——基于2021年度最新(申报)上市案例的分析
张诗伟 蔡鹏 王梦迪1
摘要:数据合规已成为数字经济时代科技企业申请上市的最重要的法律关口之一。本文从2021年度最新(申报)上市案例出发,在梳理、分析相关证券监管审核和问询等基础上针对数据业务全生命周期的各个环节形成此数据合规指南。
数据被称为二十一世纪的"石油"。而随着互联网、大数据、云计算、人工智能、区块链等技术加速创新,日益融入经济社会发展各领域全过程, 2更形成所谓数字经济。而数据作为数字经济的核心生产要素,其合规性问题已成为制约数字经济是否能实现良好发展的根本前提,是以对数据保护的重视程度已不亚于前数字经济时代对产权保护的重视程度。数据合规无小事,小则涉及个人信息和隐私,大则涉及国家安全和社会公共利益。中国的相关法制建设也迅速跟上。目前基本法律层面已经形成以《民法典》为核心,《网络安全法》、《数据安全法》、《个人信息保护法》三驾马车并行的数据保护合规立法体系。在行政法规、规章以及规范性文件层面,相关规定更是密集出台,(个人信息)数据合规保护规范体系日益丰满成型。 3随着监管的逐步深入,相关执法或专项治理行动也不断见诸于报章。 4强监管背景之下,企业也面临越来越严格细密的数据合规要求和法律责任,包括民事责任、行政责任(主要为被通报、产品被下架、企业及直接责任人被罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等)甚至刑事责任。 5
企业申请IPO上市所需过的最重要的法律关口无疑为合规关。就科技企业而言,无疑数据合规是重要的关口之一。相关拟上市公司在境内外申请上市,被证券监管部门问询的家数和次数也呈逐年上升趋势。 6而数据合规不过关问题有时更直接成为申请上市的实质性法律障碍。 7相关拟上市公司务必高度重视数据合规问题。根据我们的相关经验和研究,现有相关企业主要风险主要在数据采集、使用、管理以及共享(流转)这四个包含在数据全生命周期的环节中。同时,就上市招股说明书等法定文件的信息披露而言,还包括对前述各环节相关情况充分的风险披露。本文选取了2021年度中的9个最新案例,在梳理、分析相关证券监管问询、拟上市企业的答复以及相关招股说明书等公开披露文件基础上形成该数据合规指南。
|
序号 |
公司名称 |
上市状态 |
日期 |
|
1 |
商汤科技 |
已上市(香港联交所) |
2021.12.30 |
|
2 |
旷视科技 |
提交注册 |
2021.09.30 |
|
3 |
云从科技 |
提交注册 |
2021.08.04 |
|
4 |
观想科技 |
已上市 |
2021.12.06 |
|
5 |
嘉和美康 |
已上市 |
2021.12.14 |
|
6 |
零点有数 |
已上市 |
2021.11.03 |
|
7 |
云天励飞 |
提交注册 |
2021.09.10 |
|
8 |
金智教育 |
终止注册 |
2021.12.31 |
|
9 |
合合信息 |
提交注册 |
2021.10.28(已问询) |
图1:2021年度9个人工智能等科技企业(申报)上市案例
图2:企业数据合规全构成图
一、数据采集合规
数据的获取/采集是数据业务的起点和入口,解决的是数据来源合规性问题,把好数据来源合规关,确保获取/采集数据的途径、方式均合乎相关法律法规的要求,就把好了数据合规的第一道关口。在当前违法违规收集使用个人信息问题仍然突出的态势下 8,该问题自然也成为上市审核实践中最关注的问题。数据的采集分为直接收集和间接收集。直接收集指拟上市公司直接第一手采集C端信息,而不通过其他方共享或者委托处理的方式获得个人信息。而间接收集与之相对,指拟上市公司不直接对C端,而是一般通过直接收集方共享或者委托处理的方式获得个人信息,相关问询及回复情况如下表:
|
序号 |
公司名称 |
具体问询内容 |
具体答复内容 |
|
1 |
旷视科技 |
(2)发行人自身核心技术(如算法的训练、系统的搭建等)是否涉及大量的数据的应用,如是,相关 数据的来源及其合规性; (3)发行人对外提供的产品(或服务)是否涉及数据的采集运用,如是,说明 数据的来源及其合法合规性; (5)发行人的数据来源中是否包含 向供应商采购,如是,请说明是否在 相关合同中约定数据合规的条款或措施...... |
(2)发行人核心技术研发过程中使用的数据来源的合规管理措施如下:1、配合式采集......2、公开数据集...... (3)发行人业务及产品(或服务)在消费物联网、城市物联网、供应链物联网三大核心场景下的数据采集运用情况: ①消费物联网、城市物联网 发行人不参与产品在客户侧的运营,未经 客户授权及同意,发行人无权接触客户运营中产生的数据,因此 发行人不涉及数据的采集与运用...... ②消费物联网 移动终端类解决方案中,发行人 仅提供技术工具而无法访问移动设备终端上数据; 云端SaaS类解决方案中,发行人在与客户签署的业务合同及线上平台注册服务协议中,均 明确要求客户应确保在合法、正当、必要的前提下使用发行人提供的产品与技术能力, 涉及人体相关数据的,客户还应提前取得终端个人用户的明确授权同意,授权范围至少覆盖:1) 用户知悉并同意客户收集其个人信息, 并由客户将前述信息 提供给发行人;2) 用户知悉并同意发行人有权从客户获得其个人信息,用于向客户提供相应服务。按上述要求,由客户在其自有APP与网页的注册流程上,提示隐私政策并获得终端个人用户的授权同意,并据此收集相关数据。 (5)报告期内,发行人的数据来源中不包含向供应商采购数据的情形。......对于提供配合式采集服务的供应商,发行人会与供应商签订 发行人标准的数据服务协议, 在协议中供应商承诺确保其向发行人提供的服务符合中国法律法规和/或可能涉及的相关国家/地区法律法规要求; 涉及个人数据的,符合适用地法律。供应商提供数据采集服务且需要取得相关数据主体书面授权同意时,均承诺按照法律法规要求,取得数据主体书面签署的授权书。 |
