上市公司與IPO信息披露所涉數據合規問詢重點及合規建議
作者:吳衛明 劉昀東 崔涵 2022-03-30隨著網絡安全及數據合規相關立法進程的加速與完善,中國證券監督管理委員會(以下簡稱“證監會”)和境內三大交易所對于擬上市公司及已上市公司在數據合規層面的審查和監管愈發嚴格和細化。雖然我國現行立法和上市規則中,目前沒有明確將數據合規作為公司上市過程中必須披露的事項,但是從信息披露的原則以及數據合規對于公司業務合規及持續經營的重要性出發,公司對于數據合規事項的信息披露應屬信息披露義務的組成部分。因此,公司如何做好數據合規以回應監管機關的問詢,成為公司上市過程中乃至上市之前需要關注的重要事項。
本文梳理了2021年2月至2022年2月共20家公司上市案例,包括已接受數據合規問詢的已上市公司以及正在上市進程中的公司,通過分析證監會、交易所的問詢問題,從發行人網絡及數據安全管理、數據全流程處理、政策及法律變化的影響三個層面總結常見的問詢方面,進而提煉當前的監管重點及未來的監管趨勢,并從發行人角度出發提出方向性的合規建議。
一、上市公司面臨的數據合規監管和審查環境
(一)數據合規事項的信息披露依據——上市監管規則體系及披露要求
發行人不論在申報上市過程中還是成功上市后,都需要受到上市監管規則的約束。法律法規、部門規章和交易所上市規則對于發行人、保薦人等信息披露義務人的信息披露義務均有一定的要求。如《首次公開發行股票并上市管理辦法》第四十一條規定,“招股說明書內容與格式準則是信息披露的最低要求。不論準則是否有明確規定,凡是對投資者作出投資決策有重大影響的信息,均應當予以披露”;又如《科創板首次公開發行股票注冊管理辦法(試行)》第三十九條規定,“發行人應當根據自身特點,有針對性地披露行業特點、業務模式、公司治理、發展戰略、經營政策、會計政策,充分披露科研水平、科研人員、科研資金投入等相關信息,并充分揭示可能對公司核心競爭力、經營穩定性以及未來發展產生重大不利影響的風險因素”。
雖然上述規定未明確要求披露數據合規情況,但由于數據已經成為部分類型企業重要的業務驅動力,數據合規問題即可能構成“對投資者作出投資決策有重大影響的信息”以及“可能對公司……經營穩定性……產生重大不利影響的風險因素”。
據統計,自2016至2019年,至少有二十二家上市公司就數據合規事項接受了問詢并進行相關信息披露,公司所屬行業以“計算機、通信和電子設備制造業”、“互聯網和相關服務業”、“軟件和信息技術服務業”為主[1]。由此可見,對于以計算機、互聯網、信息技術為主營業務的公司,證監會和交易所早已將數據合規事項納入監管審查的范圍,與前述分析結論吻合。
另據統計,在2021年2月至2022年2月為期一年的時間,至少出現20家涉及數據合規審查的案例,從公司的數量而言,已經接近2016至2019年三年間涉數據合規事項的公司數量,由此可見,監管機構對于公司上市中數據合規審查的關注度有較大幅度提升。
(二)數據合規的基本要求
自2017年《網絡安全法》頒布生效后,數據合規的法律體系愈發龐大,并且每年均有新的法律法規、規章頒布,不僅法條數量繁多,內容也愈發精細化。對于具體內容而言,數據合規法律體系主要從數據安全管理和數據合法合規處理兩方面對于公司提出如下要求:
1. 數據安全管理:
要求 | 具體內容 | 對應法條 |
(1)制定網絡、數據安全制度 | 網絡運營者應當……制定內部安全管理制度和操作規程,確定網絡安全負責人,落實網絡安全保護責任。 | 《網絡安全法》第二十一條 |
開展數據處理活動應當依照法律、法規的規定,建立健全全流程數據安全管理制度,組織開展數據安全教育培訓,采取相應的技術措施和其他必要措施,保障數據安全。 | 《數據安全法》第二十七條 | |
個人信息處理者應當……制定內部管理制度和操作規程。 | 《個人信息保護法》第五十一條 | |
網絡交易平臺經營者應當對平臺內經營者及其發布的商品或者服務信息建立檢查監控制度。 | 《網絡交易監督管理辦法》第二十九條 | |
