查看原文
其他

企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)

王新锐 罗为 网安寻路人 2020-02-26

编者按:


本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本文作者为北京安理律师事务所的王新锐律师和罗为律师。

 

正文:


在【企业上市过程面临的数据合规问题和相关风险:境内篇】,我们梳理了中国公司在境内上市时证券监管机构所提出的相关问题;在本篇中,我们主要关注《网络安全法》生效后在境外上市(包含在美国和香港上市)的中国公司在招股书等公开文件中披露的重大风险,对其进行了翻译和整合,总结出在网络安全和数据保护方面境外上市公司的普遍性合规风险和相关行业的特殊性合规风险,供读者参考。由于境内外上市公司披露的材料有所不同,所以境内篇和境外篇所利用的材料和文章的结构也有较大差别,但我们认为其中揭示的风险点对于境内外上市公司和非上市公司都是相通的,值得深入研究和系统应对。

 

普遍性合规风险


数据安全方面


  • 任何安全漏洞和数据解密,包括网络攻击、未经授权的访问和使用、计算机病毒、硬件或系统软件被入侵或类似的破坏或中断,都可能导致公司的保密技术遭受损害或破坏、用户数据和保密信息泄露、降低用户体验、侵犯用户隐私等后果,从而导致公司声誉受损、合同提前终止、诉讼、监管调查或公司面临其他责任的后果。

  • 公司自身、应用程序开发商以及客户所使用的数据安全措施可能因第三方操作失误、员工工作失误、渎职或其他原因而遭到破坏,公司技术基础设施中的设计缺陷可能被暴露和利用,从而可能导致他人未经授权访问开发人员、客户以及终端用户的机密信息。

  • 未经授权访问和攻击系统的技术正在不断变化和发展,并且其在发起攻击前通常难以被识别,公司可能无法预测这些技术,难以实施适当的预防措施,因而存在安全漏洞。

  • 公司无法保证公司的员工将来不会违反保密协议。

  • 如果公司未能保护客户数据和隐私,客户可能会察觉到公司的第三方渠道泄漏或滥用客户数据。

  • 如果公司未能遵守隐私政策和数据安全措施,不当使用或披露数据,则可能导致未经授权发布或传输个人身份信息或导致其他用户信息泄露,从而可能导致诉讼、监管调查、声誉受损等不利后果。

  • 第三方保险安排未必足以涵盖因个人信息泄露产生的亏损。(此处摘自港股招股书原文)


数据立法和监管对业务的影响


  • 中国的个人信息保护相关法律法规和标准的解释和适用仍然处于不确定状态,并在不断调整中。相关政府部门可能会以对公司不利的方式解释或实施法律法规。公司无法保证根据中国的《网络安全法》及其配套法规,公司已经采取或将要采取的措施是完全充分的,中国不断发展的隐私保护监管框架可能会要求公司改变目前的业务实践。

  • 除了有关个人隐私和数据安全的法律、法规和其他适用规则外,行业团体或其他私人方也可能提出新的和更严格的隐私实践标准。例如,《个人信息安全规范》要求数据控制者必须提供收集和使用个人信息的目的,要求数据控制者对其核心功能与附加功能进行区分,以确保数据控制者只会根据实际需要来收集个人信息。公司无法确保能够满足这些可能不断出现的新标准。

  • 在全球市场战略下,公司业务会涉及到不同的司法管辖区,因而公司需受其个人信息保护法律和法规的约束,但公司可能无法及时调整内部政策以同时符合各管辖区的不同要求。例如,如果有欧盟境内的居民安装了装有公司SDK的APP,或公司的其他用户到欧盟境内旅行,则公司可能需要遵守GDPR的相关要求。

  • 世界各地的监管机构近期正在制定或酝酿一系列有关数据保护的立法和监管提案,这些立法和监管提案如获通过,其解释和适用除了可能导致公司被罚款外,还可能会要求公司改变目前的数据业务实践,这可能对公司的业务产生不利影响。

  • 中国监管机构越来越关注数据安全和数据保护领域的监管,公司预计这些领域将受到监管机构的更多关注,并吸引持续的或更多的公众监督和关注,这可能会增加公司的合规成本,并使公司面临数据安全和保护相关的更高风险和挑战。

