上市公司与IPO信息披露所涉数据合规问询重点及合规建议
作者:吴卫明 刘昀东 崔涵 2022-03-30随着网络安全及数据合规相关立法进程的加速与完善,中国证券监督管理委员会(以下简称“证监会”)和境内三大交易所对于拟上市公司及已上市公司在数据合规层面的审查和监管愈发严格和细化。虽然我国现行立法和上市规则中,目前没有明确将数据合规作为公司上市过程中必须披露的事项,但是从信息披露的原则以及数据合规对于公司业务合规及持续经营的重要性出发,公司对于数据合规事项的信息披露应属信息披露义务的组成部分。因此,公司如何做好数据合规以回应监管机关的问询,成为公司上市过程中乃至上市之前需要关注的重要事项。
本文梳理了2021年2月至2022年2月共20家公司上市案例,包括已接受数据合规问询的已上市公司以及正在上市进程中的公司,通过分析证监会、交易所的问询问题,从发行人网络及数据安全管理、数据全流程处理、政策及法律变化的影响三个层面总结常见的问询方面,进而提炼当前的监管重点及未来的监管趋势,并从发行人角度出发提出方向性的合规建议。
一、上市公司面临的数据合规监管和审查环境
(一)数据合规事项的信息披露依据——上市监管规则体系及披露要求
发行人不论在申报上市过程中还是成功上市后,都需要受到上市监管规则的约束。法律法规、部门规章和交易所上市规则对于发行人、保荐人等信息披露义务人的信息披露义务均有一定的要求。如《首次公开发行股票并上市管理办法》第四十一条规定,“招股说明书内容与格式准则是信息披露的最低要求。不论准则是否有明确规定,凡是对投资者作出投资决策有重大影响的信息,均应当予以披露”;又如《科创板首次公开发行股票注册管理办法(试行)》第三十九条规定,“发行人应当根据自身特点,有针对性地披露行业特点、业务模式、公司治理、发展战略、经营政策、会计政策,充分披露科研水平、科研人员、科研资金投入等相关信息,并充分揭示可能对公司核心竞争力、经营稳定性以及未来发展产生重大不利影响的风险因素”。
虽然上述规定未明确要求披露数据合规情况,但由于数据已经成为部分类型企业重要的业务驱动力,数据合规问题即可能构成“对投资者作出投资决策有重大影响的信息”以及“可能对公司……经营稳定性……产生重大不利影响的风险因素”。
据统计,自2016至2019年,至少有二十二家上市公司就数据合规事项接受了问询并进行相关信息披露,公司所属行业以“计算机、通信和电子设备制造业”、“互联网和相关服务业”、“软件和信息技术服务业”为主[1]。由此可见,对于以计算机、互联网、信息技术为主营业务的公司,证监会和交易所早已将数据合规事项纳入监管审查的范围,与前述分析结论吻合。
另据统计,在2021年2月至2022年2月为期一年的时间,至少出现20家涉及数据合规审查的案例,从公司的数量而言,已经接近2016至2019年三年间涉数据合规事项的公司数量,由此可见,监管机构对于公司上市中数据合规审查的关注度有较大幅度提升。
(二)数据合规的基本要求
自2017年《网络安全法》颁布生效后,数据合规的法律体系愈发庞大,并且每年均有新的法律法规、规章颁布,不仅法条数量繁多,内容也愈发精细化。对于具体内容而言,数据合规法律体系主要从数据安全管理和数据合法合规处理两方面对于公司提出如下要求:
1. 数据安全管理:
要求 | 具体内容 | 对应法条 |
(1)制定网络、数据安全制度 | 网络运营者应当……制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。 | 《网络安全法》第二十一条 |
开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。 | 《数据安全法》第二十七条 | |
个人信息处理者应当……制定内部管理制度和操作规程。 | 《个人信息保护法》第五十一条 | |
网络交易平台经营者应当对平台内经营者及其发布的商品或者服务信息建立检查监控制度。 | 《网络交易监督管理办法》第二十九条 | |
(2)防范数据安全风险及处置措施 | 网络运营者应当……采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。 | 《网络安全法》第二十一条 |
开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 | 《数据安全法》第二十九条 | |
个人信息处理者应当……采取相应的加密、去标识化等安全技术措施。 | 《个人信息保护法》第五十一条 | |
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。 | 《网络安全审查办法》第十六条 |
