导航

中伦观点

当数据合规遇见资本市场:从墨迹IPO被否谈起 (上) 作者:陈际红 蔡鹏 刘洋 薛泽涵 2019-10-14

 

事件背景

 

2019年10月11日,中国证券监督管理委员会(“证监会”)发布公告[1](简称“《公告》”)称,北京墨迹风云科技股份有限公司(简称“墨迹公司”)首发申请未予通过。《公告》详述了发审委会议针对墨迹公司提出询问的四大主要问题,其中用户数据收集及处理合规问题是一大关键问题。《公告》指出,墨迹公司通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其于2019年7月16日收到App专项治理工作组[2]发出的《关于App收集使用个人信息相关问题的通知》[3],要求其就收集使用个人信息中存在的问题进行整改。由此可见,针对用户数据收集、处理的合规性,已成为证监会重点关注的问题之一,并成为影响企业上市成功与否的重要因素。

 

根据公开的招股说明书:墨迹公司目前的主要产品为墨迹天气 APP,公司主要通过墨迹天气APP软件产品为用户提供免费的综合气象服务、为广告客户提供互联网广告信息服务。同时,墨迹公司未来的企业转型规划集中在结合运营积累的用户数据,逐步探索开展企业级业务,利用气象技术和个人用户端数据为各行业企业提供基于气象情况的精准运营服务,从而实现向互联网综合气象服务提供商的转型。

 

我们可以看到,墨迹公司业务模式主要为基于APP提供服务而形成的免费服务+广告的模式。这种模式需要在增加用户粘性及增强体验的情况下,通过产品化、资讯化等内容营销方式,结合用户画像下的精准推送,增强广告营销效果,提升移动应用的媒体资源价值。在此种模式下,用户数量、用户数据占有量、用户数据的多元维度、用户画像能力是产品价值的核心要素,因此,运营者会不可避免地对用户信息和各类数据进行的大量搜集和处理。

 

另外,据公开文件,墨迹提出了“天气+”的整体战略,即对包含了大量的用户行为和偏好信息的用户档案,基于细化的维度,用于指导指向性更强的市场推广活动,以及提供垂直合作的平台,例如,基于气象灾害和定位信息的保险行业应用,基于精细化预报的农业行业应用,基于用户群体、定位信息的物流仓储行业应用,基于天气和用户行为的行程推荐应用等。可见,墨迹公司的企业转型就是数据应用转型,在多种应用场景下,离不开对于用户数据的处理,甚至包括不同平台之间的数据共享和处理。由此引发的数据合规问题包括:数据融合、数据的流转、数据的共享、数据的二次开发以及用户推送等诸多法律问题。

 

我们将会在下文结合监管机构的提问,做逐一分析,并基于同类PRE-IPO企业面临的数据合规问题,就企业如何面对包括资本市场在内的多重数据监管,提出我们的解决建议。

 

为什么数据合规成为IPO“黑天鹅”?

 

 

《公告》指出墨迹天气存在五个方面的数据合规问题:1)用户数据及标签获取的合法合规性;2)用户数据使用(尤其是商业化变现)的合规性;3)用户数据内控管理及保护措施的完备度;4)应对数据行业监管及政策加强对自身业务影响的能力;5)应对App专项治理工作组审查意见的整改情况。其中,App专项治理工作组先前发出的整改通知,以及墨迹天气未就通知及时反馈整改情况,无疑是该系列数据合规问题集中暴露的导火索及外化表现。

 

以下为我们就公告本身反映的数据合规问题展开的点对点剖析。需注意的是,尽管公告对象为墨迹天气,问题所蕴含的合规风险同样值得全行业其他企业的关注。

 

一、户数据及标签获取的合法合规性

 

 

1.《公告》原文

 

发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规。

 

 

2. 对应解读

 

(1)整体要求:数据收集应紧扣《网络安全法》的底线要求

 

