导航

中伦观点

科技企业上市之数据合规(下)—— 数据合规治理篇 作者:陈际红 韩璐 王雨婷 2020-03-27

 

引言

我们在上篇及中篇梳理了中国证券监督管理委员会(“证监会”)发行审核委员会(“发审委”)在企业上市审核中关注的数据合规问题(占比如下图所示),及既往上市企业申报中面临的主要数据合规风险点,以期全面展现拟上市企业将面临的数据合规审查趋势。本篇中,我们将分三个部分讨论拟上市企业如何开展数据合规治理工作,以妥善应对审核机关问询,并有效降低行政监管、民事甚至刑事风险。

 

表(一):审核中所关注的数据合规问题分析

 

一、明确数据合规治理目标

 

为有效应对上市过程中的数据合规挑战,拟上市企业应针对以下合规要求作为上市前 的数据合规工作目标。

序号

类别

合规要求

1

数据源合规

(占比24%)

识别企业数据来源渠道,判断是否涉及主动收集或者用户主动提供、第三方采购、或者通过数据爬取等方式从公开渠道获取等数据来源渠道。

2

识别数据类型,判断是否包括个人信息、重要数据及其他受监管的特定行业数据。

3

根据不同数据源渠道与数据类型识别合规风险,调整相应业务模式及授权条款,以保障数据源合法性、降低合规风险。

4

直接收集个人信息的,应当在收集前明示个人信息收集使用的具体规则、获取个人信息主体的授权同意、按照法律法规及与用户之间的约定收集、存储个人信息,涉及个人信息出境的,应当落实安全评估及申报工作等[1]

5

从第三方采购数据的,应审核引入相应数据类型及数据量的必要性,在数据采购协议中要求数据供应商作出数据来源合法合规的承诺与保证,同时在企业内部落实《供应商数据保护合规管理制度》。坚守不得非法获取公民个人信息的刑事责任红线[2]。 

6

通过爬虫技术收集数据的,应遵守网站的Robots协议及适用的技术协议,遵守“用户授权平台+平台授权采集方+用户授权采集方”的“三重授权原则”。同时建议明确爬取前的内部审核机制及爬取后数据处理机制,避免触发侵犯公民个人信息罪、非法获取计算机信息系统数据罪等刑事责任,或侵犯第三方权益或构成不正当竞争的民事风险。

7

数据使用

(占比20%)

应当对数据采取合理的分类分级管理,并匹配相应管理制度留存数据处理记录。

8

遵循合法、正当、必要的原则,使用个人信息的目的、方式和范围不得超出个人信息主体授权同意的范围[3]。 

9

存在数据融合的,融合后的使用目的不应超出原有授权范围,否则应重新获得用户或数据上游合作企业的授权同意,以避免被认定为超授权范围违法使用个人信息或引发潜在违约责任。

10

使用个人信息用于个性推送或精准营销的,应获得接收方的明示同意,避免采取 “一揽子授权”的概括授权获取方式。同时提供退订渠道。

11

对照《个人信息安全规范》等行业良好实践完善各产品线的个人信息使用规则,涉及使用、处理儿童个人信息的,还应当遵循《儿童个人信息网络保护规定》、《关于引导规范教育移动互联网应用有序健康发展的意见》等专门立法对应落实特定类别的数据合规策略。

12

企业内部应针对员工访问设置分级授权规则,同时应当匹配相应员工奖惩制度。

13

数据共享

(占比2.9%)

对于共享个人信息的业务而言,未经个人信息主体同意,原则上不得向他人提供用户个人信息,经处理无法识别特定个人且不能复原的除外[4]。 

14

对照《个人信息安全规范》等行业良好实践,在共享个人信息前事先开展个人信息安全影响评估;向个人信息主体告知共享个人信息的目的、数据接收方的类型,并事先征得个人信息主体的授权同意;准确记录和保存个人信息的共享的情况;帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况,以及个人信息主体的权利[5]

15

共享除个人信息外的其他类型数据时,应当相应识别该等共享行为所产生的风险,同时对于数据下游合作企业的数据安全能力采取一定的审核和管控措施。

16

对于数据融合的场景,应审核拟融合数据源的合法合规性,明确授权使用的范围,并评估融合的必要性及关联性。同时应当明确企业在数据融合过程中的控制者或处理者角色,通过明确具体合同条款、安全风险评估及定期审计等方式降低相应合规风险。

17

第三方委托处理

(占比1.9%)

委托第三方进行个人信息处理的,应遵守《网络安全法》第四十一条规定的基本原则,确保该等第三方委托处理行为未超过个人信息主体授权同意的范围。

18

对照《个人信息安全规范》[6]开展个人信息安全影响评估,确保处理者具备足够的数据安全能力。

19

与处理者订立数据处理协议,以厘清双方在数据保护及合规处理方面的责任义务。

20

针对企业重点业务,应当对第三方采取一定的管控措施,落实合作前数据安全能力调研、安全风险评估,合作中定期核查,合作终妥善处理数据删除或匿名化等后续工作。

21

数据安全

(占比24%)

按照《网络安全法》[7]与“等保2.0”国家标准[8]的规定开展等级保护测评工作。

22

采取技术措施和其它必要措施保护个人信息的安全,防止信息泄露、损毁或丢失。[9] 

