國浩視點 | A股IPO中的資料合規風險分析與應對

目 錄

目 錄

一、執法及司法領域中的資料合規風險特徵

二、A股IPO中的資料合規風險特徵

三、A股IPO中的資料合規風險應對現狀

四、關於擬上市企業如何防範和化解資料合規風險的建議

以資料作為關鍵生產要素的數字經濟時代已然來臨,隨之而來的,是對資料的監管,一方面,國內立法層出、執法趨嚴;另一方面,歐盟、美國等多個國家/地區先後頒佈一系列資料監管法規,企業違反資料保護規定的高額罰款不斷湧現,資料合規的風險愈發突出和普遍。作為經濟發展風向標和晴雨表的資本市場,也及時呈現出對資料合規的高度關注,在擬上市企業A股IPO的過程中,資料合規問題是常見的反饋問詢問題,可以說,資料合規已經成為擬上市企業A股IPO成功的合規門檻之一。

一、執法及司法領域中的資料合規風險特徵

新法迭出的背景之下,執法、司法在資料監管和資料糾紛上的處理態度直觀體現了相關法規於落地執行層面的輕重緩急。A股IPO作為分析資料合規問題的場景之一,雖然有區別於其他場景下資料合規問題的特殊性,但本質上仍然是資料合規問題,因此,其監管趨向肯定是與執法及司法領域呈現的資料合規風險特徵相一致的,換言之,對執法及司法領域中的資料合規風險特徵進行分析可以有效幫助擬上市企業判斷各類資料合規風險的重要性、緊迫性,亦有助於擬上市企業更精準的應對監管問詢和進行資訊披露。

(一) 執法領域中的資料合規風險特徵

隨著資料領域法律規制體系的逐步完善,執法監管也在不斷強化,國家及地方層面各種檢查、專項治理等執法活動持續縱深推進,例如工信部自2019年持續開展APP侵害使用者權益專項整治行動、網信辦開展清朗行動、銀保監會開展侵害個人資訊權益亂象專項整治工作,又如北京、上海、廣東、江蘇、浙江、安徽、湖北等開展電信和網際網路行業網路與資料安全檢查。

各類執法活動關注的違規情形既有宏觀層面的系統安全、資料安全保護等問題,也有以個人資訊保護為主題的APP違規的細節問題。例如,上海市通訊管理局於2022年7月開始開展電信和網際網路行業網路與資料安全檢查[注1],檢查內容涵蓋網路安全管理制度和保障體系建設、通訊網路安全防護、資料安全保護、個人資訊和使用者權益保護等,並於2022年8月通報6家單位存在未落實通訊網路安全防護管理責任等違規行為、18家單位的22個定級系統存在未按期落實通訊網路安全防護管理整改要求等問題。

在個人資訊權益保護領域具有代表性的工信部APP侵害使用者權益專項整治行動中,自2019年11月至今,工信部共發佈了24批侵害使用者權益APP的通報和14批下架APP的通報,經整理分析,工信部通報的各類侵害使用者權益行為及其在通報中出現的次數如下:

*點選查看大圖

*點選查看大圖

圖一:侵害使用者權益APP問題彙總分析表

圖二:下架APP問題彙總分析表

圖二:下架APP問題彙總分析表

銀保監會近日開展銀行保險機構侵害個人資訊權益亂象專項整治工作,明確指出了銀行保險機構在個人資訊收集、儲存、傳輸、查詢、使用、刪除、第三方合作等方面侵害個人資訊權益亂象的主要表現形式,例如,在未取得消費者同意的情況下利用App獲取手機通訊錄、未明確各類消費者個人資訊電子資料和紙質材料刪除的程序和方式等,並要求各機構對照整改。

可以看出,在執法層面,各主管部門既關注整體架構層面的合規問題,也精細檢查細節執行層面的落實情況。

(二) 司法領域中的資料風險特徵

為聚焦和回應資料領域(尤其是個人資訊保護領域)的突出問題,公檢法陸續選取發佈一系列典型案例,從這些典型案例中,可以發現資料問題可能會引發的潛在民事、刑事風險。

全國公安機關在「淨網2021」專項行動中,共破獲侵犯公民個人資訊案件9800餘起[注2],在公安部公佈的2021年侵犯公民個人資訊犯罪十大典型案例中[注3],通過購買、竊取、交換、騙取、爬取等方式取得個人資訊並牟利的,可能構成侵害公民個人資訊罪或與個人資訊相關的其他犯罪。

