企业上市过程面临的数据合规问题和相关风险:境内篇 2021版(DPO社群成员观点)
编者按
本公众号于2019年4月4日发布了【企业上市过程面临的数据合规问题和相关风险:境内篇(DPO社群成员观点)】,对境内上市监管机构要求发行人具体说明的问题或企业根据相关要求披露的风险进行了整理。
随着在网络安全和数据保护方面的风险事件和立法日趋增加,根据近年在境内外投融资领域的实务经验,包括中国大陆在内的各法域均加强了对网络及数据安全领域的监管,数据合规在上市公司风险管理中地位愈发凸显。
本文在上一版的基础上,结合上文发布至今两年来A股上市公司的交易所问询函与公开披露文件,对监管机构重点关注的数据合规风险进行了更新,以期以类型化的总结为未来的A股上市实务提供参考价值。本文作者为王新锐和罗为。
数据源的合规性
获取用户数据信息的来源、获取途径、授权方式及协议,授权是否明确且合法有效。
收集用户信息获得用户同意的具体制度及相关安排,收集用户信息时是否明确告知收集信息的范围及使用用途。
公司是否建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施。
获取个人数据是否对用户有明确提示、收集的数据是否限制在必要的范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为。
通过APP与用户以《用户协议》、《隐私政策》等协议约定获得用户授权的过程在法律上是否完备,是否对客户的用户有明示,相关协议约定内容存在明显不利于个人用户的格式条款,是否符合相关法律法规的规定要求。
通过 APP 与用户以《用户协议》、《隐私政策》等协议约定获得用户授权过程中,收集个人用户信息、向个人用户推送广告等有无明确告知用户收集、使用信息的目的、方式和范围。
数据权属问题
发行人获得终端用户数据信息的权属,其使用是否存在权属风险。
标的公司采购所涉相关数据信息的产权归属及其法律依据。
通过向第三方数据供应商购买用户数据情况下,第三方数据商是否具有相关数据的所有权,其授权标的公司使用相关数据是否需要经过终端用户或者其他第三方同意,授权是否合法、合规。
数据整合
发行人抓取客户营销成效历史数据、社交媒体平台用户数据、中长尾媒体广告位信息及预估点击率和转化率等核心参数的具体方式,相关数据来源是否合规,抓取整合数据是否获得电商平台、媒体的书面认可,是否侵犯个人隐私或第三方合法权益,是否存在争议或潜在纠纷。
发行人数据来源,其集成的数据是否存在限制使用范围或未经授权使用的数据,包括但不限于问卷数据、客户提供的数据、公司购买的大数据等,是否存在数据资产法律风险。
发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况,发行人相关内部控制措施是否合法合规并得到有效执行
数据的使用
发行人使用用户数据是否合法合规。
公司取得数据后用来做商业化变现的合规性。
是否根据与用户的约定收集、使用信息,对授权数据的使用(用于互联网营销或其他业务)是否超过授权范围。
对数据的使用是否超过必要的限度。
业务开展中是否涉及对个人信息的使用,是否留存客户用户数据、个人信息。
是否存在强制获取用户个人信息、用户无法永久删除发行人获取信息的情况,是否存在利用获取、保管的用户、客户数据开展商业用途的情形。
标的公司是否存在对相关信息数据进行存储、记录或者使用等情形,如是,相关行为是否符合法律法规、行业规范的要求;如否,标的公司是否能够被认定为大数据行业公司。
标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。
是否存在非法出售个人信息的行为。
数据共享
与 APP 开发者《XX使用协议》约定的“延展至XX使其可以获取实现相关推送功能所必要的合理信息”中“相关推送功能”是否包括利用该APP共享链路而向其他APP最终用户发送通知,APP 最终用户是否知悉通过链路共享而向其发送其他 APP 通知,是否取得 APP 最终用户同意或授权。
抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 APP 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本APP 服务之目的”。
·发行人的数据是否存在转授权或流转给第三方使用的情况,如存在,是否经过了个人信息主体的明示同意,是否经过了充分的脱敏,相关授权流程是否完备。
发行人与关联公司的数据共享是否符合各自与客户的协议约定,是否存在侵害客户合法利益的情况;结合发行人与关联公司等相关主体的数据共享协议,说明该等安排是否违反有关互联网用户信息保护的有关法律法规及规范性文件。
数据安全保护制度