该点直接聚焦用户数据收集阶段的合法性问题,主要由《网络安全法》第四十一条[4]进行规制,提出网络运营者收集个人信息的底线要求,包括:明示个人信息收集处理规则;获取被收集者授权同意;按照法律行政法规以及与用户之间的约定收集、保存用户个人信息。上述三个层面问题,是用户数据收集环节的核心要求,也是监管机关重点关注的合规内容。

 

(2)具体要求1:明示个人信息收集处理规则

 

根据《数据安全管理办法(征求意见稿)》第七条至第十条[5]规定,并参照《GB/T 35273-2017信息安全技术 个人信息安全规范》(简称“《个人信息安全规范》”)第5.6条以及《App违法违规收集使用个人信息自评估指南》要求,涉及用户个人信息收集处理的产品及服务的运营者,均应当制定并对外公开个人信息收集处理规则。常见高风险点包括:

 

A 形式落入上述范围的每个产品或者每项服务,均应在用户打开相应产品或者服务时,以简洁、显著、易懂的方式,提醒用户阅读该产品/服务的个人信息收集处理规则(常见为用户协议或者隐私政策);规则内如涉及“个人敏感信息[6]”的,需以显著方式强调;

 

B 内容必要内容包括但不限于:产品/服务的基本业务功能/扩展业务功能下对应的各项功能目的、涉及个人信息类型及范围、收集方式、使用方式、涉及的系统权限功能以及用户权利等;数据委托处理及对外共享的基本情况,包括数据共享目的、类型及范围、对方类型(身份)、对方数据保护能力等;用户权利行使范围及方式,包括个人信息查看、更正、删除、拒绝处理、撤回同意、获取备份、注销账户等;数据跨境传输的基本情况,包括跨境传输地点、对象、目的、所涉信息类型及范围等。具体可参照上述法规要求予以优化。

 

(3)具体要求2:根据业务场景确定获取用户同意的方式

 

根据《个人信息安全规范》规定,授权同意分为明示同意和默示授权,明示同意包括主动点击、主动勾选等方式。在获取用户明示同意之前,需充分告知用户其个人信息收集使用的必要信息,包括使用目的、信息类型及范围、用户权利等。而且,数据处理场景、目的等的不同也决定了获取用户授权同意的不同方式。其中,依据目前法规,需要获取用户明示同意的情形包括但不限于:

 

  • 将用户个人信息用于商业短信发送等市场营销场景:根据《消费者权益保护法》第二十九条第三款[7]以及《广告法》第四十三条[8]规定,仅在充分告知用户并获取用户明示同意的情况下,方可向其发送商业性短信等定向市场营销信息;

     

  • 根据《个人信息安全规范》第5.5条规定,当收集个人敏感信息时,应取得个人信息主体的明示同意。

 

此外,根据目前的执法趋势,执法机关高度关注运营者通过用户同意隐私政策、用户协议等方式获取用户个人信息处理及系统权限开放的“一揽子授权”的方式,对于通过“一揽子授权”获得用户个人信息用于市场营销等特殊目的的情形则予以严厉打击。因此,并非用户同意隐私政策即能满足合规要求,运营者还应就不同数据收集使用场景,尤其是市场营销等敏感场景,制定不同的征得用户授权同意方案。

 

(4)具体要求3:获取用户数据的手段及方式合法合规

 

根据目前行业一般实践,用户数据获取来源可分为运营者主动收集或者用户主动提供(包括运营者在本产品或服务上使用cookies 等自动化收集工具)、第三方分享、通过数据爬取等方式从公开渠道及第三方平台上获取等。无论是何种收集方式,运营者均应保证数据收集来源的合法性,“合法性”具体界定因素包括:

 

  • 是否充分告知用户相关数据收集使用的信息,并依据具体情境获取用户授权同意;

     

  • 不涉及非法获取、购买个人信息的情形;

     

  • 对于从第三方获取的个人信息,需同样满足上述两点要求。

 