(2)防范數據安全風險及處置措施 | 網絡運營者應當……采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施。 | 《網絡安全法》第二十一條 |
開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。 | 《數據安全法》第二十九條 | |
個人信息處理者應當……采取相應的加密、去標識化等安全技術措施。 | 《個人信息保護法》第五十一條 | |
為了防范風險,當事人應當在審查期間按照網絡安全審查要求采取預防和消減風險的措施。 | 《網絡安全審查辦法》第十六條 |
2. 數據合法合規處理:
要求 | 具體內容 | 對應法條 |
(1)數據收集 | 網絡運營者收集、使用個人信息,應當遵循合法、正當、必要的原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。 | 《網絡安全法》第四十一條 |
任何組織、個人收集數據,應當采取合法、正當的方式,不得竊取或者以其他非法方式獲取數據。 | 《數據安全法》第三十二條 | |
處理個人信息應當具有明確、合理的目的,并應當與處理目的直接相關,采取對個人權益影響最小的方式。 收集個人信息,應當限于實現處理目的的最小范圍,不得過度收集個人信息。 | 《個人信息保護法》第六條 | |
符合下列情形之一的,個人信息處理者方可處理個人信息:(一)取得個人的同意…… | 《個人信息保護法》第十三條 | |
(2)其他數據處理方式 | 任何組織、個人不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或者公開他人個人信息;不得從事危害國家安全、公共利益的個人信息處理活動。 | 《個人信息保護法》第十條 |
除法律、行政法規另有規定外,個人信息的保存期限應當為實現處理目的所必要的最短時間。 | 《個人信息保護法》第十九條 | |
個人信息處理者向其他個人信息處理者提供其處理的個人信息的,應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類,并取得個人的單獨同意。接收方應當在上述處理目的、處理方式和個人信息的種類等范圍內處理個人信息。接收方變更原先的處理目的、處理方式的,應當依照本法規定重新取得個人同意。 | 《個人信息保護法》第二十三條 | |
個人信息處理者不得公開其處理的個人信息,取得個人單獨同意的除外。 | 《個人信息保護法》第二十五條 | |
有下列情形之一的,個人信息處理者應當主動刪除個人信息;個人信息處理者未刪除的,個人有權請求刪除: (一)處理目的已實現、無法實現或者為實現處理目的不再必要; (二)個人信息處理者停止提供產品或者服務,或者保存期限已屆滿; (三)個人撤回同意; (四)個人信息處理者違反法律、行政法規或者違反約定處理個人信息; (五)法律、行政法規規定的其他情形。 法律、行政法規規定的保存期限未屆滿,或者刪除個人信息從技術上難以實現的,個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理。 | 《個人信息保護法》第四十七條 |
此外,近些年數據合規領域法律法規的快速增長也是公司上市面臨合規分析的困難之一。同時,對于涉及信息技術等高新技術的公司、以大數據作為業務創新發展重要驅動力的創新型企業,以及因業務模式控制大量個人信息的企業而言,政策和立法的變化對于公司數據安全管理和數據合法合規處理的影響也成為證監會和交易所問詢的重點問題之一。
(三)上市公司所在行業對于數據合規的特殊監管要求
根據《數據安全法》第六條第二款,“工業、電信、交通、金融、自然資源、衛生健康、教育、科技等主管部門承擔本行業、本領域數據安全監管職責”。因此,針對不同行業的數據安全問題,行業主管部門有權針對該行業的數據處理的特殊情況制定相應的監管規則。
例如:
行業 | 監管規則 |
