公司IPO/重组/投融资时,监管部门审查要点汇总及问题分析(DPO社群成员观点)
一、事件背景
二、该事件有关的数据合规问题分析
北京梅泰诺通信技术股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易 | 证监会要求公司补充说明其对用户信息的收集、传输、保存及应用的现状是否符合 2018 年 5 月 1 日实施的《信息安全技术个人信息安全规范》的要求。若否,要求公司充分提示相关风险并说明后续整改措施。 | |
北京航天宏图信息技术股份有限公司首次公开发行股票并在科创板上市 | 证监会要求发行人补充披露其主营业务涉及的数据来源、数据获取方式、数据获取成本、数据使用期限。 | |
博拉网络股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明是否对数据来源进行分类,数据采集和应用过程中是否获得用户许可,是否存在侵犯用户权益(隐私权、肖像权等)的情形。 | |
广西慧金科吸收合并北京天下秀暨关联交易 | 证监会要求公司说明标的资产收集用户数据的行为是否符合相关法律规定。 | |
杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行 | 关于发行人的推广方式,证监会要求发行人区分报告期内发行人合作的线上平台,分别说明发行人进行精准营销采用大数据分析的数据来源、具体内容、定价及公允性。 | |
北京慧辰资道资讯股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明获取、分析、使用业务所涉及的数据是否合规。 |
此外,根据目前的执法趋势,执法机关对于通过“一揽子授权”获得用户个人信息用于市场营销等特殊目的情形则予以严厉打击。运营者还应就不同数据收集使用场景,制定不同的征得用户授权同意方案。
2、数据的使用
公告原文,“发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险;”
北京梅泰诺通信技术股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易 | 标的公司通过向第三方数据供应商购买用户数据,因此证监会要求公司补充说明第三方数据商是否具有相关数据的所有权,该第三方数据商授权标的公司使用相关数据的行为是否需要经过终端用户或者其他第三方的同意,以及该授权是否合法。 | |
拉卡拉支付股份有限公司首次公开发行股票并在创业板上市 | 1、证监会要求发行人进一步说明和披露:发行人是否向公司提供发行人积累的商户信息。 2、证监会要求发行人说明在报告期内发行人对主营业务中形成的个人信息进行使用和维护的合规性,是否存在发行人利用相关商户或个人信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形,是否存在纠纷或潜在纠纷,并提示风险。 | |
北京航天宏图信息技术股份有限公司首次公开发行股票并在科创板上市 | 证监会要求发行人补充披露其主营业务涉及的数据来源、数据获取方式、数据获取成本、数据使用期限,说明并披露授权第三方使用该等数据是否存在法律障碍。 | |
博拉网络股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明是否对数据来源进行分类,数据采集和应用过程中是否获得用户许可,是否存在侵犯用户权益(隐私权、肖像权等)的情形。 | |
杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行 | 证监会要求发行人说明在报告期内发行人对个人消费者及企业客户信息等数据资源的使用和维护的合法合规性,是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形,是否存在纠纷或潜在纠纷,并进行风险提示。 | |
北京慧辰资道资讯股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明获取、分析、使用业务所涉及的数据是否合规,是否涉及侵犯个人隐私或其他侵权风险,是否存在潜在纠纷,如存在相关风险,请进行风险提示。 |
综上,企业不仅在自己使用用户数据时需要履行法律上的合规义务,当企业向第三方提供公民个人信息以实现相应商业目的时,也同样需要注意获取用户授权同意,避免被认定为非法提供公民个人信息情形的发生。
3、内部控制制度
公告原文,“数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。”
茂业通信网络股份有限公司行政许可申请 | 证监会认为公司标的资产在从事移动信息发送及金融服务外包业务时存在泄露用户个人信息的风险,因此要求公司补充披露其标的资产在提供服务过程中掌握的个人信息已采取的防泄密措施及其效果。 | |
中孚信息股份有限公司发行股份及支付现金购买资产并募集配套资金暨关联交易 | 证监会要求公司补充披露剑通信息在提供产品、服务过程中对掌握的个人信息、国家安全信息所采取的防泄密措施及其效果,以及是否有泄露国家秘密、个人隐私的风险。 | |