不同场景下的数据收集手段,均应在个人信息收集处理规则中予以清晰说明。而对于具体获取手段而言,如使用cookies 等自动化工具收集、处理用户个人信息的,则需通过强调说明cookies等工具使用的相关信息(可通过弹窗等方式推送cookies通知),并向用户提供接受或者拒绝具体cookies方式;如由第三方分享获取个人信息的,则需验证其获取个人信息的最初渠道是否合法合规、是否具备用户授权同意的可验证证明(例如线上主动勾选、线下文件等);而对于数据爬取手段而言,考虑到近期针对大数据企业数据爬取业务的监管行动正如火如荼开展,应慎重使用爬取技术,关注爬取来源、范围、授权情况等。

 

二、用户数据使用(尤其是商业化变现)的合规性

 

 

1.《公告》原文

 

发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险。

 

 

2. 对应解读

 

(1)整体要求:遵守数据使用的行政、刑事合规底线要求

 

根据《网络安全法》,个人信息的使用应遵循合法性、最小必要、授权同意的原则。而对于数据的传输、共享等行为,除非进行数据脱敏(经过处理无法识别特定个人且不能复原),否则未经被收集者同意,不得向他人提供个人信息。如果运营者违反上述个人信息的使用要求,将面临警告、罚款、吊销相关业务许可证等的行政处罚。而对于非法向他人提供个人信息、非法获取个人信息的行为,甚至构成侵犯公民个人信息罪,受到刑事制裁,运营者必须遵守行政、刑事的合规底线。

 

(2)具体要求1:明确个人信息用于商业开发的合规边界

 

个人信息用于商业开发应满足合法性、最小必要、授权同意的要求。合法性原则要求运营者使用个人信息不得违反法律、行政法规的规定,例如根据《电子商务法》等相关法律法规,企业不得利用用户画像进行“大数据杀熟”;最小必要原则要求网络运营者不得使用与其提供的服务无关的个人信息;授权同意则要求使用个人信息需要获得被收集者的同意,如果因业务需要,确需超出范围使用个人信息的,应再次征得被收集者的明示同意。以通过用户画像进行广告推销为例,运营者宜使用间接用户画像,并在隐私政策明确说明使用个人信息的类型、方式与目的,并获得用户明示同意。

 

(3)具体要求2:遵守对外传输个人信息的合规要求

 

个人信息传输、共享是个人信息保护的敏感环节,很多企业因为个人信息传输、共享而遭受惩处。以数据堂卷入侵犯个人信息事件为例,数据堂的员工向其下游卖家交付包括个人信息的数据60余万条,虽然数据堂对数据进行清洗和处理(剔除无效信息以及将其标准化),但由于数据来源自上游的非法窃取,因此仍无法免除其法律责任,导致数据堂的涉案员工被提起公诉,数据堂遭遇停牌危机[9]。事实上,在数据的商业性利用中,经常发生数据共享、数据融合等的交互行为,企业因此面临行政、刑事处罚的风险很高。根据《网络安全法》、《个人信息安全规范》等法律法规、国家标准的规定,个人信息经过数据脱敏处理后可以进行共享、传输,但是对于未经脱敏处理的个人信息需满足下述合规要求:

 

a 事先开展个人信息安全影响评估,并依评估结果采取有效的保护个人信息主体的措施;

 

b 向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意。涉及个人敏感信息的,还应告知个人敏感信息的类型、数据接收方的身份和数据安全能力;

 

c 准确记录和保存个人信息的共享、转让的情况,包括共享、转让的日期、规模、目的,以及数据接收方基本情况等;

 

d 承担因共享、转让个人信息对个人信息主体合法权益造成损害的相应责任;

 

e 帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利,例如,访问、更正、删除、注销账户等。

 

此外,如果涉及数据跨境传输,还应满足相关国家和地区法律对于数据跨境要求,例如欧盟的《一般数据保护条例》(“GDPR”)等。2019年6月13日,国家网信办发布《个人信息出境安全评估办法(征求意见稿)》,要求网络运营者向境外提供在中华人民共和国境内运营中收集的个人信息应当按照该办法进行安全评估。若其正式生效,网络运营者的数据跨境传输还应满足安全评估的要求。