1.交通 | 《汽車數據安全管理若干規定(試行)》、《交通運輸政務數據共享管理辦法》、《關于深化汽車維修數據綜合應用有關工作的通知》、《水運工程標準數據維護與應用系統技術規程》等 |
2.電信 | 《電信和互聯網行業數據安全標準體系建設指南》、《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》、《電信條例》、《電信網絡運行監督管理辦法》、《電信和互聯網用戶個人信息保護規定》等 |
3.衛生健康 | 《藥物臨床試驗質量管理規范(2020修訂)》、《醫療器械臨床試驗質量管理規范》、《電子病歷應用管理規范(試行)》、《國家健康醫療大數據標準、安全和服務管理辦法(試行)》等 |
就本文檢索的20家公司案例而言,通過參考《上市公司行業分類指引》,該20家公司中有13家公司屬于信息傳輸、軟件和信息技術服務業,其中有10家屬于軟件和信息技術服務業;其余7家公司大多屬于制造業,例如專業設備制造業、紡織服裝業等。分布如下圖標所示:
圖表:2021年2月至2022年2月,被問詢數據合規事項的上市公司數量占比
就具體被問詢的問題而言,證監會和交易所也關注到同一公司涉及不同行業、同一行業內不同公司存在的不同的數據處理規則。例如,零點有數的主要經營業務為“公共事務和商業領域的客戶提供數據分析與決策支持服務”,該公司在運營過程中會涉及各種行業。在《北京零點有數數據科技股份有限公司問詢回復》的問詢中,特別提及發行人在提供服務過程中是否符合《電信和互聯網用戶個人信息保護規定》等相關法律法規的規定。[2]可見,行業因素對于是否進行數據合規問詢以及問詢內容有很大影響。
綜上所述,雖然法律法規并沒有明確規定需要披露數據合規事項,也沒有針對特定行業(例如信息技術行業)的發行人提出特殊的披露要求,但鑒于該特定行業發行人的主營業務與網絡、數據強相關,一旦發生網絡安全事件或者數據泄露風險,極有可能影響投資人的利益,因此數據合規可能成為特定行業的公司在上市審查過程中無法回避的披露事項。
二、上市公司數據合規監管重點
基于以上情況,本文將通過梳理2021年2月至2022年2月共20家上市公司的案例,對公司上市過程中常見的數據合規問題進行總結歸納,包括網絡及數據安全管理、數據全流程處理以及政策及法律變化的影響三個層面,并提煉當前的上市監管的關注重點以及未來的監管趨勢。
(一)網絡及數據安全管理
1. 網絡及數據安全管理制度
序號 | 公司名稱 | 上市狀態[3] | 時間 | 問題 |
1 | 怡合達 | 已上市 | 2021/7/2 | 是否建立防止泄密和保障網絡安全的管理制度以及執行情況。 |
2 | 廣道高新 | 已上市 | 2021/9/27 | 是否已建立完善的防泄密和保障網絡安全的內部管理制度,該等制度的執行是否有效。 |
3 | 華寶新能 | 已問詢 | 2021/11/29 | 是否已建立完善防泄密和保障網絡安全的內部管理制度。 |
4 | 天潤科技 | 已問詢 | 2021/12/10 | 說明數據的獲取、使用及保管的內部管理制度及執行情況,有效保障數據安全的具體措施。 |
5 | 合合信息 | 已問詢 | 2021/12/29 | 發行人關于獲取、存儲、使用數據的相關制度規范的制定時間、主要內容、執行情況,是否能夠有效保障數據安全及業務合法合規。 |
6 | 賽維時代 | 已問詢 | 2022/1/14 | 是否已建立完善防泄密和保障網絡安全的內部管理制度。 |
7 | 優炫軟件 | 已問詢 | 2022/1/28 | 補充披露關于數據安全與網絡安全保護的相關制度及措施。 |
2. 發生網絡、數據安全事件風險及防范措施
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 云創數據 | 已上市 | 2021/7/1 | 是否存在數據或信息被竊取、篡改、泄露、假冒、惡意破壞或被攻擊等網絡安全事件風險和法律風險。 |
