大数据行业是近期的投资热点之一，也是资本市场上较为活跃的新兴产业。众多互联网机构，在积累了海量用户信息后，通过人工智能算法和数据模型的构建，为金融行业的风险控制、传统行业的市场调研及产品开发、精准营销、市场布局、企业战略决策提供服务。大数据的挖掘、分析、运用能力，已经成为现代企业的重要战略能力，大数据成为企业竞争、国与国竞争的基础要素。为此，我国专门制定了大数据行动纲要，在国家战略层面确定了大数据战略。

然而，大数据的运用是一把双刃剑，既能够提升产业竞争力，同时也会涉及到公民个人信息保护和隐私保护。对此，我国制定了《中华人民共和国网络安全法》，欧盟区域、美国以及全球主要国家和主要经济体均制定了相应的个人信息保护规范。这一背景下，我国司法机关、执法机关针对大数据行业的执法及司法审查均日趋严格。而近期针对大数据行业的若干司法及上市案例，反映了这一趋势。

一、两个资本市场负面案例简介

1、新三板公司数据堂案件

数据堂是中小企业股份转让系统（新三板）挂牌的股份公司，2018年5月9日、7月10日，该案两次开庭审理完毕，2018年8月9日，山东省费县人民法院以侵犯公民个人信息罪分别判处涉案人员柴银辉（董事/首席运营官）、揭宇飞（董事）三年和二年有期徒刑。

该案基本案情如下：2017年4月5日，山东省临沂市费县警方接到报警称，网上有人非法出售临沂市公民个人信息。根据报案线索，费县警方发现，在一个名为“全球数据供应商”的QQ群里，时常有人出售带有房地产、金融等相关标签的手机号等信息，其中2000条信息被卖往费县。由于该类信息涉及公民敏感个人信息，且经初查发现其中有重要数据公司活动迹象，该案被公安部和最高检察院列为督办案件侦查。

经费县警方侦查，上述数据来源的上游即为数据堂公司。用于转卖的数据主要内容为手机号、地区和个人偏好等数据。最终该案涉及的21名犯罪嫌疑人被起诉，数据堂公司有6人涉案，案件涉及公民个人信息达数百亿条，数据量特别巨大。检方认为涉案人员系非法出售数据，应以侵犯公民个人信息罪追究其刑事责任。

2、新三板公司瑞智华胜案件

2018年7月24日，瑞智华胜发布公告称，公司法定代表人、董事周嘉林及监事黄健、梁修军及2名公司员工因涉嫌非法获取计算机信息系统数据罪，已于7月4日被绍兴市公安局越城分局刑拘。2018年8月14日，瑞智华胜再次发布公告称，上述人员已于2018年8月9日被绍兴市越城区人民检察院正式批捕。2018年8月30日，瑞智华胜发布公告称，公司拟于股东大会审议通过后 10 个转让日内向全国中小企业股份转让系统提交终止挂牌申请。

该案基本情况如下：2014年开始，瑞智华胜通过竞标的方式，先后与全国多家运营商签订正式的服务合同，为其提供精准广告投放系统的开发、维护。在提供软件服务的过程中，相关人员获得了运营商服务器的远程登录权限，并于2015年开始，在明知不合法的情况下，将自主编写的恶意程序放在运营商内部的服务器上，偷偷“劫取”流量。当用户的流量经过运营商的服务器时，该程序就自动工作，从中清洗、采集出用户cookie、访问记录等关键数据，再通过恶意程序将所有数据导出，存放在瑞智华胜境内外的多个服务器上。最终非法窃取用户个人信息30亿条，用于操控用户账号进行微博、微信、QQ、抖音等社交平台的强制加粉、加群、刷量等服务进行非法获利。警方表示，犯罪嫌疑人未经公民同意而非法收集个人信息并进行精准营销的行为，不仅对用户构成民事侵权，还涉嫌构成侵犯公民个人信息罪。新三板挂牌及上市公司收购过程分析

上述二个案例中，数据堂案例由于风险事件发生在企业挂牌后，且违法行为在挂牌后发生，故不涉及挂牌过程中的合规判断。当然，对于该案件中，数据堂公司是否存在数据管理不当的责任，或者是否存在其它网络安全管理的问题，由于案件信息披露有限，当前并无法直接得出结论。

瑞智华胜案件由于发生在挂牌过程中，且经历了股份转让系统（新三板）的多轮反馈，特别值得关注。

在瑞智华胜案件案件中，中小企业股份转让系统（新三板）关注的核心问题之一是该公司是否可能涉及非法获取公民个人信息。在股转系统的反馈意见中，明确提到了“公司开发的软件是否存在非法收集使用用户信息，侵害用户利益的情形。”同时，股份转让系统要求主办券商和律师对此作出核查。对此，公司做了否定性回复，即公司的软件并不存在上述情况。主办券商及项目主办律师均作出了公司软件不会非法获取公民信息的无保留核查意见。