2. 数据合法合规处理:
要求 | 具体内容 | 对应法条 |
(1)数据收集 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 | 《网络安全法》第四十一条 |
任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 | 《数据安全法》第三十二条 | |
处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式。 收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。 | 《个人信息保护法》第六条 | |
符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意…… | 《个人信息保护法》第十三条 | |
(2)其他数据处理方式 | 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。 | 《个人信息保护法》第十条 |
除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。 | 《个人信息保护法》第十九条 | |
个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。 | 《个人信息保护法》第二十三条 | |
个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。 | 《个人信息保护法》第二十五条 | |
有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除: (一)处理目的已实现、无法实现或者为实现处理目的不再必要; (二)个人信息处理者停止提供产品或者服务,或者保存期限已届满; (三)个人撤回同意; (四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息; (五)法律、行政法规规定的其他情形。 法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。 | 《个人信息保护法》第四十七条 |
此外,近些年数据合规领域法律法规的快速增长也是公司上市面临合规分析的困难之一。同时,对于涉及信息技术等高新技术的公司、以大数据作为业务创新发展重要驱动力的创新型企业,以及因业务模式控制大量个人信息的企业而言,政策和立法的变化对于公司数据安全管理和数据合法合规处理的影响也成为证监会和交易所问询的重点问题之一。
(三)上市公司所在行业对于数据合规的特殊监管要求
根据《数据安全法》第六条第二款,“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。因此,针对不同行业的数据安全问题,行业主管部门有权针对该行业的数据处理的特殊情况制定相应的监管规则。
例如:
行业 | 监管规则 |
1.交通 | 《汽车数据安全管理若干规定(试行)》、《交通运输政务数据共享管理办法》、《关于深化汽车维修数据综合应用有关工作的通知》、《水运工程标准数据维护与应用系统技术规程》等 |
2.电信 | 《电信和互联网行业数据安全标准体系建设指南》、《电信和互联网行业提升网络数据安全保护能力专项行动方案》、《电信条例》、《电信网络运行监督管理办法》、《电信和互联网用户个人信息保护规定》等 |
3.卫生健康 | 《药物临床试验质量管理规范(2020修订)》、《医疗器械临床试验质量管理规范》、《电子病历应用管理规范(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》等 |
就本文检索的20家公司案例而言,通过参考《上市公司行业分类指引》,该20家公司中有13家公司属于信息传输、软件和信息技术服务业,其中有10家属于软件和信息技术服务业;其余7家公司大多属于制造业,例如专业设备制造业、纺织服装业等。分布如下图标所示:
图表:2021年2月至2022年2月,被问询数据合规事项的上市公司数量占比
就具体被问询的问题而言,证监会和交易所也关注到同一公司涉及不同行业、同一行业内不同公司存在的不同的数据处理规则。例如,零点有数的主要经营业务为“公共事务和商业领域的客户提供数据分析与决策支持服务”,该公司在运营过程中会涉及各种行业。在《北京零点有数数据科技股份有限公司问询回复》的问询中,特别提及发行人在提供服务过程中是否符合《电信和互联网用户个人信息保护规定》等相关法律法规的规定。[2]可见,行业因素对于是否进行数据合规问询以及问询内容有很大影响。
