企业邮箱

中文 EN

原创
原创 年报 期刊 出版物

IPO审核新动态——数据安全与合规

作者:张伟丽 尤松 | 2023.09.11


「正文共计约5800字,阅读全文约需23分钟」

随着网络科技的不断发展,数据安全与合规问题越来越受到重视。在IPO业务领域,关于此类的问询也日渐增多。相较于以往该类问询集中于数字经济、互联网平台企业或涉及数据处理活动的企业,笔者注意到最近的审核中,即使是传统行业,如其拥有公众号、小程序、App、网页等载体或通过上述载体开展业务,在审核过程中也会遇到数据合规的问询。笔者团队主办的物流企业和农牧饲料企业IPO项目,最近就被问询到是否存在通过App、小程序收集个人信息等数据合规问题。


在IPO项目问询中,监管机构会关注哪些数据安全与合规的问题以及中介机构该如何核查?笔者通过参与的项目和最近的案例进行分析说明。

一、IPO项目中常见的数据安全与合规问题

1、数字经济、互联网平台企业等典型涉及数据处理活动的企业


2、可能涉及数据处理活动的传统企业


如前表所示,对于发行人涉及网络信息系统或者存在小程序、App、网页等网络载体,在业务开展过程中可能进行数据处理活动(包括数据采集、使用、存储等)的,监管部门通常会先笼统的问询发行人在业务开展过程中是否涉及数据处理活动及其合规性。


对于明确涉及数据处理活动的企业,监管机构会从数据处理的各个环节及各个维度进一步展开问询,主要集中在(1)数据来源、数据获取方式是否合规(如是否取得个人信息主体的同意);(2)对于从第三方采购、获取的数据,双方权利、责任如何划分,确认第三方数据来源合法的方式及有效性;(3)数据使用是否合规,是否存在使用范围、主体或期限方面的限制,是否超限制使用;(4)数据存储情况,数据存储位置及周期;(5)数据保护内控措施建设及具体执行情况;(6)数据违规及整改情况;(7)数据商业化变现的合规性;(8)跨境数据的合规性等问题。此外,如涉及处理个人信息,会引起监管部门的重点关注。

二、相关规定及数据合规问题的核查思路

(一)数据定义与内容

数据是指任何以电子或者其他方式对信息的记录。网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。


在企业开展业务过程中会收集和产生各种各样的数据,如财务数据、经营数据、客户信息等,但并不是所有的数据都会受到关注。IPO项目重点关注的数据主要为发行人通过网络收集、传输、加工、使用、存储的第三方数据,如通过“爬虫”技术爬取的第三方网站数据、通过“注册”程序获取的用户身份信息、通过探针软件获取的用户位置信息等。


(二)数据合规的法律法规规定

面对种类繁多且重要性程度各异的数据,发行人该如何处理广义的“数据”才合法合规呢?《网络安全法》和《数据安全法》对此做了原则性规定,而具体的行为规范则需要根据不同的数据类型适用具体的法律法规或行业标准。


《网络安全法》对收集用户信息规定了明示原则,并要求对收集的用户信息严格保密并建立健全用户信息保护制度。《数据安全法》从宏观方面对保护数据安全作出了规定,如开展数据处理活动不得危害国家安全、公共利益,不得损害个人、组织的合法权益;收集数据应当采取合法、正当的方式;应建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施保障数据安全;开展数据处理活动应当加强风险监测;重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估等。


数据中的“个人信息”涉及每个人,保护不当很容易导致个人权益受到不法侵害,因此不论是从立法上,还是监管部门的问询中,对个人信息的保护都是重中之重。《网络安全法》《数据安全法》《个人信息保护法》均对如何保护个人信息进行了详细规定,如收集使用个人信息应当遵循合法、正当、必要的原则;处理个人信息应当遵循公开、透明原则,公开个人信息处理规则,明示处理的目的、方式和范围;处理个人信息应取得个人信息主体的同意等。此外,国家市场监督管理总局和国家标准化管理委员会联合发布了《信息安全技术-个人信息安全规范》,对个人信息控制者在收集、使用、存储、共享、转让、公开披露等环节中的行为作出了明确规范。