二、风险事件发生的原因分析

数据行业挂牌公司近期风险事件频发，与其它行业不同的是，风险事件爆发时点集中、风险类型集中。且上述项目均经过了券商、会计师、律师的多重核查，依然存在相应的风险，对此，笔者认为，主要的原因如下：

1、大数据的业态新

数据行业是新兴行业，而且属于典型的实践驱动理论研究，行业整体的风险理论研究、风险防范模型、风控方法不够完善。由于业态新，导致社会公众、中介机构对于该类行业的业务流程、业务模式的认知模糊，从而无法清晰识别可能存在的法律风险，更无法对企业的风险进行完整的揭示和披露。

2、大数据业务流程隐蔽

由于数据行业的在线化特征，导致其业务流程高度自动化和智能化，并且该行业涉及的生产资料为数据，而数据具有无形性的特征，从而使得整个流程比较隐蔽。对于公众和中介机构而言，如何深入企业的业务系统，将其数据流向、数据使用方式、数据授权方式理清，是一个较为困难的过程。律师、券商、会计师等中介机构，如果无法深入了解整个业务流程和操作的关键节点，将无法准确把握风险控制的节点，从而导致上市过程中产生疏漏。

3、业务操作的自动化

自动化意味着业务处理流程的高速化，系统中的记录随时发生变化，这给中介机构的核查提出了新的命题。对于律师、券商等中介机构而言，原有的核查方法是通过合同、报表、流程说明等文件对业务流程的合规性进行判断，自动化业务处理流程中，企业归纳的流程是否与实际流程一致？中介机构如何凭借自身对于行业的深刻理解，对于企业的流程说明作出恰当的判断，都是自动化操作带来的新问题。

4、法规滞后

由于《网络安全法》及个人信息保护规范等法律、法规、规范性文件出台时间较晚，且相关配套规则还不够完善，这也给部分数据企业的业务操作带来了一定的灵活空间。但同时，也使得部分企业具有侥幸心理，对于合规操作及法律风险认知不足，从而引发相应的法律风险。

三、企业对数据合规进行披露的演进

客观的讲，大数据行业所涉及的数据合规问题并非在《网络安全法》生效后方才存在，而是与大数据的运用始终伴随的。但是，由于此前大数据应用的广度与深度均不及当前，且无论是企业还是个人，对于数据合规及个人信息保护的法制意识不够强烈，导致这一问题未得到充分的重视。

从当前披露的系列案例看，发行人对数据合规问题的披露可以分为两个阶段，两个阶段以《网络安全法》的通过及施行作为界分。第二阶段中，企业对于数据合规问题的披露在不断完善，这一方面与《网络安全法》颁布并施行有关，另一方面也是因为数据行业风险事件频发而引发了监管的不断关注。

1、网络安全法施行之前的披露

第一阶段上市的企业主要包括：腾信股份等。这些企业在对业务模式及法律风险的披露过程中，虽然涉及到了企业数据及个人信息的风险，但披露内容均比较简单，且监管机构针对上述问题的反馈也相对较少。

以腾信股份为例，该公司《招股说明书》对于公司业务模式的披露为：“公司的主营业务是为客户在互联网上提供广告和公关服务，通过分析相关数据，使得广告和公关服务的精准度更高，服务效果更好。公司的互联网广告服务业务，主要通过数据挖掘和分析，帮助客户寻找广告信息传播的网络目标受众群，以适当的媒介及广告位置组合，为客户进行互联网广告投放，并随时记录、监控传播效果和实施进一步的优化。”从这一节描述可以看出，腾信股份的核心业务属于典型的大数据精准营销业务，属于比较典型的大数据应用企业。

在公司的风险披露部分，仅有一条涉及到数据合规与安全问题。即：业务数据泄露影响公司经营的风险。《招股说明书》的描述内容为：“公司在业务过程中会获取互联网媒介及其广告位置属性数据、客户及其行业的营销数据，这些相关业务数据是公司提高服务客户质量，提高客户对公司营销服务粘性，及公司在互联网营销领域体现核心竞争力的基础。公司采取的保密措施并不能彻底消除公司所面临的数据泄露风险，若公司发生数据泄露，将影响公司经营。”对于公司数据的获取流程、使用流程等与法律风险紧密相关的内容，《招股说明书》的说明并不详尽。

