企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)
编者按:
本公号在刊登DPO沙龙和相关社群活动的同时,还将刊登DPO社群成员的精彩文章。本文作者为北京安理律师事务所的王新锐律师和罗为律师。
正文:
在【企业上市过程面临的数据合规问题和相关风险:境内篇】,我们梳理了中国公司在境内上市时证券监管机构所提出的相关问题;在本篇中,我们主要关注《网络安全法》生效后在境外上市(包含在美国和香港上市)的中国公司在招股书等公开文件中披露的重大风险,对其进行了翻译和整合,总结出在网络安全和数据保护方面境外上市公司的普遍性合规风险和相关行业的特殊性合规风险,供读者参考。由于境内外上市公司披露的材料有所不同,所以境内篇和境外篇所利用的材料和文章的结构也有较大差别,但我们认为其中揭示的风险点对于境内外上市公司和非上市公司都是相通的,值得深入研究和系统应对。
普遍性合规风险
数据安全方面
任何安全漏洞和数据解密,包括网络攻击、未经授权的访问和使用、计算机病毒、硬件或系统软件被入侵或类似的破坏或中断,都可能导致公司的保密技术遭受损害或破坏、用户数据和保密信息泄露、降低用户体验、侵犯用户隐私等后果,从而导致公司声誉受损、合同提前终止、诉讼、监管调查或公司面临其他责任的后果。
公司自身、应用程序开发商以及客户所使用的数据安全措施可能因第三方操作失误、员工工作失误、渎职或其他原因而遭到破坏,公司技术基础设施中的设计缺陷可能被暴露和利用,从而可能导致他人未经授权访问开发人员、客户以及终端用户的机密信息。
未经授权访问和攻击系统的技术正在不断变化和发展,并且其在发起攻击前通常难以被识别,公司可能无法预测这些技术,难以实施适当的预防措施,因而存在安全漏洞。
公司无法保证公司的员工将来不会违反保密协议。
如果公司未能保护客户数据和隐私,客户可能会察觉到公司的第三方渠道泄漏或滥用客户数据。
如果公司未能遵守隐私政策和数据安全措施,不当使用或披露数据,则可能导致未经授权发布或传输个人身份信息或导致其他用户信息泄露,从而可能导致诉讼、监管调查、声誉受损等不利后果。
第三方保险安排未必足以涵盖因个人信息泄露产生的亏损。(此处摘自港股招股书原文)
数据立法和监管对业务的影响
中国的个人信息保护相关法律法规和标准的解释和适用仍然处于不确定状态,并在不断调整中。相关政府部门可能会以对公司不利的方式解释或实施法律法规。公司无法保证根据中国的《网络安全法》及其配套法规,公司已经采取或将要采取的措施是完全充分的,中国不断发展的隐私保护监管框架可能会要求公司改变目前的业务实践。
除了有关个人隐私和数据安全的法律、法规和其他适用规则外,行业团体或其他私人方也可能提出新的和更严格的隐私实践标准。例如,《个人信息安全规范》要求数据控制者必须提供收集和使用个人信息的目的,要求数据控制者对其核心功能与附加功能进行区分,以确保数据控制者只会根据实际需要来收集个人信息。公司无法确保能够满足这些可能不断出现的新标准。
在全球市场战略下,公司业务会涉及到不同的司法管辖区,因而公司需受其个人信息保护法律和法规的约束,但公司可能无法及时调整内部政策以同时符合各管辖区的不同要求。例如,如果有欧盟境内的居民安装了装有公司SDK的APP,或公司的其他用户到欧盟境内旅行,则公司可能需要遵守GDPR的相关要求。
世界各地的监管机构近期正在制定或酝酿一系列有关数据保护的立法和监管提案,这些立法和监管提案如获通过,其解释和适用除了可能导致公司被罚款外,还可能会要求公司改变目前的数据业务实践,这可能对公司的业务产生不利影响。