标的公司是否对数据的规范使用采取了相应风险控制措施,相关措施是否规范、有效。请律师、独立财务顾问核查并发表明确意见。
数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果,避免或防止泄露用户隐私的具体制度及相关安排,是否存在泄密风险。
用户信息保护技术体系,尤其是防止外部恶意软件、病毒、黑客攻击和内部人员恶意导致的数据泄露的技术措施。
发行人的开发环境和保密条款是否可以有效防止自主研发的模型、算法泄漏。
通过公安部门信息系统安全等级保护测评的情况。
对数据安全和个人隐私的保护措施与手段及其有效性,是否出现过个人信息、隐私泄露事件,是否存在侵权风险,是否存在纠纷或潜在纠纷,最近三年发生的严重泄密事件、重大诉讼、处理结果及有关的整改措施。
对提供产品、服务过程中掌握的个人信息、国家安全信息、国家秘密、保密信息所采取的防泄密措施和保障网络安全的内部管理制度及执行效果,有无泄露国家秘密、保密信息、个人信息的风险,是否发生过相关信息泄露事件,是否因此受到过行政处罚。
是否已建立防泄密和保障网络安全的内部管理制度,业务开展是否符合所在国家或地区数据保护和网络安全等法律法规的规定,报告期内是否存在数据泄露情形。
业务及具体数据服务
说明发行人在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息。
与客户所签署业务合同中是否存在可能侵犯第三方商业秘密或个人信息安全的条款。
与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。
DMP(Data ManagementPlatform)服务:
a) DMP服务的一般客户来源,服务内容,该业务开展具体内部流程及控制措施; b) 报告期各期主要DMP服务项目的具体情况,销售政策、定价方式、结算方式。
技术问题
相关大数据技术以及大规模数据存贮技术等的来源、形成过程及合法合规性。
发行人 APP 是否具备在客户、用户没有使用移动终端或 APP 的状态下进行数据采集、升级、点击的性能,是否侵犯个人隐私,发行人是否存在通过技术手段增加日活、月活、流量、广告点击量的情形,是否存在违规风险。
列表说明发行人现有各项核心技术的发明人或主要研发人员及其曾任职单位,核心技术的具体来源和形成过程,是否涉及公司董事、监事、高级管理人员或其他核心人员在曾任职单位的职务成果,是否存在权属纠纷或潜在纠纷风险。请发行人结合其核心人员曾任职于同行业其他公司的有关情况,补充说明其主要产品的研发周期、渠道推广和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况。
数据立法和监管对业务的影响
欧盟《通用数据保护法案》(General Data Protection Regulation, GDPR)的颁布实施对于发行人经营业务有什么影响,发行人有什么整改或应对措施,是否存在被处罚的风险,GDPR 对于发行人未来的业务经营是否存在影响。
数据监管及个人隐私保护政策变动情况(主管部门对数据隐私保护的标准是否会持续升级)对未来发行人业务的影响及发行人的应对措施。
请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合《信息安全技术个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。
请发行人结合和XX的纠纷,补充说明其人才库所涉个人信息的收集、存储、使用,是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定。
请发行人充分说明日益加强的数据行业监管及个人隐私保护政策,包括但不限于《个人信息安全规范(征求意见稿)》主要变化、《网络生态治理规定(征求意见稿)》等对发行人业务的潜在影响及相关应对措施,并进行重大事项提示。
域外数据安全和个人信息保护领域的权威文件,DPO社群的全文翻译:
DPO线下沙龙的实录见:
自动驾驶系列文章:
数据安全法系列文章:
个人数据与域外国家安全审查系列文章
围绕着TIKTOK和WECHAT的总统令,本公号发表了以下文章:
第29条工作组/EDPB关于GDPR的指导意见的翻译:
关于美国出口管制制度,本公号发表过系列文章:
供应链安全文章:
数据跨境流动政策、法律、实践的系列文章:
传染病疫情防控与个人信息保护系列文章
人脸识别系列文章:
关于欧盟技术主权相关举措的翻译和分析:
关于数据与竞争政策的翻译和分析:
数据安全法系列文件:
中国个人信息保护立法系列文章:
健康医疗大数据系列文章:
网联汽车数据的系列文章:
人工智能安全和监管的系列文章:
赴美上市网络、数据安全风险系列文章如下:
中美与国家安全相关的审查机制相关文章: