人工智能作为新一轮科技革命和产业变革的重要驱动力量，正在对经济发展、社会进步、国际政治经济格局等诸多方面产生重大而深远的影响。上海作为中国经济发展的领头羊，是引领中国数字经济时代转型的风向标，2021年8月26日，《浦东新区产业发展“十四五”规划》和《浦东新区促进制造业高质量发展“十四五”规划》（以下共同简称“《规划》”）同时发布。宣布未来浦东将打造集成电路、生物医药、人工智能三大世界级产业集群。在人工智能领域，浦东将围绕制造、医疗、交通、城市管理等领域，形成更广泛的“智能+”深度融合应用，推动人工智能核心产业发展。并构建人工智能芯片、智能软件、智能机器人、系统解决方案等多层级产业体系。

人工智能作为数据密集型产业，人工智能企业在数据安全和个人信息安全方面面临着巨大的挑战，这也是近年来人工智能企业上市审核中的重要关注点，随着《数据安全法》的实施以及《个人信息保护法的》亟待实施，我国数据和信息保护的法律体系进一步完善，人工智能企业在科创板上市过程中也将面临更加严格的数据信息合规性审核。本文就科创板上市审核中需要注意的数据合规要点进行总结和分析，以期对拟于科创板上市的人工智能企业提供参考、借鉴。

人工智能的发展是数字经济转型的重要推动力量，作为世界科技的前沿，其科创属性是显而易见的。科创板的开板为人工智能企业提供了极佳的上市平台，也为人工智能企业的融资开辟了新的途径。然而，人工智能企业若想顺利通过科创板上市，和其他企业相比，将面临更为严格的数据合规性审核，这为依托于海量数据收集和处理的人工智能企业提出了新的挑战。

（一）目前我国数据安全的法律框架

我国在鼓励、扶持、发展数字经济的同时，不断完善关于数据和信息安全的法律体系，目前我国关于数据和信息安全的法律体系已初步形成，法律层面有《网络安全法》、《数据安全法》以及亟待实施的《个人信息保护法》，在法规层面有《计算机信息系统安全保护条例》，在行业标准性文件层面有以《计算机信息系统安全保护等级划分准则》为核心的《信息安全及时网络安全登记保护实施指南》、《信息安全技术网络等级保护安全设计技术要求》等超过30项具体标准性文件。随着各类针对数据和信息安全的法律法规和标准型文件的不断出台，人工智能作为数据密集产业，其上市审核中数据合规的要求也随之更加严苛。

（二）人工智能企业科创板上市数据合规风险

《科创板首次公开发行股票注册管理办法（试行）》第三十四条规定：“发行人申请首次公开发行股票并在科创板上市，应当按照中国证监会制定的信息披露规则，编制并披露招股说明书，保证相关信息真实、准确、完整。信息披露内容应当简明易懂，语言应当浅白平实，以便投资者阅读、理解。

中国证监会制定的信息披露规则是信息披露的最低要求。不论上述规则是否有明确规定，凡是对投资者做出价值判断和投资决策有重大影响的信息，发行人均应当予以披露。”

基于上述科创板上市申报过程中的信息披露义务，拟于科创板上市的人工智能企业将毫无疑问地需要在信息披露过程中面对针对其数据收集、存储和使用以及数据安全保护的合规性审核。在科创板上市实践中，发审委就人工智能企业数据合规的关注点常常不限于数据来源、数据处理等普通合法合规问题，而是进一步就人工智能企业的数据采集方式、对象、价格等问题进行多轮、递进式的问询，以便获取详尽的答复，这充分体现了科创板上市对于数据和信息安全的关注。下文笔者将结合科创板上市案例从数据收集、数据存储使用以及数据安全三个方面分析人工智能企业上市数据合规审核要点，并提出建议。

关于人工智能企业数据和信息安全进行规制的法律主要包括《数据安全法》、《网络安全法》、《个人信息保护法》、《民法典》的相关规定，笔者将重点需要关注的条款梳理如下：

数据收集是人工智能实现场景应用的基础和起点，作为数据密集型的产业，人工智能的产品和应用往往伴随着海量数据的收集。因此，数据收集的合规性审查成为了发审委审核人工智能企业科创板上市过程中的关注重点。

（一）数据收集中企业最需要关注的合规性问题

在科创板上市审核中，发审委就拟上市企业数据收集方面重点关注的问题有：

1. 获取用户数据的方式的合法合规性

主要包括：企业获取数据是否经过了用户的授权？采集信息的过程中是否遵守了必要限度原则？收集用户数据时是否对用户有明示提示？是否存在因侵犯用户隐私或不当收集用户数据导致被主管机构处罚的情形？

