大數據企業上市過程中的法律風險與防范
作者:吳衛明 2019-02-11大數據行業是近期的投資熱點之一,也是資本市場上較為活躍的新興產業。眾多互聯網機構,在積累了海量用戶信息后,通過人工智能算法和數據模型的構建,為金融行業的風險控制、傳統行業的市場調研及產品開發、精準營銷、市場布局、企業戰略決策提供服務。大數據的挖掘、分析、運用能力,已經成為現代企業的重要戰略能力,大數據成為企業競爭、國與國競爭的基礎要素。為此,我國專門制定了大數據行動綱要,在國家戰略層面確定了大數據戰略。
然而,大數據的運用是一把雙刃劍,既能夠提升產業競爭力,同時也會涉及到公民個人信息保護和隱私保護。對此,我國制定了《中華人民共和國網絡安全法》,歐盟區域、美國以及全球主要國家和主要經濟體均制定了相應的個人信息保護規范。這一背景下,我國司法機關、執法機關針對大數據行業的執法及司法審查均日趨嚴格。而近期針對大數據行業的若干司法及上市案例,反映了這一趨勢。
一、兩個資本市場負面案例簡介
1、新三板公司數據堂案件
數據堂是中小企業股份轉讓系統(新三板)掛牌的股份公司,2018年5月9日、7月10日,該案兩次開庭審理完畢,2018年8月9日,山東省費縣人民法院以侵犯公民個人信息罪分別判處涉案人員柴銀輝(董事/首席運營官)、揭宇飛(董事)三年和二年有期徒刑。
該案基本案情如下:2017年4月5日,山東省臨沂市費縣警方接到報警稱,網上有人非法出售臨沂市公民個人信息。根據報案線索,費縣警方發現,在一個名為“全球數據供應商”的QQ群里,時常有人出售帶有房地產、金融等相關標簽的手機號等信息,其中2000條信息被賣往費縣。由于該類信息涉及公民敏感個人信息,且經初查發現其中有重要數據公司活動跡象,該案被公安部和最高檢察院列為督辦案件偵查。
經費縣警方偵查,上述數據來源的上游即為數據堂公司。用于轉賣的數據主要內容為手機號、地區和個人偏好等數據。最終該案涉及的21名犯罪嫌疑人被起訴,數據堂公司有6人涉案,案件涉及公民個人信息達數百億條,數據量特別巨大。檢方認為涉案人員系非法出售數據,應以侵犯公民個人信息罪追究其刑事責任。
2、新三板公司瑞智華勝案件
2018年7月24日,瑞智華勝發布公告稱,公司法定代表人、董事周嘉林及監事黃健、梁修軍及2名公司員工因涉嫌非法獲取計算機信息系統數據罪,已于7月4日被紹興市公安局越城分局刑拘。2018年8月14日,瑞智華勝再次發布公告稱,上述人員已于2018年8月9日被紹興市越城區人民檢察院正式批捕。2018年8月30日,瑞智華勝發布公告稱,公司擬于股東大會審議通過后 10 個轉讓日內向全國中小企業股份轉讓系統提交終止掛牌申請。
該案基本情況如下:2014年開始,瑞智華勝通過競標的方式,先后與全國多家運營商簽訂正式的服務合同,為其提供精準廣告投放系統的開發、維護。在提供軟件服務的過程中,相關人員獲得了運營商服務器的遠程登錄權限,并于2015年開始,在明知不合法的情況下,將自主編寫的惡意程序放在運營商內部的服務器上,偷偷“劫取”流量。當用戶的流量經過運營商的服務器時,該程序就自動工作,從中清洗、采集出用戶cookie、訪問記錄等關鍵數據,再通過惡意程序將所有數據導出,存放在瑞智華勝境內外的多個服務器上。最終非法竊取用戶個人信息30億條,用于操控用戶賬號進行微博、微信、QQ、抖音等社交平臺的強制加粉、加群、刷量等服務進行非法獲利。警方表示,犯罪嫌疑人未經公民同意而非法收集個人信息并進行精準營銷的行為,不僅對用戶構成民事侵權,還涉嫌構成侵犯公民個人信息罪。新三板掛牌及上市公司收購過程分析
上述二個案例中,數據堂案例由于風險事件發生在企業掛牌后,且違法行為在掛牌后發生,故不涉及掛牌過程中的合規判斷。當然,對于該案件中,數據堂公司是否存在數據管理不當的責任,或者是否存在其它網絡安全管理的問題,由于案件信息披露有限,當前并無法直接得出結論。
瑞智華勝案件由于發生在掛牌過程中,且經歷了股份轉讓系統(新三板)的多輪反饋,特別值得關注。
在瑞智華勝案件案件中,中小企業股份轉讓系統(新三板)關注的核心問題之一是該公司是否可能涉及非法獲取公民個人信息。在股轉系統的反饋意見中,明確提到了“公司開發的軟件是否存在非法收集使用用戶信息,侵害用戶利益的情形。”同時,股份轉讓系統要求主辦券商和律師對此作出核查。對此,公司做了否定性回復,即公司的軟件并不存在上述情況。主辦券商及項目主辦律師均作出了公司軟件不會非法獲取公民信息的無保留核查意見。
二、風險事件發生的原因分析
數據行業掛牌公司近期風險事件頻發,與其它行業不同的是,風險事件爆發時點集中、風險類型集中。且上述項目均經過了券商、會計師、律師的多重核查,依然存在相應的風險,對此,筆者認為,主要的原因如下:
1、大數據的業態新
數據行業是新興行業,而且屬于典型的實踐驅動理論研究,行業整體的風險理論研究、風險防范模型、風控方法不夠完善。由于業態新,導致社會公眾、中介機構對于該類行業的業務流程、業務模式的認知模糊,從而無法清晰識別可能存在的法律風險,更無法對企業的風險進行完整的揭示和披露。
2、大數據業務流程隱蔽
由于數據行業的在線化特征,導致其業務流程高度自動化和智能化,并且該行業涉及的生產資料為數據,而數據具有無形性的特征,從而使得整個流程比較隱蔽。對于公眾和中介機構而言,如何深入企業的業務系統,將其數據流向、數據使用方式、數據授權方式理清,是一個較為困難的過程。律師、券商、會計師等中介機構,如果無法深入了解整個業務流程和操作的關鍵節點,將無法準確把握風險控制的節點,從而導致上市過程中產生疏漏。
3、業務操作的自動化
自動化意味著業務處理流程的高速化,系統中的記錄隨時發生變化,這給中介機構的核查提出了新的命題。對于律師、券商等中介機構而言,原有的核查方法是通過合同、報表、流程說明等文件對業務流程的合規性進行判斷,自動化業務處理流程中,企業歸納的流程是否與實際流程一致?中介機構如何憑借自身對于行業的深刻理解,對于企業的流程說明作出恰當的判斷,都是自動化操作帶來的新問題。
4、法規滯后
由于《網絡安全法》及個人信息保護規范等法律、法規、規范性文件出臺時間較晚,且相關配套規則還不夠完善,這也給部分數據企業的業務操作帶來了一定的靈活空間。但同時,也使得部分企業具有僥幸心理,對于合規操作及法律風險認知不足,從而引發相應的法律風險。
三、企業對數據合規進行披露的演進
客觀的講,大數據行業所涉及的數據合規問題并非在《網絡安全法》生效后方才存在,而是與大數據的運用始終伴隨的。但是,由于此前大數據應用的廣度與深度均不及當前,且無論是企業還是個人,對于數據合規及個人信息保護的法制意識不夠強烈,導致這一問題未得到充分的重視。
從當前披露的系列案例看,發行人對數據合規問題的披露可以分為兩個階段,兩個階段以《網絡安全法》的通過及施行作為界分。第二階段中,企業對于數據合規問題的披露在不斷完善,這一方面與《網絡安全法》頒布并施行有關,另一方面也是因為數據行業風險事件頻發而引發了監管的不斷關注。
1、網絡安全法施行之前的披露
第一階段上市的企業主要包括:騰信股份等。這些企業在對業務模式及法律風險的披露過程中,雖然涉及到了企業數據及個人信息的風險,但披露內容均比較簡單,且監管機構針對上述問題的反饋也相對較少。
以騰信股份為例,該公司《招股說明書》對于公司業務模式的披露為:“公司的主營業務是為客戶在互聯網上提供廣告和公關服務,通過分析相關數據,使得廣告和公關服務的精準度更高,服務效果更好。公司的互聯網廣告服務業務,主要通過數據挖掘和分析,幫助客戶尋找廣告信息傳播的網絡目標受眾群,以適當的媒介及廣告位置組合,為客戶進行互聯網廣告投放,并隨時記錄、監控傳播效果和實施進一步的優化。”從這一節描述可以看出,騰信股份的核心業務屬于典型的大數據精準營銷業務,屬于比較典型的大數據應用企業。
在公司的風險披露部分,僅有一條涉及到數據合規與安全問題。即:業務數據泄露影響公司經營的風險。《招股說明書》的描述內容為:“公司在業務過程中會獲取互聯網媒介及其廣告位置屬性數據、客戶及其行業的營銷數據,這些相關業務數據是公司提高服務客戶質量,提高客戶對公司營銷服務粘性,及公司在互聯網營銷領域體現核心競爭力的基礎。公司采取的保密措施并不能徹底消除公司所面臨的數據泄露風險,若公司發生數據泄露,將影響公司經營。”對于公司數據的獲取流程、使用流程等與法律風險緊密相關的內容,《招股說明書》的說明并不詳盡。
《律師工作報告》及法律意見書,對于業務模式的法律問題,均做出了無保留意見。其表述為:“綜上,本所律師認為,發行人經營符合國家產業政策;發行人的經營范圍和經營方式符合有關法律和行政法規的規定;發行人的主營業務突出,最近兩年內主營業務沒有發生重大變化;發行人不存在影響持續經營的法律障礙。
針對該企業,監管機構前后一共反饋了五次,但關注要點主要是財務和業務數據,以及其他相關問題。騰信股份披露招股說明書及法律意見書的時間在2014年,因當時《網絡安全法》尚未頒布,《招股說明書》、《律師工作報告》及法律意見書未將數據獲取流程及個人信息的使用流程等數據合規法律問題予以重點關注,具有一定的合理性。
2、網絡安全法通過并施行之后的披露及審核
(1)華揚聯眾
華揚聯眾的《招股說明書》于2017年7月20日提交,因《網絡安全法》已經于2016年11月7日通過并自2017年6月1日起施行,故該公司對于數據合規法律風險的披露更為詳盡,并將該類風險歸納為:“不當使用互聯網用戶信息的風險”,并對風險的控制措施表述如下:“公司在開展互聯網廣告業務活動時,基于監測和改善廣告投放效果、控制廣告投放頻次、提高廣告投放精準度等方面的需要,會對瀏覽相關廣告內容和合作網站內容的互聯網用戶的瀏覽行為等信息進行記錄、分析。在使用這些信息時,公司會通過技術手段確保實現用戶身份關聯信息的去身份化,使得這些信息無法用于識別、確認或關聯至某個特定用戶。作為我國互聯網廣告領域內的知名企業,公司一直非常注重互聯網用戶信息的保護,一方面,公司一貫嚴格遵守相關法律、法規的規定,對員工查閱和使用用戶信息有嚴格規定;另一方面,公司是我國第一部規范互聯網定向廣告用戶信息使用的行業標準《中國互聯網定向廣告用戶信息保護行業框架標準》的制訂者之一,也是首批簽署該標準的企業,公司對收集用戶信息的方式和范圍進行了公示,并向用戶提供了易于操作的選擇機制,允許用戶自行選擇是否接受數據收集行為。”
