涉數據公司業務合規及數據類公司上市合規監管與分析(一)
作者:詹磊 沈慧力 李東陽 2022-04-25前言
近年來,計算機互聯網作為信息時代新鮮且重要的生產力量,不僅極大地提高了人類社會的生產能力,更是深刻影響了當今社會的生產關系及每個人的生活、工作方式,甚至是生活態度。而與此同時,隨著網絡數據以及個人信息數據的不斷積累及企業為商業利益全方位的收集滲透,對于數據安全,國內外近年來已發生了多起因核心數據(涉及隱私)的違規采集、使用不當或安全管理疏漏引發的個人信息保護、商業秘密保護乃至國家安全的重大數據風險事件。由于對數據違規使用、發生數據泄露致使企業遭受行政處罰,以及數據泄露導致個人隱私曝光于公眾的安全事件不斷發生。我們看到,例如公司被處罰、業務被叫停,甚至影響了公司融資、上市等一系列發展規劃,甚至還會使經營者個人面臨經濟賠償、行政處罰甚至被追究刑事責任的情況亦有發生。 數據業務開展的合規性不僅關乎企業業務能否順利開展,更是因為其敏感性和重要性,需要面對來自行政監管執法部門和社會各界的監督,同時企業的投資人、收購方、行業監管部門及上市監管部門都對數據合規給予了越來越多的關注。實踐中,大數據企業臨時抱佛腳、疲于應付外部監管的情況不僅頻繁發生,而且會造成企業短期需要承擔極大的來自監管和經營成本的壓力,規范效果也往往并不理想。當下,隨著數據安全立法及監管執法的不斷完善,越來越多的企業和企業經營者都關注到了“數據安全”在合規性問題上的重要性和緊迫性,不重視數據合規的企業都面臨著巨大的合規處罰風險;企業在融資、并購及上市的道路上,也有越來越多的投資人、行業內公司、上市監管機構對公司業務中的數據合規問題予以重點關注。 上市融資是企業發展道路上關鍵且具有里程碑意義的事件,上市公司作為公眾公司更要面臨社會各界的監督,發生數據安全問題更是將引起巨大的負面影響。因此,企業在上市申請的問詢過程中所面對的合規性問題,能夠從側面反映出目前對數據安全及合規監管的整體思路和關注重點,更是資本方、投資人對公司合規性尤其是判斷融資、上市風險的重要依據,披露信息也可作為數據企業的合規參考依據。 對此,我們結合在協助企業進行數據合規及上市輔導業務中的實踐問題,結合上市問詢意見所做的總結與分析,不僅可以幫助涉數據公司更為全面的了解行業內數據合規的普遍做法及監管動態,也是指導企業未來融資直至上市過程中的有益參考。 本文中,我們整理了在數據合規法律服務中的重點關注方向,結合近年來一部分涉大數據類公司上市過程中的共性問詢問題,從數據收集、交易及使用、管理制度、以及數據保護、防范數據泄露幾個方面提出規范建議及思路,有助于涉數據企業對自身業務的合規問題做全方位、多維度理解,進而厘清企業在融資或上市籌備等過程中確需重視且亟待解決的問題,從而降低企業運營試錯成本、提高企業管理效率,合規經營、規范發展。 我們整理了以下具有一定共性內容的數據合規問題,供讀者參考。 一、關于數據收集的合規性 (一)關于數據收集合規性問題的分析總結 數據收集是數據處理流程中的首要環節,數據來源如果做不到合規,后續所有處理行為將失去合規基礎。數據收集主要方式分為自主收集或向供應商購買,在實踐中,企業購買數據過程中的合規意識和購買合規性均有很大的改進空間。例如,我們發現非法購買數據、超范圍采集數據等行為較為多見,有些甚至可能存在觸犯刑事法律的風險。目前,我國《刑法》《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》中已就公民個人信息保護的刑事責任認定問題進行了明確規定,對于企業及企業經營者刑事責任的分析,我們將另作文章闡述。 自主收集數據的合規關注重點是圍繞用戶的明確同意或明確授權,而且應當嚴格限制在用戶授權范圍內展開收集。實踐中,故意或明知超范圍收集或無意識模糊“明確”同意、授權范圍的情況較為多見,也是數據收集中主要的違規表現形式。