2 | 怡合達 | 已上市 | 2021/7/2 | 報告期內是否發生客戶信息、交易信息等泄露事件,如是,披露是否構成重大違法行為。 |
3 | 廣道高新 | 已上市 | 2021/9/27 | 說明在開展業務、日常運營過程中是否獲取或有可能獲取國家秘密、保密信息、個人信息,是否存在泄露國家秘密、保密信息、個人信息的情況。 |
4 | 零點有數 | 已上市 | 2021/10/19 | 1)發行人針對上述數據使用、隱私及安全方面的內部控制措施及其有效性,是否存在泄密及其他數據使用風險; 2)是否存在數據或信息被竊取、篡改、假冒、惡意破壞或攻擊等網絡安全事件風險及法律風險。 |
5 | 華寶新能 | 已問詢 | 2021/11/29 | 是否可以獲取用戶相關個人信息和商業秘密等用戶數據,報告期內是否存在數據泄露造成發行人及客戶損失的情形。 |
6 | 天潤科技 | 已問詢 | 2021/12/10 | 說明是否存在數據或信息被竊取、篡改、泄露、假冒、惡意破壞或被攻擊等網絡安全事件風險和法律風險。 |
7 | 合合信息 | 已問詢 | 2021/12/29 | 報告期內發行人數據管理不完善的具體情形、影響范圍、嚴重程度,是否存在侵權行為、糾紛、潛在糾紛或可能被處罰的情形,目前發行人針對該等不完善情形的具體整改情況及效果,發行人數據合規糾紛的解決機制。 |
8 | 賽維時代 | 已問詢 | 2022/1/14 | 說明報告期內是否存在數據泄露造成發行人及客戶損失的情形。 |
9 | 優炫軟件 | 已問詢 | 2022/1/28 | 補充說明發行人主要產品在使用過程中是否存在網絡安全問題,包括但不限于外掛程序、被黑客攻擊、軟件漏洞、設備故障等,如有,補充披露事件發生的具體過程、解決方法及對發行人產品的影響,目前解決情況及后期應對措施。 |
10 | 聯特科技 | 上市委會議通過 | 2022/2/28 | 說明2019年發行人郵箱遭黑客攻擊導致款項預期無法收回的具體情況,發行人 IT 系統安全性情況,并說明上述事件發生后的相關整改情況,發行人內部控制是否有效。 |
由上述案例可知,如果公司被詢問是否建立網絡安全、數據安全管理制度,其均被進一步問詢是否發生過網絡、數據安全事件的風險。而對于近四個月內接受IPO審核的華寶新能、合合信息、賽維時代、優炫軟件和聯特科技五家公司,其又被進一步問詢該風險造成的損失、整改情況、內控效果以及后續風險防范措施。
因此,公司建立網絡、數據安全管理制度與發生網絡、數據安全事件是論證公司網絡、數據安全管理有效性的一體兩面。從正面而言,監管機構關注發行人是否依照《網絡安全法》、《數據安全法》等法律法規的規定,制定有網絡安全、數據安全相關制度以及建立了保障數據安全、網絡安全的具體措施,包括信息安全制度、防泄密措施等,并且關注該制度和措施的執行情況。從反面而言,監管機構關注發行人是否曾發生過網絡安全、數據安全事件或者是否具有發生相關事件的風險,從反面證明發行人應對上述事件和風險的能力,以檢驗是否有效保障發行人的網絡和數據安全。
(二)數據全流程(全生命周期)合規處理
1. 數據收集
(1) 數據來源及數據類型
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 中數智匯 | 提交注冊 | 2021/2/2 | 1)請發行人結合主營業務所涉領域及同行業可比公司說明發行人的具體行業分類,與其他征信行業企業在數據來源、數據加工及處理、提供具體服務內容及方式等方面是否存在重大差異; 2)請補充披露發行人不同類型產品的具體服務流程及內容,不限于……數據來源…… |
2 | 零點有數 | 已上市 | 2021/7/15 | 說明發行人為該汽車客戶提供服務及產品的具體內容,發行人采集信息的途徑,……通過人臉識別設備提供數據分析及決策支持屬于招股說明書披露的何種數據類型及數據來源,發行人是否存在使用類似途徑獲得數據信息的情形。 |