综上所述,虽然法律法规并没有明确规定需要披露数据合规事项,也没有针对特定行业(例如信息技术行业)的发行人提出特殊的披露要求,但鉴于该特定行业发行人的主营业务与网络、数据强相关,一旦发生网络安全事件或者数据泄露风险,极有可能影响投资人的利益,因此数据合规可能成为特定行业的公司在上市审查过程中无法回避的披露事项。
二、上市公司数据合规监管重点
基于以上情况,本文将通过梳理2021年2月至2022年2月共20家上市公司的案例,对公司上市过程中常见的数据合规问题进行总结归纳,包括网络及数据安全管理、数据全流程处理以及政策及法律变化的影响三个层面,并提炼当前的上市监管的关注重点以及未来的监管趋势。
(一)网络及数据安全管理
1. 网络及数据安全管理制度
序号 | 公司名称 | 上市状态[3] | 时间 | 问题 |
1 | 怡合达 | 已上市 | 2021/7/2 | 是否建立防止泄密和保障网络安全的管理制度以及执行情况。 |
2 | 广道高新 | 已上市 | 2021/9/27 | 是否已建立完善的防泄密和保障网络安全的内部管理制度,该等制度的执行是否有效。 |
3 | 华宝新能 | 已问询 | 2021/11/29 | 是否已建立完善防泄密和保障网络安全的内部管理制度。 |
4 | 天润科技 | 已问询 | 2021/12/10 | 说明数据的获取、使用及保管的内部管理制度及执行情况,有效保障数据安全的具体措施。 |
5 | 合合信息 | 已问询 | 2021/12/29 | 发行人关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况,是否能够有效保障数据安全及业务合法合规。 |
6 | 赛维时代 | 已问询 | 2022/1/14 | 是否已建立完善防泄密和保障网络安全的内部管理制度。 |
7 | 优炫软件 | 已问询 | 2022/1/28 | 补充披露关于数据安全与网络安全保护的相关制度及措施。 |
2. 发生网络、数据安全事件风险及防范措施
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 云创数据 | 已上市 | 2021/7/1 | 是否存在数据或信息被窃取、篡改、泄露、假冒、恶意破坏或被攻击等网络安全事件风险和法律风险。 |
2 | 怡合达 | 已上市 | 2021/7/2 | 报告期内是否发生客户信息、交易信息等泄露事件,如是,披露是否构成重大违法行为。 |
3 | 广道高新 | 已上市 | 2021/9/27 | 说明在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息,是否存在泄露国家秘密、保密信息、个人信息的情况。 |
4 | 零点有数 | 已上市 | 2021/10/19 | 1)发行人针对上述数据使用、隐私及安全方面的内部控制措施及其有效性,是否存在泄密及其他数据使用风险; 2)是否存在数据或信息被窃取、篡改、假冒、恶意破坏或攻击等网络安全事件风险及法律风险。 |
5 | 华宝新能 | 已问询 | 2021/11/29 | 是否可以获取用户相关个人信息和商业秘密等用户数据,报告期内是否存在数据泄露造成发行人及客户损失的情形。 |
6 | 天润科技 | 已问询 | 2021/12/10 | 说明是否存在数据或信息被窃取、篡改、泄露、假冒、恶意破坏或被攻击等网络安全事件风险和法律风险。 |
7 | 合合信息 | 已问询 | 2021/12/29 | 报告期内发行人数据管理不完善的具体情形、影响范围、严重程度,是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形,目前发行人针对该等不完善情形的具体整改情况及效果,发行人数据合规纠纷的解决机制。 |
8 | 赛维时代 | 已问询 | 2022/1/14 | 说明报告期内是否存在数据泄露造成发行人及客户损失的情形。 |
9 | 优炫软件 | 已问询 | 2022/1/28 | 补充说明发行人主要产品在使用过程中是否存在网络安全问题,包括但不限于外挂程序、被黑客攻击、软件漏洞、设备故障等,如有,补充披露事件发生的具体过程、解决方法及对发行人产品的影响,目前解决情况及后期应对措施。 |
10 | 联特科技 | 上市委会议通过 | 2022/2/28 | 说明2019年发行人邮箱遭黑客攻击导致款项预期无法收回的具体情况,发行人 IT 系统安全性情况,并说明上述事件发生后的相关整改情况,发行人内部控制是否有效。 |