|
2 |
云从科技 |
(2)发行人产品的研发、生产及使用过程中涉及到的 数据获取、使用情况, 数据获取方式及其合规性,是否获得相关数据主体的 明确授权许可,授权许可是否存在 使用范围、主体或期限等方面的限制......是否存在获取、使用相关数据时 侵犯个人隐私或其他合法权益的情形......发行人业务开展及 人脸信息收集等是否符合《个人信息安全规范》等相关法律法规的规定...... |
发行人研发、测试环境的数据 主要来源于数据供应商或互联网已经公开的开源数据、其他明确授权的自然人、发行人员工。发行人从数据供应商处取得个人数据时, 要求数据供应商承诺数据来源合法且已获得了个人信息主体的明示的授权并且供应商依据该等授权有权按照协议约定将相关数据提供给发行人用于产品研发,授权许可一般约定了授权信息的范围、收集目的、信息提供对象的范围等内容,但未约定授权期限; 发行人在从个人信息主体处直接取得相关数据时,通过授权形式依法取得了个人信息主体的明确授权,授权许可一般约定了 授权信息的范围、信息提供对象的范围、授权期限等内容。 |
|
3 |
观想科技 |
(2)补充披露智能数据采集终端、装备离线数据采集终端采集的 数据内容,合同中对于 数据收集......的具体约定...... |
在数据收集功能上......不存在发行人采集客户数据的情形; |
|
4 |
嘉和美康 |
请发行人律师对发行人相关数据的 采集......是否合法合规......并发表明确意见。 |
①发行人核心技术涉及的数据......来源于医院内部业务系统,由发行人相关产品在医院现场进行生产、获取...... 均部署在医院内部服务器上,无医院授权外部无法访问。②发行人通过科研合作产生的数据集......是一组医疗领域数据元的集合,不涉及真实医疗业务数据。③对于基于真实医疗业务开展涉及的数据...... 发行人通过与医院签署合同的方式获得授权,在 合同约定范围内提取去隐私的数据样本作为交付系统开发或技术验证的基础数据......④对于基于医学研究项目涉及的数据, 经由项目主管单位的医学伦理委员会进行伦理审批后方可启动研究项目。研究项目涉及患者数据的, 将征求患者同意,并签署知情同意书,知情同意书会明确告知患者的 数据收集范围以及将来数据的用途。发行人作为信息系统的提供方,会与项目组签署 保密协议...... |
|
5 |
零点有数 |
(2)数据集成及采购的数据中,是否存在 未经授权获取用户数据的情况,获取个人数据是否对用户有明确提示、收集的数据 是否限制在必要的范围内、 是否仅概括性提示收集用户信息......或存在 未经其他平台的授权直接收取数据的行为; |
1、发行人业务所用数据中, 不同数据的取得对于用户授权和提示要求不同:(1) 样本调查数据和交互数据涉及的个人信息主要包含个人的性别、年龄、收入水平、教育程度等,仅因互动便利和质量复核的需要,才会了解受访者的姓氏/姓名和联系方式, 并严加保密,不作为业务数据使用。(2) 巡查数据......无需取得个人信息主体的授权同意。(3)公司采购的大数据为加工处理过的数据集或分析结果,不涉及任何能够识别或关联到特定自然人的个人信息及个人敏感信息...... 公司取得大数据无需取得个人主体的授权或对用户进行提示。 2、发行人已明确告知收集信息的范围及使用用途而非概括性提示: 发行人......明确告知了发行人收集和使用相关个人信息时对应的处理规则...... 并取得了相关信息主体(及用户)的合法授权。因此,发行人 有权在相关信息主体(及用户)授权个人信息的使用目的、方式和范围内,对相关数据进行合理的使用和处理...... 3、发行人...不存在未经其他平台的授权直接收取的行为。 |
|
6 |
云天励飞 |
(2)视觉人工智能技术的初始训练、迭代更新、模型训练上所需的大量数据的具体来源,发行人在场景应用过程中是否接触、收集、利用 人脸数据信息,数据采集和使用过程中是否获得被收集者许可,是否存在侵犯个人隐私、肖像权等权益的情形,发行人业务开展过程中涉及到数据获取......是否合法合规...... |
(1)初始训练、模型训练数据来源......主要包括在经员工授权同意的前提下向员工采集数据、向专业数据供应商采购。 (2)迭代更新数据来源 ......涉及重新训练的情形下,发行人将派技术人员到客户现场直接进行调试,数据来源于客户。调试完毕后,数据无法由发行人的技术人员带走。 (3)具体数据来源:报告期内,发行人获取数据方式主要包括在经员工授权同意的前提下向员工采集数据、向专业数据供应商采购以及使用互联网公开数据集数据,不存在违法 收集数据的情形。 报告期内,发行人与相关供应商签订的数据采购合同均约定了供应商须遵守中国法律关于采集人脸面部信息规定的相关条款,须确保采集方式合法合规 (应征得被采集人同意并告知数据用途),因供应商违反法律规定所产生的责任由供应商自行承担。根据上述合同约定及相关法律法规规定,供应商承担数据合法合规性的法律责任,发行人在数据合规性层面没有连带法律责任。 |
|
7 |
合合信息 |
(1) 发行人各项业务及研发分别获取、存储、使用哪些数据,对应的数据来源、数据权属; (2) 发行人向个人供应商采购数据的主要内容、比例及原因; (3) 发行人自动化访问获取的企业数据如何确保来源合法性,发行人调查供应商及数据来源合法性的具体方式及有效性。 |
(1) 发行人获取数据方式多元化,C端主要通过APP获。其大数据业务获取主要有四种途径,分别是向供应商采购的企业数据、数据与数据互换、广告与数据互换、自动化访问获取。 (2) 发行人采取了多重方式确保自动化数据采集的全过程的数据合规性,包括数据采集之前完成合规评估,流程评估以及制落实定有关制度,确保抓取的网站变化不至于影响评估结果。发行人同时制定了有关制度和流程,确保抓取的网站均为访问清单内,并且为公开信息。 (3) 对于外采数据,发行人进行了一系列内控措施和采购流程管理,确保数据的合法合规性。 |