 

三、用户数据内控管理及保护措施

的完备度

 

 

1.《公告》原文

 

数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。

 

 

2. 对应解读

 

(1)整体要求:保障用户数据安全,兼顾组织管理及技术保障措施

 

《网络安全法》第四十二条[10]提出网络运营者采取技术措施和其他必要措施以确保其收集的个人信息安全的原则性规定。若运营者要保证用户数据安全,需要在组织制度、技术措施上同时发力,这不仅是企业本身数据管理的要求,而且越来越成为监管机构审查的内容。例如,教育部等六部门发布的《关于规范校外线上培训的实施意见》,明确提出校外线上机构培训备案需要互联网平台信息数据交互及处理能力和个人信息保护制度、网络安全管理制度、安全保护技术措施、服务器设置在中国内地的说明材料。

 

(2)具体要求1:采取适当的组织措施和技术措施

 

在组织制度上,网络运营者应具备必要的组织机构,设立个人信息保护负责人和个人信息保护工作机构(若涉及儿童,还需指定专人负责儿童个人信息保护),同时建立个人信息收集、使用、存储、共享等全流程、全生命周期的制度,并通过培训、演练等手段予以落实;在技术措施上,网络运营者应具备必要的数据加密、数据备份、数据脱敏等的技术措施,防止个人信息泄露与损毁。

 

(3)具体要求2:做好个人信息安全事件的应对

 

发生个人信息泄露事件,不仅会遭受行政、刑事处罚,也会影响企业声誉、甚至企业生存。《网络安全法》、《个人信息安全规范》等均对个人信息安全事件的应对进行规范,运营者应做到:

 

a 制定个人信息安全事件应急预案;

 

b 定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;

 

c 发生个人信息安全事件后,立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

 

四、应对数据行业监管及政策加强对自身业务影响的能力

 

 

1.《公告》原文

 

日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。

 

 

2. 对应解读

 

我国对数据行业的监管呈现不断加强的趋势,近期已密集出台包括《数据安全管理办法(征求意见稿)》在内的一系列法规规章,《个人信息保护法》、《数据安全法》也被纳入十三届全国人大常委会立法规划。同时,数据监管在细分行业也不断深化,例如在金融证券领域,证监会发布了一系列针对证券基金公司网络安全及客户信息保护的部门规章及推荐性规范,包括《证券基金经营机构信息技术管理办法》、《证券期货业数据分类分级指引》等,对证券金融领域的数据治理进行全方位管控。因此,为了应对日益严峻的数据合规挑战,企业可以从下述方面提高应对数据监管能力:

 

  • 结合数据治理的一般要求及行业特殊要求构建数据合规治理机制,及时跟进立法、执法动态变化调整数据保护的组织措施和技术措施;

     

  • 明确数据监管的范围,对数据进行分级分类,对于高风险业务场景进行实时监控;

     

  • 加强企业数据内控制度,建立完善的数据风险识别机制。

 

五、应对App专项治理工作组审查意见的整改情况

 

 

1.《公告》原文

 

发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。

 

 

2. 对应解读

 

作为负责全行业App个人信息违法违规收集使用执法检查工作的主管单位,App专项治理工作组今年开展了多次检查行动,并在其微信公众号“App个人信息举报”中发布最新执法动态。执法情况曝光并不当然导致被曝光企业需承担相应的法律责任,工作组本身不会采取相应的惩罚措施。但根据其对外发布的通知,工作组对于逾期未完成整改的企业,将建议相关部门予以处置。鉴于目前网络安全及数据合规领域的执法机关——网信办、工信部、公安部等与App专项治理工作组之间的关系,企业需认真对待工作组的检查行动。一旦收到相应通知,应尽快认真处理,向工作组及相应执法主管机关(包括行业主管部门)积极汇报,降低进一步处罚的风险。

