其他
Keep招股书中数据合规相关内容摘录
于2021年7月30日,国务院颁佈了《关键信息基础设施安全保护条例》(或《关键信息基础设施条例》),于2021年9月1日生效。根据《关键信息基础设施条例》,关键信息基础设施指重要行业或领域的任何重要网络设施及信息系统,如公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务及国防科技工业,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的其他行业及部门。截至最后实际可行日期,概无发布详细的规则或阐释且我们并未获任何政府机构告知作为关键信息基础设施运营者。 于2021年8月20日,全国人大常委会颁布了《中华人民共和国个人信息保护法》(或《个人信息保护法》),整合分散的个人信息权利及隐私保护规则并于2021年11月1日生效。我们或须进一步调整业务惯例,以遵守个人资料保护法律及法规。 于2021年11月14日,国家网信办对《网络数据安全管理条例(徵求意见稿)》(《数据安全条例草案》))公开徵求意见。根据《数据安全条例草案》,按照国家相关规定,若数据处理者拟赴香港[编纂],影响或可能影响国家安全的须申请网络安全审查。此外,《数据安全条例草案》规定,处理一百万用户以上个人信息的数据处理者须遵守适用于重要数据处理者的各项要求。截至最后实际可行日期,《数据安全条例草案》并未正式採用。有关详情请参阅“法规 — 与互联网信息安全及隐私保护有关的法规”。 我们有关中国数据合规法律的中国法律顾问及董事认为,我们在重大方面遵守有关数据合规的现有中国法律及法规,而董事认为有关数据合规的现有法律及法规将不会对我们的业务营运及财务表现造成重大不利影响,且不会影响我们于截至本文件日期在任何重大方面遵守适用法律及法规。由于现有法规、法律及意见可能有新颁佈的解释或实施细则,或上述条例草案可能生效,我们将积极监察未来的监管及政策变动,以确保严格遵守所有适用法律及法规。有关详情,亦请参阅“风险因素 — 与我们的业务及行业有关的风险 — 我们的业务产生、处理、收集及存储大量数据,未经授权访问、不当使用或披露该等数据可能使我们面临重大声誉、财务、法律及经营后果,并阻止现有及潜在用户使用我们的服务”。 于2021年12月28日,国家网信办与其他监管机构联合公佈《网络安全审查办法》,自2022年2月15日生效,进一步重申及扩大网络安全审查的适用范围。根据《网络安全审查办法》,关键信息基础设施运营者採购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,亦应当接受网络安全审查。根据《网络安全审查办法》,掌握超过一百万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。详情请参阅“法规 — 与互联网信息安全及隐私保护有关的法规”及“风险因素 — 与我们的业务和行业有关的风险 — 我们的业务产生、处理、收集及存储大量数据,未经授权访问、不当使用或披露该等数据可能使我们面临重大声誉、财务、法律及经营后果,并阻止现有及潜在用户使用我们的服务”。 我们有关中国数据合规法律的中国法律顾问认为,受限于有关《网络安全审查办法》的进一步官方指引及实施细则,作为掌握超过一百万用户个人信息的网络平台运营者,我们根据《网络安全审查办法》进行网络安全审查的风险相对较低,原因是根据《网络安全审查办法》,于香港上市并不属于“国外上市”范围。我们有关中国数据合规法律的中国法律顾问亦认为,受官方颁佈《网络数据安全管理条例》的进一步修订或网信办的进一步诠释所规限,我们根据《数据安全条例草案》须就上市进行网络安全审查的风险亦相对较低,原因是我们收集的个人资料的类型及性质主要与Keep 健身用户或健身市场有关,其对国家安全的重要性相对较低。
全国人大常委会于2000年12月28日颁佈《关于维护互联网安全的决定》,并于2009年8月27日作出进一步修订,对有下列行为之一,构成犯罪的,依照刑法有关规定追究刑事责任:(i)侵入具有战略重要性的计算机或系统;(ii)传播政治破坏性信息;(iii)洩露国家秘密;(iv)传播虚假商业信息;或(v)侵犯知识产权。公安部已颁佈措施,禁止以(其中包括)导致洩露国家机密或传播扰乱社会秩序的内容的方式使用互联网。倘互联网信息服务提供者违反该等办法,公安部及其地方分支机构可关闭其网站,并在必要时建议有关机构撤销其经营许可证。根据工信部通知(由工信部前身于2006年7月13日发佈),所有维护网络及互联网安全的增值电信服务供应商应遵守相关中国法规所载的标准。倘许可证持有人未能遵守工信部通知的规定并纠正有关不合规情况,工信部或其地方部门可酌情对有关许可证持有人採取措施,包括撤销其增值电信业务许可证。 根据由工信部于2011年12月29日颁佈,自2012年3月15日起施行的《规范互联网信息服务市场秩序若干规定》,互联网信息服务提供者未经用户同意,不得收集任何用户个人信息或将用户个人信息提供给他人,但是法律法规另有规定的除外。且互联网信息服务提供者应当明确告知用户收集和处理用户个人信息的方式、内容和用途,且仅能收集及使用其提供服务所必需的信息。