3 | 零點有數 | 已上市 | 2021/10/19 | 補充披露保障外部采購數據可靠性的措施及其有效性。 |
4 | 曠視科技 | 提交注冊 | 2021/10/29 | 結合報告期內獲取數據方式、來源等,按照《數據安全法》等相關規定,說明獲取、處理及使用數據的合法性。 |
5 | 嘉和美康 | 已上市 | 2021/11/3 | 請發行人補充披露各項核心技術涉及的數據來源及類型。 |
6 | 天潤科技 | 已問詢 | 2021/12/10 | 1)補充披露各細分業務所需的數據類型、來源、使用期限或其他權利限制、不同數據來源占比;如存在對外采購數據,說明核心數據來源,與同行業可比公司的差異情況及合理性; 2)相關服務、設備是否來源于國外供應商,如有,請補充披露。 |
7 | 青木股份 | 已上市 | 2021/12/17 | 結合發行人消費者運營服務的業務流程補充披露發行人能夠獲取消費者個人信息的環節、信息內容范圍……對消費者相關信息數據的采集、使用是否符合互聯網用戶數據使用及數據安全方面的法律、法規及規章制度。 |
8 | 合合信息 | 已問詢 | 2021/12/29 | 1)發行人各項業務及研發分別獲取、存儲、使用哪些數據,對應的數據來源、數據權屬,是否存在銷售數據的情形; 2)發行人向個人供應商采購數據的主要內容……; 3)發行人調查供應商及數據來源合法性的具體方式及有效性。 |
9 | 賽維時代 | 已問詢 | 2022/1/14 | 補充披露發行人在開展業務過程中是否可以獲取用戶相關個人信息和商業秘密等用戶數據。 |
10 | 科藍軟件 | 中止 | 2022/2/8 | 請發行人補充說明:發行人主營業務的客戶類型;發行人業務中是否包括直接面向個人用戶的業務。 |
(2) 數據合法收集、數據權益及侵權糾紛
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 零點有數 | 已上市 | 2021/7/15 | 1)是否取得了被采集信息用戶的明確同意,是否存在未經授權獲取用戶數據的情況; 2) 是否存在自身或外購數據供應商侵害用戶人身權益等侵權行為,是否出現過個人信息、隱私泄露事件,是否存在相關糾紛或潛在糾紛。 |
2 | 錦泓集團 | 已上市 | 2021/8/19 | 涉及采集客戶信息的,是否可能侵犯個人隱私或其他合法權益。 |
3 | 零點有數 | 已上市 | 2021/10/19 | 歷史上是否曾發生過提供不實數據的情形,是否影響發行人產品質量問題或客戶糾紛的情形;如因不實數據而導致糾紛的,發行人、數據提供商以及客戶之間的責權利劃分情況。 |
4 | 嘉和美康 | 已上市 | 2021/11/3 | 通過科研合作產生數據集或基于真實醫療業務數據開展技術的,在數據使用中是否需取得相關方的許可或授權、相關授權是否完整,是否存在侵犯患者隱私的情形。 |
5 | 青木股份 | 已上市 | 2021/12/17 | 數據采集過程是否獲得客戶許可,是否存在違規使用用戶數據、侵犯用戶權益的情形。 |
6 | 天維信息 | 終止 | 2021/12/17 | 1)是否存在因泄露或使用前述信息或數據產生的糾紛或處罰,公司所研發軟件及應用關于采集、使用個人信息等數據的功能設置是否符合法律法規規定; 2)發行人是否享有數據的所有權或獲得相關數據主體的授權,相關授權是否存在使用范圍、主體或期限等方面的限制,發行人及其原料數據采集供應商是否存在超出上述限制使用數據的情形,是否存在數據采集或使用侵犯個人隱私或其他合法權益的風險。 |
(3) 數據收集方式
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 嘉和美康 | 已上市 | 2021/11/3 | 請發行人補充披露數據獲取方式。 |
2 | 天維信息 | 終止 | 2021/12/17 | 請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性。 |
