从墨迹IPO被否看拟境内上市企业的数据合规工作(DPO社群成员观点)
前 言
近期墨迹科技的IPO未能通过证监会的审核,致使证监会发审委会议在发行审核中对其提出的与用户数据收集、使用合规性相关的问题受到了广泛的关注,部分观点甚至认为,墨迹科技是由于数据合规方面的问题导致被否决。我们认为,从发审委关注的问题来看,墨迹科技在运营资质、合规运营、商业变现、关联交易等方面均可能存在一定瑕疵,很难说其是仅因数据合规问题导致被否决,但可以肯定,数据合规问题也是发审委关注的重点之一。
其实证监会对企业数据合规工作一直都很关注。根据我们的不完全统计,从2017年至今,国内近20家企业在申请发行上市时,都面临了数据合规方面的问询(可参加笔者之前发表的【企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)】。我们也曾听一位已上市公司的创始人提到,在证监会发审委会议约40分钟的问询中,有关数据的部分就有近15分钟,可见重视程度。而网络安全和数据保护方面的合规问题几乎是每个互联网企业均会涉及的事项,这与我国在此方面的立法、执法发展情况密不可分。拟上市互联网企业在网络安全、数据保护方面的实践情况,也越来越受到证监会和投资者的重视。
一、证监会关注数据合规问题的原因
(一)是否满足发行上市条件
1、拟上市公司是否规范运营
拟上市公司的规范运营是一项重要的发行条件,也是证监会审核的一项关注重点,不论是主板、创业板、中小板还是科创板,都对企业的规范运营存在严格要求。例如,证监会《首次公开发行股票并上市管理办法(2018年)》第十一条即明确要求发行人的生产经营符合法律、行政法规和公司章程的规定,符合国家产业政策;第十七条要求发行人的内部控制制度健全且被有效执行,能够合理保证生产经营的合法性、运营的效率与效果;第十八条要求发行人不得有最近36个月内违反工商以及其他法律、行政法规受到行政处罚且情节严重的情形,不得有严重损害投资者合法权益和社会公共利益的其他情形。如果企业不能满足上述合规经营的要求,则相当于不具备发行上市的条件。
而数据合规本身属于企业规范运作的一个方面,因此不难理解其会成为证监会判断企业是否具备发行上市条件的要件之一。近年来,数据泄露、个人信息被滥用等问题频发,导致公民、企业合法权益受损,甚至损害社会公共利益和国家利益。于此同时,国家也加强了数据保护方面的立法,《刑法修正案(九)》、《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、国家推荐性标准《信息安全技术个人信息安全规范》等法律法规及其他规范性文件相继出台,对企业数据处理行为的合规性提出了相应的要求。而这些文件的出台,也为证监会的审核提供了依据。
2、对其他法定条件的影响
数据合规工作除了作为拟上市企业规范运营的应有义务外,还有可能会影响证监会对其他法定条件是否满足的判断。例如,如果企业的商业变现模式在数据合规方面存在重大的法律瑕疵,很有可能对过去财务指标造成重大影响,严重的甚至可能直接造成财务指标不符合发行上市的基本条件。因此,证监会必须对各类因素进行深入了解和全面考量,才能做出拟上市企业是否符合法定条件的判断。
(二)是否损害投资者利益
除了法定基本条件之外,证监会在审核过程中,为了维护证券市场及整个社会经济的稳定,还需要考虑很多其他方面的因素,而对于投资者利益的保护一直是证监会审核关注的重点。由于数据合规方面存在的问题有可能引发企业持续盈利能力受到重大不利影响,也可能会导致拟上市企业未来面临处罚或大量的诉讼,而这些都有可能给企业造成损失,并转而使得证券市场的投资者蒙受巨大损失。为此,证监会在审核过程中对于数据合规的关注也变得理所应当。
二、证监会在数据合规方面关注问题的分析
(一)引发证监会关注的起因
根据我们从事IPO业务的经验,如果企业出现下列任一事由,就有可能引起证监会对企业数据合规情况的关注:
拟上市企业的业务涉及大量的数据处理活动;
拟上市企业曾因数据合规问题被监管部门约谈、要求整改或受到行政处罚;
拟上市企业因负面信息被媒体报道、引发公众质疑;
拟上市企业业务涉及数据处理活动且关于数据方面的立法、执法情况出现新的进展。