《律师工作报告》及法律意见书，对于业务模式的法律问题，均做出了无保留意见。其表述为：“综上，本所律师认为，发行人经营符合国家产业政策；发行人的经营范围和经营方式符合有关法律和行政法规的规定；发行人的主营业务突出，最近两年内主营业务没有发生重大变化；发行人不存在影响持续经营的法律障碍。

针对该企业，监管机构前后一共反馈了五次，但关注要点主要是财务和业务数据，以及其他相关问题。腾信股份披露招股说明书及法律意见书的时间在2014年，因当时《网络安全法》尚未颁布，《招股说明书》、《律师工作报告》及法律意见书未将数据获取流程及个人信息的使用流程等数据合规法律问题予以重点关注，具有一定的合理性。

2、网络安全法通过并施行之后的披露及审核

（1）华扬联众

华扬联众的《招股说明书》于2017年7月20日提交，因《网络安全法》已经于2016年11月7日通过并自2017年6月1日起施行，故该公司对于数据合规法律风险的披露更为详尽，并将该类风险归纳为：“不当使用互联网用户信息的风险”，并对风险的控制措施表述如下：“公司在开展互联网广告业务活动时，基于监测和改善广告投放效果、控制广告投放频次、提高广告投放精准度等方面的需要，会对浏览相关广告内容和合作网站内容的互联网用户的浏览行为等信息进行记录、分析。在使用这些信息时，公司会通过技术手段确保实现用户身份关联信息的去身份化，使得这些信息无法用于识别、确认或关联至某个特定用户。作为我国互联网广告领域内的知名企业，公司一直非常注重互联网用户信息的保护，一方面，公司一贯严格遵守相关法律、法规的规定，对员工查阅和使用用户信息有严格规定；另一方面，公司是我国第一部规范互联网定向广告用户信息使用的行业标准《中国互联网定向广告用户信息保护行业框架标准》的制订者之一，也是首批签署该标准的企业，公司对收集用户信息的方式和范围进行了公示，并向用户提供了易于操作的选择机制，允许用户自行选择是否接受数据收集行为。”

（2）上市公司梅泰诺收购数据公司案

创业板上市公司梅泰诺以发行股份及支付现金方式收购目标公司100%的股权，目标公司系一家数据营销公司。收购过程中，深圳证券交易所创业板公司管理部发出的重组问询函涉及多个数据合规问题。

其中问题3的内容为：标的公司通过向第三方数据供应商购买而非直接向终端用户获取用户数据。请补充说明第三方数据商授权标的公司使用相关数据是否需要经过终端用户或者其他第三方同意，授权是否合法、合规。

问题9的内容为：请律师将采取一系列的方式对目标公司数据来源、数据授权方式及合法性进行审慎核查和验证。请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合2018年5月1日实施的《信息安全技术个人信息安全规范》的要求。若否，请充分提示相关风险并说明后续整改措施。

据悉，该收购案因为其他原因撤回。在深圳证券交易所的问询内容中，数据合规问题成为整个收购过程中最为重要的法律问题。对于深圳证券交易所的问询，主办律师出具了无保留意见：“律师认为，相关数据的收集者、应用者对该等数据均不具有不受限制的所有权。相关数据的收集者、应用者对该等数据的占有、使用、处分及获取收益均需在法律法规允许的范围内并取得相关用户的授权。第三方数据供应商未直接向终端用户获取用户数据，由电信运营商负责取得向其终端用户的收集及使用个人信息的授权。第三方数据供应商已经出具相关承诺，保证相关数据来源合法且已经取得了数据来源机构或者个人的完整授权。”

（3）聚合数据

聚合数据（全称“天聚地合（苏州）数据股份有限公司”）的《招股说明书》于2018年11月28日在中国证监会网站公布，该公司《招股说明书》在风险披露部分，对于数据合规问题披露了三大风险，一是“行业监管政策变化风险”，二是“信息安全风险”，三是“供应商数据源合规性风险”。

关于“行业监管政策变化风险”的表述为：“由于互联网数据服务行业属于新兴经济领域，且涉及互联网数据安全、公民个人隐私等领域，行业监管政策处于不断调节、完善的过程中。…若未来行业监管政策发生变化，则有可能影响公司目前的市场经营环境，导致公司的业务模式、合规成本发生变化。”

关于“信息安全风险”的表述为：“上述系统及互联网基础设施可能受到网络设施故障、计算机恶意程序、黑客攻击等因素的影响，从而影响公司业务系统的安全。”

关于“供应商数据源合规性风险”的表述为：“公司建立了完善的内部控制制度和供应商评价体系，对涉及公民个人信息等数据来源的供应商，严格执行供应商甄选、数据源核验以及合同合规性审核等内控措施。若供应商提供的合规性审核材料存在虚假或隐瞒，或其存在违法经营的情况，则可能给公司带来合规风险。”