3 | 合合信息 | 已問詢 | 2021/12/29 | ……自動化訪問獲取的企業數據如何確保來源合法性。 |
2. 其他數據處理方式
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 提交注冊 | 2021/2/2 | 請發行人結合主營業務所涉領域及同行業可比公司說明發行人的具體行業分類,與其他征信行業企業在數據來源、數據加工及處理、提供具體服務內容及方式等方面是否存在重大差異。 | |
2 | 云創數據 | 已上市 | 2021/7/1 | 補充披露是否存在客戶數據在發行人自有系統中進行存儲或處理的情形,……是否存在數據使用、隱私和安全方面的風險或潛在糾紛,若存在,補充披露前述風險的責任承擔主體。 |
3 | 零點有數 | 已上市 | 2021/7/15 | 發行人是否存在將授權范圍內收集的直接識別信息出售給客戶的情形。 |
4 | 可孚醫療 | 已上市 | 2021/9/28 | 1)發行人使用和維護的大量個人消費者及企業客戶信息等數據資源的合法合規性; 2) 是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為,是否存在糾紛或潛在糾紛。 |
5 | 零點有數 | 已上市 | 2021/10/19 | 補充披露針對客戶委托項目中各類采購的原始數據及后續處理完畢數據的保存期限,是否符合行業慣例及合同約定。 |
6 | 曠視科技 | 提交注冊 | 2021/10/29 | 結合報告期內獲取數據方式、來源等,按照《數據安全法》等相關規定,說明獲取、處理及使用數據的合法性。 |
7 | 嘉和美康 | 已上市 | 2021/11/3 | 請發行人補充披露數據存儲方式。 |
8 | 華寶新能 | 已問詢 | 2021/11/29 | 是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為。 |
9 | 天潤科技 | 已問詢 | 2021/12/10 | 1)補充披露是否存在客戶數據在發行人自有系統中進行存儲或處理的情形,……是否存在數據使用、隱私和安全方面的風險或潛在糾紛,若存在,補充披露前述風險的責任承擔主體; 2)數據的獲取、使用及保管是否存在違反國家安全、國家秘密、商業秘密以及地理信息數據管理等相關法律法規規定的情形,是否存在糾紛或潛在糾紛,若存在,說明對發行人相關業務開展的影響。 |
10 | 青木股份 | 已上市 | 2021/12/17 | 補充披露發行人獲取消費者個人信息后的用途、利用方式,是否存在過度利用的情形,發行人在保護消費者個人信息方面所采取的措施,是否存在法律風險。 |
11 | 天維信息 | 終止 | 2021/12/17 | 公司是否存在收集或使用客戶數據的情形。請發行人……分析并補充披露公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形,……請補充披露相關信息或數據獲取及使用的合法合規性、風險控制制度及執行情況,是否存在因泄露或使用前述信息或數據產生的糾紛或處罰,公司所研發軟件及應用關于采集、使用個人信息等數據的功能設置是否符合法律法規規定。 |
12 | 賽維時代 | 已問詢 | 2022/1/14 | 是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為,是否存在侵犯個人隱私、商業秘密或其他侵權方面的情形。 |
13 | 思特奇 | 已注冊 | 2022/1/17 | 發行人是否為客戶提供個人數據存儲及運營的相關服務,是否存在收集、存儲個人數據,對相關數據挖掘及提供服務的具體情況。 |
14 | 科藍軟件 | 中止 | 2022/2/8 | 發行人是否為客戶提供個人數據存儲及運營的相關服務,是否存在收集、存儲個人數據,對相關數據挖掘及提供增值服務等情況。 |
