IPO三轮问询直戳数据合规:如何扫清上市数据合规障碍(附尽调清单)

来源:iLaw合规

文章摘要
前言 在上市的路上,考虑到数据合规风险对企业经营的长远影响,数据合规成为公司IPO审核关注重点。
前言
在上市的路上,考虑到数据合规风险对企业经营的长远影响,数据合规成为公司IPO审核关注重点。越来越多的拟上市企业(如Keep、喜马拉雅、扫描全能王等)在筹备上市阶段,甚至更早阶段,特别聘请律师事务所,为其数据合规出具专项合规意见。对此,企业如何做好数据合规以回应监管机构的问询?如何从监管机构的问询中提炼出当前监管重点以及未来监管趋势?如何搭建可落地、具有实操性的数据合规体系?
一、深度剖析:合合信息IPO数据合规三轮问询
IPO指的是首次公开募股(Initial Public Offering)。
选择合合信息来进行举例,是因为它既新、又全、还难。“新”在,其最新一轮问询在2022年9月。“全”在,其被问询的问题基本覆盖数据全生命周期。“难”在,在2021年9月受理至今,该公司仍未上市。合合公司的主营业务是:B端+C端产品。公司 C 端业务主要为面向全球个人用户的 C 端 APP 产品,包括扫描全能王(智能扫描及文字识别 APP)、名片全能王(智能名片及人脉管理APP)、启信宝(企业商业信息查询APP)3 款核心产品。公司 B 端业务为面向企业客户提供以智能文字识别、商业大数据为核心的服务。该公司期待上市的板块为软件和信息技术服务业。
合合信息IPO审核问询的要点如下,包括数据来源问题,数据使用、储存及提供,资质许可、数据安全保障措施及处罚情况,数据跨境、科技伦理四个方面:

二、痛点解析:上市难点与合规困境
01 拟上市企业数据合规审核问询关注要点

02 拟上市企业数据合规核心要点

1.个人信息处理主体
我国《个人信息保护法》分别对个人信息处理者与受托人作出了规定。
——个人信息处理者是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
——受托人是指接受委托处理个人信息的受托人。
欧盟《GDPR》也有类似的概念,但其表述为数据控制者与数据处理者。
——数据控制者是指能够单独或与其他主体共同决定个人数据处理目的和方式的自然人、法人或者公权力机关、机构或者其他主体。
——数据处理者是指代表控制者处理个人数据的自然人、法人、公权力机关、机构或者其他主体。
区分个人信息处理主体的目的就在于判定责任的承担者。
——我国《个人信息保护法》第66条规定,“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的……………有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正没收违法所得,并外五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”
——GDPR第83条规定:“If a controller or processor intentionally or negligently, for the same or linked processing operations, infringes several provisions of this Regulation, the total amount of the administrative fine shall not exceed the amount specified for the gravest infringement.”
2.数据采集痛点(爬虫)

数据采集痛点包括不正当竞争风险和侵犯个人信息权益风险。
对微众信科和合合信息的问询值得作为案例关注。
对微众信科的问询内容是:发行人自行采集数据采用的技术,内容是否合法合规,程序是否正当;是否存在采用特殊互联网手段(或技术)采集法律法规规定不属于公开的社会信息或需要特殊许可等前置程序方可获取数据的情形;发行人采集需要信息主体授权方能获取的信息(包括纳税)等获得授权的具体实现方式。
对合合信息的问询内容是:“自动化访问获取的企业数据确保来源合法性的具体方式。”
——爬虫不正当竞争风险的判定维度:

值得注意的是,以“爬虫”、“不正当竞争”为关键词在中国裁判文书网进行检索,共筛选出近十年(2011-2022)发生的12起典型案例 ,发现爬取方胜诉的仅2起。
——爬虫侵犯个人信息权益风险的判定维度:

3.数据使用痛点(个性化推荐)

个性化推荐的合规路径包括:
1. 告知同意
2. 个人拥有拒绝路径
3. 自动化决策解释说明
4. 算法备案
5. 显著区分个性化展示
6. 标签/画像的自主控制机制
4.数据安全保障措施

