自2017年起,《网络安全法》《儿童个人信息网络保护规定》等数据相关立法的实施使得数据合规越来越成为监管部门关注的焦点之一。2020年10月至今,随着《个人信息保护法(草案)》一审稿以及二审稿的公布,更是引发了对于个人信息处理、信息跨境传输等热点问题的讨论。鉴于监管机构对于拟上市企业的审核往往更为严格,企业在上市审核阶段所反映出来的问题具有一定的代表性和参考价值,本文根据2020年7月至12月期间20多家申请IPO企业的公开信息,梳理了上市过程中容易引起审核机关关注的几大数据合规问题,包括数据来源、数据使用、数据安全、数据共享、数据权属及立法影响,以期对企业完善数据合规工作有所帮助。
一、数据来源
关注焦点:数据内容
问询内容 | 问询对象 |
补充披露发行人在实际业务中可以合法合规留存的数据类型、维度和再运用的具体情况[1] [1] 北京木瓜移动科技股份有限公司:补充法律意见书(一) | 木瓜移动 |
补充披露发行人在开展业务过程中是否可以获取用户相关个人信息和商业秘密等用户数据[2] [2] 易点天下网络科技股份有限公司:补充法律意见书(二) | 易点天下 |
关注焦点:数据来源及获取方式合规性
问询内容 | 问询对象 |
发行人作为代理公司获取海量数据的可能性、合规性[3] [3] 北京木瓜移动科技股份有限公司:补充法律意见书(一) | 木瓜移动 |
《信息授权使用协议》的具体内容,包括但不限于授权范围、授权期限、合同续签情况、授权具体内容、发行人可使用的信息范围、权利义务及违约责任,《信息授权使用协议》是否对发行人信息使用或信息处理存在额外限制性条款或保密规定[4] [4] 山东卓创资讯股份有限公司:发行人及保荐机构关于第二轮审核问询函的回复意见 | 卓创资讯 |
信息授权方式是否符合行业惯例及其商业逻辑性[5] [5] 山东卓创资讯股份有限公司:补充法律意见书(二) | 卓创资讯 |
补充披露发行人业务活动中使用数据及获取数据的基本情况,包括但不限于数据来源、途径、所有权方、存储位置、运用环节[6] [6] 北京木瓜移动科技股份有限公司:补充法律意见书(一) | 木瓜移动 |
结合发行人的业务流程补充披露发行人能够获取消费者个人信息的环节、信息内容范围[7] [7] 上海凯淳实业股份有限公司:补充法律意见书(一) | 凯淳实业 |
发行人产品采集数据的手段、方式,采集的数据内容、形式及下游应用场景[8] [8] 南京森根科技股份有限公司:发行人及保荐机构关于第三轮审核问询函的回复 | 森根科技 |
发行人及其原料数据采集供应商相关数据的获取方式及其合规性,发行人是否享有数据的所有权或获得相关数据主体的授权许可[9] [9] 北京海天瑞声科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 海天瑞声 |
发行人自行采集数据采用的技术,内容是否合法合规,程序是否正当;是否存在采用特殊互联网手段(或技术)采集法律法规规定不属于公开的社会信息或需要特殊许可等前置程序方可获取数据的情形;发行人采集需要信息主体授权方能获取的信息(包括纳税)等获得授权的具体实现方式[10] [10] 深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 微众信用 |
关注焦点:第三方数据来源合规性
问询内容 | 问询对象 |
主要原料数据采集、标注服务提供商是否具备必要的业务资质[11] [11] 北京海天瑞声科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 海天瑞声 |
结合主要原料数据采集、标注服务提供商的规模、员工数量等,说明其是否有足够能力为发行人提供相关服务[12] [12] 北京海天瑞声科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 海天瑞声 |
报告期各期与数据服务采购相关留存的内外部记录及完整性,包括但不限于采购通知、采购过程沟通记录、采购量结算明细、日志记录、验收结算确认单据和银行流水等[13] [13] 北京海天瑞声科技股份有限公司:发行人及保荐机构关于第二轮审核问询函的回复 | 海天瑞声 |
客户向发行人提供的数据中,其来源及合法合规性,客户是否有权从事该等业务,是否符合其相关行业的主管规定;发行人客户是否存在间接或变相向发行人提供不属于法律法规规定应当公开、或客户无权获取、提供的数据的行为[14] [14] 深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 微众信用 |
发行人及发行人的数据供应商从事数据服务是否需要取得相应特殊资质、许可或备案,当前数据服务行业(提供商)的相关主要监管规定; 发行人当前从事数据交易是否要求数据提供方说明数据来源,并留存审核、交易记录等内控机制[15] [15] 深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 微众信用 |
数据供应商从事该等业务(销售数据)是否合法合规;该等采购的数据其来源是否合法合规,发行人是否有相应机制保障供应商提供数据的合法合规性[16] [16] 深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复;北京中数智汇科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 微众信息 中数智汇 |