以墨迹科技为例,其商业模式涉及大量的个人信息处理活动;在上市审核过程中被APP专项治理工作组要求就收集使用个人信息中存在的问题进行整改;而根据公开媒体报道,2019年2月,墨迹科技就曾被用户质疑上传用户隐私;2019年9月15日由公安部网络安全保卫局、公安部新闻宣传局、天津市委网信办指导,天津市公安局网安总队、广东省公安厅网警总队共同主办的“2019年网络安全专题发布会”上,墨迹科技也因涉嫌超范围采集公民个人隐私被点名。因此,发审委将墨迹科技的数据合规问题作为重点核查问题是顺理成章的事情,如果发审委不关注其数据合规反倒有点匪夷所思。
(二)证监会对企业数据合规问题的关注点分析
根据我们对2017年至今公开披露的上市公司或拟上市公司的招股书、法律意见书、问询函进行的总结和整理,证监会在数据合规方面关注的问题涉及数据获取、数据权属、数据使用和共享、第三方处理、数据安全、数据立法和监管对业务的影响等各个方面,涵盖企业整个数据生命周期的管理活动。对于这些已被证监会关注的问题,后续其他拟上市企业仍有可能被问询,因此,我们建议涉及数据处理活动的拟上市企业高度关注。
下面我们将发审委问询的问题进行了归纳整理,并加以详细分析,希望对拟上市企业在数据合规工作方面能够有所借鉴。
1、数据获取
(1)证监会的关注点
获取用户数据的来源、获取途径和手段、授权方式及协议的合法合规性;
主要产品的研发和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况;
从第三方采购用户数据的合法合规性。
(2)分析意见
证监会要求墨迹科技说明的第一个问题即涉及数据获取方式的合规性问题。在向证监会进行说明时,企业需说明如何获取用户数据(例如由用户主动提供、企业自主收集、第三方数据共享等)以及是否合法合规。
在对用户同意的有效性进行说明时,由于互联网企业大部分通过《隐私政策》的方式获取用户同意,因此,企业可从《隐私政策》的条款内容、用户同意《隐私政策》的方式设计等方面进行论述。这也要求企业重视《隐私政策》内容的完备性和合规性,结合法规要求设计符合企业实际需求的条款。
如果企业并非直接面向用户收集数据,而是通过第三方间接获取数据,则需考察企业是否对上游合作方进行了必要的尽职调查和筛选,合作方的数据授权链条是否完整,合作方是否有权将数据对外提供等情况。
2、数据权属
(1)证监会的关注点
相关数据资源的权属是否明确,是否存在争议或纠纷。
(2)分析意见
知识产权、企业商业秘密通常有明确的权利归属,因此对于证监会而言,关注有关权属是否明确,是否存在争议,也是很自然的事情。
但对于用户数据的权属问题,《网络安全法》等相关法律规范均无明确规定,理论界和行业实践均存在不同观点。目前比较普遍的做法是,暂时搁置数据权属问题,而更加关注数据主体的控制权以及数据开发利用过程中各方的权利义务划分。因此,如证监会问及用户数据的权属问题,企业可从企业对于数据的收集、使用已取得用户有效的授权,符合法律规定,不存在争议或纠纷为出发点进行论述,打消证监会的顾虑。
3、数据使用
(1)证监会的关注点
使用用户数据的合规性;
是否存在非法出售个人信息的行为;
与客户所签署业务合同是否存在可能侵犯第三方商业秘密或个人信息安全的条款,业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。
(2)分析意见
根据墨迹科技在2018年1月公开的招股说明书,“公司将通过用户基本信息(用户画像),用户使用墨迹天气APP期间发生的行为(包括用户定位、请求频率、浏览内容等),以及用户所在地区的天气数据实施组合研究,从而使墨迹天气能够结合用户使用APP的场景与时间为用户推送可能需要的生活服务,如餐饮、出行、住宿等。”而墨迹科技于2019年7月16日收到APP专项治理组发出的通知,被要求就收集使用个人信息中存在的问题进行整改。因此,发审委十分关注墨迹科技通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现行为的合规性。
我们认为,法律并不禁止用户数据的商业化变现,但在利益的驱使下,商业化变现是非常容易发生问题的环节,包括数据被滥用、用户隐私泄露、差别对待、非法数据交易等,严重的甚至引发刑事犯罪。因此,数据的商业化变现问题往往受到包括证监会在内的监管部门的重点关注。要降低合规风险,企业需注意以下事项:
①注意商业化变现的合法边界。用户数据的商业化使用需以取得用户的有效授权为前提,符合合法、正当、必要原则,避免损害数据主体的合法权益。非法的数据交易或其他变现方式将可能导致违约、侵权甚至行政违法或刑事犯罪。