 

同时,建议拟上市数据企业重视App个人信息安全认证,主动对核心的产品在主管机关进行认证备案,在某种程度上获得主管部门的认可。

 

通过上述对《公告》的点对点解读,我们分析了监管机构所关心的数据合规问题,以期为不同类型的拟上市企业开展数据合规工作提供借鉴。考虑到数据合规工作是一项系统性工程,基于监管趋势,我们建议拟上市企业需要对数据开展全生命周期的合规治理(待续)。

[注] 

[1] 详情可见证监会于2019年10月11日发布的《第十八届发审委2019年第142次会议审核结果公告》,网址:http://www.csrc.gov.cn/pub/zjhpublic/G00306202/201910/t20191011_364295.htm,访问日期:2019年10月12日。

[2] 今年1月25日,中央网信办、工信部、公安部、市场监管总局四部门联合发布《关于开展App违法违规收集使用个人信息专项治理的公告》(以下简称《公告》)。为落实《公告》相关部署,受四部门委托,全国信息安全标准化技术委员会、中国消费者协会、中国互联网协会、中国网络空间安全协会成立App违法违规收集使用个人信息专项治理工作组。

[3] 根据APP专项治理工作组于2019年7月16日发布的《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》,墨迹天气App 7.0803.02版本因存在个人信息收集使用方面的问题,被工作组点名并要求通知发布之日起10日内联系工作组领取整改通知,于30日内完成整改并向工作组提交整改报告,逾期未领取整改通知或未完成整改的,工作组将建议相关部门予以处置。详见https://mp.weixin.qq.com/s/uF9rjyV4nwZ8vIqt2hymzA,访问日期:2019年10月12日。

[4]《网络安全法》第四十一条规定,网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户约定,处理其保存的信息。

[5]《数据安全管理办法(征求意见稿)》第七条规定,网络运营者通过网站、应用程序等产品收集使用个人信息,应当分别制定并公开收集使用规则。收集使用规则可以包含在网站、应用程序等产品的隐私政策中,也可以其他形式提供给用户。

第八条规定,收集使用规则应当明确具体、简单通俗、易于访问,突出以下内容:(一)网络运营者基本信息;(二)网络运营者主要负责人、数据安全责任人的姓名及联系方式;(三)收集使用个人信息的目的、种类、数量、频度、方式、范围等;(四)个人信息保存地点、期限及到期后的处理方式;(五)向他人提供个人信息的规则,如果向他人提供的;(六)个人信息安全保护策略等相关信息;(七)个人信息主体撤销同意,以及查询、更正、删除个人信息的途径和方法;(八)投诉、举报渠道和方法等;(九)法律、行政法规规定的其他内容。

第九条规定,如果收集使用规则包含在隐私政策中,应相对集中,明显提示,以方便阅读。另仅当用户知悉收集使用规则并明确同意后,网络运营者方可收集个人信息。

第十条规定,网络运营者应当严格遵守收集使用规则,网站、应用程序收集或使用个人信息的功能设计应同隐私政策保持一致,同步调整。

[6] 根据《个人信息安全规范》第3.2条规定,个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息,包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14岁以下(含)儿童的个人信息等。具体可参见《个人信息安全规范》附录B。

[7]《消费者权益保护法》第二十九条第三款规定,经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。

[8]《广告法》第四十三条规定,任何单位或者个人未经当事人同意或者请求,不得向其住宅、交通工具等发送广告,也不得以电子信息方式向其发送广告。以电子信息方式发送广告的,应当明示发送者的真实身份和联系方式,并向接收者提供拒绝继续接收的方式。

[9] 新浪新闻:“这件特大侵犯隐私专案 ‘大数据第一股’员工卷入”,网址:http://news.sina.com.cn/c/2019-10-12/doc-ihftenhz9036953.shtml,2019年10月12日访问。

[10]《网络安全法》第四十二条规定,网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。