  • 即使公司使用的是匿名化的设备层面的移动信息,该信息也仍然有可能被认定为中国《网络安全法》下的个人信息,从而需要符合相关规定和要求。中国法律法规中对于个人信息的收集、存储、使用、处理、披露和转移都有相关的规范要求,根据这些法律法规,互联网信息服务提供商在收集用户的个人信息前必须获得用户同意,并且不能收集与其提供的服务无关的个人信息,同时互联网信息服务提供商也必须就信息收集和使用的目的、方式和范围告知用户。


舆论风险


  • 一些对公司收集、存储、处理和使用数据的做法的担忧(即使没有实际根据),也可能损害公司的声誉和业务经营。

  • 对于公司平台的安全或隐私保护机制和政策的任何负面宣传,以及对公司提出的任何索赔或监管机关对公司的处罚,都会有损公司的公众形象、声誉以及业务发展。

  • 如违反公司的网络安全措施,或公司的平台受到攻击而导致用户的个人信息遭受未经授权的入侵,公司的服务可能被视为不安全及不可靠。因此,用户可能会减少或停止使用公司的服务,可能有损公司的业务及经营业绩。


第三方对公司的影响


  • 公司无法保证其应用开发商和业务合作伙伴所采取的数据保护措施的有效性,其存在的网络安全漏洞可能导致公司客户信息泄露。

  • 公司无法控制应用开发商及业务合作伙伴等第三方的具体活动,如果其行为违反了中国《网络安全法》或与保护个人信息相关的其他法律法规,或未能完全遵守与公司达成的服务协议,公司可能也会面临被处罚的风险。

  • 第三方网上支付平台的运营安全及其收取费用的行为可能会对公司的业务产生重大不利影响。公司无法控制第三方网上支付供应商的安全措施,而公司所用网上支付系统出现安全漏洞或会令公司面临诉讼,并可能就未能保障客户保密信息产生负债。(此处摘自港股招股书原文)

 

相关行业的特殊性合规风险


数据服务类公司


  • 公司通过为移动应用程序开发者提供服务,可以访问用于开发特定行业数据解决方案的大量移动数据。基于公司集中式的专有数据处理平台以及人工智能和机器学习,公司能够从数据中发掘出有效可行的见解,并开发各种数据解决方案。但某些应用开发者可能禁止或限制公司访问或使用公司业务所需的数据。

  • 终端用户所使用的某些计算机软件或程序可能会限制公司访问用户数据,或者终端用户可能会对公司使用其数据提出异议。如果公司未来无法继续获取大量移动数据,公司将失去竞争优势,公司可能无法有效地提供和改进现有数据解决方案以响应客户的需求。

  • 用户对数据隐私的态度在不断变化,用户会担心其个人信息被公司客户或其他人访问、使用或共享,这可能会对公司获取数据的能力产生不利影响。

  • 如果有其他的数据解决方案提供商发生严重的安全漏洞事件,公司的客户和潜在客户可能会对公司的开发服务或数据解决方案的安全性失去信任。

  • 公司收集匿名的、设备层面的无法识别个人身份的数据,如应用程序要求用户做出相应授权,发行人是否能接收个人身份信息,或者收集的数据是否可以通过其他方式用于识别个人身份。(此处摘自SEC对发行人的问询)


互联网金融公司


  • 公司通过线上提供金融服务时会收集借款人的某些个人信息,并且还需要将该种个人信息与公司的业务合作伙伴(如信贷机构等)共享,以便为借款人提供信贷,公司已就该种收集和使用个人信息的行为取得了借款人的同意,并且建立了信息安全系统以保护用户信息。但是,相关法律对于维护网络安全和保护个人信息的要求仍存在不确定性,公司无法保证公司目前的信息安全政策和实践完全符合现在或将来适用的任何法律法规。

  • 公司会从外部数据源收集一些数据进行信用评估,该种外部数据源可能违反了中国《网络安全法》,公司可能因此无法使用相关数据开展业务。

  • 如果借款人或其他第三方提供的或公司收集的数据不准确、不完整或有欺诈性,则公司的信用评估的准确性可能会受到影响,可能减弱客户对公司的信任。

  • 公司从用户处收集、存储和处理某些个人和其他敏感数据,这可能使公司成为网络攻击的目标。未经授权披露个人敏感信息或机密的客户数据,无论是因为系统故障、员工疏忽、欺诈还是盗用,都可能导致客户和投资者的机密信息被盗并用于犯罪目的,会损害公司的声誉并导致公司失去客户。