②区分不同场景下的数据颗粒度需求。例如,对于精准推荐,多数情况下企业采用间接用户画像即可达到营销效果,而并不需使用直接用户画像。一般来说,数据颗粒度越细,其合规风险越高。
③关注用户隐私预期。不同数据使用场景,用户的隐私预期是不一样的。例如,多数用户可以容忍企业通过收集用户的网上浏览记录、购买记录等判断其兴趣爱好、消费习惯,进而向其进行个性化推荐,但很多用户可能很难容忍企业利用其既往病史、诊治情况、用药记录等健康生理信息进行广告营销。
④考虑数据的匿名化利用。《网络安全法》第四十二条明确了数据匿名化的合规路径,即“经过处理无法识别特定个人且不能复原”的数据的使用不需经数据主体同意,因此,如数据的匿名化使用能够满足企业实践需求,则可考虑采取该种合规路径。
4、数据共享
(1)证监会的关注点
与第三方共享用户数据是否取得用户同意或授权;
共享用户数据是否属于提供服务之目的。
(2)分析意见
数据共享广义上属于数据使用的一种方式,但由于涉及合作的第三方,因此情况比企业自行对数据进行使用更加复杂。如涉及企业需对外向合作方提供数据的场景,需特别注意:
①对合作方进行必要的尽职调查及筛选,关注合作方的数据合规能力;
②通过协议明确双方关于数据使用的权利义务;
③在可行的情况下,对合作方使用数据的行为进行持续监督;
④在数据共享目的达到后,及时要求合作方返还数据或作删除处理。
5、第三方处理
(1)证监会的关注点
行业是否允许第三方机构处理相关数据,是否需取得有关主管部门批准。
(2)分析意见
行业惯例以及行业主管的态度,一直是证监会发审委合规性审查的重要关注点。就本问题而言,目前我国法律并不禁止企业委托第三方处理数据,但应遵守数据使用和对外提供的一般规则。由于涉及到将用户数据提供给受托方,我们认为,拟上市企业有必要对受托方的数据处理能力进行必要的尽职调查,并通过协议、日常监督等方式对第三方进行管理,并在数据处理目的达到之后,要求受托方及时删除相关数据。
6、数据安全
(1)证监会的关注点
数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果;
避免或防止泄露用户隐私、国家安全信息、国家秘密、保密信息的具体制度及相关安排;
通过公安部门信息系统安全等级保护测评的情况。
(2)分析意见
用户数据的安全问题,既涉及到企业的商业秘密,也涉及到对用户隐私等个人权益的保护,更为严重的情况下可能还涉及到国家秘密和国家安全。以前可能普遍会认为科技企业的日常经营活动一般不太涉及国家秘密,但随着大数据的兴起和高科技的普遍运用,部分数据也可能会涉及国家秘密,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等信息。企业对于此类有可能涉及国家秘密的信息应当进行风险评估和谨慎对待。
因此,拟上市企业需进行相应的组织、物理、技术、制度、人员配备等方面的建设,并予以落实。如企业已通过某些权威的关于网络安全、数据合规的认证认可,例如网络安全等级保护测评、移动互联网应用程序(APP)安全认证等,那么这对于向证监会说明企业的合规情况将有所裨益。
7、数据立法和监管对业务的影响
(1)证监会的关注点
数据监管及个人隐私保护政策变动情况(包括欧盟《通用数据保护条例》(GDPR))对发行人现有、未来业务的影响及发行人的整改或应对措施;
针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。
(2)分析意见
上述问题主要关注企业持续合规经营的能力,以及企业对于违规问题的整改情况。数据立法无疑会日益趋严,这对于企业持续的数据合规工作提出了更大的挑战。企业在应对证监会的上述问询时,应展现对相关监管动态的关注,以及表明相关业务在新的监管政策发生变化时的应对方式,充分证明自身的持续经营能力。
当然,通常情况下,证监会不太会关注境外法规和监管的情况。但我们也注意到,证监会对每日互动还询问了GDPR的颁布实施对企业业务的影响及其应对措施,出现这种情况,可能是由于拟上市企业存在涉及欧盟地区用户数据处理的情形,也可能是由于证监会对GDPR可能对国内行业所造成影响的关注。
如果拟上市企业遇到此类询问,我们建议企业充分了解该项境外法规,根据境外监管要求,相应调整境外业务拓展策略,降低或规避境外监管风险;必要时可聘请当地律师出具专门的评估意见。如已出现被当地监管部门要求整改、行政处罚或者负面报道等负面事实,则企业应就整改情况进行说明,并承诺将持续开展合规工作。