互联网信息服务提供者应当妥善保管用户个人信息,保管的用户个人信息洩露或者可能洩露时,应当立即採取补救措施,造成严重后果的,应当立即向相关电信管理机构报告。 此外,根据全国人大常委会于2012年12月28日颁佈的《关于加强网络信息保护的决定》及工信部于2013年7月16日颁佈的《电信和互联网用户个人信息保护规定》,收集、使用用户个人信息,应经被收集者同意,遵循合法、正当、必要的原则,明示收集、使用信息的目的、方式和范围。网络服务提供者对收集的用户个人信息必须严格保密,不得洩露、篡改、毁损,不得出售或者向他人提供。网络服务提供者应当採取技术措施和其他必要措施,防止收集的个人信息被未经授权洩露、毁损、丢失。 于2016年11月7日,全国人大常委会颁佈了《中华人民共和国网络安全法》(“《网络安全法》”),并自2017年6月1日起施行。《网络安全法》是为了保障网络安全,维护网络空间主权、国家安全及社会公共利益,保护公民、法人和其他组织的合法权益而制定。根据《网络安全法》,网络运营者(包括(其中包括)互联网信息服务提供者)应当依照法律法规的规定和国家及行业标准的强制性要求,採取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。《网络安全法》重申了其他有关个人信息保护的现行法律法规中规定的基本原则和要求,例如对个人信息的收集、使用、处理、存储和披露的要求,并要求互联网服务提供者採取技术和其他必要措施,确保其收集的个人信息的安全,防止个人信息洩露、毁损或丢失。任何违反《网络安全法》规定及要求的行为均可能使互联网服务提供者受到警告、罚款、没收违法所得、吊销许可证、关闭网站或甚至追究刑事责任。 于2019年1月23日,国家互联网信息办公室、工信部、公安部及国家市场监督管理总局联合发佈《关于开展App违法违规收集使用个人信息专项治理的公告》,重申合法收集及使用个人信息的要求,鼓励应用程序运营者进行安全认证,并鼓励搜索引擎及应用程序商店清楚标记及推荐该等经认证应用程序。 于2019年8月22日,国家网信办颁佈《儿童个人信息网络保护规定》,自2019年10月1日起施行。网络运营者须制定特殊政策及用户协议以保护儿童个人信息,并委任专门人员负责保护儿童个人信息。收集、使用、转移或披露儿童个人信息的网络运营者须以显著及清晰的方式通知儿童监护人并取得其同意。 于2019年11月28日,国家网信办、工信部、公安部及国家市场监督管理总局联合发佈了《App违法违规收集使用个人信息行为认定方法》,其中列出六种非法收集及使用个人信息的行为,包括但不限于“未公开收集使用个人信息规则”、“未提供隐私规则”及“未经用户同意收集使用用户个人信息”。 于2020年5月28日,全国人大通过了《中华人民共和国民法典》,自2021年1月1日起施行。根据《民法典》,个人享有隐私权。任何组织或个人不得处理任何个人的隐私信息或侵犯个人的隐私权,除非法律另有规定或取得该个人或该个人监护人的同意。此外,个人信息受中国法律保护。处理个人信息的,应当遵循合法、正当、必要原则。信息处理者不得洩露或篡改其收集及储存的个人信息,或未经该个人同意,不得向他人提供该个人的个人信息。 于2021年3月12日,国家网信办、工信部、公安部及国家市场监督管理总局联合发佈《常见类型移动互联网应用程序必要个人信息范围规定》(“《必要个人信息规定》”),自2021年5月1日起施行。根据《必要个人信息规定》,移动应用程序营运者不得以用户拒绝提供其非必要的个人信息而拒绝用户使用其基本功能及服务。《必要个人信息规定》进一步规定了不同类型移动应用程序所需个人资料的相关范围。 于2021年6月10日,全国人大常委会颁佈《数据安全法》,自2021年9月1日起施行。《数据安全法》建立国家数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。此外,其阐明进行数据活动及实施数据安全保护责任的组织及个人的数据安全保护责任,数据处理者应建立及完善全流程数据安全管理制度、组织及实施数据安全培训以及採取相应的技术措施和其他必要措施,保障数据安全。任何组织或个人违反《数据安全法》的数据处理活动须根据具体情况承担相应的民事、行政或刑事责任。 于2021年7月6日,中共中央办公厅及国务院办公厅发佈了7月6日意见,其强调打击证券违法活动,并加强对中国公司境外上市的监管。该意见旨在通过建立监管制度及修订关于中国实体及联属公司境外上市的现有规则及法规(包括中国证券法的潜在域外适用)实现这一目标。由于该意见为最新版,故尚未颁佈正式指引及实施规则,而该意见的最终诠释及潜在影响于现阶段仍不明确。 于2021年7月30日,国务院颁佈了《关键信息基础设施条例》,自2021年9月1日起施行。根据《关键信息基础设施条例》,“关键信息基础设施”,是指重要行业的重要网络设施及信息系统,包括(其中包括)公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务及国防科技工业,以及其他一旦遭到破坏、丧失功能或者数据洩露,可能严重危害国家安全、国计民生、公共利益的其他重要网络设施及信息系统。