2021年4月,最高檢發佈11起個人資訊保護訴訟典型案例[注4],其中,行政公益訴訟案件涉及督促整治醫療、快遞、校外培訓、房地產及裝修裝飾公司、政府資訊公開等領域洩露個人資訊問題,民事公益訴訟案件包括APP違法違規收集個人資訊和非法獲取、出售個人資訊並進行消費欺詐等問題,刑事附帶民事公益訴訟案件涉及通過技術軟體竊取、購買、交換等方式非法獲取並分享、出售個人資訊等問題。

在杭州網際網路法院近期公佈的個人資訊保護十大典型案例中[注5],既包括涉及平臺違法處理兒童使用者個人資訊、APP違法違規收集個人資訊、銀行處理個人徵信資訊、組織搭建平臺買賣個人資訊等問題的民事公益訴訟,也包括民商事主體之間的因電子公交卡、網購平臺向內嵌支付機構提供個人資訊、自動化推薦等問題產生的個人資訊保護糾紛、隱私權糾紛。

非個人資訊方面,2022年7月,最高檢發佈的第三批合規不起訴典型案例中[注6]第一起即是利用爬蟲非法獲取其他公司資料的案件;至於商事主體間的民事糾紛,以百度地圖抓取大眾點評使用者評論案、微博訴脈脈獲取使用者資料案、新浪微博與超級星飯糰案、車來了獲取公交車輛實時資訊案為典型,出現了一批資料權益之爭帶來的新型不正當競爭糾紛案,給企業帶來資料權益保護的教育和資料使用的警示。

二、A股IPO中的資料合規風險特徵

A股IPO審核就是一個問答過程,審核機構會就其關注的重點事項進行反饋問詢,擬上市企業對審核反饋問詢的回覆將決定其IPO審核結果,因此,從審核反饋問詢中可以提煉出A股IPO中的資料合規風險特徵。

(一) 時間跨度

資料合規風險的時間跨度,主要體現在關注和處理資料合規風險時,不僅需要考慮擬上市企業當前的資料合規狀況,也需要關注其過往的資料合規問題及整改情況,以及未來潛在的資料合規風險及預防措施。

審核反饋問詢示例如下:

1. 擬上市企業當前的資料合規狀況

(1) 請說明註冊在公司名下且在使用中的網站、APP、小程序、公眾號的運營是否合法合規,是否存在需整改情形;

(2) 請說明公司擁有的公眾號、小程序、APP、網頁等是否涉及獲取使用者的個人資訊,如有,說明處理個人資訊的主要流程及合規性,是否符合《中華人民共和國個人資訊保護法》等法規的規定;

(3) 請說明發行人產品涉及的軟體、手機程序是否存在違規收集使用者資訊(包括下游客戶及其他停車場使用者等)、洩露使用者隱私等情形,是否存在合規風險;

(4) 請說明發行人在業務開展過程中產生、儲存的主要資料類型,對相關資料的使用情況,發行人對於相關資料管理的內控制度建設情況及執行有效性情況。

2. 擬上市企業過往的資料合規問題及整改情況

(1) 請說明公司駕考寶典APP在手機助手應用上涉及「強制使用者使用定向推送功能」等問題的整改情況,說明資訊推送、交易推薦、提供演算法推薦服務、使用者權益保護等內容是否符合《網際網路資訊服務演算法推薦管理規定》,是否已根據工信部《關於開展縱深推進APP侵害使用者權益專項整治行動的通知》中反映的「違規蒐集個人資訊」等問題開展自查並予以整改;

(2) 請說明報告期內發行人資料管理不完善的具體情形、影響範圍、嚴重程度,是否存在侵權行為、糾紛、潛在糾紛或可能被處罰的情形,目前發行人針對該等不完善情形的具體整改情況及效果;

(3) 請說明報告期內是否存在資料洩露造成發行人及客戶損失的情形,是否存在發行人利用相關個人消費者或企業客戶資訊進行牟利等違法違規行為,是否存在侵犯個人隱私、商業秘密或其他侵權方面的情形。

3. 擬上市企業未來潛在的資料合規風險及預防措施

(1) 請說明未來「資料磨坊」及相關產品是否面臨法律及政策風險;

(2) 請說明發行人業務開展是否符合《資料安全法》《網路安全法》《個人資訊保護法》《電信和網際網路使用者個人資訊保護規定》等資料安全及資訊保護相關法律法規的規定,是否存在糾紛或潛在糾紛,相關風險是否充分揭示;

(3) 結合《關於加強網際網路資訊服務演算法綜合治理的指導意見》的精神,分析說明發行人產品所使用演算法的發展趨勢,前述《指導意見》規定的發展方向、安全治理規則等對發行人技術研發、核心技術在產品或服務中的運營擬產生的影響,如有必要,請在招股說明書中細化提示相關產業政策、治理目標對發行人產品方向和業務內容產生影響的風險。