(2)上市公司梅泰諾收購數據公司案
創業板上市公司梅泰諾以發行股份及支付現金方式收購目標公司100%的股權,目標公司系一家數據營銷公司。收購過程中,深圳證券交易所創業板公司管理部發出的重組問詢函涉及多個數據合規問題。
其中問題3的內容為:標的公司通過向第三方數據供應商購買而非直接向終端用戶獲取用戶數據。請補充說明第三方數據商授權標的公司使用相關數據是否需要經過終端用戶或者其他第三方同意,授權是否合法、合規。
問題9的內容為:請律師將采取一系列的方式對目標公司數據來源、數據授權方式及合法性進行審慎核查和驗證。請補充說明標的公司對用戶信息的收集、傳輸、保存及應用的現狀是否符合2018年5月1日實施的《信息安全技術個人信息安全規范》的要求。若否,請充分提示相關風險并說明后續整改措施。
據悉,該收購案因為其他原因撤回。在深圳證券交易所的問詢內容中,數據合規問題成為整個收購過程中最為重要的法律問題。對于深圳證券交易所的問詢,主辦律師出具了無保留意見:“律師認為,相關數據的收集者、應用者對該等數據均不具有不受限制的所有權。相關數據的收集者、應用者對該等數據的占有、使用、處分及獲取收益均需在法律法規允許的范圍內并取得相關用戶的授權。第三方數據供應商未直接向終端用戶獲取用戶數據,由電信運營商負責取得向其終端用戶的收集及使用個人信息的授權。第三方數據供應商已經出具相關承諾,保證相關數據來源合法且已經取得了數據來源機構或者個人的完整授權。”
(3)聚合數據
聚合數據(全稱“天聚地合(蘇州)數據股份有限公司”)的《招股說明書》于2018年11月28日在中國證監會網站公布,該公司《招股說明書》在風險披露部分,對于數據合規問題披露了三大風險,一是“行業監管政策變化風險”,二是“信息安全風險”,三是“供應商數據源合規性風險”。
關于“行業監管政策變化風險”的表述為:“由于互聯網數據服務行業屬于新興經濟領域,且涉及互聯網數據安全、公民個人隱私等領域,行業監管政策處于不斷調節、完善的過程中。…若未來行業監管政策發生變化,則有可能影響公司目前的市場經營環境,導致公司的業務模式、合規成本發生變化。”
關于“信息安全風險”的表述為:“上述系統及互聯網基礎設施可能受到網絡設施故障、計算機惡意程序、黑客攻擊等因素的影響,從而影響公司業務系統的安全。”
關于“供應商數據源合規性風險”的表述為:“公司建立了完善的內部控制制度和供應商評價體系,對涉及公民個人信息等數據來源的供應商,嚴格執行供應商甄選、數據源核驗以及合同合規性審核等內控措施。若供應商提供的合規性審核材料存在虛假或隱瞞,或其存在違法經營的情況,則可能給公司帶來合規風險。”
同時,對于數據源獲取方式,該公司披露信息做了較為完善的披露。對于數據的獲取、數據運用流程,也做了比較充分的披露。特別是對于發行人保護數據安全和公民個人信息的質量控制措施,做了詳細的表述。包括對數據來源合法合規性的審核措施,數據傳輸的信息安全保護措施,下游數據使用的合法合規性審核措施等。
總體而言,在立法完善及監管不斷關注的背景下,中介機構及發行人對于大數據行業上市的信息披露逐漸趨于嚴格和完善。
四、大數據行業上市主要關注的合規點
