IPO审核新动态——数据安全与合规

作者：张伟丽 尤松 | 2023.09.11

「正文共计约5800字，阅读全文约需23分钟」

随着网络科技的不断发展，数据安全与合规问题越来越受到重视。在IPO业务领域，关于此类的问询也日渐增多。相较于以往该类问询集中于数字经济、互联网平台企业或涉及数据处理活动的企业，笔者注意到最近的审核中，即使是传统行业，如其拥有公众号、小程序、App、网页等载体或通过上述载体开展业务，在审核过程中也会遇到数据合规的问询。笔者团队主办的物流企业和农牧饲料企业IPO项目，最近就被问询到是否存在通过App、小程序收集个人信息等数据合规问题。

在IPO项目问询中，监管机构会关注哪些数据安全与合规的问题以及中介机构该如何核查？笔者通过参与的项目和最近的案例进行分析说明。

一、IPO项目中常见的数据安全与合规问题

1、数字经济、互联网平台企业等典型涉及数据处理活动的企业

2、可能涉及数据处理活动的传统企业

如前表所示，对于发行人涉及网络信息系统或者存在小程序、App、网页等网络载体，在业务开展过程中可能进行数据处理活动（包括数据采集、使用、存储等）的，监管部门通常会先笼统的问询发行人在业务开展过程中是否涉及数据处理活动及其合规性。

对于明确涉及数据处理活动的企业，监管机构会从数据处理的各个环节及各个维度进一步展开问询，主要集中在（1）数据来源、数据获取方式是否合规（如是否取得个人信息主体的同意）；（2）对于从第三方采购、获取的数据，双方权利、责任如何划分，确认第三方数据来源合法的方式及有效性；（3）数据使用是否合规，是否存在使用范围、主体或期限方面的限制，是否超限制使用；（4）数据存储情况，数据存储位置及周期；（5）数据保护内控措施建设及具体执行情况；（6）数据违规及整改情况；（7）数据商业化变现的合规性；（8）跨境数据的合规性等问题。此外，如涉及处理个人信息，会引起监管部门的重点关注。

二、相关规定及数据合规问题的核查思路

数据是指任何以电子或者其他方式对信息的记录。网络数据是指通过网络收集、存储、传输、处理和产生的各种电子数据。

在企业开展业务过程中会收集和产生各种各样的数据，如财务数据、经营数据、客户信息等，但并不是所有的数据都会受到关注。IPO项目重点关注的数据主要为发行人通过网络收集、传输、加工、使用、存储的第三方数据，如通过“爬虫”技术爬取的第三方网站数据、通过“注册”程序获取的用户身份信息、通过探针软件获取的用户位置信息等。

（二）数据合规的法律法规规定

面对种类繁多且重要性程度各异的数据，发行人该如何处理广义的“数据”才合法合规呢？《网络安全法》和《数据安全法》对此做了原则性规定，而具体的行为规范则需要根据不同的数据类型适用具体的法律法规或行业标准。

《网络安全法》对收集用户信息规定了明示原则，并要求对收集的用户信息严格保密并建立健全用户信息保护制度。《数据安全法》从宏观方面对保护数据安全作出了规定，如开展数据处理活动不得危害国家安全、公共利益，不得损害个人、组织的合法权益；收集数据应当采取合法、正当的方式；应建立健全全流程数据安全管理制度，采取相应的技术措施和其他必要措施保障数据安全；开展数据处理活动应当加强风险监测；重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估等。

数据中的“个人信息”涉及每个人，保护不当很容易导致个人权益受到不法侵害，因此不论是从立法上，还是监管部门的问询中，对个人信息的保护都是重中之重。《网络安全法》《数据安全法》《个人信息保护法》均对如何保护个人信息进行了详细规定，如收集使用个人信息应当遵循合法、正当、必要的原则；处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围；处理个人信息应取得个人信息主体的同意等。此外，国家市场监督管理总局和国家标准化管理委员会联合发布了《信息安全技术-个人信息安全规范》，对个人信息控制者在收集、使用、存储、共享、转让、公开披露等环节中的行为作出了明确规范。

（三）数据合规问题的核查思路

1、厘清各个业务环节涉及的数据

在涉及数据安全与合规问题时，中介机构要结合发行人的实际情况，对发行人的业务环节、数据内容、处理方式、数据来源等进行具体核查与分析。首先要核查清楚发行人在业务开展过程中，每个业务环节是否涉及数据处理、处理的数据内容以及背后的业务逻辑。如APP软件在“注册”阶段会获取用户的姓名及手机号，用于为用户分配账号；物流企业会要求驾驶员通过APP上传货物的位置信息，用于监控物流订单的履行状态；网上商城在销售过程会获取收件人的地址与电话，用于实现货物的妥投与签收。

本核查步骤一方面可以厘清发行人开展业务涉及的数据，便于后续开展其他角度的核查；另外一方面能够核查发行人业务与数据的内在联系，用于判断发行人是否超出业务需要或合同约定处理数据。

2、数据来源的核查及关注点

在业务开展过程中，发行人的数据来源主要分为发行人自主获取、信息主体提供、通过第三方获取三种方式。

发行人自主获取数据主要表现为发行人通过探针软件或爬虫技术主动获取数据，在该种模式下中介机构需关注获取方式的合法合规，如主动获取数据是否取得了数据主体的同意、自动化采集是否遵循了网站Robots协议、自动化采集数量及频率是否影响采集对象网站的正常运行。

信息主体提供数据主要表现为信息主体与数据处理者基于各种合同关系向发行人提供数据，如用户为了使用APP而在注册环节提供的身份信息、消费者为了实现买卖合同而提供收货地址、客户为了获取网络安全服务而同意网络安全服务商获取其IP地址等。对于该种模式，中介机构应该重点核查处理的数据是否超出了合同的约定，是否属于履行合同的必要，以及合同相对方是否知悉且同意发行人处理数据（例如涉及采集个人信息的，需要取得个人信息主体的明示同意）。

通过第三方获取数据主要表现为向第三方购买数据或基于合同目的处理第三方获取的数据，如合合信息向凭安征信采购全国工商企业名录、向人民数据采购工商大数据，中奥通宇从其客户处获取终端用户的订单信息。对于该种模式，中介机构应重点关注发行人与第三方的合同是否明确了各自的权利义务与责任，确保发行人通过第三方获取数据的合规性，以及一旦出现数据来源违法违规需由对方承担相应责任。此外，除了要求数据提供商承诺数据来源合规外，笔者还建议发行人应建立相应的核查机制进一步核查数据来源的合法合规性。

3、根据数据类型适配不同的保护措施

我国实行数据分类分级保护制度，因此在遇到数据合规问题时，中介机构需根据数据的具体内容及类型进行核查分析。如涉及商业秘密，需要核查是否符合《反不正当竞争法》的规定；如涉及个人信息，需要核查是否符合《个人信息保护法》的规定；如属于关键信息基础设施运营者收集和产生的重要数据，需要核查是否符合《网络安全法》的规定；此外，对于电力、金融等特殊行业的数据，也应核查是否符合相应行业或领域具体的法律法规。