2. 数据收集手段或工具的合法合规性

主要包括：数据收集的手段和工具是否存在侵权的风险？采用收集程序是否合法合规？爬取数据是否涉嫌非法收集的情形？

3.数据供应商的合法合规性

主要包括：数据供应商从事数据服务是否需要取得相应的资质、许可或进行备案？企业是否按照《数据安全法》的规定，要求数据供应商说明了数据来源？企业是否建立了审核第三方数据合法合规的内控机制？

4.数据收集内控制度的合法合规性

主要包括：企业是否建立了针对数据收集的纠纷解决机制？是否制定并公开了数据收集和使用的规则？

通过发审委的上述常见问询，可以看出，科创板上市对于人工智能拟上市企业提出的数据收集的要求包括：企业须确保其自行收集个人信息时已经征得数据和信息主体的充分授权和明示同意，并符合收集信息的必要性原则；企业应确保其收集数据和信息途径的合法性，如禁止使用非法的爬虫技术从其他网络运营者的平台抓取数据；在从数据供应商间接获取数据和信息的情形下，企业还应关注供应商数据来源的合法性，要求供应商就数据和信息的充分授权提供有效、充足的证明并出具承诺函等。

（二）人工智能企业上市审核中关于数据收集问询与回复的案例

案例1【旷视科技】：针对数据收集方式及其合法合规性。

据旷视科技有限公司（以下简称“旷视科技”）（2021年9月上会通过）的招股说明书披露，旷视科技自主研发了新一代AI生产力平台Brain++，源于Brain++强大的AI能力，旷视科技聚焦物联网场景，构建了强大的AIoT产品体系，包括AIoT操作系统、AI重新定义的硬件和AI重新定义的行业应用，针对消费物联网、城市物联网和供应链物联网向客户提供包括算法、平台及应用软件、硬件设备和技术服务在内的人工智能解决方案。

在旷视科技上市审核中，因发行人的人工智能核心技术涉及数据的处理、清洗和管理，发审委要求旷视科技说明数据收集方式及其合法合规性。对此，律师的回复为：

旷视科技的数据收集分为配合式采集和公开数据集两种方式。配合式采集是指使用摄像机、面板机、手机等采集设备，在专门搭建的模拟场景中，经特定被采集人授权同意采集所需数据的形式。公开数据集是指互联网上已公开发布的可用数据，由第三方学术研究机构、企业等自行制作并公开发布，如COCO等互联网公开学术数据集。

为保障配合式采集的数据安全，发行人积极采用技术手段解决数据安全问题，如自主研发完成的前端图像脱敏方案实现在采集端完成人脸图像的混淆加密脱敏，脱敏后的数据难以逆推出原始图像，仅可用于算法开发优化的创新技术方案。同时，在数据采集和传输过程中，采用了多种加密的手段和措施，包括：使用授权密钥对图像、视频等数据进行加密、使用加密通信协议、硬盘文档加密等。

（三）笔者的建议

数据收集是企业数据合规性治理的第一环，对于人工智能企业而言，这是后续企业数据处理和使用的基础，若是数据来源不合规，则其处理和使用即丧失了合法性基础，因此人工智能企业应重点关注数据收集过程中的合规性审查。笔者的建议为：

1.严格遵守最小必要原则

“尽可能多的收集用户数据”这种过分重视数据和信息数量的误区往往出现在采用自行收集用户信息的人工智能企业中。事实上，数据收集的重点在于针对性筛选，而非越多越好。笔者建议采取自行收集用户信息和数据的人工智能企业严格遵守最小必要原则，参照2021年3月工信部、国家网信办等有关部门联合发布的《常见类型移动互联网应用程序必要个人信息范围规定》（“《规定》”）进行数据信息的收集。且依据该《规定》第四条的规定：不得因为用户不同意提供非必要个人信息，而拒绝用户使用其基本功能服务。

2.企业在收集前应确获得用户明示授权

建议企业对于“注册即授权”、“默认勾选同意”等非明示的授权方式予以合规整改；完善用户协议与隐私政策、公开收集、使用规则、明示收集、使用信息的目的、方式和范围，明确获得被收集者同意。

3.对供应商资质进行审核、做好内控管理

通过向数据供应商采购的方式获取数据信息的企业，应事先做好尽职调查。确保供应商具有合法资质进行数据收集，可以要求数据供应商出具承诺函承诺其具有合法资质，查看供应商数据来源合法的证明文件，并要求供应商提供并签署数据未侵犯他人合法权益的承诺函。