(二) 行業跨度

資料合規風險的行業跨度,主要體現在涉及資料合規風險的企業不僅僅侷限於電信和網際網路行業企業,也擴展至批發業、零售業、供應鏈管理、商務服務業、醫藥製造業、專用設備製造業、專業技術服務業等眾多行業企業。

(三) 問題深度

資料合規風險的問題深度,主要體現在審核反饋問詢明顯趨向於細緻化,即反饋問題非常細緻、具體。

審核反饋問詢示例如下:

1. 請說明收集業主的個人資訊登記為線索後,平均單個業主的線索發送給不同裝修企業的次數,發送前是否均徵得業主同意,是否存在未經業主同意將業主線索大量發送給裝修企業的情形,業主可否自行操作將個人資訊從平臺上刪除;

2. 請說明主要產品及核心技術涉及的資料來源及類型、資料獲取方式、儲存方式,在資料使用中是否需取得相關方的許可或授權、相關授權是否完整,是否存在侵犯患者隱私的情形;

3. 請說明發行人關於獲取、儲存、使用資料的相關制度規範的制定時間、主要內容、執行情況,是否能夠有效保障資料安全及業務合法合規;

4. 請說明所提供的產品或服務是否符合2020年3月6日國家市場監督管理總局、國家標準化管理委員會發佈的《資訊安全技術個人資訊安全規範》的要求,是否存在強制獲取使用者個人資訊、使用者無法永久刪除發行人獲取資訊的情況,是否存在利用獲取、保管的使用者、客戶資料開展商業用途的情形;對個人資訊的處理和使用是否符合《個人資訊保護法》規定的處理規則;

5. 請詳細說明獲取的使用者個人資訊的具體類型、內容、發行人使用所獲取的個人資訊的具體場景,進一步分析發行人對使用者個人資訊的收集、使用、保護等是否符合《個人資訊保護法》的相關規定,發行人保護使用者隱私、防止個人資訊相關資料洩露的措施的有效性。

(四) 問題廣度

資料合規風險的問題廣度,主要體現在兩方面,其一,反饋問題廣泛覆蓋資料合規領域的重點、難點及熱點事項,例如,既關注個人資訊處理全流程的合規風險,也關注資料所有權歸屬、境外資料合規、爬蟲、資料安全、網路安全審查等問題;其二,在聚焦某一方面問題時,語言表述高度概括、內涵豐富,如「請說明發行人業務開展是否符合《資料安全法》《網路安全法》《個人資訊保護法》《電信和網際網路使用者個人資訊保護規定》等資料安全及資訊保護相關法律法規的規定」。

審核反饋問詢示例如下:

1. 個人資訊處理全流程的合規風險

(1) 請說明公司擁有的公眾號、小程序、APP、網頁等是否涉及獲取使用者的個人資訊,如有,說明處理個人資訊的主要流程及合規性,是否符合《中華人民共和國個人資訊保護法》等法規的規定;

(2) 請說明在相關產品的推廣、使用過程中,發行人的經營活動、個人資訊的處理(含收集、儲存、使用、加工、傳輸、提供、公開、刪除等)、發行人履行的義務是否符合《個人資訊保護法》的相關要求及合規性;

(3) 全面核查發行人的業務開展過程,並說明:相關資料的獲取、管理、儲存和使用是否符合《中華人民共和國資料安全法》《中華人民共和國個人資訊保護法》等相關規定、是否存在超出授權範圍使用資料的情形,是否存在法律風險。

2. 資料所有權歸屬

(1) 請說明發行人自電商平臺獲取資料的主要類型(如使用者個人資訊、訂單管理資訊、平臺運營資訊等),是否取得相關資料的所有權;

(2) 請補充說明應用軟體交付後其軟體著作權及監測資料的所有權歸屬情況;結合目前我國關於資訊資料安全的管理規定,說明監測資料所有權歸發行人與客戶共同所有的合理性,合法性,是否可能導致安全資料洩露、危害國家安全、軍事秘密等法律風險,發行人可能面臨的相應責任。

3. 境外資料合規

(1) 請補充說明主要銷售國家或地區資料保護和網路安全相關法律法規的規定和發行人符合規定的情況,是否存在資料洩露造成發行人及客戶損失,利用相關收集資訊進行牟利等侵犯個人隱私、商業秘密等的違法違規行為;

(2) 核查並說明發行人境外業務開展是否遵守當地個人資訊和資料安全保護的相關規定,是否存在被境外主管機構處罰的情況或潛在風險;