23

具备必要的组织机构,设立个人信息保护负责人和个人信息保护工作机构。 

24

建立个人信息收集、使用、存储、共享等全流程、全生命周期的制度,并通过培训、演练等手段予以落实。

25

制定网络安全应急预案[10]以及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等危害网络及数据安全的风险。

26

系统与技术

(占比4.8%)

采取防止外部黑客攻击的技术措施,保障企业系统安全、稳定、可靠。

27

采取必要的数据加密、数据备份、数据脱敏等技术措施防止个人信息泄露与损毁。

28

可通过获得ISO 27001认证、ISO 27008认证的方式证明信息系统的安全性。

29

数据立法和监督

(占比5.8%)

持续关注我国数据安全保护领域的立法动向和标准制定情况,值得关注的包括《个人信息保护法》、《数据安全法》等法律法规的制定,以及《个人信息告知同意指南》等国家标准的制定。

30

业务涉及数据跨境传输或跨境处理的,还应关注适用境外法律的合规情形,如欧盟《一般数据保护条例》(“GDPR”)、英国《数据保护法案》、美国《在线儿童隐私保护法》(“COPPA”)、加州消费者隐私法案(”CCPA”)的合规要求。

31

持续关注国内外立法与执法动向,并合理评估及管理日益加强的数据合规监管对业务的影响。

32

数据权属

(占比2.9%)

按照《民法总则》及《民法典人格权编(草案)》对虚拟性财产权益及个人信息的人格权相关权益提出的立法原则,通过业务协议或用户协议与商业伙伴或数据主体对数据的财产性权益进行划分。

33

发现第三方不正当使用企业数据或存在其他不正当竞争行为时,依照上述协议寻求司法救济。

34

数据相关的业务经营

(占比13.5%)

从第三方采购数据时,避免对数据供应商存在重大依赖。

35

在与业务伙伴的商业协议中加入对于潜在安全泄露的责任约定与免责条款。

36

商业协议中避免出现可能造成侵权的业务条款。

37

根据不同业务场景和数据类型设计相适配的数据保护条款或协议,以代替传统的保密条款或保密协议。

表(二)数据合规治理工作目标

 

二、布局数据生命全周期的合规治理工作

表(三)拟上市企业数据合规治理流程图

 

上市申报及上市披露过程无疑将拟上市企业置于“聚光灯与放大镜”之下,相应的数据合规工作将是周期长、标准严苛的整体治理需求。拟上市企业在递交上市申请前往往会开展一系列的重组计划,决定上市主体、制定资产剥离方案时拟上市主体的合规程度是必须考虑的因素之一。而以数据作为核心资产的科技企业往往具有营业收入高、成本支出低的特点。高营收普遍依赖于数据源与关联公司得以实现。

 

这种情况下,拟上市企业为达到上市合规要求,需要基于数据源和数据业务调整产品或运营模式、优化底层信息技术架构、完善数据生命全周期合规制度,这些工作并不是一蹴而就的。而这些合规工作的完成度影响着上市主体的选定与资产剥离方案的推进。因此,从确定上市这一长期目标之始,拟上市企业应当着手布局覆盖数据生命全周期的合规治理工作。

 

三、上市全流程持续引入数据合规专业

团队

 

发审委对企业数据合规制度的问询呈现出技术性强、覆盖面广的特点,问询具体到拟上市企业的某一特定组织制度或技术措施,及数据收集、使用、存储、共享、委托处理、数据安全等数据生命全周期活动。如拟上市企业应对发审委的问询回复与实际运营情况存在出入还将受到发审委的进一步追问。

 

在上市过程中数据合规审查日趋严格的环境下,拟上市企业应当部署专业的数据合规团队持续参与上市全流程,在上市前期继续落实数据治理工作,在上市过程中应对发审委审核问询,在上市披露阶段把控披露风险。一方面,专业的数据合规团队能够有效将上市前针对各数据相关产品及服务的数据全流程的合规调研、数据源合规性审查、合规差距分析、合规风险识别、内部合规制度建设、对外数据合作协议完善等工作成果贯穿到上市筹备过程中,夯实数据收集、使用的合法合规性基础,为上市申请文件对核心产品与服务的释明提供依据。另一方面可以专业、客观的分析意见回应发审委的问询,凸显拟上市企业数据相关产品和服务的核心技术及商业价值,助力企业成功上市。同时,上市披露过程中专业数据合规团队可以有效识别并把控披露风险,减小企业上市后的风险敞口。

结语

 

通过对既往上市企业申报及重组过程中涉及的数据合规相关问询的梳理,可以发现审核机关针对拟上市企业数据合规审查呈现更为全面、深入、频繁、严格的整体趋势。全行业全领域企业,尤其是科技企业,应提前布局数据合规治理工作以应对企业上市过程中面临的数据合规审查挑战。我们将结合在网络安全与数据保护领域的广泛实践经验,持续推出系列文章,对立法及政策走向及时进行解读,希望对企业的合规工作有所帮助。

[注] 

[1]《网络安全法》第四十一条:网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。

[2]《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第四条:违反国家有关规定,通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的,属于刑法第二百五十三条之一第三款规定的“以其他方法非法获取公民个人信息”。

[3]《网络安全法》第四十一条

[4]《网络安全法》第四十二条:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。

网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。

[5]《个人信息安全规范》8.2

[6]《个人信息安全规范》8.1

[7]《网络安全法》第二十一条:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。

[8]《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)

[9]《网络安全法》第四十二条

[10]《网络安全法》第二十五条:网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。