查看原文
其他

企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

王新锐 罗为 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本文作者为北京安理律师事务所的王新锐律师和罗为律师。


正文:


随着在网络安全和数据保护方面的风险事件和立法日趋增加,当科技企业在上市时,网络安全、数据保护也越来受到证券监管机构和投资者的重视。我们在投融资业务中,尤其是代表企业参与C轮之后的融资业务,就多次遇到投资者对数据合规进行详细、严格的专项尽调。


为了对风险进行类型化,我们搜寻了数十份境内外上市公司招股书、法律意见书、问询函,总结了其中监管机构要求发行人具体说明的问题或企业根据相关要求披露的风险,并加以整理。我们认为有些问题从法律上来说表述并不准确,但尽量保持了原样。


由于境内外对信息披露的要求差别较大,分为上下两篇,本篇为境内篇,信息均来自于A股上市公司,下篇则来自于美股和港股上市公司。

 

数据源的合规性


  • 获取用户数据信息的来源、获取途径、授权方式及协议,授权是否明确且合法有效。

  • 收集用户信息获得用户同意的具体制度及相关安排,收集用户信息时是否明确告知收集信息的范围及使用用途。

  • 通过向第三方数据供应商购买用户数据情况下,第三方数据商是否具有相关数据的所有权,其授权标的公司使用相关数据是否需要经过终端用户或者其他第三方同意,授权是否合法、合规。

  • 通过APP与用户以《用户协议》、《隐私政策》等协议约定获得用户授权的过程在法律上是否完备,是否对客户的用户有明示,相关协议约定内容存在明显不利于个人用户的格式条款,是否符合相关法律法规的规定要求。

  • 通过 APP 与用户以《用户协议》、《隐私政策》等协议约定获得用户授权过程中,收集个人用户信息、向个人用户推送广告等有无明确告知用户收集、使用信息的目的、方式和范围。



数据权属问题


  • 发行人获得终端用户数据信息的权属,其使用是否存在权属风险。

  • 标的公司采购所涉相关数据信息的产权归属及其法律依据。

 

数据的使用


  • 发行人使用用户数据是否合法合规。

  • 公司取得数据后用来做商业化变现的合规性。

  • 是否根据与用户的约定收集、使用信息,对授权数据的使用(用于互联网营销或其他业务)是否超过授权范围。

  • 对数据的使用是否超过必要的限度。

  • 业务开展中是否涉及对个人信息的使用,是否留存客户用户数据、个人信息。

  • 标的公司是否存在对相关信息数据进行存储、记录或者使用等情形,如是,相关行为是否符合法律法规、行业规范的要求;如否,标的公司是否能够被认定为大数据行业公司。

  • 标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。

  • 是否存在非法出售个人信息的行为。

 

数据共享


  • 与 APP 开发者《XX使用协议》约定的“延展至XX使其可以获取实现相关推送功能所必要的合理信息”中“相关推送功能”是否包括利用该APP共享链路而向其他APP最终用户发送通知,APP 最终用户是否知悉通过链路共享而向其发送其他 APP 通知,是否取得 APP 最终用户同意或授权。

  • 抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 APP 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本APP 服务之目的”。

 

数据安全保护制度


  • 标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。请律师、独立财务顾问核查并发表明确意见。

  • 数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果,避免或防止泄露用户隐私的具体制度及相关安排,是否存在泄密风险。

  • 用户信息保护技术体系,尤其是防止外部恶意软件、病毒、黑客攻击和内部人员恶意导致的数据泄露的技术措施。

  • 通过公安部门信息系统安全等级保护测评的情况。

  • 对数据安全和个人隐私的保护措施与手段及其有效性,是否出现过个人信息、隐私泄露事件,是否存在侵权风险,是否存在纠纷或潜在纠纷,最近三年发生的严重泄密事件、重大诉讼、处理结果及有关的整改措施。

  • 对提供产品、服务过程中掌握的个人信息、国家安全信息、国家秘密、保密信息所采取的防泄密措施和保障网络安全的内部管理制度及执行效果,有无泄露国家秘密、保密信息、个人信息的风险,是否发生过相关信息泄露事件,是否因此受到过行政处罚。

 

业务及具体数据服务


  • 说明发行人在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息。

  • 结合《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规、司法解释,说明各类业务是否存在侵犯客户以及客户用户、APP具体使用者和其他第三方的商业秘密、个人信息安全、个人隐私的情形,是否存在法律风险或潜在法律风险。

  • 与客户所签署业务合同中是否存在可能侵犯第三方商业秘密或个人信息安全的条款。

  • 与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。

  • DMP(Data ManagementPlatform)服务:

  1. DMP服务的一般客户来源,服务内容,该业务开展具体内部流程及控制措施;

  2. 报告期各期主要DMP服务项目的具体情况,销售政策、定价方式、结算方式。

 

技术问题


  • 相关大数据技术以及大规模数据存贮技术等的来源、形成过程及合法合规性。

  • 列表说明发行人现有各项核心技术的发明人或主要研发人员及其曾任职单位,核心技术的具体来源和形成过程,是否涉及公司董事、监事、高级管理人员或其他核心人员在曾任职单位的职务成果,是否存在权属纠纷或潜在纠纷风险。请发行人结合其核心人员曾任职于同行业其他公司的有关情况,补充说明其主要产品的研发周期、渠道推广和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况。

 

数据立法和监管对业务的影响


  • 欧盟《通用数据保护法案》(General Data Protection Regulation,GDPR)的颁布实施对于发行人经营业务有什么影响,发行人有什么整改或应对措施,是否存在被处罚的风险,GDPR 对于发行人未来的业务经营是否存在影响。

  • 数据监管及个人隐私保护政策变动情况(主管部门对数据隐私保护的标准是否会持续升级)对未来发行人业务的影响及发行人的应对措施。

  • 请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合《信息安全技术 个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。

  • 请发行人结合和XX的纠纷,补充说明其人才库所涉个人信息的收集、存储、使用,是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定。




关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存