數據采集過程中,存在企業或經辦人員主動模糊或忽略用戶數據授權的范圍,對收集范圍做無限制或超出必要使用需要的擴大;另一種常見的情形則是,因業務模式的改變或某項業務的特殊要求或管理制度未能及時跟進,導致授權文件未能及時更新、實際超范圍收集未能及時上報或更改、擴大收集權限缺乏必要監督管控。由于企業自我監管和內控制度缺失,往往會造成雖然已實際發生了違規采集的行為,但管理者或執行者卻沒有意識到甚至全然不知的狀態長期持續存在,致使企業數據收集處于管理真空或失控狀態,一旦被遭到舉報或監管關注,將隨時可能被認定為構成重大違法違規,使得企業長期且持續的在高風險下運行。 關于向供應商購買數據是否合規這一問題出現在審核問詢環節亦非偶然。業內普遍認為,數據屬于一類特殊的“商品標的”,其中包含的信息性質及類別屬性特點決定了其不能僅作為普通商品進行買賣交易、交付和管理。實踐中,數據購買過程除了應在與供應商訂立的采購合同中明確雙方的權利義務之外,還需要結合所購買數據的特點重點關注數據供應商的數據來源本身是否合法取得。之所以強調這一點,是因為實踐中企業向供應商購買數據信息數量龐大且種類龐雜,而一旦供應商所提供的數據中包含的個人信息系非法獲取,根據《刑法》第253條及《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》第6條的相關規定,企業及企業主管人員、直接責任人都存在面臨侵犯公民個人信息罪的刑事責任風險。 一般而言,數據收集合規問題需要從收集方式、收集范圍、收集過程、收集后用途,以及所收集數據的類型進行細致全面的研判。以擬上市企業為例,其應當將數據收集規范作為數據合規管理制度最重要的且基礎性的工作,力爭在進入上市報告期前全面落實完成,以符合《數據安全法》《個人信息保護法》及其相關配套細則的相關規定,不將數據合規問題的疑問帶到上市審核監管部門的視野當中。 (二)具體上市問詢匯總及規范思路分析 1、關于數據收集合規性的問詢及規范思路(列舉) 2、關于數據供應商數據收集/來源合規性的問詢及規范思路(列舉) 二、關于數據使用的合規性 (一)關于數據使用合規性問題的分析總結 移動互聯網時代,誰能夠挖掘到數據中蘊藏的價值,誰就最有可能成為市場中最大的受益者、成為得到最多市場關注和最高行業估值的公司,在行業內各方的關注下和資本的推動下走上更大的舞臺。因此,對數據的挖掘能力、使用能力不僅在一定程度上代表了一家公司在業務模式的生命力和數據處理的技術實力,更是走上行業巔峰的基石。數據使用的根本目的,本質上是為了實現商業價值最大程度上的變現,但與此同時,如何能夠在變現過程中保持在合法規范的范圍內取得最大的商業價值,不以侵害或損害他人的合法權益為前提,隨著違法成本(甚至刑責加身)的不斷增加,數據使用合規不僅是考驗一家企業能否基業長青的基礎,更是監管部門愈加重視、監督關注的重點。 數據使用與前文所述的數據收集方式密切相關,收集的方式在一定程度上也取決于數據的使用目的及具體用途。例如,在個人信息收集環節,個人信息處理者就應當披露具體用途、使用方式、使用范圍,并獲得個人信息主體的明示同意,同樣企業在收集數據的同時就應當就數據的使用進行規劃,并將未來可能且必要的使用方式與業務做好規劃,并在數據收集的同時向用戶明確告知使用方式,并取得其同意后使用。當然,如果數據的使用方式發生了變化,也應當及時的告知用戶。同時,我們注意到,除以上數據使用的方式之外,近年來上市關注問題上,就數據使用合規性問詢的重點多聚焦于是否存在過度使用、違規使用等行為,這也從側面反應出“過度使用”已成為數據違規使用的常見、多發的表現形式,并已受到監管部門的關注。 (二)具體數據使用合規的上市問詢及規范思路(列舉) 限于篇幅,就數據風險安全制度、數據泄露防范、數據合規對于企業模式影響的關注及分析,以及對數據合規方面的刑事責任風險等內容,我們近期將在此后的文章中分解、詳述。