|
8 |
金智教育 |
(1)发行人是否可以通过向客户提供公司主要产品及服务而直接或间接获得相关学校、师生的具体数据和 个人资料等信息,如是,请说明 获取条件、获取方式和信息范围; (2)上述数据和信息 获取方式是否合法合规,是否 符合相关监管要求或保密约定; |
发行人各项产品及服务涉及的信息获得情况如下......综上所述,报告期内发行人收到的核查整改通知/通报已及时整改完成。发行人上述数据和信息的获得 已征得用户授权,获取 方式符合《网络安全法》《信息安全技术个人信息安全规范》等法律及国家标准的规定要求,符合网络信息安全的监管要求,以及发行人与客户之间的 保密约定。 |
|
9 |
商汤科技 |
根据《招股书》中所列举的"企业方舟"之开发,公司收集的数据包括面部识别数据、现实世界场景的图像及视频数据、以及特定物体的图像及视频数据三类。其中,就面部识别数据而言,公司 仅在获得授权的情况下自行采集。而对于其它类型的数据,其来源途径主要包括:自行收集来源(包括手动拍摄的照片及视频、街头风景及公共场所的物品)、第三方供应商、客户、以及公共数据集。 9 |
|
总结上表可知,证券监管部门在问询时,在数据收集环节关注的主要问题在如下方面:
- 数据收集(数据来源)是否具备合法性基础;
- 数据收集是否遵循最小必要原则;
- 数据收集的具体方式是否满足法律的合规要求;
- 不同类别个人信息的收集是否满足其具体和相应的合规要求。
据此,我们理解,拟上市企业的相关应对解决措施为:
(1)明确合法基础
《个人信息保护法》第十三条规定,处理个人信息应当具备相应的合法性基础;或基于个人信息主体的同意,或基于订立、履行作为一方当事人的合同所必需等。对拟上市公司而言,应根据数据收集场景的不同,梳理匹配对应不同的合法基础,从而进一步履行数据收集环节的相应合规义务。例如,如果拟上市公司是基于个人信息主体的同意收集个人信息,则在数据收集前首先应告知个人信息主体数据处理的目的、方式、范围、保存期限等信息;其次如涉及敏感个人信息的收集,则应获取个人信息主体的单独同意等。
(2)遵循最小必要原则
在我国个人信息保护相关规则几经演变的过程中,最小必要原则一直是个人信息收集和处理的核心要求。《个人信息保护法》第六条规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对拟上市公司而言,根据不同的数据收集场景,首先应明确数据收集的目的,进而确定数据收集的范围、类型等。例如,人工智能企业在收集数据用于算法训练过程中,如仅收集一般个人信息或者脱敏后的信息即可满足算法训练的需求,即应避免过度收集其他类型的个人信息。
(3)收集方式应满足合规性要求
结合上述应对策略(1),在确定数据处理的合法基础后,拟上市公司在收集数据时,应根据数据收集方式的不同,履行不同的合规义务。具体而言,如拟上市公司是基于个人信息主体的同意收集数据,则应避免捆绑授权、强制授权等情形发生;如拟上市公司是从数据供应商处购买获得数据,则首先应对数据供应商进行尽职调查,明确其数据来源合法合规;其次在与数据供应商的合作协议中明确双方的数据处理关系,以及各自的权利义务。对数据供应商做到事前到事后的全流程审查,防范数据安全风险和影响。
(4)特殊类别个人信息的收集
基于不同的业务领域,拟上市公司收集的数据类型也存在差异。除一般个人信息(如姓名、性别、年龄等)之外,可能还会涉及面部数据等生物识别信息、医疗健康信息、公开数据等,前述不同类型的数据会具有相应不同的数据保护要求(如《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、《信息安全技术健康医疗数据安全指南》等)。因此,拟上市公司应结合自身的业务特点,识别业务需求中不同类别的数据,满足数据收集面临的不同监管要求所规定的合规义务。
(5)对抓取收集方式的合规要求
数据抓取是一种较为常见的收集方式,人工智能类拟上市公司会采用抓取公开数据的方式,进行结构化处理并以此训练算法和进行深度学习。而数据抓取面临的法律问题和挑战较多,不仅涉及数据权属的问题,而且涉及抓取方式合规性以及被抓网站和ROBOTS协议的限制等问题。近年来,有关此类数据抓取的诉讼数量呈明显上升趋势,有关平台基于各种利益考虑,会主动提起侵权诉讼。而法院在考量抓取行为的正当性时,基于既往的认知总体上会偏保守。因此,拟上市公司需要在开展此类业务时,进行充分的法律论证和风险识别,并进行合规评估和项目监管,防止因抓取行为侵犯平台合法权益,而导致不利诉讼的发生。
二、数据使用合规
就该问题,具体证券监管部门问询内及拟上市公司答复、相关《招股书》披露如下:
|
序号 |
公司名称 |
具体问询内容 |
具体答复内容 |
|
1 |
佳创视讯 |
(5)......是否超出用户授权范围使用数据...... |
尚未答复。 |
|
2 |
旷视科技 |
(6)结合发行人的产品交付及部署模式,说明发行人的产品(或服务)中涉及到用户的 个人数据的情形和场景,该等数据的 运用......及其合规性 |
供应链物联网场景下不涉及个人数据,城市物联网与消费物联网场景下客户涉及个人数据的具体情况如下......②消费物联网:云端SaaS类解决方案中, 客户作为数据控制者,开发、运营面向个人用户的APP或网页产品, 自行履行相关合规义务并对其中涉及的数据处理活动负责。 发行人作为服务提供方,已明确要求客户在合法、正当、必要的前提下使用发行人产品,涉及个人数据的,客户还应提前取得终端个人用户的明确、完整授权同意。 |
|
3 |
云从科技 |
(2)发行人产品的研发、生产及使用过程中涉及到的 数据......使用情况......发行人是否存在 超出上述限制使用数据的情形,是否存在...... 使用相关数据时 侵犯个人隐私或其他合法权益的情形...... |