(3) 請說明發行人業務開展是否符合所在國家或地區資料保護和網路安全等法律法規的規定;

(4) 請說明海外產品的使用者資訊獲取、保管及使用是否符合所在地法律、法規及平臺使用者隱私保護政策的要求,報告期內發行人是否因違反隱私條款或其他政策導致受到所在地主管機關、監管部門或網際網路平臺公司/服務商的限制性措施或懲罰,如有,請說明具體內容、影響及整改規範情況。

4. 爬蟲

請說明發行人來源於供應商採購和自主獲取的大資料的區別及報告期內佔比,自動化訪問獲取的企業資料如何確保來源合法性,發行人調查供應商及資料來源合法性的具體方式及有效性。

5. 演算法

(1) 請說明公司技術(如演算法的訓練、系統的搭建等)、業務及產品(或服務)中是否涉及到個人資訊、大量資料的採集和運用,若是,請進一步說明存在該等情形的業務環節,相關資料的來源及其合法合規性;

(2) 結合《關於加強網際網路資訊服務演算法綜合治理的指導意見》的精神,分析說明發行人產品所使用演算法的發展趨勢,前述《指導意見》規定的發展方向、安全治理規則等對發行人技術研發、核心技術在產品或服務中的運營擬產生的影響,如有必要,請在招股說明書中細化提示相關產業政策、治理目標對發行人產品方向和業務內容產生影響的風險。

6. 資料安全

(1) 請說明發行人收集和使用患者個人資訊的合規性,發行人是否具備足夠的資料安全能力並對患者個人資訊採取了充分的保密措施;

(2) 請說明發行人對消費者個人資訊安全所採取的相關措施,內控制度是否健全有效;

(3) 請說明發行人保障資料安全的措施及執行情況。

7. 網路安全審查

(1) 請說明發行人產品是否需要通過網路安全審查及通過情況;

(2) 請說明依據《網路安全法》《資料安全法》《關鍵資訊基礎設施安全保護條例》等,發行人提供的主要產品和服務是否屬於《關鍵資訊基礎設施安全保護條例》規定的安全可信的網路產品和服務,是否需配合網路安全審查,是否存在不滿足監管要求的風險;

(3) 請對照《網路安全法》《資料安全法》《關鍵資訊基礎設施安全保護條例》及《網路安全審查辦法》,說明發行人提供主要產品服務是否需配合網路安全審查及過往配合網路安全審查的情況,是否屬於《關鍵資訊基礎設施安全保護條例》規定的安全可信的網路產品和服務,是否存在不滿足監管要求的風險。

此外,從以上反饋問題可以看出,IPO中的監管問詢與前述執行和司法層面的關注點契合度很高,如下表示例:

*點選查看大圖

資料問題典型案例/問詢對比表

資料問題典型案例/問詢對比表

以上示例所涉企業,有正在等待結果的IPO在審企業,也有已經成功上市發行股票躋身上市公司隊列的企業,還有已經終止審核的企業,可見,審核反饋問詢的每一個問題(包括資料合規問題)都不可能是「無緣無故的愛」,其都將單獨/共同決定企業的IPO命運。

以上風險特徵,概括言之,A股IPO中的資料合規風險較為普遍,且應對難度較大,對IPO成敗的影響不容小覷。

三、A股IPO中的資料合規風險應對現狀

對審核反饋問詢的回覆,可以直觀看出擬上市企業在IPO過程中應對和解決資料合規風險的方式、方法。

(一) 應對主體

監管部門在問詢資料合規問題時,通常會要求發行人(即擬上市企業)予以說明,同時,要求保薦人、發行人律師核查並發表明確意見。毋庸置疑,發行人及中介機構(通常是保薦人、律師)必須應對資料合規問題,且發行人是第一責任人,中介機構應當歸位盡責。

值得關注的是,前述主體在應對資料合規問題的過程中,甚少藉助資料合規專業機構/人士的幫助,如網路安全服務機構、第三方檢測機構等專業技術機構、資料合規專業律師。

(二) 核查方式

中介機構在核查資料合規風險的過程中,普遍採用IPO項目中常規的核查方式,例如:(1)查閱發行人書面說明/確認、內控制度、業務合同、資質證書、合規證明等書面檔案;(2)訪談發行人員工、合作伙伴、主管政府部門等相關方;(3)檢索國家企業信用資訊公示系統、中國裁判文書網、人民法院公告網、中國執行資訊公開網、信用中國、公安部網站、工信部網站、網信辦網站等網站。相反,採用資料合規監管和服務領域常用處理方式的情形並不常見,例如通過第三方檢測機構測評、通過親自登入/試用發行人產品(如網站、APP、小程序、公眾號)等方式對發行人資料處理全流程合規情況進行檢查測試等。