对数据处理者的审核问询重点如下:
——数据合规法定义务:充分论证“业务开展过程中不涉及对个人信息的收集、存储、传输、处理、使用”是否符合业务实质,逐条对照《个人信息保护法》《数据安全法》等相关法律法规,说明发行人相关业务开展的合规性。
——合规措施及有效性:发行人保证数据采集、清洗、管理、运用等各方面的合规措施。
——争议纠纷情况:报告期内安全事故的发生类型、原因及发生概率统计,是否存在涉及数据安全与网络安全的诉讼和仲裁纠纷或其他争议情况。
03 企业上市需要注意哪些数据合规问题
理清数据资产:
1. 拿别人的数据时不侵权(数据来源合法性问题);
2. 拿到数据后确权;
3. 将数据变成有价值的资产。
三、合规解法:扫清上市数据合规障碍
01 上市企业如何打造数据合规风险闭环管理模式
如果数据理解为“资产”的话,对应商业秘密,包括IP和知识产权相关。企业应该先对其进行梳理,有用的数据映射商业秘密,商业秘密再做分级和保护;其中能够自然地演化为知识产权的也可能进资产负债表等等。
下面是企业数据安全合规环:

02 内部层—组织:明确事前、事中、事后

1.事前——个人信息保护影响评估
2.事中——保护措施(mactop)
M:management,管理制度和操作规程
A:authorization,合理确定个人信息处理的操作权限
C:category,对个人信息实行分类分级管理
T:technology,采取相应的加密、去标识化等安全技术措施
O:organization,定期对从业人员进行安全教育和培训
P:plan,个人信息安全事件应急预案
定期合规审计
3.事后——信息泄露补救和通知义务
03 内部层——人:个人信息保护负责人

04 中间层——评估:个人信息保护影响评估
触发条件:
1.处理敏感个人信息;
2.利用个人信息进行自动化决策;
3.委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;
4.向境外提供个人信息;
5.其他对个人权益有重大影响的个人信息处理活动。
评估内容:
1.个人信息的处理目的、处理方式等是否合法、正当、必要;
2.对个人权益的影响及安全风险;
3.所采取的保护措施是否合法、有效并与风险程度相适应。
记录留存:
个人信息保护影响评估报告和处理情况记录应当至少保存三年。
05 外部层——风险隔离:首例爬虫合规不起诉案例
基本案情:涉案企业Z公司系一家为本地商户提供数字化转型服务的互联网大数据公司,为吸引更多客户,在未经E公司授权许可的情况下,Z公司通过“外爬”“内爬”等爬虫程序,非法获取其运营的E公司外卖平台数据,造成E公司海量信息被非法获取,增加了流量成本,Z公司及其涉案员工因涉嫌非法获取计算机信息系统数据罪被移送检察院。
合规整改:Z公司向上海市普陀区检察院提出了合规不起诉申请,普陀区检察院审查后向Z公司制发了合规检察建议,并启动范式合规审查。Z公司在整改期间积极开展数据合规整改工作,最终在普陀区检察院举行的公开审查听证中,参与听证的各方均认为Z公司数据合规整改到位,并一致同意对Z公司及人员作出不起诉决定。
06 外部层——风险隔离:合规不起诉与ISO37301
通过ISO37301进行刑事合规建设意义
针对涉税刑事风险高发的企业,涉案企业合规整改属于事后措施;事前的刑事合规体系建设,才是预防犯罪以及提升事后合规整改效率的关键所在。重点体现在以下两个方面:
有效证明主观合规意愿
相较于事前合规建设空白的企业,建立事前刑事合规体系的企业,具有更为强烈的主观合规意愿,能够在事后向检察机关证明其对刑事合规的重视以及进行合规整改的决心。
利于高效执行合规计划
由于合规考察期时间有限,已采取事前合规举措的涉案企业,具有高效执行合规计划的基础条件,更容易满足涉案企业合规评估要求,通过合规审查。
图源:德恒上海高亚平律师团队
技术驱动法律,专业成就未来