在数据存储、使用过程中,发行人 按照授权许可以及与数据供应商签订的业务合同中约定的范围使用相关数据, 不存在超出约定限制使用数据的情形。另外,对于发行人自智慧商业业务客户处取得的他人个人信息,均在合同中约定,协议终止后,接受一方应返还或清除对方提供的全部保密信息以及任何形式的备份; 发行人在实现协议目的后,均会依约删除相关数据。 |
|
4 |
观想科技 |
(2)......合同中对于 数据......使用...... 的具体约定,是否符合相关法律法规,是否存在 侵犯隐私行为...... |
(2)在数据使用上:......发行人无法获取、使用相关数据。 |
|
5 |
嘉和美康 |
请发行人律师对发行人相关数据的...... 使用......是否合法合规、是否存在 超出授权范围使用数据的情形进行核查,并发表明确意见。 |
发行人为医院提供的业务系统与大数据应用 仅服务于医院内部 数据收集、质控管理、科研水平提升等, 均在获得医患双方授权前提下 按照合同约定使用数据,不存在侵犯患者隐私的情况。 |
|
6 |
零点有数 |
(2)......是否超出用户授权范围使用数据...... |
发行人严格按照《零点有数隐私政策》及数据安全相关内控制度使用、处理相关数据, 仅将数据用于基于数据分析的决策支持服务及相关技术研发...... |
|
7 |
合合信息 |
报告期内发行人数据管理不完善的具体情形、影响范围、严重程度,是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形,目前发行人针对该等不完善情形的具体整改情况及效果,发行人数据合规纠纷的解决机制。 |
发行人的数据使用合规措施有: (1) 制定了用户个人信息的使用限制以及数据分析需求的处理流程,制定了访问授权流程,在权限管理中遵循职责分离原则。 (2) 公司通过权限管理对核心触点的应用系统及后台支撑系统的访问权限进行限制,以保护用户个人信息免受未经授权访问、公开披露、使用、修改、损坏或丢失。 (3) 公司制定了数据资源的申请审批流程,并限制了数据库的访问授权。 |
|
8 |
云天励飞 |
(1)清晰说明发行人业务开展过程中涉及到相关 个人数据、信息安全的......利用......的情况; (2)视觉人工智能技术的初始训练、迭代更新、模型训练上所需的大量数据的具体来源,发行人在场景应用过程中是否...... 利用人脸数据信息......发行人业务开展过程中涉及到数据...... 使用是否合法合规...... |
......商场与发行人在合作协议中明确约定所收集人脸识别信息的权利归属,即由商场对所收集的人脸识别信息享有控制权,发行人仅在商场的授权范围内作为人脸识别信息的受托处理者, 按照商场的指示与安排进行信息处理活动。 未经客户授权及许可,发行人无法使用该等数据...... |
|
9 |
商汤科技 |
根据《招股书》,公司按照所收集数据的限制用途及限制储存时间对数据进行标注; 任何数据使用均须事先在数据平台上提交申请,只有在取得该数据相应机密水平的批准才可使用;任何数据训练或测试将在数据平台上进行,且 不得在平台之外使用该数据。同时,根据公司内部政策, 公司仅根据需要在授权范围内在公共云服务器上处理包含个人信息的最终用户数据,而不将有关数据下载至内部数据平台。 |
|
由上表可知,证券监管部门在问询时聚焦于"拟上市公司在使用数据时是否满足最小必要原则,是否超出相应的授权范围使用数据,是否存在侵犯个人隐私或其他合法权益的情形"。基于收集数据(来源)的不同,在数据使用过程中,数据处理者需要履行的合规义务也存在差异。基于此,结合《数据安全法》与《个人信息保护法》,我们总结梳理应对解决策略如下:
(1)直接收集数据使用应遵循最小必要原则
如果拟上市公司直接向用户收集数据,则在数据使用过程中,应当在数据收集时向用户明示数据处理目的,并需要在授权范围内使用数据。数据处理者不得超出处理所必须的授权范围,或者超出数据处理目的去使用数据,否则,则极有可能违反最小必要原则,进而侵犯用户的个人信息权益、隐私等。
举例而言,如个人信息主体同意收集其手机号仅用于账户注册,拟上市企业则不应使用其手机号码开展个性化推荐/精准营销活动;如果拟上市企业基于订立、履行作为一方当事人的合同所必须而处理数据,则仅能使用实现合同目的所需的最小范围内的数据;如拟上市公司使用收货人姓名、联系方式及收货地址即可实现作为线上交易一方当事人合同中的产品交付目的,拟上市企业则不应额外使用银行账号信息、身份证号等信息以完成产品交付;如基于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需处理数据,应仅使用实现实施人力资源管理目的所必需的最小范围的数据。
最小必要原则贯穿于数据处理全生命周期,拟上市公司应当制定有关规范和评估工具,对敏感场景下是否遵循了此项原则,进行针对性和周期性的评估。
(2)间接收集数据的使用应遵循目的限制
在间接收集数据的场景下,又进一步区分处理场景和委托场景的不同做不同应对:
a.在处理场景下,可以进一步区分为单独处理与共同处理。拟上市公司间接收集数据后,可以自行决定数据处理的目的和方式,则其作为独立的数据处理者使用数据;如需与数据提供方共同决定数据处理的目的和方式,则双方作共同数据处理者使用数据。在前述两种场景下,数据合规义务的相同之处在于,拟上市公司的数据使用活动首先应受制于其与数据提供方之间约定的数据处理目的(数据处理目的将会对拟上市公司数据使用的具体方式、场景等产生重要影响,因此如何限制或者约定不同数据处理者的目的是拟上市公司数据合规中的难点问题,必要时,拟上市企业可以聘请外部专业机构对双方的数据合作进行相应评估与协助,从而明确数据处理目的,避免对业务发展产生限制或者不利影响);不同之处在于,在单独处理场景下,拟上市公司应自行承担数据处理义务(如保障数据使用的安全等),如数据使用活动侵害个人权益造成损害时的,应依法自行承担责任;而在共同处理场景下,拟上市公司应与数据提供方根据双方的约定承担各自的数据处理义务,如数据使用活动侵害个人权益造成损害时的,各方应依法承担连带责任。