同时，对于数据源获取方式，该公司披露信息做了较为完善的披露。对于数据的获取、数据运用流程，也做了比较充分的披露。特别是对于发行人保护数据安全和公民个人信息的质量控制措施，做了详细的表述。包括对数据来源合法合规性的审核措施，数据传输的信息安全保护措施，下游数据使用的合法合规性审核措施等。

总体而言，在立法完善及监管不断关注的背景下，中介机构及发行人对于大数据行业上市的信息披露逐渐趋于严格和完善。

四、大数据行业上市主要关注的合规点

大数据行业属于广义的互联网行业，同样适用网络安全法及相应的配套规则。因此，对于数据行业而言，其遵循的合规要点，与常规的互联网行业有一定重合。但同时，与一般互联网企业不同的是，其它企业以通过互联网提供商品或服务为主，数据是其业态的支撑和副产品。而对于数据行业，很可能并没有其它的商品或服务提供，围绕数据提供数据决策模型、数据风控模型、精准营销服务、反欺诈服务等，构成其服务的主要内容。数据或者用户信息是数据企业的原料，围绕数据产生的用户画像、数据模型则是其输出的产品。因此，数据行业的合规要点更加关注数据获取方式及运用方式，以及数据产品输出时可能设计的用户信息保护问题。基于此，对于大数据企业的上市、三板挂牌或并购，需要关注如下主要的合规要点：

1、网络安全等级保护问题

按照《网络安全法》的要求，互联网经营这应实施与自身风险相适应的网络安全等级保护。对于拥有密集用户数据的数据公司，笔者理解，其网络安全等级应按照三级的标准予以实施。按照规定，三级以上的保护等级，需要申请公安机关实施测评，企业并应定期申请测评和检查。等级保护的实施，可以降低企业发生数据泄漏之后的行政责任及刑事责任。

2、企业基础网络安全管理制度

对于网络经营者而言，依照网络安全法及相关法律、法规、规章要求，建立基本的网络安全管理制度。包括内部的网络安全管理机构、网络安全负责人、网络安全基本管理制度、网络安全培训制度、相关设备设施采购制度、第三方合作机构准入制度、网络安全预警制度及应急处置制度、用户数据的保护制度等。在上述制度基础上，还需要有落实制度实施的内部流程管理和监督机制。

3、用户数据及个人信息的保护制度

对于数据企业而言，数据是其开展业务活动的基本生产要素，因此，数据及个人信息保护制度也是整个商业模式的基础。在网络安全领域，近年来违法及犯罪事件最为高发的领域主要集中在个人信息保护领域。其中，侵犯公民个人信息的犯罪处于高发态势，这里面即有行为人以盈利为目的恶意违反法律法规买卖公民个人信息的情况，也包括企业因法律意识淡薄而发生的违反犯罪。此外，也有大量虽然不构成犯罪，但触犯民事法规和行政法规而被追究相应法律责任的情况。

对于用户数据及个人信息保护的审核，应重点进行以下几方面的审核：

其一、用户数据的收集环节

在用户数据收集环节，应关注数据收集的方法，以及数据的来源。数据收集的方法是否合法？是否存在违反网络安全法及其它单行法律、法规、规则的情况？数据收集行为是否正当？以及数据收集是否符合必要性、自愿性的原则。

如果数据来源于公开渠道，或者在采集后经过脱敏处理，一般而言，合规审核的难度较低。

其二、用户数据的使用环节

在用户数据的使用环节，应关注企业内部是否设置了用户数据展示、使用的基本管理制度，内部对于数据管理和使用的权限分工。以及企业是否超越了用户授权使用数据。

其三、用户数据的流转环节

数据流转是最容易产生刑事犯罪的环节，应关注企业的数据是否转授权或流转给第三方使用？如果有数据的流转，该数据的流转是否经过了个人信息主体的明示同意。如果没有用户授权，是否经过了充分的脱敏。

最后、外来数据的审核

如果数据企业所使用的数据并非通过自身的经营活动采集，而是来自于其他互联网经营者或第三方数据公司，则需要充分审核第三方数据的合法性以及第三方将数据流转给数据企业的授权流程是否完备。充分核验第三方个人信息获取的合法性以及授权的完备性，以保证数据在源头上不违反现行法律、法规。

综上，数据企业的法律风险具有其特殊性，这给券商、律师进行企业上市核查提出了新的问题。中介机构应基于对行业商业模式、业务流程、法律风险的深刻理解，结合中国证监会及相关交易所的要求，对于大数据企业进行上市或并购过程中的数据合规法律风险进行充分核查与信息披露，从而防范自身的执业风险。