证监会要求发行人说明: 1、开展现有业务、本次募投项目是否需要依法进行信息安全等级保护测评; 2、发行人是否已就维护网络安全、保护个人、政府以及第三方信息安全等事项建立了完善的内部控制制度,以及该制度的执行是否有效。 | ||
三六零安全科技股份有限公司非公开发行股票申请 | 证监会要求申请人补充披露在提供产品、服务过程中对掌握的个人信息及国家安全信息所采取的防泄密措施及效果,有无泄露国家秘密、个人隐私的风险。 | |
拉卡拉支付股份有限公司首次公开发行股票并在创业板上市 | 证监会要求发行人补充说明在开展业务过程中能否获取用户相关个人信息和商业秘密等用户数据,是否已建立完善防泄密和保障网络安全的内部管理制度。 | |
优刻得科技股份有限公司科创板首次公开发行股票 | 证监会要求发行人补充说明:数据安全相关制度及措施,包括但不限于数据的备份机制、防范数据窃取及泄露的措施、对用户隐私数据加密措施以及对于到期数据的处理机制。 | |
深圳和而泰智能控制股份有限公司发行可转换公司债券 | 证监会要求申请人说明:开展现有业务、本次募投项目是否需要进行信息安全等级保护测评; | |
贵州白山云科技股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明在其具体业务中防止客户数据向外泄露的措施及其有效性。 | |
北京值得买科技股份有限公司首次公开发行股票并在创业板上市 | 证监会要求发行人说明对用户个人信息采取的保护措施,并就对用户个人信息保护不到位可能引致的风险作风险提示。 | |
广西慧金科吸收合并北京天下秀暨关联交易 | 证监会认为公司在业务经营过程中存在影响标的资产信息系统正常运行;导致标的资产信息数据资源泄露;以及导致用户隐私信息泄露或不当使用的风险,因此要求公司补充披露:标的资产对提供产品、服务过程中掌握的数据资源以及个人隐私所采取的防泄密措施及其效果,有无泄密风险。 | |
杭州壹网壹创科技股份有限公司首次公开发行股票并在创业板上市网上发行 | 证监会要求发行人说明实施的数据备份和网络安全措施以及发行人是否曾发生泄漏客户信息的风险事件,是否存在被处罚或被要求赔偿的风险;发行人相关客户信息保密工作是否符合《中华人民共和国网络安全法》的规定。 | |
北京慧辰资道资讯股份有限公司科创板首次公开发行股票 | 证监会要求发行人说明相关内部控制措施是否健全且得到有效执行。 | |
荣科科技股份有限公司重组项目 | 证监会要求申请人具体说明对外包人员接触病案及个人隐私的保护措施,如何确保病案涉及的个人信息、隐私不被盗取、泄漏。 |
领导决策
人员管理制度
安全技术方面的管理制度
应急事件管理制度
企业应当构建和完善应急事件的管理制度。首先,企业应当成立专门的应急处置小组,面对数据安全突发事件应立即采取初步补救措施,并对相关部门人员进行追责。其次,评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。再次,企业应按《国家网络安全事件应急预案》的有关规定和要求及时上报。最后,企业应按照法律规定履行安全事件的告知义务并进行后期整改建设。
4、监管趋势下的业务影响
公告原文,“日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施”。
自2016年《网络安全法》颁布以来,我国相继出台了许多的法律法规来保障数据收集和使用的安全。包括《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》、《个人信息安全规范(征求意见稿)》等等。在层层监管下,对于企业来说,合规建设也需要包含内外部契约的制定:
外部契约:无论是对于用户还是对于监管机构,像隐私政策和用户协议等外部契约,是其展示自身合规水准的第一层标签。做好外部制度的建设,也是规避法律风险的第一道屏障; 第三方契约:不同于外部契约,第三方契约是企业与和其业务有关联的第三方合作方所签订的相关契约。因为数据流转是数据生命周期流程中非常重要的一个环节。当企业从第三方获取数据,需要第三方保障数据来源的合法性;如果是企业向第三方共享数据,需要获得用户的授权同意、对第三方的安全能力要进行安全评估、并且对共享后第三方处理数据的行为进行合理审计。 内部制度:内部制度建设是防止信息安全事件最重要的一个环节。从数据内部使用的审批制度,到数据每一个收集使用环节的审计制度,到发生信息安全事件时的应急响应制度,每一个步骤都达到相应的合规标准才能增强企业对个人信息的整体保护能力。
5、整改情况及整改效果
公告原文,“发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。”
数据保护官(DPO)社群主要成员是个人信息保护和数据安全一线工作者。他们主要来自于国内头部的互联网公司、安全公司、律所、会计师事务所、高校、研究机构等。在从事本职工作的同时,DPO社群成员还放眼全球思考数据安全和隐私保护的最新动态、进展、趋势。2018年5月,DPO社群举行了第一次线下沙龙。沙龙每月一期,集中讨论不同的议题。目前DPO社群已近300人。关于DPO社群和沙龙更多的情况如下:
DPO社群成果
线下沙龙实录见:
评估GDPR效果和影响:
线上沙龙见:
时评见:
DPO社群成员观点