b.在委托处理场景,拟上市公司基于数据提供方的委托而处理数据,数据提供方是委托人,拟上市公司是受托人,双方首先应通过订立数据委托处理协议的方式,对数据处理的目的、期限、处理方式、数据种类、保护措施以及双方的权利义务进行明确约定;在后续的数据使用中,拟上市公司应遵循合同约定的目的使用数据。如违反与委托人的约定,将可能会面临违约等相关风险。如数据使用活动侵害个人权益造成损害时的,委托人应自行承担责任。《个人信息保护法》中也明确委托人对受托人数据处理活动的监督义务。如何实际限制和控制受托人的数据处理活动,将会直接影响拟上市公司数据处理活动的范围和具体场景。因此,拟上市公司在与数据提供方订立数据委托处理协议时,应着重关注委托人对受托人数据处理活动的要求和限制,避免约定不明或者约定过于严苛导致对实际业务开展造成不利影响。
三、数据管理合规
数据管理是保障拟上市公司平台内数据存储、安全防护、防止数据泄漏等方面制度、措施之集合。相关证券监管部门问询内容及答复、相关《招股书》内容披露如下:
|
序号 |
公司名称 |
具体问询内容 |
具体答复内容 |
|
1 |
旷视科技 |
(4)发行人保证数据采集、清洗、 管理、运用等各方面的 合规措施; (6)结合发行人的产品交付及部署模式,说明发行人的产品(或服务)中涉及到用户的 个人数据的情形和场景,该等数据的 运用、管理及其合规性。 |
根据发行人书面说明, 发行人主要从技术、制度和人员机构三个维度提升数据采集、清洗、管理、运用的合规性,具体措施如下:1. 技术维度......2、制度维度:发行人 制定了不同层级、不同侧重的数据安全与合规相关内部制度体系......3、人员机构维度:发行人 CTO 下设安全部......发行人 CTO 下设信息技术工程部......发行人 CFO 下设法务部......4、人员管理方面, 发行人采取以下措施提升数据合规性:①协议约束: 发行人员工均已签署保密协议,其中包含个人信息保护相关条款。②培养合规意识:发行人定期、不定期 组织员工进行有关个人数据安全保护的培训及考试,对新员工进行有关数据安全的入职培训;不定期对关键岗位人员进行 额外的安全培训与交流, 并补充技术考核与审查。③ 推行奖惩措施:发行人已制定并实施数据泄露等信息安全事件的奖惩规则,对于违反相关规定的人员进行惩戒。④管控人员权限:发行人 根据员工的工作职责配置必要、最小的系统访问权限,定期对人员的访问权限进行审核,员工 离职前将进行信息安全核查; 外部人员访问受控区域前 需向对应管理部门提出书面申请,经审批后,方可授权进入。 |
|
2 |
观想科技 |
(2)......合同中对于 数据......存储的具体约定,是否符合相关法律法规,是否存在 侵犯隐私行为...... |
(3)在数据存储上:相关数据均由客户按照我国相关保密法规要求进行存储。 |
|
3 |
嘉和美康 |
请发行人律师对发行人相关数据的存储......是否合法合规......并发表明确意见。 |
发行人核心技术涉及的数据...... 均部署在医院内部服务器上,无医院授权外部无法访问......发行人作为信息系统的提供方,会与项目组签署 保密协议,保证在系统运维过程中,对接触的隐私数据执行保密约定。发行人在产品正式上线运行前,都是通过测试数据进行系统验证; 一旦产品正式上线, 后台数据库管理密码将交付客户,并确认客户及时修改密码;后续产品的运维过程中, 如需要进入系统后台,则通过客户授权(最小授权原则)后,并在可实时监控的环境下(如运维堡垒机)进行。发行人与客户签署的技术服务合同含有 业务保密条款,发行人员工与发行人签署的保密协议也包含员工对发行人业务对象的保密义务...... |
|
4 |
零点有数 |
2. 发行人针对上述数据使用、隐私及安全方面的 内部控制措施及其有效性,是否存在泄密及其他数据使用风险 |
(2)数据传输与存储方面,发行人要求数据传输过程中必须选择 安全的传输渠道...... 数据存储采取分类分级管理制度,针对不同级别的信息制定不同等级的安全策略,并对涉及个人信息的敏感数据库加强权限控制和安全审计。(3)网络安全方面,发行人建立了 网络防火墙,采用 内外网分离措施...... 针对外网访问建立日志审计及预警机制,以最大程度避免网络安全事件的发生。(4)数据安全管理制度方面,发行人已制定了包括......与数据安全和隐私保护相关的 内部控制制度,并已切实定期开展数据使用、隐私及安全方面的 培训,加强员工数据合规意识,确保上述各项内部控制制度的有效实施。 |
|
5 |
云天励飞 |
(2)视觉人工智能技术的初始训练、迭代更新、模型训练上所需的大量数据的具体来源......发行人业务开展过程中涉及到数据......管理......是否合法合规,发行人是否已建立 完善的防泄密和保障网络安全的内部管理制度, 该等制度的执行是否有效,发行人 是否需要取得开展涉密类业务的资质或许可。 |
发行人已经在技术层面和制度层面建立完善的防泄密和保障网络安全的 内部管理制度,具体如下: (1)在技术层面: 1.公司储存数据、训练模型等工作全部放在 核心内网,与办公网络及外部的公开互联网实现物理隔离...... 2.硬件控制方面,公司研发人员及 IT 人员用户端的电脑装有 防泄密安全软件......存储服务器有软件快照备份机制。 3.在机房的管理方面,非机房管理人员无法进入。在信息获取方面,遵循 信息分级以及最小控制权限原则为员工授权。 (2)在制度层面: 1.公司内部组建了信息安全委员会和信息安全管理小组,并制定了 一整套信息安全管理制度...... 2.发行人组成了......信息安全委员会......报告期内,发行人未出现数据泄露等方面的事故,该等制度的执行有效。 3.公司已取得了......信息安全管理体系认证,认证范围包括...... |