由上述案例可知,如果公司被询问是否建立网络安全、数据安全管理制度,其均被进一步问询是否发生过网络、数据安全事件的风险。而对于近四个月内接受IPO审核的华宝新能、合合信息、赛维时代、优炫软件和联特科技五家公司,其又被进一步问询该风险造成的损失、整改情况、内控效果以及后续风险防范措施。
因此,公司建立网络、数据安全管理制度与发生网络、数据安全事件是论证公司网络、数据安全管理有效性的一体两面。从正面而言,监管机构关注发行人是否依照《网络安全法》、《数据安全法》等法律法规的规定,制定有网络安全、数据安全相关制度以及建立了保障数据安全、网络安全的具体措施,包括信息安全制度、防泄密措施等,并且关注该制度和措施的执行情况。从反面而言,监管机构关注发行人是否曾发生过网络安全、数据安全事件或者是否具有发生相关事件的风险,从反面证明发行人应对上述事件和风险的能力,以检验是否有效保障发行人的网络和数据安全。
(二)数据全流程(全生命周期)合规处理
1. 数据收集
(1) 数据来源及数据类型
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 中数智汇 | 提交注册 | 2021/2/2 | 1)请发行人结合主营业务所涉领域及同行业可比公司说明发行人的具体行业分类,与其他征信行业企业在数据来源、数据加工及处理、提供具体服务内容及方式等方面是否存在重大差异; 2)请补充披露发行人不同类型产品的具体服务流程及内容,不限于……数据来源…… |
2 | 零点有数 | 已上市 | 2021/7/15 | 说明发行人为该汽车客户提供服务及产品的具体内容,发行人采集信息的途径,……通过人脸识别设备提供数据分析及决策支持属于招股说明书披露的何种数据类型及数据来源,发行人是否存在使用类似途径获得数据信息的情形。 |
3 | 零点有数 | 已上市 | 2021/10/19 | 补充披露保障外部采购数据可靠性的措施及其有效性。 |
4 | 旷视科技 | 提交注册 | 2021/10/29 | 结合报告期内获取数据方式、来源等,按照《数据安全法》等相关规定,说明获取、处理及使用数据的合法性。 |
5 | 嘉和美康 | 已上市 | 2021/11/3 | 请发行人补充披露各项核心技术涉及的数据来源及类型。 |
6 | 天润科技 | 已问询 | 2021/12/10 | 1)补充披露各细分业务所需的数据类型、来源、使用期限或其他权利限制、不同数据来源占比;如存在对外采购数据,说明核心数据来源,与同行业可比公司的差异情况及合理性; 2)相关服务、设备是否来源于国外供应商,如有,请补充披露。 |
7 | 青木股份 | 已上市 | 2021/12/17 | 结合发行人消费者运营服务的业务流程补充披露发行人能够获取消费者个人信息的环节、信息内容范围……对消费者相关信息数据的采集、使用是否符合互联网用户数据使用及数据安全方面的法律、法规及规章制度。 |
8 | 合合信息 | 已问询 | 2021/12/29 | 1)发行人各项业务及研发分别获取、存储、使用哪些数据,对应的数据来源、数据权属,是否存在销售数据的情形; 2)发行人向个人供应商采购数据的主要内容……; 3)发行人调查供应商及数据来源合法性的具体方式及有效性。 |
9 | 赛维时代 | 已问询 | 2022/1/14 | 补充披露发行人在开展业务过程中是否可以获取用户相关个人信息和商业秘密等用户数据。 |
10 | 科蓝软件 | 中止 | 2022/2/8 | 请发行人补充说明:发行人主营业务的客户类型;发行人业务中是否包括直接面向个人用户的业务。 |
(2) 数据合法收集、数据权益及侵权纠纷
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 零点有数 | 已上市 | 2021/7/15 | 1)是否取得了被采集信息用户的明确同意,是否存在未经授权获取用户数据的情况; 2) 是否存在自身或外购数据供应商侵害用户人身权益等侵权行为,是否出现过个人信息、隐私泄露事件,是否存在相关纠纷或潜在纠纷。 |
2 | 锦泓集团 | 已上市 | 2021/8/19 | 涉及采集客户信息的,是否可能侵犯个人隐私或其他合法权益。 |
3 | 零点有数 | 已上市 | 2021/10/19 | 历史上是否曾发生过提供不实数据的情形,是否影响发行人产品质量问题或客户纠纷的情形;如因不实数据而导致纠纷的,发行人、数据提供商以及客户之间的责权利划分情况。 |