4.严格遵守目标网站的Robots协议

通过网络爬虫手段收集公开平台数据的，应当严格遵守目标网站的robots协议。如果目标网站设置反爬协议的，应避免使用爬虫手段非法收集数据。同时，应对抓取的内容进行审查，如发现该内容涉及个人隐私或商业秘密的，应及时删除，同时避免在抓取过程中涉及侵犯他人知识产权。

在数字经济飞速发展的当下，数据的有效处理和合理使用都以数据安全为基本原则。因此，其合规性也受到发审委的重点关注。

（一）数据存储和使用中最需要关注的合规性问题

在实践中，针对科创板拟上市的人工智能企业，发审委常常会将数据处理的关注重点放在数据的存储和使用上。发审委经常提出的问询有：企业在开展业务的过程中是否涉及对客户数据、第三方数据、个人信息等进行存储，若是，则数据的存储方式及管理情况是否合法合规？数据存储平台是否独立，是否存在数据池混合等情况？数据使用范围是否超出用户授权范围、使用用户数据进行商业化变现是否合法合规？数据分析过程中如何保障数据安全？是否有未存储的业务数据，若是，其原因是否合法合规？

通过发审委的上述常见问询，可以看出，科创板上市对于人工智能企业提出的数据存储和使用的要求包括：数据使用不应超出相关数据和信息主体的授权范围；企业应采用了多重防控措施进行数据安全管控；在对外转让、披露、共享个人信息时需要事先获得数据及信息主体的充分知情同意，并确保数据转让、共享的接收方具有充足的数据安全保护与管理能力。

（二）人工智能企业上市审核中关于数据存储和使用的问询与回复

案例2【海天瑞声】：未存储数据的原因及合理性。

根据北京海天瑞声科技股份有限公司（以下简称“海天瑞声”）（股票代码为：688787）公开的招股说明书，海天瑞声主要从事训练数据的研发设计、生产及销售业务，核心技术先进性主要体现在算法与数据并用、工具和平台共建、在语言语音学基础研究方面有深厚积累。海天瑞声所在细分领域为人工智能基础数据服务领域，主营业务包括训练数据定制服务、训练数据产品及训练数据相关的应用服务三大板块。

据海天瑞声披露，其未保留2016年及2017年的业务数据。因此，发审委对海天瑞声未保留业务数据的原因及合理性进行问询。

对此，律师回复：对于数据资源定制服务，海天瑞声在数据库交付验收后，不再长期保留成品数据库文件。其原因及合理性在于：

1. 数据资源定制服务完成后，数据库所有权归属客户。在销售时已经转移至客户，海天瑞声不再拥有该等数据资源的所有权。如果仍然长时间保留备份，则存在相关信息面临失密的风险。因此，海天瑞声对定制服务数据不予保留。

2. 重要客户对于服务完成后不得留存数据有明确要求。海天瑞声的客户包括大型科技公司、人工智能企业和科研机构等，其高度重视数据安全和保密工作，并对其供应商的数据安全和保密做出严格规定，对于海天瑞声定制服务涉及的数据均有相应的保密要求。部分重要客户通过合同或者专项文件、供应商管理制度等形式对服务完成后的数据留存做出了明确要求。

案例3【宜搜科技】：数据使用范围是否超出用户授权范围。

根据深圳宜搜天下科技股份有限公司（以下简称“宜搜科技”）（2020年5月终止审核）的招股说明书披露，宜搜科技的主营业务为将智能推荐引擎应用于移动互联网数字内容场景，为终端用户提供阅读、音乐等移动数字内容推荐服务，为广告客户提供精准营销服务。由于宜搜科技在业务运行中需要大量挖掘、计算和使用用户数据，发审委要求宜搜科技说明其是否超出用户授权范围使用数据。

对此，发行人律师对照核查了宜搜科技《隐私保护政策》，以及数据库中保存用户信息系统的截图文件，认为宜搜科技严格按照《隐私保护政策》的规定使用用户数据，符合合法、正当和必要原则，并且出具了法律意见书。

（三）笔者的建议

随着我国《网络安全法》、《个人信息保护法》等法律和规范性文件对数据的处理作出了具体的规定，人工智能企业应更加注意在数据存储和使用方面的合规性审查。对此，笔者建议：

1. 对收集到的数据进行去标识化和加密处理

根据《个人信息保护法》第五十一条规定：个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：……（三）采取相应的加密、去标识化等安全技术措施；……人工智能企业在收集到数据后应该按照此规定对信息采取去标识化等措施，充分保障信息和数据的安全。