|
6 |
合合信息 |
报告期内发行人数据管理不完善的具体情形以及解决方案 |
发行人发现了管理漏洞后,采取的主要管理措施包括: (1) 在数据存储与销毁方面,公司定义了个人信息的存储方式、存储期限,以及个人信息的到期删除或匿名化处理标准。公司制定了个人信息的删除流程,在接收用户注销申请后,数据库和后台支持系统对用户个人信息进行物理删除。 (2) 为确保将数据合规管理落到实处,发行人制定了覆盖整个数据生命周期管理的相关制度,包括数据采集、数据使用、数据访问权限控制、数据导出和数据删除相关的制度。并设计了相应的管理流程,实现全数据生命周期的管理。 (3) 规定了公司合规与信息安全的组织架构,明确了安全与合规管理委员会在业务合规、网络安全、数据安全和用户个人信息保护等方面的责任以及安全与合规部和各事业部的职责,并规定网络安全、数据安全和个人信息保护等相关责任机构的汇报层级要求。 |
|
7 |
金智教育 |
(3)发行人对相关信息的 储存及使用情况......是否存在相关信息泄露的情况,是否存在侵犯用户隐私及数据的情况...... (4)发行人关于信息安全与数据保护的 相关内部控制制度及执行情况,必要时请完善相关风险提示。 |
发行人关于信息安全与数据保护的相关内部控制制度及执行情况发行人建 立了企业网络信息合规管理体系,确保 数据收集、存储、传输、应用等的安全与合规,基于此制订和执行的主要内部控制制度包括......发行人 已建立的信息安全与数据保护相关内部控制制度覆盖了......此外,员工入职时即进行《员工手册》及内部控制制度的 教育和培训,全体员工均签署了 《保密和知识产权协议》,明确员工应对公司承诺负有保密义务的客户和用户信息承担保密义务。 发行人为增强全员数据安全意识、进一步提升公司的数据合规水平、推动落实上述各项内部控制制度,切实开展了多次 信息安全培训活动,其中包括...... |
|
8 |
商汤科技 |
根据《招股书》,待数据收集端提交完整的授权资料后,相关数据才可以上传至公司内部的数据平台,并 按照相关数据的机密级别在平台上进行标识。同时,未经负责人批准,在数据标识过程中公司不得进行标识之外的数据操作,包括但不限于修改、删除、保存或共享。此外,数据在内部使用期限届满时,相关数据将须销毁,并向数据管理部门提供 数据销毁报告;在数据授权到期时,相关数据将被销毁,而相关数据的 所有副本也将予以删除。 |
|
总结上表可知,证券监管部门关于数据管理方面的关注问题主要集中在数据安全管理(包括但不限于数据存储制度、权限管理、安全漏洞防控等)建制是否完善、是否实际落实执行等方面。基于此,我们梳理相关应对解决策略如下:
(1)搭建数据安全内部管理制度
根据《数据安全法》与《个人信息保护法》的相关要求,数据处理者应当根据数据的处理目的、处理方式、数据的种类以及对个人权益的影响、可能存在的安全风险等制定全生命周期的数据安全内部管理制度和操作规程,保障数据处理活动的安全。整体而言,数据处理者需要制定的内部管理制度包括但不限于数据安全管理制度、数据分类分级管理制度、个人信息保护影响评估制度、数据合作管理制度、数据合规培训制度、数据安全事件应急预案等。对拟上市公司而言,需要依据自身的业务特点、商业模式、处理数据的类型、具体的数据处理活动等整体布局,科学地搭建数据合规内部管理制度体系。合理的数据安全内部管理制度不仅可以保障外部数据处理行为的秩序和合法合规性,而且也可以实现内部数据处理活动的科学、有效、合规地管理。
(2)完善数据安全人员组织结构
对拟上市公司而言,制度建设是数据管理重要的方面,人员组织架构的完善也是不可或缺的部分。《个人信息保护法》明确:处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,《数据安全法》则要求重要数据处理者应当明确数据安全负责人和保护机构。对此,拟上市公司应根据处理数据的数量、种类,确定是否需要指定相应的数据安全负责人。指定负责人的同时,公司还应当明确负责人或者负责机构的职责范围(例如监督、管理、上报等职责)。
(3)确保相关制度、流程的执行落地
拟上市企业欲实现企业内部数据安全,以及数据处理活动的科学有效管理,我们建议拟上市公司制定了数据安全管理制度,明确个人信息保护负责人/数据安全负责人及其相关职责以及日常业务经营活动相关必要的支持与协助措施,同时,建立起数据分类分级管理,根据数据分类分级的结果,制定相配套的数据存储、权限控制、访问限制、展示限制等措施,并且在系统、流程中进行落地和执行。
四、数据共享(流转)合规
数据的价值在于使用,其生命在于流动。数据流转,即拟上市公司授权或分享给外部第三方部分或全部获取本公司所有的数据信息,可见广义的数据流转内含了分享的意蕴。但无论是分享还是流动,其前提无疑也都在于安全合规。而数据的流转或共享由于涉及外部第三方,也是最容易造成安全隐患和突破合规底线的薄弱环节。 10
相关证券监管部门问询内容及答复、《招股书》内容披露如下:
|
序号 |
公司名称 |
具体问询内容 |
具体答复内容 |
|
1 |
金智教育 |
(3)发行人对相关信息的储存及使用情况,是否存在 转授权或流转给第三方的情况...... |
2、转授权或流转给第三方的情况 "今日校园"APP 隐私政策明示,若用户选择一键登录、站内信息通知等功能,同时为监测和防止欺诈行为, 经用户同意后,"今日校园"APP 将收集用户的手机号和手机设备标识符(IMEI、 IDFA、 Android ID、 MAC、 OAID、应用列表信息等), 并共享给友盟、极光、Mobtech等第三方 SDK。该等信息共享系经用户同意,且仅限于用户手机号(不包括姓名、身份号等身份信息) 和手机设备标识符,除此之外,发行人没有共享任何学校、师生的具体数据和个人资料信息。 |
