人工智能企業科創板上市審核之數據合規研究
作者:趙海清 2021-09-30人工智能作為新一輪科技革命和產業變革的重要驅動力量,正在對經濟發展、社會進步、國際政治經濟格局等諸多方面產生重大而深遠的影響。上海作為中國經濟發展的領頭羊,是引領中國數字經濟時代轉型的風向標,2021年8月26日,《浦東新區產業發展“十四五”規劃》和《浦東新區促進制造業高質量發展“十四五”規劃》(以下共同簡稱“《規劃》”)同時發布。宣布未來浦東將打造集成電路、生物醫藥、人工智能三大世界級產業集群。在人工智能領域,浦東將圍繞制造、醫療、交通、城市管理等領域,形成更廣泛的“智能+”深度融合應用,推動人工智能核心產業發展。并構建人工智能芯片、智能軟件、智能機器人、系統解決方案等多層級產業體系。
人工智能作為數據密集型產業,人工智能企業在數據安全和個人信息安全方面面臨著巨大的挑戰,這也是近年來人工智能企業上市審核中的重要關注點,隨著《數據安全法》的實施以及《個人信息保護法的》亟待實施,我國數據和信息保護的法律體系進一步完善,人工智能企業在科創板上市過程中也將面臨更加嚴格的數據信息合規性審核。本文就科創板上市審核中需要注意的數據合規要點進行總結和分析,以期對擬于科創板上市的人工智能企業提供參考、借鑒。
一、目前我國數據安全法律框架及人工智能企業科創板上市中的數據合規風險 人工智能的發展是數字經濟轉型的重要推動力量,作為世界科技的前沿,其科創屬性是顯而易見的。科創板的開板為人工智能企業提供了極佳的上市平臺,也為人工智能企業的融資開辟了新的途徑。然而,人工智能企業若想順利通過科創板上市,和其他企業相比,將面臨更為嚴格的數據合規性審核,這為依托于海量數據收集和處理的人工智能企業提出了新的挑戰。 (一)目前我國數據安全的法律框架 我國在鼓勵、扶持、發展數字經濟的同時,不斷完善關于數據和信息安全的法律體系,目前我國關于數據和信息安全的法律體系已初步形成,法律層面有《網絡安全法》、《數據安全法》以及亟待實施的《個人信息保護法》,在法規層面有《計算機信息系統安全保護條例》,在行業標準性文件層面有以《計算機信息系統安全保護等級劃分準則》為核心的《信息安全及時網絡安全登記保護實施指南》、《信息安全技術網絡等級保護安全設計技術要求》等超過30項具體標準性文件。隨著各類針對數據和信息安全的法律法規和標準型文件的不斷出臺,人工智能作為數據密集產業,其上市審核中數據合規的要求也隨之更加嚴苛。 (二)人工智能企業科創板上市數據合規風險 《科創板首次公開發行股票注冊管理辦法(試行)》第三十四條規定:“發行人申請首次公開發行股票并在科創板上市,應當按照中國證監會制定的信息披露規則,編制并披露招股說明書,保證相關信息真實、準確、完整。信息披露內容應當簡明易懂,語言應當淺白平實,以便投資者閱讀、理解。 中國證監會制定的信息披露規則是信息披露的最低要求。不論上述規則是否有明確規定,凡是對投資者做出價值判斷和投資決策有重大影響的信息,發行人均應當予以披露。” 基于上述科創板上市申報過程中的信息披露義務,擬于科創板上市的人工智能企業將毫無疑問地需要在信息披露過程中面對針對其數據收集、存儲和使用以及數據安全保護的合規性審核。在科創板上市實踐中,發審委就人工智能企業數據合規的關注點常常不限于數據來源、數據處理等普通合法合規問題,而是進一步就人工智能企業的數據采集方式、對象、價格等問題進行多輪、遞進式的問詢,以便獲取詳盡的答復,這充分體現了科創板上市對于數據和信息安全的關注。