(三) 回覆內容

發行人及中介機構對資料合規問題的回覆內容存在篇幅有限、高度概括、結論完全正面的特點,當然,有些特點是A股IPO的審核要求和機制決定的,但往往「字少事大」,回覆內容雖短,背後卻可能是紛繁複雜的情況,發行人及中介機構都揹負著或多或少的風險,尤其是在強調提高資訊披露質量的註冊制改革大背景之下,一旦披露內容不符合真實準確完整的要求,可能會引發監管處罰、民事賠償甚至刑事追責。

四、關於擬上市企業如何防範和化解資料合規風險的建議

(一) 未雨綢繆

一方面,隨著數字經濟的發展,各行各業的企業在經營過程中或多或少都會與資料產生交集,資料合規風險也隨之而來,成為無法迴避的問題。另一方面,雖然資料合規看起來是與合規相關的法律問題,但由於資料往往與企業的業務活動緊密相關,資料合規問題的整改和規範極有可能涉及對企業的業務模式、流程等進行或多或少的調整,進而影響業績,而業績是A股IPO(採用科創板第五套標準的IPO項目除外)的核心條件,如果資料合規問題的整改導致擬上市企業的業績「變臉」,將直接影響其IPO進程。

因此,為保證IPO計劃的順利實施,建議擬上市企業儘早啟動資料合規工作,結合自身情況建立資料合規體系,以最小的成本防範和化解資料合規風險。

(二) 專業助攻

一方面,資料領域的法律規制體系以《網路安全法》《資料安全法》和《個人資訊保護法》為核心,以大量的規定、徵求意見稿和國家標準為重要組成部分,既多又雜,且不同場景下的資料合規要求存在很大差異,同時,執法層面非常關注相關規定的落地執行情況,因資料問題引發的爭議糾紛可能牽涉各類民商事、刑事案件。凡此種種,使得資料合規業務對法律人的專業能力和實踐經驗具有較高的要求,在法律服務領域的專業化趨勢愈發凸顯。另一方面,資料往往與技術緊密相關,對技術的理解能力、運用能力很可能會影響對資料合規風險的識別、整改效果。

因此,藉助資料合規專業機構/人士的幫助,如網路安全服務機構、第三方檢測機構等專業技術機構、資料合規專業律師,能夠幫助擬上市企業在防範和化解資料合規風險時少走彎路。

(三) 合規披露

以資訊披露為核心的註冊制改革深入推進,真實、準確、完整是資訊披露不可逾越的底線。擬上市企業及中介機構在撰寫與編制IPO申報檔案(包括招股說明書、律師工作報告、反饋問詢回覆等)時,針對資料合規問題,也應遵循重要性、針對性、可讀性原則,真實、準確、完整地予以披露,提高資訊披露質量,以期順利通過審核及完成註冊。

上下滑動查看全部

註釋及參考文獻:

[1] 關於開展2022年上海市電信和網際網路行業網路和資料安全檢查的通知 (miit.gov.cn)

[2] 公安部公佈十大典型案例 -中國警察網 (cpd.com.cn) http://special.cpd.com.cn/2021zt/hw2021/yw_28914/202201/t20220110_1011591.html

[3] 政府資訊公開 (mps.gov.cn)https://app.mps.gov.cn/gdnps/pc/content.jsp?id=8314457

[4] 最高檢發佈檢察機關個人資訊保護公益訴訟典型案例_中華人民共和國最高人民檢察院(spp.gov.cn)https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#2

[5] 個人資訊保護十大典型案例|杭州網際網路法院5週年(qq.com)https://mp.weixin.qq.com/s/82rYeUUmNzCgehKjY4ifhA

[6] 最高檢發佈第三批涉案企業合規典型案例_中華人民共和國最高人民檢察院(spp.gov.cn)https://www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2

【 特別聲明:本篇文章所闡述和說明的觀點僅代表作者本人意見,僅供參考和交流,不代表本所或其律師出具的任何形式之法律意見或建議。】

作者簡介

程 婷

程 婷

國浩深圳律師

業務領域:發行上市、再融資、併購重組等

郵箱:chengting@grandall.com.cn

史 躍

史 躍

國浩深圳律師

業務領域:智慧財產權、科技電信、民商事爭議解決

郵箱:shiyue@grandall.com.cn

程夢珂

程夢珂

國浩深圳律師

業務領域:資本市場、投資併購

郵箱:chengmengke@grandall.com.cn

相關文章