上述重要行业及部门的政府主管部门及监督管理部门将负责(i)根据若干认定规则组织识别其各自行业的关键信息基础设施,及(ii)及时通知所识别的运营者及国务院公安部门有关认定结果。 于2021年8月20日,全国人大常委会颁佈了《个人信息保护法》,自2021年11月1日起施行。《个人信息保护法》规定(其中包括)(i)处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,採取对个人权益影响最小的方式,及(ii)收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。不同类别的个人信息及个人信息处理将须遵守有关同意、转移及安全的各种规则。个人信息处理者应当对其个人信息处理活动负责,并採取必要措施保障所处理的个人信息的安全。否则,个人信息处理者可能会被责令改正、暂停或者终止提供服务,且面临没收违法所得、罚款或其他处罚。 于2021年10月29日,国家网信办起草了《数据出境安全评估办法(徵求意见稿)》(“《数据出境办法(草案)》”),向社会公开徵求意见,其规定数据处理者向境外提供在中国境内运营中收集和产生的重要数据和依法应当进行安全评估的个人信息,应当进行安全评估。《数据出境办法(草案)》列举了五种情形,数据处理者符合这些情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估。这些情形包括:(i)向境外提供的数据为关键信息基础设施的运营者收集和产生的个人信息和重要数据;(ii)出境数据中包含重要数据;(iii)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(iv)累计向境外提供超过100,000人以上个人信息或者10,000人以上敏感个人信息;或(v)国家网信部门规定的其他需要申报数据出境安全评估的情形。国家网信办就此《数据出境办法(草案)》徵求意见,但并未正式实施。 于2021年11月14日,国家网信办起草了《数据安全条例草案》的徵求意见稿,其规定数据处理者开展以下活动,应当申报网络安全审查:(i)汇聚掌握大量关係国家安全、经济发展、公共利益的数据资源的网络平台运营者实施合併、重组、分立,影响或者可能影响国家安全的;(ii)处理一百万人以上个人信息的数据处理者赴国外上市的;(iii)数据处理者赴香港上市,影响或者可能影响国家安全的;(iv)其他影响或者可能影响国家安全的数据处理活动。《数据安全条例草案》亦规定大型互联网平台运营者在境外设立总部、运营中心或研发中心,应当向国家网信部门和主管部门报告。《数据安全条例草案》亦规定处理重要数据或者赴境外上市的数据处理者,应当自行或者委託数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。此外,《数据安全条例草案》亦要求网络平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略,并当平台规则、隐私政策制定或者对用户权益有重大影响的修订时,互联网平台运营者应当在其官方网站、个人信息保护相关部门面向社会公开徵求意见,徵求意见时长不得少于三十个工作日。此外,日活跃用户超过100百万的大型互联网平台运营者平台规则、隐私政策制定,或者日活跃用户超过100百万且对用户权益有重大影响的大型互联网平台运营者对该等规则或政策的修订,应当经国家网信办认定的第三方机构评估,并报省级网信部门同意。国家网信办就此草案徵求意见,但并未出台何时实施此草案的时间表。 于2021年12月31日,国家网信办与其他监管机构发佈《互联网信息服务算法推荐管理规定》,自2022年3月1日起生效,其规定(其中包括)算法推荐服务提供者应当(i)建立健全算法机制机理审核、科技伦理审查、用户注册、信息发佈审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑;(ii)定期审核、评估、验证算法机制机理、模型、数据和应用结果;(iii)加强信息安全管理,建立健全用于识别违法和不良信息的特徵库,完善入库标准、规则和程序;(iv)加强用户模型和用户标籤管理,完善记入用户模型的兴趣点规则和用户标籤管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标籤并据以推送信息。 于2021年12月28日,十二家监管机构联合发佈《网络安全审查办法》。《网络安全审查办法》规定:(i)网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当接受网络安全审查;(ii)中国证监会为共同建立国家网络安全审查工作机制的监管机关之一;(iii)掌握超过一百万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查;及(iv)核心数据、重要数据或者大量个人信息被窃取、洩露、毁损以及非法利用、非法出境的风险,以及关键信息基础设施、核心数据、重要数据或者大量个人信息被影响、控制、恶意利用的风险,应于网络安全审查过程中一併考虑。 注:很好的法规梳理,而且还有英文版的,以后需要可以抄作业。