4 | 嘉和美康 | 已上市 | 2021/11/3 | 通过科研合作产生数据集或基于真实医疗业务数据开展技术的,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯患者隐私的情形。 |
5 | 青木股份 | 已上市 | 2021/12/17 | 数据采集过程是否获得客户许可,是否存在违规使用用户数据、侵犯用户权益的情形。 |
6 | 天维信息 | 终止 | 2021/12/17 | 1)是否存在因泄露或使用前述信息或数据产生的纠纷或处罚,公司所研发软件及应用关于采集、使用个人信息等数据的功能设置是否符合法律法规规定; 2)发行人是否享有数据的所有权或获得相关数据主体的授权,相关授权是否存在使用范围、主体或期限等方面的限制,发行人及其原料数据采集供应商是否存在超出上述限制使用数据的情形,是否存在数据采集或使用侵犯个人隐私或其他合法权益的风险。 |
(3) 数据收集方式
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 嘉和美康 | 已上市 | 2021/11/3 | 请发行人补充披露数据获取方式。 |
2 | 天维信息 | 终止 | 2021/12/17 | 请进一步说明发行人及其原料数据采集供应商相关数据的获取方式及其合规性。 |
3 | 合合信息 | 已问询 | 2021/12/29 | ……自动化访问获取的企业数据如何确保来源合法性。 |
2. 其他数据处理方式
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 提交注册 | 2021/2/2 | 请发行人结合主营业务所涉领域及同行业可比公司说明发行人的具体行业分类,与其他征信行业企业在数据来源、数据加工及处理、提供具体服务内容及方式等方面是否存在重大差异。 | |
2 | 云创数据 | 已上市 | 2021/7/1 | 补充披露是否存在客户数据在发行人自有系统中进行存储或处理的情形,……是否存在数据使用、隐私和安全方面的风险或潜在纠纷,若存在,补充披露前述风险的责任承担主体。 |
3 | 零点有数 | 已上市 | 2021/7/15 | 发行人是否存在将授权范围内收集的直接识别信息出售给客户的情形。 |
4 | 可孚医疗 | 已上市 | 2021/9/28 | 1)发行人使用和维护的大量个人消费者及企业客户信息等数据资源的合法合规性; 2) 是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为,是否存在纠纷或潜在纠纷。 |
5 | 零点有数 | 已上市 | 2021/10/19 | 补充披露针对客户委托项目中各类采购的原始数据及后续处理完毕数据的保存期限,是否符合行业惯例及合同约定。 |
6 | 旷视科技 | 提交注册 | 2021/10/29 | 结合报告期内获取数据方式、来源等,按照《数据安全法》等相关规定,说明获取、处理及使用数据的合法性。 |
7 | 嘉和美康 | 已上市 | 2021/11/3 | 请发行人补充披露数据存储方式。 |
8 | 华宝新能 | 已问询 | 2021/11/29 | 是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为。 |
9 | 天润科技 | 已问询 | 2021/12/10 | 1)补充披露是否存在客户数据在发行人自有系统中进行存储或处理的情形,……是否存在数据使用、隐私和安全方面的风险或潜在纠纷,若存在,补充披露前述风险的责任承担主体; 2)数据的获取、使用及保管是否存在违反国家安全、国家秘密、商业秘密以及地理信息数据管理等相关法律法规规定的情形,是否存在纠纷或潜在纠纷,若存在,说明对发行人相关业务开展的影响。 |
10 | 青木股份 | 已上市 | 2021/12/17 | 补充披露发行人获取消费者个人信息后的用途、利用方式,是否存在过度利用的情形,发行人在保护消费者个人信息方面所采取的措施,是否存在法律风险。 |
11 | 天维信息 | 终止 | 2021/12/17 | 公司是否存在收集或使用客户数据的情形。请发行人……分析并补充披露公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形,……请补充披露相关信息或数据获取及使用的合法合规性、风险控制制度及执行情况,是否存在因泄露或使用前述信息或数据产生的纠纷或处罚,公司所研发软件及应用关于采集、使用个人信息等数据的功能设置是否符合法律法规规定。 |