下文筆者將結合科創板上市案例從數據收集、數據存儲使用以及數據安全三個方面分析人工智能企業上市數據合規審核要點,并提出建議。 二、人工智能企業數據合規的重要法律規定梳理 關于人工智能企業數據和信息安全進行規制的法律主要包括《數據安全法》、《網絡安全法》、《個人信息保護法》、《民法典》的相關規定,筆者將重點需要關注的條款梳理如下: 三、人工智能企業上市審核之數據收集 數據收集是人工智能實現場景應用的基礎和起點,作為數據密集型的產業,人工智能的產品和應用往往伴隨著海量數據的收集。因此,數據收集的合規性審查成為了發審委審核人工智能企業科創板上市過程中的關注重點。 (一)數據收集中企業最需要關注的合規性問題 在科創板上市審核中,發審委就擬上市企業數據收集方面重點關注的問題有: 1. 獲取用戶數據的方式的合法合規性 主要包括:企業獲取數據是否經過了用戶的授權?采集信息的過程中是否遵守了必要限度原則?收集用戶數據時是否對用戶有明示提示?是否存在因侵犯用戶隱私或不當收集用戶數據導致被主管機構處罰的情形? 2. 數據收集手段或工具的合法合規性 主要包括:數據收集的手段和工具是否存在侵權的風險?采用收集程序是否合法合規?爬取數據是否涉嫌非法收集的情形? 3.數據供應商的合法合規性 主要包括:數據供應商從事數據服務是否需要取得相應的資質、許可或進行備案?企業是否按照《數據安全法》的規定,要求數據供應商說明了數據來源?企業是否建立了審核第三方數據合法合規的內控機制? 4.數據收集內控制度的合法合規性 主要包括:企業是否建立了針對數據收集的糾紛解決機制?是否制定并公開了數據收集和使用的規則? 通過發審委的上述常見問詢,可以看出,科創板上市對于人工智能擬上市企業提出的數據收集的要求包括:企業須確保其自行收集個人信息時已經征得數據和信息主體的充分授權和明示同意,并符合收集信息的必要性原則;企業應確保其收集數據和信息途徑的合法性,如禁止使用非法的爬蟲技術從其他網絡運營者的平臺抓取數據;在從數據供應商間接獲取數據和信息的情形下,企業還應關注供應商數據來源的合法性,要求供應商就數據和信息的充分授權提供有效、充足的證明并出具承諾函等。 (二)人工智能企業上市審核中關于數據收集問詢與回復的案例 案例1【曠視科技】:針對數據收集方式及其合法合規性。 據曠視科技有限公司(以下簡稱“曠視科技”)(2021年9月上會通過)的招股說明書披露,曠視科技自主研發了新一代AI生產力平臺Brain++,源于Brain++強大的AI能力,曠視科技聚焦物聯網場景,構建了強大的AIoT產品體系,包括AIoT操作系統、AI重新定義的硬件和AI重新定義的行業應用,針對消費物聯網、城市物聯網和供應鏈物聯網向客戶提供包括算法、平臺及應用軟件、硬件設備和技術服務在內的人工智能解決方案。 在曠視科技上市審核中,因發行人的人工智能核心技術涉及數據的處理、清洗和管理,發審委要求曠視科技說明數據收集方式及其合法合規性。對此,律師的回復為: 曠視科技的數據收集分為配合式采集和公開數據集兩種方式。配合式采集是指使用攝像機、面板機、手機等采集設備,在專門搭建的模擬場景中,經特定被采集人授權同意采集所需數據的形式。公開數據集是指互聯網上已公開發布的可用數據,由第三方學術研究機構、企業等自行制作并公開發布,如COCO等互聯網公開學術數據集。 為保障配合式采集的數據安全,發行人積極采用技術手段解決數據安全問題,如自主研發完成的前端圖像脫敏方案實現在采集端完成人臉圖像的混淆加密脫敏,脫敏后的數據難以逆推出原始圖像,僅可用于算法開發優化的創新技術方案。