚。
业务及具体数据服务
说明发行人在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息。
结合《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规、司法解释,说明各类业务是否存在侵犯客户以及客户用户、APP具体使用者和其他第三方的商业秘密、个人信息安全、个人隐私的情形,是否存在法律风险或潜在法律风险。
与客户所签署业务合同中是否存在可能侵犯第三方商业秘密或个人信息安全的条款。
与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。
DMP(Data ManagementPlatform)服务:
DMP服务的一般客户来源,服务内容,该业务开展具体内部流程及控制措施;
报告期各期主要DMP服务项目的具体情况,销售政策、定价方式、结算方式。
技术问题
相关大数据技术以及大规模数据存贮技术等的来源、形成过程及合法合规性。
列表说明发行人现有各项核心技术的发明人或主要研发人员及其曾任职单位,核心技术的具体来源和形成过程,是否涉及公司董事、监事、高级管理人员或其他核心人员在曾任职单位的职务成果,是否存在权属纠纷或潜在纠纷风险。请发行人结合其核心人员曾任职于同行业其他公司的有关情况,补充说明其主要产品的研发周期、渠道推广和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况。
数据立法和监管对业务的影响
欧盟《通用数据保护法案》(General Data Protection Regulation,GDPR)的颁布实施对于发行人经营业务有什么影响,发行人有什么整改或应对措施,是否存在被处罚的风险,GDPR 对于发行人未来的业务经营是否存在影响。
数据监管及个人隐私保护政策变动情况(主管部门对数据隐私保护的标准是否会持续升级)对未来发行人业务的影响及发行人的应对措施。
请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合《信息安全技术 个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。
请发行人结合和XX的纠纷,补充说明其人才库所涉个人信息的收集、存储、使用,是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定。
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点