12 | 赛维时代 | 已问询 | 2022/1/14 | 是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形。 |
13 | 思特奇 | 已注册 | 2022/1/17 | 发行人是否为客户提供个人数据存储及运营的相关服务,是否存在收集、存储个人数据,对相关数据挖掘及提供服务的具体情况。 |
14 | 科蓝软件 | 中止 | 2022/2/8 | 发行人是否为客户提供个人数据存储及运营的相关服务,是否存在收集、存储个人数据,对相关数据挖掘及提供增值服务等情况。 |
15 | 立昂技术 | 已问询 | 2022/2/25 | 发行人是否为客户提供个人数据存储及运营的相关服务,是否存在收集、存储个人数据。 |
对于主营业务依赖于外部数据的公司而言,数据收集是业务活动的开端,也是决定后续数据处理活动是否合法合规的基础。因此,数据收集成为数据处理全流程中监管机构重点问询的环节。监管机构通常要求公司结合具体业务,从数据来源、数据类型、是否取得相应授权及是否发生过侵权事件及其风险、数据收集方式等进行合法合规性的阐述。
在部分案例中,对于可能接触大量个人信息或客户数据的公司,如果服务、设备来自国外供应商,监管机构还会要求对此情况予以披露(天润)。对于数据类型,监管机构尤其关注对于商业秘密和个人信息的收集,同时考虑到个人信息可能同时构成个人隐私因而涉及两种法益的情形。对于数据权属方面的侵权事件,如果发行人曾存在数据来源不可靠的情况,监管机构会针对该纠纷进一步询问该情况是否影响发行人的业务,以及关于该纠纷的权责划分问题。最后,对于数据收集方式,针对在合法合规性存在解释空间的收集行为(例如合合信息的自动化访问和收集数据的行为),监管机构同样要求公司论证其合法合规性。整体而言,监管机构对于数据收集的问询通常较为细致和全面。
除了数据收集之外,针对使用、存储大量业务数据以及个人信息的科技型公司,甚至是对于涉及数据处理但实际可能仅接触少量数据的公司,监管机构会重点关注上述数据处理的流程以及处理过程中的合规性,包括是否进行数据处理、数据是否被过度利用(例如销售)、是否发生过侵权纠纷及其风险。
此外,因数据处理与发行人业务的联系较为密切,行业规范、行业惯例成为监管机构在数据处理层面关注较多的问题,例如发行人的行为是否符合行业内特殊规定,又如与行业内其他公司比较,发行人的数据处理活动是否存在重大差异。因此,监管机构关注的更多是在公司所处的行业内数据是否被合法合规地利用。
(三)政策及法律环境变化对公司经营活动的影响
序号 | 公司名称 | 上市状态 | 时间 | 问题 |
1 | 零点有数 | 已上市 | 2021/7/15 | 是否适用《电信和互联网用户个人信息保护规定》等相关法律法规,如适用,请说明是否符合相关法律法规的规定。 |
2 | 广道高新 | 已上市 | 2021/9/27 | 对比分析公司在业务开展、内部控制等各方面是否符合《网络安全法》相关规定。 |
3 | 旷视科技 | 提交注册 | 2021/10/29 | 是否存在因网络安全审查事项而导致违约情况,并补充披露网络安全审查对发行人经营的影响情况。 |
4 | 华宝新能 | 已问询 | 2021/11/29 | 是否符合国家数据保护和网络安全等法律法规的规定。 |
5 | 天维信息 | 终止 | 2021/12/17 | 分析并补充披露《个人信息安全规范》《数据安全法》等法律法规的出台对发行人业务开展或研发模式的具体影响,发行人及其原料数据采集供应商(如有)是否存在违反上述规定的情形,发行人主要客户在使用发行人产品过程中是否存在违反上述规定的情形及对发行人的影响,并视情况进行风险揭示、做重大事项提示。 |
6 | 合合信息 | 已问询 | 2021/12/29 | 1)近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响,发行人业务开展是否符合该等法律法规规定,是否存在本次发行上市未履行的前置程序或其他障碍,相关风险揭示是否充分; 2)保荐机构、发行人律师核查并说明发行人境外业务开展是否遵守当地个人信息和数据安全保护的相关规定,是否存在被境外主管机构处罚的情况或潜在风险。 |
7 | 赛维时代 | 已问询 | 2022/1/14 | 业务开展是否符合境内或者境外数据保护和网络安全等法律法规的规定。 |
与数据安全及个人信息保护相关的政策和立法的急剧变化可能会对包含数据处理活动的公司产生一定的影响,因此,这也成为监管机构主要问询的问题之一。例如:公司的业务开展是否适用或者符合政策或法律的规定?政策和法律的变化对公司业务产生何种影响?更进一步,发行人是否对该影响采取充分的风险提示措施等?