同時,在數據采集和傳輸過程中,采用了多種加密的手段和措施,包括:使用授權密鑰對圖像、視頻等數據進行加密、使用加密通信協議、硬盤文檔加密等。 (三)筆者的建議 數據收集是企業數據合規性治理的第一環,對于人工智能企業而言,這是后續企業數據處理和使用的基礎,若是數據來源不合規,則其處理和使用即喪失了合法性基礎,因此人工智能企業應重點關注數據收集過程中的合規性審查。筆者的建議為: 1.嚴格遵守最小必要原則 “盡可能多的收集用戶數據”這種過分重視數據和信息數量的誤區往往出現在采用自行收集用戶信息的人工智能企業中。事實上,數據收集的重點在于針對性篩選,而非越多越好。筆者建議采取自行收集用戶信息和數據的人工智能企業嚴格遵守最小必要原則,參照2021年3月工信部、國家網信辦等有關部門聯合發布的《常見類型移動互聯網應用程序必要個人信息范圍規定》(“《規定》”)進行數據信息的收集。且依據該《規定》第四條的規定:不得因為用戶不同意提供非必要個人信息,而拒絕用戶使用其基本功能服務。 2.企業在收集前應確獲得用戶明示授權 建議企業對于“注冊即授權”、“默認勾選同意”等非明示的授權方式予以合規整改;完善用戶協議與隱私政策、公開收集、使用規則、明示收集、使用信息的目的、方式和范圍,明確獲得被收集者同意。 3.對供應商資質進行審核、做好內控管理 通過向數據供應商采購的方式獲取數據信息的企業,應事先做好盡職調查。確保供應商具有合法資質進行數據收集,可以要求數據供應商出具承諾函承諾其具有合法資質,查看供應商數據來源合法的證明文件,并要求供應商提供并簽署數據未侵犯他人合法權益的承諾函。 4.嚴格遵守目標網站的Robots協議 通過網絡爬蟲手段收集公開平臺數據的,應當嚴格遵守目標網站的robots協議。如果目標網站設置反爬協議的,應避免使用爬蟲手段非法收集數據。同時,應對抓取的內容進行審查,如發現該內容涉及個人隱私或商業秘密的,應及時刪除,同時避免在抓取過程中涉及侵犯他人知識產權。 四、人工智能企業上市審核之數據儲存和使用 在數字經濟飛速發展的當下,數據的有效處理和合理使用都以數據安全為基本原則。因此,其合規性也受到發審委的重點關注。 (一)數據存儲和使用中最需要關注的合規性問題 在實踐中,針對科創板擬上市的人工智能企業,發審委常常會將數據處理的關注重點放在數據的存儲和使用上。發審委經常提出的問詢有:企業在開展業務的過程中是否涉及對客戶數據、第三方數據、個人信息等進行存儲,若是,則數據的存儲方式及管理情況是否合法合規?數據存儲平臺是否獨立,是否存在數據池混合等情況?數據使用范圍是否超出用戶授權范圍、使用用戶數據進行商業化變現是否合法合規?數據分析過程中如何保障數據安全?是否有未存儲的業務數據,若是,其原因是否合法合規? 通過發審委的上述常見問詢,可以看出,科創板上市對于人工智能企業提出的數據存儲和使用的要求包括:數據使用不應超出相關數據和信息主體的授權范圍;企業應采用了多重防控措施進行數據安全管控;在對外轉讓、披露、共享個人信息時需要事先獲得數據及信息主體的充分知情同意,并確保數據轉讓、共享的接收方具有充足的數據安全保護與管理能力。 (二)人工智能企業上市審核中關于數據存儲和使用的問詢與回復 案例2【海天瑞聲】:未存儲數據的原因及合理性。 根據北京海天瑞聲科技股份有限公司(以下簡稱“海天瑞聲”)(股票代碼為:688787)公開的招股說明書,海天瑞聲主要從事訓練數據的研發設計、生產及銷售業務,核心技術先進性主要體現在算法與數據并用、工具和平臺共建、在語言語音學基礎研究方面有深厚積累。