拟上市企业数据合规问询分析及建议(二)

来源:凌科安时律师事务所

文章摘要
问题二 数据来源、数据内容是否涉及个人隐私或涉密信息?是否存在超出授权范围使用数据或其他泄露涉密信息、侵犯第三方合法权益的情形?

问题二
数据来源、数据内容是否涉及个人隐私或涉密信息?是否存在超出授权范围使用数据或其他泄露涉密信息、侵犯第三方合法权益的情形?
一、问询目的
依据前篇对数据合规问询的梳理(点击此处可阅读前篇),个人信息保护、涉密信息安全等风险因素与合规管理措施情况的披露在近年近乎出现在所有与信息相关的企业上市招股书中,也成为数据合规问询的重点内容之一。尤其是个人信息获取途径及授权方式,授权是否明确且合法有效,对个人信息的授权使用是否超过授权权限等问题在问询函中频繁提及。
因企业生产经营以及个人日常活动过程中产生的海量个人信息,既存在无法估量的商业价值,也可能存在潜在的数据隐私安全风险。我国法律规定,收集个人信息,应当在收集时向用户明示处理目的,并需要在授权范围内使用。数据处理者不得超出处理所必须的授权范围,或者超出数据处理目的去使用个人信息,否则,极有可能违反最小必要原则,进而侵犯用户的个人信息权、隐私权等。
监管部门对于涉密信息保护与个人隐私安全的监管要求严格,针对相关IPO企业的个人隐私保护能力的核查也显得尤为重要。在IPO阶段及时开展个人隐私保护与涉密信息安全治理,可以提前规避因相关信息处理不合规导致的问题,甚至是法律风险和相应处罚。
二、法律依据
01、《中华人民共和国数据安全法》
第三十二条任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。
法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。
第三十三条从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。
第三十四条法律、行政法规规定提供数据处理相关服务应当取得行政许可的,服务提供者应当依法取得许可。
02、《中华人民共和国个人信息保护法》
第九条个人信息处理者应当对其个人信息处理活动负责,并采取必要措施保障所处理的个人信息的安全。
第十三条符合下列情形之一的,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
依照本法其他有关规定,处理个人信息应当取得个人同意,但是有前款第二项至第七项规定情形的,不需取得个人同意。
第十四条基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出。法律、行政法规规定处理个人信息应当取得个人单独同意或者书面同意的,从其规定。
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意。
03、《中华人民共和国保守国家秘密法(2010修订)》
第二十四条机关、单位应当加强对涉密信息系统的管理,任何组织和个人不得有下列行为:
(一)将涉密计算机、涉密存储设备接入互联网及其他公共信息网络;
(二)在未采取防护措施的情况下,在涉密信息系统与互联网及其他公共信息网络之间进行信息交换;
(三)使用非涉密计算机、非涉密存储设备存储、处理国家秘密信息;
(四)擅自卸载、修改涉密信息系统的安全技术程序、管理程序;
(五)将未经安全技术处理的退出使用的涉密计算机、涉密存储设备赠送、出售、丢弃或者改作其他用途。
三、回复要点
该问询聚焦个人信息的收集、使用的合规性,发行人回复要点集中于以下几个方面:
1、在发行人直接面向个人信息主体采集个人信息的情况下,发行人收集、获取个人信息是否就采集内容、使用范围、使用场景、用途等以显著方式、清晰易懂的语言真实、准确、完整地向个人信息主体告知信息处理详情,并取得相关权利主体和主管部门的明确授权、许可或与客户签订保密协议、保密承诺书等。以上海合合信息科技股份有限公司为例,发行人在C端 APP 的《个人信息收集清单》《第三方信息数据共享清单》《隐私政策》《儿童隐私保护指引》《用户协议》《应用权限说明》(以下统称“隐私政策”)中明确列示了收集和使用个人信息的目的、业务功能和类型、收集方式和频率、存放地域、存储期限、自身的数据安全能力、对外共享、转让、公开披露的有关情况、关于儿童隐私保护指引和第三方服务商清单,在B端业务开展时也与 B 端企业客户明确约定了双方的保密义务。
2、在发行人向供应商采购数据的情况下,发行人需说明供应商数据来源是否合法合规。一般来说,发行人在采购数据时是否要求数据提供方说明数据来源并签署相关协议以及是否建立留存审核、交易记录等内控机制都是保证供应商数据来源合法合规性的关键所在。
3、在发行人处理涉密信息的情况下,发行人则需说明其收集和处理的信息是否属于涉密信息、处于何种密级,是否使用涉密计算机、涉密网络和涉密储存介质存储、处理和传输涉密信息,处理涉密信息的环境和场所是否安全可靠,是否制定泄密事件处理流程和应对预案及其他防护措施,在对外进行信息披露时是否对涉密信息脱密处理并依法报有审批权限的主管部门批准,并报同级保密行政管理部门备案等。
4、发行人处理、使用个人信息是否在客户控制及监督的环境下进行。
5、发行人是否采取相应的技术措施或其他措施防止采集的第三方信息泄露或超出范围使用。例如,北京清大科越股份有限公司在技术上采用 md5 的加密方式, 不对用户的敏感信息(诸如密码等)进行本地缓存;在安全凭证的设计上防止非法解密,防止 Replay 攻击及链路信息窃取;同时,在数据信息访问上设置了控制权限,只有运维及系统升级需要才有权限接触到相关数据。上海索辰信息科技股份有限公司通过采取通过物理载体运输、使用与互联网物理隔绝的计算机存储使用数据、数据物理载体的销毁送交专业机构完成等技术措施保障数据安全,并对涉及国家秘密的数据严格按照相关保密要求进行管理。
四、律师建议
1、公司获取用户数据、个人隐私首先应当在签订保密协议或取得客户完整授权或许可的前提下进行,明确个人信息的使用目的、方式和范围,并遵循数据个人信息“最小使用原则”,把握好个人信息使用的必要限度,确保收集、使用的个人信息与实现产品或服务的业务功能相符。
2、公司应采取必要的技术措施和其他措施防范数据泄露,保障数据安全。在技术层面,建立对数据的网络隔离措施、数据权限管理措施、数据脱敏措施、加密措施等安全措施保障数据的安全性,也可以选择具有相关资质认证的第三方数据存储服务机构等方式存储客户提供的数据;在人员管理层面,应加强对相关业务人员的数据安全教育培训,提高员工的保密意识。

技术驱动法律,专业成就未来