(三)数据合规问题的核查思路

1、厘清各个业务环节涉及的数据

在涉及数据安全与合规问题时,中介机构要结合发行人的实际情况,对发行人的业务环节、数据内容、处理方式、数据来源等进行具体核查与分析。首先要核查清楚发行人在业务开展过程中,每个业务环节是否涉及数据处理、处理的数据内容以及背后的业务逻辑。如APP软件在“注册”阶段会获取用户的姓名及手机号,用于为用户分配账号;物流企业会要求驾驶员通过APP上传货物的位置信息,用于监控物流订单的履行状态;网上商城在销售过程会获取收件人的地址与电话,用于实现货物的妥投与签收。


本核查步骤一方面可以厘清发行人开展业务涉及的数据,便于后续开展其他角度的核查;另外一方面能够核查发行人业务与数据的内在联系,用于判断发行人是否超出业务需要或合同约定处理数据。


2、数据来源的核查及关注点

在业务开展过程中,发行人的数据来源主要分为发行人自主获取、信息主体提供、通过第三方获取三种方式。


发行人自主获取数据主要表现为发行人通过探针软件或爬虫技术主动获取数据,在该种模式下中介机构需关注获取方式的合法合规,如主动获取数据是否取得了数据主体的同意、自动化采集是否遵循了网站Robots协议、自动化采集数量及频率是否影响采集对象网站的正常运行。


信息主体提供数据主要表现为信息主体与数据处理者基于各种合同关系向发行人提供数据,如用户为了使用APP而在注册环节提供的身份信息、消费者为了实现买卖合同而提供收货地址、客户为了获取网络安全服务而同意网络安全服务商获取其IP地址等。对于该种模式,中介机构应该重点核查处理的数据是否超出了合同的约定,是否属于履行合同的必要,以及合同相对方是否知悉且同意发行人处理数据(例如涉及采集个人信息的,需要取得个人信息主体的明示同意)。


通过第三方获取数据主要表现为向第三方购买数据或基于合同目的处理第三方获取的数据,如合合信息向凭安征信采购全国工商企业名录、向人民数据采购工商大数据,中奥通宇从其客户处获取终端用户的订单信息。对于该种模式,中介机构应重点关注发行人与第三方的合同是否明确了各自的权利义务与责任,确保发行人通过第三方获取数据的合规性,以及一旦出现数据来源违法违规需由对方承担相应责任。此外,除了要求数据提供商承诺数据来源合规外,笔者还建议发行人应建立相应的核查机制进一步核查数据来源的合法合规性。


3、根据数据类型适配不同的保护措施

我国实行数据分类分级保护制度,因此在遇到数据合规问题时,中介机构需根据数据的具体内容及类型进行核查分析。如涉及商业秘密,需要核查是否符合《反不正当竞争法》的规定;如涉及个人信息,需要核查是否符合《个人信息保护法》的规定;如属于关键信息基础设施运营者收集和产生的重要数据,需要核查是否符合《网络安全法》的规定;此外,对于电力、金融等特殊行业的数据,也应核查是否符合相应行业或领域具体的法律法规。

联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市美兰区碧海大道86号华彩·海口湾广场A座1008、1009,邮编:570208

电 话:(0898)6625 4181

传 真:(0898)6625 5316

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区九章路69号理想创新大厦A幢12层,215316

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 香港特区上环干诺道中200号信德中心(西翼)20层2002号

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030

电 话:(027)8361 5198

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

宁波More

地 址: 宁波市鄞州区三眼桥街51号宁铸中心5号楼27层(宁波塔-27F),315199

电 话:(0574)8737 8737

传 真:

邮 箱: kangda@kangdalawyers.com

济南More

地 址: 济南市高新区舜泰北路舜泰广场933号博晶大厦25层2513室

电 话:(0531)8828 5613

传 真:

邮 箱: kangda@kangdalawyers.com

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。