15 | 立昂技術 | 已問詢 | 2022/2/25 | 發行人是否為客戶提供個人數據存儲及運營的相關服務,是否存在收集、存儲個人數據。 |
對于主營業務依賴于外部數據的公司而言,數據收集是業務活動的開端,也是決定后續數據處理活動是否合法合規的基礎。因此,數據收集成為數據處理全流程中監管機構重點問詢的環節。監管機構通常要求公司結合具體業務,從數據來源、數據類型、是否取得相應授權及是否發生過侵權事件及其風險、數據收集方式等進行合法合規性的闡述。
在部分案例中,對于可能接觸大量個人信息或客戶數據的公司,如果服務、設備來自國外供應商,監管機構還會要求對此情況予以披露(天潤)。對于數據類型,監管機構尤其關注對于商業秘密和個人信息的收集,同時考慮到個人信息可能同時構成個人隱私因而涉及兩種法益的情形。對于數據權屬方面的侵權事件,如果發行人曾存在數據來源不可靠的情況,監管機構會針對該糾紛進一步詢問該情況是否影響發行人的業務,以及關于該糾紛的權責劃分問題。最后,對于數據收集方式,針對在合法合規性存在解釋空間的收集行為(例如合合信息的自動化訪問和收集數據的行為),監管機構同樣要求公司論證其合法合規性。整體而言,監管機構對于數據收集的問詢通常較為細致和全面。
除了數據收集之外,針對使用、存儲大量業務數據以及個人信息的科技型公司,甚至是對于涉及數據處理但實際可能僅接觸少量數據的公司,監管機構會重點關注上述數據處理的流程以及處理過程中的合規性,包括是否進行數據處理、數據是否被過度利用(例如銷售)、是否發生過侵權糾紛及其風險。
此外,因數據處理與發行人業務的聯系較為密切,行業規范、行業慣例成為監管機構在數據處理層面關注較多的問題,例如發行人的行為是否符合行業內特殊規定,又如與行業內其他公司比較,發行人的數據處理活動是否存在重大差異。因此,監管機構關注的更多是在公司所處的行業內數據是否被合法合規地利用。
(三)政策及法律環境變化對公司經營活動的影響
序號 | 公司名稱 | 上市狀態 | 時間 | 問題 |
1 | 零點有數 | 已上市 | 2021/7/15 | 是否適用《電信和互聯網用戶個人信息保護規定》等相關法律法規,如適用,請說明是否符合相關法律法規的規定。 |
2 | 廣道高新 | 已上市 | 2021/9/27 | 對比分析公司在業務開展、內部控制等各方面是否符合《網絡安全法》相關規定。 |
3 | 曠視科技 | 提交注冊 | 2021/10/29 | 是否存在因網絡安全審查事項而導致違約情況,并補充披露網絡安全審查對發行人經營的影響情況。 |
4 | 華寶新能 | 已問詢 | 2021/11/29 | 是否符合國家數據保護和網絡安全等法律法規的規定。 |
5 | 天維信息 | 終止 | 2021/12/17 | 分析并補充披露《個人信息安全規范》《數據安全法》等法律法規的出臺對發行人業務開展或研發模式的具體影響,發行人及其原料數據采集供應商(如有)是否存在違反上述規定的情形,發行人主要客戶在使用發行人產品過程中是否存在違反上述規定的情形及對發行人的影響,并視情況進行風險揭示、做重大事項提示。 |
6 | 合合信息 | 已問詢 | 2021/12/29 | 1)近年關于數據安全、個人信息保護等立法對發行人研發、采購、銷售等的影響,發行人業務開展是否符合該等法律法規規定,是否存在本次發行上市未履行的前置程序或其他障礙,相關風險揭示是否充分; 2)保薦機構、發行人律師核查并說明發行人境外業務開展是否遵守當地個人信息和數據安全保護的相關規定,是否存在被境外主管機構處罰的情況或潛在風險。 |
7 | 賽維時代 | 已問詢 | 2022/1/14 | 業務開展是否符合境內或者境外數據保護和網絡安全等法律法規的規定。 |
與數據安全及個人信息保護相關的政策和立法的急劇變化可能會對包含數據處理活動的公司產生一定的影響,因此,這也成為監管機構主要問詢的問題之一。例如:公司的業務開展是否適用或者符合政策或法律的規定?政策和法律的變化對公司業務產生何種影響?更進一步,發行人是否對該影響采取充分的風險提示措施等?