中国监管机构越来越关注数据安全和数据保护领域的监管,公司预计这些领域将受到监管机构的更多关注,并吸引持续的或更多的公众监督和关注,这可能会增加公司的合规成本,并使公司面临数据安全和保护相关的更高风险和挑战。
即使公司使用的是匿名化的设备层面的移动信息,该信息也仍然有可能被认定为中国《网络安全法》下的个人信息,从而需要符合相关规定和要求。中国法律法规中对于个人信息的收集、存储、使用、处理、披露和转移都有相关的规范要求,根据这些法律法规,互联网信息服务提供商在收集用户的个人信息前必须获得用户同意,并且不能收集与其提供的服务无关的个人信息,同时互联网信息服务提供商也必须就信息收集和使用的目的、方式和范围告知用户。
舆论风险
一些对公司收集、存储、处理和使用数据的做法的担忧(即使没有实际根据),也可能损害公司的声誉和业务经营。
对于公司平台的安全或隐私保护机制和政策的任何负面宣传,以及对公司提出的任何索赔或监管机关对公司的处罚,都会有损公司的公众形象、声誉以及业务发展。
如违反公司的网络安全措施,或公司的平台受到攻击而导致用户的个人信息遭受未经授权的入侵,公司的服务可能被视为不安全及不可靠。因此,用户可能会减少或停止使用公司的服务,可能有损公司的业务及经营业绩。
第三方对公司的影响
公司无法保证其应用开发商和业务合作伙伴所采取的数据保护措施的有效性,其存在的网络安全漏洞可能导致公司客户信息泄露。
公司无法控制应用开发商及业务合作伙伴等第三方的具体活动,如果其行为违反了中国《网络安全法》或与保护个人信息相关的其他法律法规,或未能完全遵守与公司达成的服务协议,公司可能也会面临被处罚的风险。
第三方网上支付平台的运营安全及其收取费用的行为可能会对公司的业务产生重大不利影响。公司无法控制第三方网上支付供应商的安全措施,而公司所用网上支付系统出现安全漏洞或会令公司面临诉讼,并可能就未能保障客户保密信息产生负债。(此处摘自港股招股书原文)
相关行业的特殊性合规风险
数据服务类公司
公司通过为移动应用程序开发者提供服务,可以访问用于开发特定行业数据解决方案的大量移动数据。基于公司集中式的专有数据处理平台以及人工智能和机器学习,公司能够从数据中发掘出有效可行的见解,并开发各种数据解决方案。但某些应用开发者可能禁止或限制公司访问或使用公司业务所需的数据。
终端用户所使用的某些计算机软件或程序可能会限制公司访问用户数据,或者终端用户可能会对公司使用其数据提出异议。如果公司未来无法继续获取大量移动数据,公司将失去竞争优势,公司可能无法有效地提供和改进现有数据解决方案以响应客户的需求。
用户对数据隐私的态度在不断变化,用户会担心其个人信息被公司客户或其他人访问、使用或共享,这可能会对公司获取数据的能力产生不利影响。
如果有其他的数据解决方案提供商发生严重的安全漏洞事件,公司的客户和潜在客户可能会对公司的开发服务或数据解决方案的安全性失去信任。
公司收集匿名的、设备层面的无法识别个人身份的数据,如应用程序要求用户做出相应授权,发行人是否能接收个人身份信息,或者收集的数据是否可以通过其他方式用于识别个人身份。(此处摘自SEC对发行人的问询)
互联网金融公司
公司通过线上提供金融服务时会收集借款人的某些个人信息,并且还需要将该种个人信息与公司的业务合作伙伴(如信贷机构等)共享,以便为借款人提供信贷,公司已就该种收集和使用个人信息的行为取得了借款人的同意,并且建立了信息安全系统以保护用户信息。但是,相关法律对于维护网络安全和保护个人信息的要求仍存在不确定性,公司无法保证公司目前的信息安全政策和实践完全符合现在或将来适用的任何法律法规。
公司会从外部数据源收集一些数据进行信用评估,该种外部数据源可能违反了中国《网络安全法》,公司可能因此无法使用相关数据开展业务。