|
2 |
商汤科技 |
根据《招股书》,在数据标识过程中,公司不得......共享(内部平台上的数据)。任何数据训练或测试......不得在数据平台之外进行。 |
|
综上,我们梳理拟上市公司数据共享方面的合规应对要点如下:
(1)履行告知义务并征得用户单独同意
针对数据共享行为,拟上市公司应当在隐私政策或用户协议中向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和数据种类;如基于个人的同意处理数据的,拟上市公司应就数据共享行为征得个人的单独同意。如涉及敏感个人信息的共享,其应向个人告知共享的敏感个人信息类型、数据接收方的身份和数据安全能力,并征得用户的单独同意。根据工信部近期发布的《关于开展信息通信服务感知提升行动的通知》中提出的"双清单"要求,拟上市公司可以在隐私协议中以列表方式明确APP产品与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
(2)安全影响评估与动态监测
拟上市公司在对外共享数据前,应当根据公司内部制定的个人信息安全影响评估制度事先开展个人信息安全影响评估,并依评估结果采取有效的数据安全与个人信息保护措施。在共享之后,应当就数据接收方的相关数据处理活动进行监测和追踪,并对相应情况进行记录。
(3)与数据接收方签署合作协议
拟上市公司应当与数据接收方签署合作协议,明确约定处理数据的目的、范围、处理方式,在数据安全方面明确自身和第三方应分别承担的责任和义务,以及各自应当采取的数据安全保护措施等内容。拟上市公司应在实现合同约定目的最小必要范围内共享数据,并要求数据接收方在实现合同目的最小范围内使用数据。
(4)记录保存义务
拟上市公司应当准确记录和保存个人信息共享的情况,包括共享的日期、规模、目的,以及数据接收方基本情况等。根据网信办最新发布的《网络数据安全管理条例(征求意见稿)》,提示拟上市公司注意,进行数据共享应当对个人同意情况进行记录,提供个人信息的日志记录、共享重要数据的审批记录和日志记录保存至少五年时间。
(5)行权协助义务
拟上市公司应当帮助个人信息主体了解数据接收方履行义务的情况(例如对个人信息的保存、使用等情况),以及个人信息主体享有的权利,包括但不限于访问、更正、删除、注销账户等。
五、相关数据合规风险的披露
拟上市公司在上市过程中在招股说明书等相关上市申请文件中对数据合规风险应进行充分的披露,既包括对既存数据合规风险的揭示,也包括对未来潜在数据合规风险的客观分析。相关证券监管部门问询和拟上市公司答复及相关招股说明书披露如下:
|
序号 |
公司名称 |
具体问询内容 |
具体答复内容 |
|
1 |
旷视科技 |
(5)......结合《民法典》《网络安全法》和《个人信息安全规范》《数据安全法(草案)》《个人信息保护法(草案)》等相关规定,说明相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷。 (7)发行人产品至今是否面临数据合规方面的 诉讼或纠纷;并请结合 相关公开报道,说明发行人数据的合规性。 |
(5)截至本回复出具日,未发现违反《民法典》《网络安全法》《个人信息安全规范》《数据安全法(草案)》《个人信息保护法(草案)》关于个人信息采集相关规定的情形或出现法律纠纷,未发现数据合规风险。 (7)①截至本补充法律意见出具日,发行人 未面临数据合规方面的诉讼或纠纷。②虽然部分媒体报道声称发行人的产品(如安全摄像头)未经授权收集人脸信息, 但该等报道混淆了发行人在相关事件中的角色......③发行人在数据安全与合规方面,已获得多项国内外权威认证认可...... |
|
2 |
观想科技 |
2)补充披露......是否存在侵犯隐私行为或 行政处罚的风险; |
发行人产品中数据采集、使用、储存的功能不 存在违反法律法规的情形,不存在侵犯隐私行为或面临行政处罚的风险。 |
|
3 |
合合信息 |
核查并说明发行人境外业务开展是否遵守当地个人信息和数据安全保护的相关规定,是否存在被境外主管机构处罚的情况或潜在风险。近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响,发行人业务开展是否符合该等法律法规规定......。 |
1. 境外业务方面,公司的APP已符合APP平台相关规定,并在APP中明示《隐私政策》并按照个人信息及数据安全保护的相关规定开展业务; 2. 发行人律师根据 GDPR 的相关规定进行了核查,其认为公司在 2021 年 3 月 31 日的数据保护及隐私合规没有整改建议。 3. 发行人内部的安全与合规管理委员会根据不断更新的数据行业监管、个人隐私保护政策,统筹规划合规与信息安全管理制度体系的维护与持续运作。 基于持续的研究,对公司相关经营管理制度、流程、方案及计划中的数据安全、隐私保护等方面的合规性进行评估和管理,积极提升公司数据安全与合规管理能力。 |
|
4 |
云天励飞 |
招股说明书中提请投资者关注 政策制度风险:人工智能技术被不当使用或被滥用都可能令潜在客户对人工智能解决方案却步,也可能影响社会对人工智能解决方案的普遍接纳程度,引起负面报道,甚至可能违反中国及其他司法辖区的相关法律法规,面临诉讼风险、来自积极股东及其他组织的压力以及监管机构更严格的监管。请结合发行人主要产品及业务模式具体说明面临的上述政策制度风险的具体体现,并客观分析可能对发行人业务及生产经营的影响。 |