三、关于拟上市企业数据合规工作重点的建议
(一)搭建企业数据合规体系
数据合规不是一蹴而就的,需要企业长期关注相关法律法规和监管实践的发展,将合规工作落实到涉及数据处理的各个环节,同时定期进行系统排查,并就发现的问题进行规范整改。此外,拟上市企业是否具有健全、有效的合规制度与合规体系,一向也是证监会关注的重点内容之一。我们建议,企业在开展数据合规工作过程中,可从以下方面搭建数据合规体系:
任务清单。制定任务清单是搭建数据合规体系的第一步。任务清单主要用于确定工作步骤、工作重点和时间安排,主要目的在于在全面了解企业情况的基础上,在组织、物理、技术、制度、人员配备等方面进行数据合规体系的建设。
制度管理。完善企业内部各项控制制度,主要包括设置相应的数据安全管理岗位,确定安全责任人,明确管理职责;合理分配数据处理相关岗位人员的权限和责任,加强员工安全教育;明确数据处理各个环节应遵循的原则和标准;建立数据保密制度、分类分级管理制度等。
技术防范。在机房安全、信息系统权限授予及密码管理、网络入侵检测、防病毒管理等方面加强软硬件设施建设;完善数据备份与恢复、数据脱敏等技术;对于数据的传输、存储及显示过程采取适当的加密措施。
数据保护影响评估。制定数据保护影响评估制度,在出现发布涉及数据的新产品或服务、产品功能发生重大变化、数据跨境流动、数据处理活动可能对数据主体的权利和自由产生较高风险等情形时,及时进行数据保护的影响评估,并根据评估结果采取应对措施。
应急预案。对网络与信息安全事件进行分类和分级,制定应急预案并建立相配套的应急处理指挥体系,明确岗位职责、人员分工、应急程序及应急措施,定期进行应急演练,确保在安全事件发生时第一时间进行响应和妥善处理。
当然,数据合规工作的难点不仅体现在涉及的企业实践面广、法规的多样化,更体现在不同的数据处理场景将涉及不同的监管要求,因此需具体问题具体分析。以金融行业为例,个人金融信息属于个人敏感信息,相比于一般个人信息存在更高的合规要求,但同时,个人金融信息的处理涉及实名制、反洗钱、投资者适当性管理等要求,贷前反欺诈、信用评估、额度利率政策,贷中动态监测、评估以及贷后催收、资产清收等环节均涉及数据处理,场景复杂且涉及的利益多样化,这就要求企业把握数据利用与数据主体权益保护之间的利益平衡。实践中,各项合规工作需结合业务场景、企业核心需求、监管要求等多种因素综合考虑并制定合规方案,即使是单一数据处理场景,也可能存在多种合规思路。
(二)排查与整改
在企业日常经营过程中,完全的合规是很难实现的,大多数企业都会存在一些合规问题。为满足发行上市要求,企业需在上市准备过程中积极进行问题排查和整改。
通常情况下,监管部门的整改通知、负面报道等负面信息是非常明显的减分项,很容易引起证监会对于企业合规经营情况的质疑,因此,在上市准备过程中(最好是在整个报告期内),企业应尽量避免出现该等情况。
如企业本身只存在少量瑕疵,则可在不对企业持续经营造成实质性损害的情况下调整业务模式;但如果企业的现有业务从根本上无法满足法规要求,则一旦进行整改,将有可能直接导致企业无法继续经营,或者需变更主营业务,从而对上市造成实质性的影响。因此,具体可采取的整改措施,也需企业根据整改的成本、难度、时间要求、预期效果等因素综合把握。在评估整改的预期效果时,除了考虑对于企业经营模式、持续运营等内部情况的影响外,也需考虑对于未来股东、投资者利益的影响,这也是证监会评估企业整改效果、判断企业是否满足发行条件的一个因素。
整改的同时,企业也需保持与主管部门的沟通,力求尽快得到主管部门对于整改方案及整改效果的认可。此外,媒体公关也非常重要,如出现媒体负面报道、舆论事件,企业应及时对公众关注的问题进行回应,澄清事实,通报调查结果,并承诺将持续开展合规工作。在向证监会答复时,企业应就整改的及时性和高效性、整改后的情况、不利因素对于企业持续经营及上市的影响程度、是否已得到监管部门认可等方面进行说明,充分论证企业已及时采取有效整改措施,曾发生的负面情况对于企业持续经营及发行上市的不利影响很小。
结语
随着立法和监管的完善和趋严,未来证监会向拟上市企业提出数据合规问题的可能性也将不断加大,且审核也必将更加严格。数据合规是一项长期而系统的工作,拟上市企业需尽早重视并制定、实施适合本企业实际情况的合规方案,以更好地应对证监会的问询。(作者为北京安理律师事务所高级合伙人)
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点