2. 对重要数据进行备份

根据《网络安全法》第第二十一条的规定：国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：……（四）采取数据分类、重要数据备份和加密等措施；……具体采取的备份方式可以参考《互联网个人信息安全保护指南》的规定：本地数据库备份；将备份介质进行场外存放；异地数据备份。为了避免由于网络病毒或者其他人为因素造成的数据损毁或丢失，企业应当建立数据容灾备份机制。

3. 注意数据使用的范围界限

企业数据使用的范围应当以其进行数据收集时约定的范围为限，这一范围应当与其进行数据收集的目的具有关联性。若企业需要在约定的范围之外使用用户数据和信息，需要再次获得用户的明示同意和授权。

4. 用户数据商业化使用的合法合规

发审委通常在人工智能企业在科创板上市的审核中对企业收集用户数据的商业化使用进行重点关注。在企业对于用户数据商业化使用的情形下，应当注意不仅要以用户明示授权为前提，在具体的商业变现场景下，数据的使用还应当关注不同场景或不同行业的合规要求。

5.采取数据访问控制措施

具体到数据的使用操作上，建议企业设置数据访问控制措施，减少使用过程中的数据泄露风险。如在人员控制上，企业应按照员工的工作范围建立最小授权的访问控制权限，以完成岗位职责所必要的数据范围为限。

数据安全贯彻数据的整个生命周期，其包含设备安全、制度安全、人员安全、存储安全、环境安全、管理安全等多个维度，因此常常作为发审委重点审核的对象。

（一）数据安全保障中最需要关注的合规性问题

在实践中，数据安全往往体现在企业岗位职责分离的情况、数据真实性的保证，以及与数据供应商等第三方的协议责任分配等方面。

在人工智能企业科创板上市过程中，发审委针对数据安全最为关注的问题是企业内部控制制度及执行情况，具体包括：是否存在第三方数据供应商，其内部控制制度是否合法合规？该内控制度是否落实于执行？发生网络安全事件时，企业应如何承担责任？

从上述问询中，可以看出，发审委对于数据安全保障最为关注的内控制度及其执行情况以及发生网络数据安全纠纷时企业的责任承担，因此，人工智能企业应结合自身的行业特性以及数据收集和其他处理的方式，充分考虑是否已建立合理的内控机制，如何确保供应商的数据安全，如何保证该内控机制落实于实践，并且依据现有法律制度明确自身的责任承担。

（二）人工智能企业上市审核中关于数据安全的问询与回复

案例4【慧辰资讯】：涉及数据供应商时，如何确保供应商的数据安全。

根据北京慧辰资道资讯股份有限公司（“慧辰资讯”）（股票代码为：688500）的招股书，慧辰资讯是一家根植于数据分析领域，专注于提供基于多维度数据分析的专业业务分析与应用及数据智能解决方案的公司。因其业务数据获取途径包括公司向供应商采集的数据，因此发审委要求慧辰资讯说明保障通过供应商采集的数据安全的具体措施。

慧辰资讯回复，公司向供应商采集数据前，首先对供应商主体资质进行了审查，符合资格的供应商均具有持续稳定的经济能力，未受过相关主管机关的处罚，经营状况良好。其次查看供应商数据来源合法性文件，例如供应商与被采集方签署的合同。同时，公司与供应商签署相关数据购买协议/服务委托合同时约定供应商按照发行人的技术要求和标准体用相应数据并保证不存在侵犯他人合法权益的情形。

（三）笔者的建议

1. 明确发生网络数据安全事件时可能承担的责任

企业应从法律法规及监管文件、与数据供应商等第三方就发生网络安全事件时相关协议、以及与客户签订的合同中关于网络安全事件的责任约定等角度，明确其可能承担的责任。企业在披露责任时应注意不要遗漏，特别注意与客户的协议中约定的责任承担。

2. 确保第三方（供应商等）的数据安全

企业应确保数据供应商等第三方也符合数据安全的要求。实践中，企业可以通过尽调、同业咨询等方式了解第三方数据安全的情况，同时为保障自身权益，还可以要求第三方签署声明、承诺函等确保数据合法合规未侵犯他人合法权益，从而控制企业自身的数据安全责任。

随着我国数据保护和个人信息保护的法律体系不断完善，科创板对于人工智能企业的数据合规性审核也将越来越严格，作为数据密集型的产业，人工智能企业需要密切关注收集、处理数据的合法合规性，以更好的保障数据和信息安全并顺利通过科创板上市针对数据合规性的审核。笔者相信，随着更具国际影响力的人工智能“上海高地”的建设，上海人工智能世界级产业集群的建立，上海将进一步发挥“头雁效应”，带动我国经济数字化转型，进一步擘画智能时代的宏伟蓝图。