此外,對于公司涉及境外業務的情況,監管機構會要求發行人論證該業務開展是否符合當地數據保護和網絡安全等法律法規的規定,以及是否存在相關風險。
三、對發行人的合規建議
對于網絡及數據安全管理、數據全流程處理以及政策法律變化的影響等三方面常見的問詢問題,我們認為,對于擬上市企業而言,在以下幾個方面值得予以關注和提升:
(一)加強數據管理制度建設
1. 從合規制度建立層面,按照《網絡安全法》、《數據安全法》、《個人信息保護法》及相關數據合規領域的行政法規、規章、監管規則等制定網絡、數據安全管理制度,包括數據分類分級管理制度、安全事件應急預案、安全審計、個人信息保護影響評估制度、第三方合作準入及審查制度、數據出境管理制度及其他必要的制度等;
2. 從制度實施層面,通過多種技術和管理措施保障信息系統的安全和數據安全,包括設立防火墻、系統訪問權限控制、數據加密、數據操作權限管理、數據備份、安全事件預警等;同時配備相應的工作崗位以及專業人員,建立數據合規組織架構與操作流程、操作手冊等;
3. 從執行效果層面,對上述制度的執行情況進行記錄,并對執行效果進行定期評估,對制度進行及時更新和優化。
(二)規范數據處理流程
1. 從處理方式層面,應當識別并區分數據處理的各個環節,特別應當重點關注數據收集、數據共享、數據提供的合規情況;
2. 從數據類型層面,對處理的數據進行分類分級,識別重要數據、核心數據,并對其他數據進行分類分級管理,并與數據管理制度相銜接;
3. 從處理流程層面,完善包括個人信息在內的信息安全管理、數據運行安全管理以及數據全流程合規管理的措施,并與數據管理制度相銜接;
4. 從流程執行層面,應當保證數據處理的合法性,例如通過制度或者技術手段保障數據來源合法性,通過制定對外的政策文件或者簽訂合同,規范數據處理流程,并遵守相關文件的約定;
5. 從處理方式層面,重點關注收集方式,例如通過爬蟲等自動化程序收集的情形。
(三)持續跟進政策和立法動態
1. 積極并且持續跟進法律法規的變化,關注征求意見稿反映的執法趨勢,并能夠據此及時采取應對措施;
2. 如果發行人難以做到積極跟進立法動態,建議聘請專業律師提供一攬子合規建議,協助建立數據風險的預警機制,以盡快完成相應合規問題的整改,保障上市進程有序推進。
四、結語
隨著數據合規法律體系的逐步完善,對于主營業務與數據處理有關的公司,數據合規情況是監管機構的審查重點。從公司日常經營的角度,數據合規是公司構建內部整體合規體系的重要一環。因此,公司應當盡早建立并配合執行相關數據合規制度,面對網絡及數據安全風險及時采取補救措施,將數據合規納入公司日常管理工作中。
在公司已上市或者擬上市的場景下,如果發行人在日常經營中未采取有效的數據合規措施,從而發生數據安全事件,被認定為沒有適當履行數據合規義務,或者被認定為沒有披露數據合規情況、對數據合規情況披露不充分,那么對于已上市公司,可能引發相應的法律風險;而對于擬上市公司,則可能影響上市進程,甚至可能導致上市失敗。因此,不論是對于公司的日常經營還是上市進程,數據合規落地均有非常重要的意義和價值。
[1] 戴祥,《擬IPO企業數據合規審核要點及應對》,http://www.dhl.com.cn/CN/tansuocontent/0008/017219/7.aspx?MID=0902(2019年11月22日)。
[2] 《北京零點有數數據科技股份有限公司問詢回復》(2021年7月15日披露)。
[3] 最后更新日期2022年3月21日,下同。
