科创板上市审核对企业数据合规的启示——数据收集篇

来源:广悦数据合规研究院

文章摘要
2021年6月10日,《数据安全法》已由全国人大常委会第二十九次会议审议通过,将于2021年9月1日起施行。与此同时,《个人信息保护法(草案二审稿)》已结束征求意见环节,有待最终的审议表决。

2021年6月10日,《数据安全法》已由全国人大常委会第二十九次会议审议通过,将于2021年9月1日起施行。与此同时,《个人信息保护法(草案二审稿)》已结束征求意见环节,有待最终的审议表决。从网络安全到数据安全和个人信息保护,数字经济时代下的企业即将面临严格且严密的数据合规监管。这一趋势,在资本市场已有明显的体现。科创板上市审核中,企业数据合规问题多次受到审核问询。问题覆盖了从数据收集、存储、使用、共享、出境到数据安全等多个维度。
据此,我们以科创板上市审核问询为样本,以数据生命周期的不同阶段为节点,分别梳理在特定数据阶段审核问询的焦点,并分析对应的企业案例,进而为企业做好数据治理工作建立合规框架,提供操作指引。
本研究分为五个篇章,分别是数据收集篇、数据存储篇、数据使用篇、数据出境篇和数据安全篇。本文是第一篇,关乎数据收集环节。
一、上市审核对数据收集的问询要点
数据收集是数据全生命周期的起点,涉及大量数据处理业务的企业在科创板上市过程中,都不可避免地被发审委问询数据获取相关问题。
通过案例检索,发审委对企业数据收集环节的关注要点集中在四个方面:其一,数据来源及收集方式的合规性;其二,数据收集手段或工具的合规性;其三,数据供应商的合规性;其四,数据收集的内控制度。
(一)数据来源及收集方式