海天瑞聲所在細分領域為人工智能基礎數據服務領域,主營業務包括訓練數據定制服務、訓練數據產品及訓練數據相關的應用服務三大板塊。 據海天瑞聲披露,其未保留2016年及2017年的業務數據。因此,發審委對海天瑞聲未保留業務數據的原因及合理性進行問詢。 對此,律師回復:對于數據資源定制服務,海天瑞聲在數據庫交付驗收后,不再長期保留成品數據庫文件。其原因及合理性在于: 1. 數據資源定制服務完成后,數據庫所有權歸屬客戶。在銷售時已經轉移至客戶,海天瑞聲不再擁有該等數據資源的所有權。如果仍然長時間保留備份,則存在相關信息面臨失密的風險。因此,海天瑞聲對定制服務數據不予保留。 2. 重要客戶對于服務完成后不得留存數據有明確要求。海天瑞聲的客戶包括大型科技公司、人工智能企業和科研機構等,其高度重視數據安全和保密工作,并對其供應商的數據安全和保密做出嚴格規定,對于海天瑞聲定制服務涉及的數據均有相應的保密要求。部分重要客戶通過合同或者專項文件、供應商管理制度等形式對服務完成后的數據留存做出了明確要求。 案例3【宜搜科技】:數據使用范圍是否超出用戶授權范圍。 根據深圳宜搜天下科技股份有限公司(以下簡稱“宜搜科技”)(2020年5月終止審核)的招股說明書披露,宜搜科技的主營業務為將智能推薦引擎應用于移動互聯網數字內容場景,為終端用戶提供閱讀、音樂等移動數字內容推薦服務,為廣告客戶提供精準營銷服務。由于宜搜科技在業務運行中需要大量挖掘、計算和使用用戶數據,發審委要求宜搜科技說明其是否超出用戶授權范圍使用數據。 對此,發行人律師對照核查了宜搜科技《隱私保護政策》,以及數據庫中保存用戶信息系統的截圖文件,認為宜搜科技嚴格按照《隱私保護政策》的規定使用用戶數據,符合合法、正當和必要原則,并且出具了法律意見書。 (三)筆者的建議 隨著我國《網絡安全法》、《個人信息保護法》等法律和規范性文件對數據的處理作出了具體的規定,人工智能企業應更加注意在數據存儲和使用方面的合規性審查。對此,筆者建議: 1. 對收集到的數據進行去標識化和加密處理 根據《個人信息保護法》第五十一條規定:個人信息處理者應當根據個人信息的處理目的、處理方式、個人信息的種類以及對個人權益的影響、可能存在的安全風險等,采取下列措施確保個人信息處理活動符合法律、行政法規的規定,并防止未經授權的訪問以及個人信息泄露、篡改、丟失:……(三)采取相應的加密、去標識化等安全技術措施;……人工智能企業在收集到數據后應該按照此規定對信息采取去標識化等措施,充分保障信息和數據的安全。 2. 對重要數據進行備份 根據《網絡安全法》第第二十一條的規定:國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安全保護義務,保障網絡免受干擾、破壞或者未經授權的訪問,防止網絡數據泄露或者被竊取、篡改:……(四)采取數據分類、重要數據備份和加密等措施;……具體采取的備份方式可以參考《互聯網個人信息安全保護指南》的規定:本地數據庫備份;將備份介質進行場外存放;異地數據備份。為了避免由于網絡病毒或者其他人為因素造成的數據損毀或丟失,企業應當建立數據容災備份機制。 3. 注意數據使用的范圍界限 企業數據使用的范圍應當以其進行數據收集時約定的范圍為限,這一范圍應當與其進行數據收集的目的具有關聯性。若企業需要在約定的范圍之外使用用戶數據和信息,需要再次獲得用戶的明示同意和授權。 4. 用戶數據商業化使用的合法合規 發審委通常在人工智能企業在科創板上市的審核中對企業收集用戶數據的商業化使用進行重點關注。