墨迹天气IPO被否 App治理工作组收集个人信息通报成依据之一
10月11日,中国证券监督管理委员会发布公告称,北京墨迹风云科技股份有限公司(下称“墨迹天气”)首发申请被否。隐私护卫队注意到,证监会提出的询问问题之一与墨迹天气收集使用用户个人信息有关。
该问题指出,墨迹天气通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其于2019年7月16日收到App专项治理组发出的《关于App收集使用个人信息相关问题的通知》,要求其就收集使用个人信息中存在的问题进行整改。
对此,证监会要求墨迹天气做出五点说明,包括获取用户数据及标签的过程和方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,获取用户数据的手段及方式是否合法合规。
在数据使用方面,证监会还要求墨迹天气重点说明商业化变现的合规性,以及报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险。
证监会还提及,墨迹天气需说明数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。
此外,证监会还要求墨迹天气说明针对App治理工作组提出问题的整改情况和整改效果,是否获得主管部门的认可或面临被处罚的风险。
除了收集使用个人信息的问题,证监会提出的其他询问问题还涉及:墨迹天气运营的网站和App存在未经其许可违规发布互联网新闻信息、未取得《互联网药品信息服务资格证书》,发布药品广告的情形;墨迹天气互联网广告信息服务收入占比超过过大的问题以及存在直接或间接股权关系的客户直接或间接贡献收入金额及占比较大。
公开资料显示,7月16日,App专项治理工作组发布《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》(下称《通知》)。
《通知》公布了 40款在个人信息收集使用方面存在问题且未公开有效联系方式的App,墨迹天气(版本号7.0803.02)就在其中。其他知名App还包括安居客、Wi-Fi万能钥匙、悟空理财等。
附证监会发审会针对北京墨迹风云科技股份有限公司提出询问问题的全文。
1、发行人运营的网站、“墨迹天气APP”存在未经其许可违规发布互联网新闻信息,被责令限期整改的情形;发行人存在在取得《互联网药品信息服务资格证书》之前,发布药品广告的情形。发行人现有的APP存在视频节目与游戏节目,以及发布医院广告。请发行人代表:(1)说明报告期内发行人所从事的全部业务是否已取得当时有效的法律法规规定的全部资质,是否已履行了必要的审批或备案程序,是否存在取得相关资质、许可证书前未合规经营的情形,是否存在后续被要求整改或行政处罚等影响业务持续运行的风险;(2)说明发行人经营视频节目是否需要办理《信息网络传播视听节目许可证》或履行备案程序,视频节目跳转是否应明确标识;(3)说明发行人经营网络游戏节目是否向文化部门办理了游戏运营备案手续,是否在运营网站指定位置及游戏内显著位置标明备案编号电子标签,是否需要获得《网络出版服务许可证》,网络游戏上网出版前是否获得了国家新闻出版部门的审批;(4)说明报告期内广告业务是否符合《广告法》及《互联网广告管理暂行办法》等法律法规及及行业监管政策的规定,是否受到过行政处罚;发布医院或医疗广告是否已获得相关许可;品牌广告与效果广告二者合法性审核的区别与联系;(5)说明发行人确保业务合规运行的相关内控制度,是否与同行业一致,内控执行是否健全有效,是否构成发行障碍。请保荐代表人说明核查依据、过程并发表明确核查意见。
2、发行人通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,发行人于2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》,APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。请发行人代表说明:(1)发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规;(2)发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险;(3)数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷;(4)日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施;(5)发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见。
3、报告期内发行人互联网广告信息服务收入占比超过95%。请发行人代表:(1)结合报告期内累计装机用户、新增装机用户、月均活跃用户、日均活跃用户、填充率、单价、单个用户日均使用时长等数据及变化趋势,说明终端广告主客户及其交易金额的稳定性、成长性及其与APP价值关键评估指标的匹配性,营业收入及其增长率与APP价值关键评估指标的相关性;(2)说明发行人广告投放价值是否发生变化,发行人报告期内收入的增长速度远高于月均活跃用户数的原因及商业合理性,营业收入增长的原因及其与同行业公司的一致性、合理性,营业收入增幅与净利润增幅不匹配的原因;(3)说明主营业务增长和高毛利率的合理性和可持续性,未来发行人是否存在收入和净利润下降的风险;(4)说明报告期推广下载或激活平台的具体情况,该等载体如华为等是否已经具备自行开发的气象软件,发行人是否存在未来无法获得稳定持续下载量或者激活量的风险;(5)针对广告代理商的返点政策及返点结算情况,说明相关返点费用反映是否充分、足额;(6)说明自2017年开始品牌广告业务模式发生变化、大量外采广告设计制作,发行人与广告代理商的合同中未明确外采广告设计制作权利义务条款的情形,是否符合行业惯例、是否具有商业合理性。请保荐代表人说明核查依据、过程并发表明确核查意见。
4、报告期内与发行人存在直接或间接股权关系的客户(阿里、苏宁、腾讯,以下称“股权相关方”)直接或间接贡献收入金额及占比较大。请发行人代表:(1)结合发行人与上述股权相关方业务的具体内容,说明业务的背景、真实性、必要性及商业合理性,发行人获得相关业务是否与股权相关方投资发行人存在直接关系,是否存在免费利用上述直接或间接股权关系的股东及关联方获客渠道或资源的情形,是否符合行业惯例;(2)对比发行人向第三方销售同类服务的价格、相关方采购第三方同类服务的价格等情况,说明交易价格的公允性,是否存在相关方为发行人代垫费用、支付成本或其他利益输送情形;(3)说明发行人与上述股权相关方的业务合作是否具有稳定性、可持续性,是否存在重大不确定性风险,是否影响发行人持续盈利能力,以及发行人在市场开拓方面的应对措施。请保荐代表人说明核查依据、过程并发表明确核查意见。
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点