(二)数据收集手段或工具

(三)数据供应商

(四)数据收集的内控制度

二、数据收集合规的代表性案例
就上述四个方面问询要点,我们选取了申报上市相关代表性案例分析如下。
(一)健耕医药:数据的具体来源及其合法合规性
据上海健耕医药科技股份有限公司(以下简称“健耕医药”)披露,健耕医药是器官移植领域医疗器械产品及服务提供商,其全资子公司上海耘翌医院管理有限公司(以下简称“上海耘翌”)主要业务为运营器官移植患者随访及患者教育平台,专注于为移植术后患者提供随访与教育服务。
因涉及器官移植患者个人信息的获取,发审委非常关注上海耘翌获得器官移植患者信息和数据的具体来源及其合法合规性。
对此,保荐机构回复:上海耘翌获得器官移植患者信息和数据,来源于患者在注册新耕植微信公众号、微信小程序以及APP(安卓版)时主动提供,相关数据包括患者姓名、性别、出生日期、手机号码、疾病类型、手术日期、手术医院等,上海耘翌收集前述信息目的系为患者提供针对性、个性化的服务。
同时,新耕植平台收集用户、使用个人信息已取得注册用户的同意。新耕植平台在注册时需要用户勾选《新耕植用户协议》,该协议已就新耕植平台收集、使用用户个人信息等事项向用户进行明示,并明确新耕植基于向用户提供服务的目的,并且其在合理范围内使用用户个人信息。用户仅在同意前述协议的情况下,才会提交个人信息并成为新耕植注册用户。
(二)旷视科技:数据收集方式及其合法合规性
据旷视科技有限公司(以下简称“旷视科技”)的招股说明书披露,旷视科技是一家聚焦物联网场景的人工智能公司,通过构建完整的 AIoT 产品体系,面向消费物联网、城市物联网、供应链物联网三大核心场景提供经验证的行业解决方案,以实现人工智能的商业化落地。
因发行人的AI核心技术涉及数据的处理、清洗和管理,发审委要求旷视科技说明数据收集方式及其合法合规性。对此,保荐机构及律师回复:旷视科技的数据收集分为配合式采集和公开数据集两种方式,具体而言:
配合式采集是指使用摄像机、面板机、手机等采集设备,在专门搭建的模拟场景中,经特定被采集人授权同意采集所需数据的形式。公开数据集是指互联网上已公开发布的可用数据,由第三方学术研究机构、企业等自行制作并公开发布,如 COCO 等互联网公开学术数据集。
针对配合式采集,公司采用自主研发的前端图像脱敏方案,在采集端完成人脸图像的混淆加密脱敏,脱敏后的数据难以逆推出原始图像,仅可用于算法开发优化的创新技术方案。除此之外公司还采用多种加密手段,如使用授权密钥加密、硬盘文档加密等。
(三)中数智汇:通过供应商采购数据的内控机制
据北京中数智汇科技股份有限公司(以下简称“中数智汇”)的招股说明书披露,中数智汇业务主要围绕数据获取、数据分析和数据应用开展,其数据获取主要有三种途径:向供应商采购的数据、自动化访问获取的数据以及公司深度挖掘及建模生成的高质量数据。
因涉及向数据供应商采购,发审委对采购数据是否有相应的内控机制十分关注。据此,保荐机构和律师就公司采购数据的内控机制回复:中数智汇目前已制定《采购管理制度》与《数据采购管理制度》,并相应落实针对数据采购全流程(包括采购前评估、采购时的协议约定、合作开展过程中的监控管理)的合法合规性的审查机制,具体措施包括:
(1)《数据采购管理制度》明确禁止采购未公开的个人信息、可能构成特定法人商业秘密的数据、可能落入国家秘密或者特定行业管制的数据。
(2)采购前审核评估数据供应商数据来源合规性、数据安全管理能力、前期数据交易经验及能力、服务质量等因素,综合考量业内对于数据供应商数据安全能力的评价等,以确保提供采购数据的供应商具备数据安全保障能力。
(3)商洽过程中,要求数据供应商通过签订协议条款或者出具承诺函等方式,向公司承诺其数据来源的合法合规性、开展业务的合规性。
(4)建立数据供应商档案管理制度,对供应商合同签订状态、采购数据类型、数据范围、供应商背景资质审查情况等及时记录、更新、管理,确保在日常运营和业务发展中及时监测并管理数据采购情况。
三、企业数据收集的合规指引
迈入人工智能和大数据时代,企业在业务开展中经常伴随大量获取信息和数据,数据获取的途径、手段也呈现多元化趋势。对于企业而言,如何“守好”数据全生命周期的起点,确保数据收集环节的合法合规,是企业数据治理的第一问。
根据《网络安全法》第41条规定,数据收集应遵循合法、正当、必要的原则。而对于不同的数据收集路径,我们建议企业采取具有针对性的合规措施:
1.自行收集
必要性原则合规要求的落实和尺度的把握,是企业自行收集数据的“重灾区”。总体而言,收集的个人信息种类应与企业现有业务紧密相关,遵循数据收集的最小必要原则,而非“越多越好”。
对此,可以参照国家网信办、工信部等有关部门2021年3月发布的《常见类型移动互联网应用程序必要个人信息范围规定》,来把握“必要性”在企业具体业务场景中的落实标准。对于用户不同意收集非必要个人信息的,不得因此拒绝提供基本业务功能,或者降低基本业务功能的服务质量。
此外,企业在收集前应确保已获得用户明示授权,对于“注册即授权”、“默认勾选同意”等非明示方式应予以合规整改。建议完善用户协议与隐私政策,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,明确获得被收集者同意。
为更好保障数据采集阶段的安全,企业还可以积极寻求技术手段解决数据安全问题。如对于人脸图像等个人敏感信息的收集,企业可以采用前端图像脱敏技术,在采集端完成人脸图像的加密脱敏。同时针对不同的数据类型,企业也可以使用授权密钥加密、https加密、硬盘文档加密等多样化的技术手段。
2.向数据供应商采购
通过向数据供应商采购的方式获取数据的,应事先做好尽职调查及内控管理。据此,建议公司法务关注以下要点:
(1)对供应商资质进行审核,确保供应商具有合法资质且未受过行政处罚,同时应综合评估供应商数据安全管理能力、前期数据交易经验及能力、服务质量等。
(2)注意查看供应商数据来源合法的证明文件,例如供应商与用户签订的协议是否明确授权、授权使用范围、用途等。
(3)要求供应商提供并签署数据未侵犯他人隐私、商业秘密及其他权益的协议或承诺函,并约定发生纠纷由供应商承担企业因此遭受的一切损失。
(4)建立供应商管理制度,对供应商合同签订状态、采购数据类型、数据范围、供应商背景资质审查情况等及时记录、更新、管理。
3.自动化访问
通过网络爬虫手段收集公开平台数据的,应严格遵守目标网站设置的 robots协议。
如目标网站设置反爬协议或反爬措施的,企业应避免使用爬虫手段。
在抓取内容上,应对抓取内容进行审查。如发现抓取的内容属于用户的个人信息、隐私或者他人的商业秘密的,应及时停止并删除;同时注意避免抓取视频、音乐、图片等可能构成作品的数据,引发侵权风险。
通过Open API方式收集数据的,应严格遵守“三重授权原则”。新浪微博诉脉脉案中,脉脉超越授权范围通过Open API接口获取了新浪微博用户信息,因此被法院认定构成不正当竞争。实务中就此确立了“三重授权原则”,即“用户授权”+“平台授权”+“用户授权”。开放平台方直接收集用户数据时需获得用户授权,第三方开发者通过开发平台Open API接口间接收集用户数据的,还需获得用户授权和平台方授权。

技术驱动法律,专业成就未来