发行人上述数据供应商是否曾因数据合规问题涉及诉讼或纠纷,发行人向上述数据供应商采购数据合同中是否约定相关因数据合规问题产生纠纷的解决机制[17] [17] 深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复;北京中数智汇科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 微众信息 中数智汇 |
关注焦点:商业合理性
问询内容 | 问询对象 |
发行人报告期内是否存在向个人供应商采购原料数据采集、标注服务的情形,如存在,向个人供应商采购的原因及商业合理性[18] [18] 北京海天瑞声科技股份有限公司:发行人及保荐机构关于审核问询函的回复 | 海天瑞声 |
补充披露发行人整合媒体用户数据的可能性,相关媒体开放用户数据给发行人的商业合理性[19] [19] 北京木瓜移动科技股份有限公司:补充法律意见书(一) | 木瓜移动 |
审核机关关注点
●关注点一:数据内容
针对数据内容,审核机关较为关注具体获取数据的性质和类型,如是否涉及个人信息、重要数据、商业秘密及其他非公开信息等,是否为公开数据,数据内容是否为法律法规允许采集的。
●关注点二:数据来源及获取方式合规性
a、获取途径及方式:收集手段的合法合规性,如是否采用了特殊互联网手段(或技术)采集,是否绕开了被收集对象的防护措施进行数据抓取。b、授权链路的完整性,即数据收集者是否获得了被收集对象的充分授权,是否有相应的授权协议/书面许可为支撑,授权内容的可使用范围及额外限制等。c、获取方式是否符合行业惯例及商业逻辑。
●关注点三:第三方数据来源的合规性
对于数据来源于第三方的,审核机关除关注数据的内容、最终来源及数据提供方获取数据方式的合规性外,还较为关注数据提供方对外提供数据行为的合法合规性,是否有资质要求,数据接收方是否有针对数据提供方的审核、评价机制,是否留存相关的内外部记录,是否有机制保障获取数据的合法合规性等。
●关注点四:商业合理性
除合规性外,审核机关还会关注数据的获取是否符合正常的商业逻辑或行业惯例。
合规提示
●注意对数据获取的方式进行分类,如主动收集、用户直接填写、第三方采购或爬虫技术从公开渠道获取等。
(1)第三方数据采购需注意审查采购的必要性(包括数据类型、业务关联度、数据量的必要性、依赖性)、要求供应商书面承诺数据的合法合规性,有条件的对供应商开展信息合法性评估(资质审查、来源审查、授权审查及责任能力审查等),建立供应商评价体系并留存完整的采购记录。
(2)爬虫获取需注意:a、遵守网站的roborts协议及适用的技术协议,如涉及用户信息应遵守“用户授权平台+平台授权采集方+用户授权采集方”的三重授权原则;b、建立爬虫技术使用审查制度,在爬取前结合爬取目的、对获取数据的法律性质、爬取手段及流量限制等进行评估。
●注意对数据的类型进行分类,涉及个人信息、重要数据或其他受监管的行业数据的,还应遵守相应的特殊规定。
A、涉及个人信息的,根据《个人信息保护法(草案二审稿)》(下亦称“个保法草案二审稿”)个人信息的处理(包括收集、存储、使用、加工、传输、提供、公开)应遵循合法正当性原则、目的明确原则、最小必要原则、公开透明原则、准确性原则、安全保障原则。
1)合法正当性原则:处理个人信息应当采用合法、正当的方式,遵循诚信原则,不得通过欺诈、误导等方式处理个人信息。
2)目的明确原则和最小必要原则:处理个人信息应当具有明确、合理的目的,并应当限于实现处理目的的最小范围、采取对个人权益影响最小的方式,不得进行与处理目的无关的个人信息处理。比如收集的个人信息类型与实现产品或服务的业务功能有直接关联;自动采集个人信息的频率应是产品或服务的业务功能所需的最低频;间接获取个人信息的数量应是实现产品或服务的功能所需的最小数量;不得仅仅以改善程序功能、提高用户体验、定向推送等为目的收集用户个人信息。
3)公开透明原则:处理个人信息应当遵循公开、透明的原则,明示个人信息处理规则。具体明示的方式除常见的隐私保护协议外,建议使用弹窗强提示、须知等更容易触达到用户的形式。
4)准确性原则:处理的个人信息应当保证个人信息的质量,避免因个人信息不准确、不完整对个人权益造成不利影响。
5)安全保障原则:个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
B、收集个人信息,应以“告知-同意”为核心,确保个人在充分知情的前提下,自愿、明确作出意思表示。这就需要充分告知个人信息主体具体的收集事项,征得个人的同意,事项包括但不限于:1)收集使用的目的;2)收集、使用个人信息的规则;3)提供产品或服务的不同业务功能分别收集的个人信息类型;4)收集方式和频率;5)存放地域和期限;6)自身的个人信息安全保护能力;7)对外共享、转让、公开披露的有关情况等);宜逐项同意、明示同意:应提供拒绝同意的选项。值得注意的是,《个人信息保护法(草案二审稿)》也设置了6种基于个人同意以外的合法处理个人信息的情形,其中企业最可能适用到的是“为订立或者履行个人作为一方当事人的合同所必需”时可处理个人信息,但由于适用该条规定需要以合同为依据,实务中企业须注意劳动合同等相关证据的留存。
C、重要数据的存储、出境等均应符合相关法规、国家标准规定。