  • 公司收到了客户关于其个人信息泄露的一些投诉,虽然公司已对此类泄漏进行了调查,但公司无法保证不会发生其他类似的事件和投诉。

  • 根据中国《网络安全法》,关键信息基础设施的运营商,包括公共通信和信息服务以及金融业和其他重要行业和领域,应将在中国境内运营期间收集和生成的个人信息和重要数据储存在境内,如需向境外传输,则应按相关规定进行安全性评估。公司所使用的数据中心位于海外,可能需要在不同地点之间传输某些个人数据,并且由于此类数据被用于金融服务,公司可能会受到中国《网络安全法》规定的安全性评估要求的约束。公司无法保证,公司目前采用的评估个人数据安全的措施可以满足相关政府部门现在或未来的要求。


电子商务公司


  • 公司的业务会生成并处理大量数据,因而面临处理和保护大量数据所固有的风险。电子商务行业面临的一个重大挑战是机密信息的安全存储及其在公共网络上的安全传输。

  • 中国政府机构可能要求公司共享公司所收集的个人信息和数据,以符合中国有关网络安全的法律。

  • 在公司平台上进行产品销售均须通过第三方在线支付服务进行结算。第三方在线支付服务提供商在信息安全措施等方面的漏洞会损害公司客户的利益,从而对公司的声誉、公众形象、业务前景等方面产生不利影响。

  • 公司的客户使用的付款处理服务或其他第三方服务可能会未经授权入侵公司用户的数据。

  • 公司与签约的第三方物流服务提供商共享有关平台用户的某些个人信息,例如平台用户的姓名、地址、电话号码和交易记录,第三方物流服务提供商可能违反其保密义务并非法披露或使用有关平台用户的信息。


视频类公司


  • 公司的业务优势在于能够制作极受大众欢迎、引领潮流的原创内容,但公司面临着黑客非法访问和非法分发尚未发布的原始内容的风险。

  • 公司的产品和服务涉及用户和广告客户信息的存储和传输,特别是计费数据以及原始内容,网络安全漏洞可能使公司丢失此类数据。

  • 可能存在第三方入侵公司的用户帐户并将用户流量导向到其他互联网平台的情况,使公司丢失客户。

  • 公司需依靠第三方(如第三方在线支付处理商)的计费和支付系统来确定付费用户的消费记录并收取此类付款。公司无法控制第三方支付服务提供商的网络安全措施,如果公司使用的在线支付系统存在安全漏洞,可能会使公司面临诉讼以及承担未能保护客户机密信息的责任。

  • 作为移动端直播平台,公司的业务涉及大量用户数据及其他相关信息。任何用户数据泄露或丢失,或用户制作任何不当内容,均可能对公司声誉造成不利影响,若属严重情况,公司或须承担潜在的法律责任。


教育类公司


  • 未获授权披露或使用学生、老师及其他个人敏感数据(不论通过破坏网络安全或以其他方式)可能令公司面临诉讼或对公司的声誉造成不利影响。


医疗类公司


  • 与患者医疗保密相关的法律法规在未来可能对信息披露和使用的要求更加严格,包括限制转移医疗保健数据。于2017年生效的《网络安全法》指定医疗保健为优先保护领域,因为其是关键信息基础设施的一部分,且中国国家互联网信息办公室正在试图最终确定跨境转移个人信息法规草案。(此处摘自港股招股书原文)

 



关于DPO沙龙活动的有关情况,请见:


DPO社群成果

  1. 印度《2018个人数据保护法(草案)》全文翻译(中英对照版)(DPO沙龙出品)

  2. 巴西《通用数据保护法》全文中文翻译(DPO沙龙出品)

  3. 美国联邦隐私立法重要文件编译第一辑(DPO沙龙出品)

  4. 《非个人数据在欧盟境内自由流动框架条例》全文中文翻译(DPO沙龙出品)

  5. 第29条工作组《对第2016/679号条例(GDPR)下同意的解释指南》中文翻译(DPO沙龙出品)

  6. 第29条工作组“关于减轻对处理活动进行记录义务的立场文件”(DPO沙龙出品)

  7. 第29条工作组《第2/2017号关于工作中数据处理的意见》(DPO沙龙出品)

  8. “美国华盛顿哥伦比亚特区诉Facebook“起诉书全文翻译(DPO沙龙出品)

  9. 第29条工作组《关于自动化个人决策目的和识别分析目的准则》(DPO沙龙出品)