1.政策风险的具体体现 发行人面临的上述政策制度风险的具体体现如下: (1)发行人面向商业用户的产品可能涉及到获取和使用用户隐私数据,如果商业客户未能恰当获得用户数据授权,有可能存在 数据安全的风险。 (2)《个人信息保护法(草案)》等与个人信息保护相关的法规正在立法过程中,如果公司产品的使用方未能恰当遵守相关规定可能招致其存在法律风险,进而影响发行人产品推广和使用。 2.对于发行人业务和生产经营的影响...... |
而对于既有数据合规风险的披露,证券监管部门要求拟上市公司一方面应披露现有的诉讼或者行政处罚情况,另一方面应披露现有产品和业务模式下是否有导致诉讼或者行政处罚的风险。对于潜在数据合规风险的评估,证券监管部门在问询中对拟上市公司未来潜在的数据合规风险也尤为关注:其会要求拟上市公司根据主要产品和业务模式对未来的政策制度风险可能对业务及生产经营产生的影响进行客观分析。相应的应对解决方式为:
(1)已有数据合规风险披露
充分评估及披露其是否因数据不合规受过相关的行政处罚、法律纠纷或诉讼以及其对公司业务的影响;对于相关负面舆论报道,也需及时关注与回应,必要时进行进一步相关说明。
(2)未来潜在数据合规风险评估
未来潜在风险,不仅包括现有商业模式下"灰度"问题如何去解释和改进,也包括由于立法的更新和变化,所带来监管的不确定性考虑。我们认为,拟上市公司应当从持续跟进—积极研判—主动评估—制度落地—意识提升等几个维度去进行建设,形成自身良好的合规闭环体系,以及从上至下的合规意识提升,从而才能有效应对未来的数据合规风险,
(3)跨境业务下的风险评估
考虑到大多数国内企业产品在国内外均具有市场竞争力,有些拟上市公司产品已经行销海外,因此境外的数据合规问题亦不容忽视。全球主要经济体对于个人隐私和数据安全均十分看重,而每个国家对此的合规要求又有不同。因此拟上市公司必须评估产品和服务跨境场景下的数据合规问题。而根据我们经验,跨境合规评估涉及到不同法域和不同场景,相较于国内合规评估,此类合规工作较为复杂和不可控。因此,我们建议拟上市企业应当未雨绸缪,尽早进行规划,特别是主要产品的主要市场在境外的,更要制定比较详细的评估方案,以应对监管问询。
结语
如本指南所揭示,科技企业的数据合规问题已经成为企业上市所需要关注的核心问题。目前证券监管部门在相关审核和问询中所重点关注的风险不仅涵盖最基础的如数据搜集、数据购买、数据使用和管理等"必答题",而且对于当前比较有争议的比如用户的行权问题、自动化访问收集等问题均有详细的问询。在有限时间内如何帮助拟上市企业迅速有效应对和解决这些问询,考验着专业律师的经验和智慧。我们的初步建议是相关拟上市企业在上市专业律师之外,同时也尽早引入数据合规专业律师以全面熟悉企业的核心产品和技术方案,并协同公司法务、风控合规、技术、业务等各部门条线和外部技术专家顾问一起,及早核查整改并确保相关措施有效实施。企业甚至应考虑在公司初创及产品设计或早期融资时即开展相关工作,避免拖延到后期积重难返而整改成本代价畸高,甚至直接构成通过上市审核的实质性障碍。
Footnotes
1 感谢李清仪、严培晏、陈雨婕在本文写作初期的整理和补充。
2 习近平:《不断做强做优做大我国数字经济》,载2022年第2期《求是》, http://www.qstheory.cn/dukan/qs/2022-01/15/c_1128261632.htm。
3 比如自2020年10月1日起实施的《个人信息安全规范》和近日出台、将于2022年2月15日起实施的《网络安全审查办法》,以及国家互联网信息办公室于2021年11月14日发布的《网络数据安全管理条例(征求意见稿)》。
4 2019年起,工信部及各省市通信局持续开展APP侵害用户权益专项整治行动,加大对APP治理的常态化执法力度,并表示对APP违规行为将持续保持高压震慑;2021年7月,在前期APP专项整治的基础上,工信部决定开展互联网行业专项整治行动,主要聚焦扰乱市场秩序、侵害用户权益、威胁数据安全等四方面8类问题,涉及22个具体场景。2021年10月工信部持续开展APP专项整治,坚决下架408款拒不整改的APP。2021年12月9日,工信部在官方网站发布通报,称依据《个人信息保护法》《网络安全法》等相关法律要求,对106款App进行下架,许多知名APP在列。
5 根据《数据安全法》第四十五条,开展数据处理活动的组织、个人不履行该法相关规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。
根据《数据安全法》第四十六条,违反该法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。
6 根据不完全统计,仅就相关企业境内A股IPO而言,受到相关问询的2021年共有32家、2022年共有44家。另外,文章标题为人工智能等行业公司,实际上,随着数据对经济生活越来越深的渗入,越来越多行业的企业业务也都涉及数据处理,因此也都会涉及数据合规问题,比如互联网金融公司、电商公司、快递公司、外卖公司、教育公司、医疗公司等等,更别说专门的数据服务公司或专门的或综合的互联网平台公司。
7 如北京墨迹风云科技股份有限公司。
8 比如根据相关通报,前述2021年12月9日下架的106款App中,有96款存在违规收集个人信息的问题,占比高达90.6%。
9 和A股审核不同,香港联交所上市相关问询和回复并不公开,相关内容主要体现为招股书的相关披露。
10 以SDK为例,开发者可以通过调用SDK的方式,为App嵌入地图、广告、数据统计、支付和第三方登录等功能,而无需从头为这项功能编写代码。由于SDK自身的行为具有较强的隐蔽性,因此存在多种安全隐患:或是其自身有安全漏洞问题,或是存在如流量劫持、资费消耗、隐私窃取等SDK恶意行为,或是由于处理者存在无法控制SDK的处理数据的技术可能性,SDK容易基于其自身利益,超范围收集信息主体的个人信息。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