大數據行業屬于廣義的互聯網行業,同樣適用網絡安全法及相應的配套規則。因此,對于數據行業而言,其遵循的合規要點,與常規的互聯網行業有一定重合。但同時,與一般互聯網企業不同的是,其它企業以通過互聯網提供商品或服務為主,數據是其業態的支撐和副產品。而對于數據行業,很可能并沒有其它的商品或服務提供,圍繞數據提供數據決策模型、數據風控模型、精準營銷服務、反欺詐服務等,構成其服務的主要內容。數據或者用戶信息是數據企業的原料,圍繞數據產生的用戶畫像、數據模型則是其輸出的產品。因此,數據行業的合規要點更加關注數據獲取方式及運用方式,以及數據產品輸出時可能設計的用戶信息保護問題。基于此,對于大數據企業的上市、三板掛牌或并購,需要關注如下主要的合規要點:
1、網絡安全等級保護問題
按照《網絡安全法》的要求,互聯網經營這應實施與自身風險相適應的網絡安全等級保護。對于擁有密集用戶數據的數據公司,筆者理解,其網絡安全等級應按照三級的標準予以實施。按照規定,三級以上的保護等級,需要申請公安機關實施測評,企業并應定期申請測評和檢查。等級保護的實施,可以降低企業發生數據泄漏之后的行政責任及刑事責任。
2、企業基礎網絡安全管理制度
對于網絡經營者而言,依照網絡安全法及相關法律、法規、規章要求,建立基本的網絡安全管理制度。包括內部的網絡安全管理機構、網絡安全負責人、網絡安全基本管理制度、網絡安全培訓制度、相關設備設施采購制度、第三方合作機構準入制度、網絡安全預警制度及應急處置制度、用戶數據的保護制度等。在上述制度基礎上,還需要有落實制度實施的內部流程管理和監督機制。
3、用戶數據及個人信息的保護制度
對于數據企業而言,數據是其開展業務活動的基本生產要素,因此,數據及個人信息保護制度也是整個商業模式的基礎。在網絡安全領域,近年來違法及犯罪事件最為高發的領域主要集中在個人信息保護領域。其中,侵犯公民個人信息的犯罪處于高發態勢,這里面即有行為人以盈利為目的惡意違反法律法規買賣公民個人信息的情況,也包括企業因法律意識淡薄而發生的違反犯罪。此外,也有大量雖然不構成犯罪,但觸犯民事法規和行政法規而被追究相應法律責任的情況。
對于用戶數據及個人信息保護的審核,應重點進行以下幾方面的審核:
其一、用戶數據的收集環節
在用戶數據收集環節,應關注數據收集的方法,以及數據的來源。數據收集的方法是否合法?是否存在違反網絡安全法及其它單行法律、法規、規則的情況?數據收集行為是否正當?以及數據收集是否符合必要性、自愿性的原則。
如果數據來源于公開渠道,或者在采集后經過脫敏處理,一般而言,合規審核的難度較低。
其二、用戶數據的使用環節
在用戶數據的使用環節,應關注企業內部是否設置了用戶數據展示、使用的基本管理制度,內部對于數據管理和使用的權限分工。以及企業是否超越了用戶授權使用數據。
其三、用戶數據的流轉環節
數據流轉是最容易產生刑事犯罪的環節,應關注企業的數據是否轉授權或流轉給第三方使用?如果有數據的流轉,該數據的流轉是否經過了個人信息主體的明示同意。如果沒有用戶授權,是否經過了充分的脫敏。
最后、外來數據的審核
如果數據企業所使用的數據并非通過自身的經營活動采集,而是來自于其他互聯網經營者或第三方數據公司,則需要充分審核第三方數據的合法性以及第三方將數據流轉給數據企業的授權流程是否完備。充分核驗第三方個人信息獲取的合法性以及授權的完備性,以保證數據在源頭上不違反現行法律、法規。
綜上,數據企業的法律風險具有其特殊性,這給券商、律師進行企業上市核查提出了新的問題。中介機構應基于對行業商業模式、業務流程、法律風險的深刻理解,結合中國證監會及相關交易所的要求,對于大數據企業進行上市或并購過程中的數據合規法律風險進行充分核查與信息披露,從而防范自身的執業風險。