如果借款人或其他第三方提供的或公司收集的数据不准确、不完整或有欺诈性,则公司的信用评估的准确性可能会受到影响,可能减弱客户对公司的信任。
公司从用户处收集、存储和处理某些个人和其他敏感数据,这可能使公司成为网络攻击的目标。未经授权披露个人敏感信息或机密的客户数据,无论是因为系统故障、员工疏忽、欺诈还是盗用,都可能导致客户和投资者的机密信息被盗并用于犯罪目的,会损害公司的声誉并导致公司失去客户。
公司收到了客户关于其个人信息泄露的一些投诉,虽然公司已对此类泄漏进行了调查,但公司无法保证不会发生其他类似的事件和投诉。
根据中国《网络安全法》,关键信息基础设施的运营商,包括公共通信和信息服务以及金融业和其他重要行业和领域,应将在中国境内运营期间收集和生成的个人信息和重要数据储存在境内,如需向境外传输,则应按相关规定进行安全性评估。公司所使用的数据中心位于海外,可能需要在不同地点之间传输某些个人数据,并且由于此类数据被用于金融服务,公司可能会受到中国《网络安全法》规定的安全性评估要求的约束。公司无法保证,公司目前采用的评估个人数据安全的措施可以满足相关政府部门现在或未来的要求。
电子商务公司
公司的业务会生成并处理大量数据,因而面临处理和保护大量数据所固有的风险。电子商务行业面临的一个重大挑战是机密信息的安全存储及其在公共网络上的安全传输。
中国政府机构可能要求公司共享公司所收集的个人信息和数据,以符合中国有关网络安全的法律。
在公司平台上进行产品销售均须通过第三方在线支付服务进行结算。第三方在线支付服务提供商在信息安全措施等方面的漏洞会损害公司客户的利益,从而对公司的声誉、公众形象、业务前景等方面产生不利影响。
公司的客户使用的付款处理服务或其他第三方服务可能会未经授权入侵公司用户的数据。
公司与签约的第三方物流服务提供商共享有关平台用户的某些个人信息,例如平台用户的姓名、地址、电话号码和交易记录,第三方物流服务提供商可能违反其保密义务并非法披露或使用有关平台用户的信息。
视频类公司
公司的业务优势在于能够制作极受大众欢迎、引领潮流的原创内容,但公司面临着黑客非法访问和非法分发尚未发布的原始内容的风险。
公司的产品和服务涉及用户和广告客户信息的存储和传输,特别是计费数据以及原始内容,网络安全漏洞可能使公司丢失此类数据。
可能存在第三方入侵公司的用户帐户并将用户流量导向到其他互联网平台的情况,使公司丢失客户。
公司需依靠第三方(如第三方在线支付处理商)的计费和支付系统来确定付费用户的消费记录并收取此类付款。公司无法控制第三方支付服务提供商的网络安全措施,如果公司使用的在线支付系统存在安全漏洞,可能会使公司面临诉讼以及承担未能保护客户机密信息的责任。
作为移动端直播平台,公司的业务涉及大量用户数据及其他相关信息。任何用户数据泄露或丢失,或用户制作任何不当内容,均可能对公司声誉造成不利影响,若属严重情况,公司或须承担潜在的法律责任。
教育类公司
未获授权披露或使用学生、老师及其他个人敏感数据(不论通过破坏网络安全或以其他方式)可能令公司面临诉讼或对公司的声誉造成不利影响。
医疗类公司
与患者医疗保密相关的法律法规在未来可能对信息披露和使用的要求更加严格,包括限制转移医疗保健数据。于2017年生效的《网络安全法》指定医疗保健为优先保护领域,因为其是关键信息基础设施的一部分,且中国国家互联网信息办公室正在试图最终确定跨境转移个人信息法规草案。(此处摘自港股招股书原文)
关于DPO沙龙活动的有关情况,请见:
DPO社群成果
线下沙龙实录见:
线上沙龙见:
时评见:
DPO社群成员观点