  10. 法国数据保护局发布针对与商业伙伴或数据代理共享数据的指南

  11. 第29条工作组《数据可携权指南》全文翻译(DPO沙龙出品)

  12. 德国联邦反垄断局对Facebook数据收集和融合行为提出严格限制(DPO沙龙出品)

  13. 德国联邦反垄断局审查Facebook数据收集融合行为的背景情况(DPO沙龙出品)

  14. EDPB“关于《临床试验条例》与GDPR间相互关系”意见的全文翻译(DPO沙龙出品)

  15. 第29条工作组关于GDPR《透明度准则的指引》全文翻译(DPO沙龙出品)


线下沙龙实录见:

  1. 数据保护官(DPO)沙龙第一期纪实

  2. 第二期数据保护官沙龙纪实:个人信息安全影响评估指南 

  3. 第三期数据保护官沙龙纪实:数据出境安全评估

  4. 第四期数据保护官沙龙纪实:网络爬虫的法律规制 

  5. 第四期数据保护官沙龙纪实之二:当爬虫遇上法律会有什么风险

  6. 第五期数据保护官沙龙纪实:美国联邦隐私立法重要文件讨论

  7. 数据保护官(DPO)沙龙走进燕园系列活动第一期

  8. 第六期数据保护官沙龙纪实:2018年隐私条款评审工作

  9. 第八期数据保护官沙龙纪实:重点行业数据、隐私及网络安全

  10. 第十期数据保护官沙龙纪实:数据融合可给企业赋能,但不能不问西东


线上沙龙见:

  1. DPO社群对数据堂事件的精彩点评

  2. DPO社群线上讨论第二期:“出售 & 提供” 个人信息之法律与实务对话

  3. 用户授权第三方获取自己在平台的数据,可以吗?不可以吗?(DPO沙龙线上讨论第三期)


时评见:

  1. 数据安全事件时评第一期

  2. 数据安全事件时评第二期

  3. 【时事五】微软、Facebook、谷歌和Twitter联合推出数据迁移项目:数据可移植性的开源计划

  4. 【时事六】 星巴克、阿里巴巴牵手“新零售”之数据合规深度评论

  5. 【时事七】美国通过《NIST小企业网络安全法》

  6. 【时事八】国际数据流动:欧盟委员会启动对日本的充分性决定流程

  7. 【时评九】加州IoT设备网络安全法对物联网法律之影响(附法案翻译)

  8. 【时评十】五问五答《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》

  9. 【时评十一】社交网络平台,需要多点爱还是多点管?

  10. 日本拟效仿德国:对IT巨头非法收集个人信息适用“反垄断法”

  11. 扎克伯格最新愿景:将Facebook打造成“关注隐私的社交网络“


DPO社群成员观点

  1. 个人信息委托处理是否需要个人授权?(DPO社群成员观点)

  2. 企业如何告知与保护用户的个人信息主体权利(DPO社群成员观点)

  3. GDPR“首张”执行通知盯上AlQ公司的前期后后(DPO社群成员观点)

  4. 隐私条款撰写调研报告(DPO社群成员观点)

  5. 我看到的数据安全(DPO社群成员观点)

  6. 数据爬取的法律风险综述(DPO社群成员观点)

  7. 银行业金融数据出境的监管框架与脉络(DPO社群成员观点)

  8. 解析公安机关《互联网个人信息安全保护指引(征求意见稿)》(DPO社群成员观点)

  9. 详解GDPR向Google亮剑缘由(DPO社群成员观点)

  10. 从生产安全体系视角看数据安全(DPO社群成员观点)

  11. 从Android Q看安卓系统的授权机制的三次重大演进(DPO社群成员观点)

  12. APP安全认证公告和实施规则解读:治理思路的创新与多样化(DPO社群成员观点)

  13. 从数据融合角度分析CNIL处罚谷歌案(DPO社群成员观点)

  14. 历史和国际比较视角DPO法律制度探源(DPO社群成员观点)

  15. 谷歌数据融合合规之路:从欧盟监管机构调查与处罚来看——上篇(DPO社群成员观点)

  16. 数据保护官岗位角色技术能力分析(DPO社群成员观点)

  17. 中国企业境外投资中儿童个人信息保护(DPO社群成员观点)

  18. 企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)

  19. 数据保护岗位需求与能力发展(DPO社群成员观点)


    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存