在企業對于用戶數據商業化使用的情形下,應當注意不僅要以用戶明示授權為前提,在具體的商業變現場景下,數據的使用還應當關注不同場景或不同行業的合規要求。 5.采取數據訪問控制措施 具體到數據的使用操作上,建議企業設置數據訪問控制措施,減少使用過程中的數據泄露風險。如在人員控制上,企業應按照員工的工作范圍建立最小授權的訪問控制權限,以完成崗位職責所必要的數據范圍為限。 五、人工智能企業上市審核之數據安全 數據安全貫徹數據的整個生命周期,其包含設備安全、制度安全、人員安全、存儲安全、環境安全、管理安全等多個維度,因此常常作為發審委重點審核的對象。 (一)數據安全保障中最需要關注的合規性問題 在實踐中,數據安全往往體現在企業崗位職責分離的情況、數據真實性的保證,以及與數據供應商等第三方的協議責任分配等方面。 在人工智能企業科創板上市過程中,發審委針對數據安全最為關注的問題是企業內部控制制度及執行情況,具體包括:是否存在第三方數據供應商,其內部控制制度是否合法合規?該內控制度是否落實于執行?發生網絡安全事件時,企業應如何承擔責任? 從上述問詢中,可以看出,發審委對于數據安全保障最為關注的內控制度及其執行情況以及發生網絡數據安全糾紛時企業的責任承擔,因此,人工智能企業應結合自身的行業特性以及數據收集和其他處理的方式,充分考慮是否已建立合理的內控機制,如何確保供應商的數據安全,如何保證該內控機制落實于實踐,并且依據現有法律制度明確自身的責任承擔。 (二)人工智能企業上市審核中關于數據安全的問詢與回復 案例4【慧辰資訊】:涉及數據供應商時,如何確保供應商的數據安全。 根據北京慧辰資道資訊股份有限公司(“慧辰資訊”)(股票代碼為:688500)的招股書,慧辰資訊是一家根植于數據分析領域,專注于提供基于多維度數據分析的專業業務分析與應用及數據智能解決方案的公司。因其業務數據獲取途徑包括公司向供應商采集的數據,因此發審委要求慧辰資訊說明保障通過供應商采集的數據安全的具體措施。 慧辰資訊回復,公司向供應商采集數據前,首先對供應商主體資質進行了審查,符合資格的供應商均具有持續穩定的經濟能力,未受過相關主管機關的處罰,經營狀況良好。其次查看供應商數據來源合法性文件,例如供應商與被采集方簽署的合同。同時,公司與供應商簽署相關數據購買協議/服務委托合同時約定供應商按照發行人的技術要求和標準體用相應數據并保證不存在侵犯他人合法權益的情形。 (三)筆者的建議 1. 明確發生網絡數據安全事件時可能承擔的責任 企業應從法律法規及監管文件、與數據供應商等第三方就發生網絡安全事件時相關協議、以及與客戶簽訂的合同中關于網絡安全事件的責任約定等角度,明確其可能承擔的責任。企業在披露責任時應注意不要遺漏,特別注意與客戶的協議中約定的責任承擔。 2. 確保第三方(供應商等)的數據安全 企業應確保數據供應商等第三方也符合數據安全的要求。實踐中,企業可以通過盡調、同業咨詢等方式了解第三方數據安全的情況,同時為保障自身權益,還可以要求第三方簽署聲明、承諾函等確保數據合法合規未侵犯他人合法權益,從而控制企業自身的數據安全責任。 六、結語 隨著我國數據保護和個人信息保護的法律體系不斷完善,科創板對于人工智能企業的數據合規性審核也將越來越嚴格,作為數據密集型的產業,人工智能企業需要密切關注收集、處理數據的合法合規性,以更好的保障數據和信息安全并順利通過科創板上市針對數據合規性的審核。筆者相信,隨著更具國際影響力的人工智能“上海高地”的建設,上海人工智能世界級產業集群的建立,上海將進一步發揮“頭雁效應”,帶動我國經濟數字化轉型,進一步擘畫智能時代的宏偉藍圖。