此外,对于公司涉及境外业务的情况,监管机构会要求发行人论证该业务开展是否符合当地数据保护和网络安全等法律法规的规定,以及是否存在相关风险。
三、对发行人的合规建议
对于网络及数据安全管理、数据全流程处理以及政策法律变化的影响等三方面常见的问询问题,我们认为,对于拟上市企业而言,在以下几个方面值得予以关注和提升:
(一)加强数据管理制度建设
1. 从合规制度建立层面,按照《网络安全法》、《数据安全法》、《个人信息保护法》及相关数据合规领域的行政法规、规章、监管规则等制定网络、数据安全管理制度,包括数据分类分级管理制度、安全事件应急预案、安全审计、个人信息保护影响评估制度、第三方合作准入及审查制度、数据出境管理制度及其他必要的制度等;
2. 从制度实施层面,通过多种技术和管理措施保障信息系统的安全和数据安全,包括设立防火墙、系统访问权限控制、数据加密、数据操作权限管理、数据备份、安全事件预警等;同时配备相应的工作岗位以及专业人员,建立数据合规组织架构与操作流程、操作手册等;
3. 从执行效果层面,对上述制度的执行情况进行记录,并对执行效果进行定期评估,对制度进行及时更新和优化。
(二)规范数据处理流程
1. 从处理方式层面,应当识别并区分数据处理的各个环节,特别应当重点关注数据收集、数据共享、数据提供的合规情况;
2. 从数据类型层面,对处理的数据进行分类分级,识别重要数据、核心数据,并对其他数据进行分类分级管理,并与数据管理制度相衔接;
3. 从处理流程层面,完善包括个人信息在内的信息安全管理、数据运行安全管理以及数据全流程合规管理的措施,并与数据管理制度相衔接;
4. 从流程执行层面,应当保证数据处理的合法性,例如通过制度或者技术手段保障数据来源合法性,通过制定对外的政策文件或者签订合同,规范数据处理流程,并遵守相关文件的约定;
5. 从处理方式层面,重点关注收集方式,例如通过爬虫等自动化程序收集的情形。
(三)持续跟进政策和立法动态
1. 积极并且持续跟进法律法规的变化,关注征求意见稿反映的执法趋势,并能够据此及时采取应对措施;
2. 如果发行人难以做到积极跟进立法动态,建议聘请专业律师提供一揽子合规建议,协助建立数据风险的预警机制,以尽快完成相应合规问题的整改,保障上市进程有序推进。
四、结语
随着数据合规法律体系的逐步完善,对于主营业务与数据处理有关的公司,数据合规情况是监管机构的审查重点。从公司日常经营的角度,数据合规是公司构建内部整体合规体系的重要一环。因此,公司应当尽早建立并配合执行相关数据合规制度,面对网络及数据安全风险及时采取补救措施,将数据合规纳入公司日常管理工作中。
在公司已上市或者拟上市的场景下,如果发行人在日常经营中未采取有效的数据合规措施,从而发生数据安全事件,被认定为没有适当履行数据合规义务,或者被认定为没有披露数据合规情况、对数据合规情况披露不充分,那么对于已上市公司,可能引发相应的法律风险;而对于拟上市公司,则可能影响上市进程,甚至可能导致上市失败。因此,不论是对于公司的日常经营还是上市进程,数据合规落地均有非常重要的意义和价值。
[1] 戴祥,《拟IPO企业数据合规审核要点及应对》,http://www.dhl.com.cn/CN/tansuocontent/0008/017219/7.aspx?MID=0902(2019年11月22日)。
[2] 《北京零点有数数据科技股份有限公司问询回复》(2021年7月15日披露)。
[3] 最后更新日期2022年3月21日,下同。
