以数据作为关键生产要素的数字经济时代已然来临,随之而来的,是对数据的监管,一方面,国内立法层出、执法趋严;另一方面,欧盟、美国等多个国家/地区先后颁布一系列数据监管法规,企业违反数据保护规定的高额罚款不断涌现,数据合规的风险愈发突出和普遍。作为经济发展风向标和晴雨表的资本市场,也及时呈现出对数据合规的高度关注,在拟上市企业A股IPO的过程中,数据合规问题是常见的反馈问询问题,可以说,数据合规已经成为拟上市企业A股IPO成功的合规门槛之一。
一、执法及司法领域中的数据合规风险特征
新法迭出的背景之下,执法、司法在数据监管和数据纠纷上的处理态度直观体现了相关法规于落地执行层面的轻重缓急。A股IPO作为分析数据合规问题的场景之一,虽然有区别于其他场景下数据合规问题的特殊性,但本质上仍然是数据合规问题,因此,其监管趋向肯定是与执法及司法领域呈现的数据合规风险特征相一致的,换言之,对执法及司法领域中的数据合规风险特征进行分析可以有效帮助拟上市企业判断各类数据合规风险的重要性、紧迫性,亦有助于拟上市企业更精准的应对监管问询和进行信息披露。
(一) 执法领域中的数据合规风险特征
随着数据领域法律规制体系的逐步完善,执法监管也在不断强化,国家及地方层面各种检查、专项治理等执法活动持续纵深推进,例如工信部自2019年持续开展APP侵害用户权益专项整治行动、网信办开展清朗行动、银保监会开展侵害个人信息权益乱象专项整治工作,又如北京、上海、广东、江苏、浙江、安徽、湖北等开展电信和互联网行业网络与数据安全检查。
各类执法活动关注的违规情形既有宏观层面的系统安全、数据安全保护等问题,也有以个人信息保护为主题的APP违规的细节问题。例如,上海市通信管理局于2022年7月开始开展电信和互联网行业网络与数据安全检查[注1],检查内容涵盖网络安全管理制度和保障体系建设、通信网络安全防护、数据安全保护、个人信息和用户权益保护等,并于2022年8月通报6家单位存在未落实通信网络安全防护管理责任等违规行为、18家单位的22个定级系统存在未按期落实通信网络安全防护管理整改要求等问题。
在个人信息权益保护领域具有代表性的工信部APP侵害用户权益专项整治行动中,自2019年11月至今,工信部共发布了24批侵害用户权益APP的通报和14批下架APP的通报,经整理分析,工信部通报的各类侵害用户权益行为及其在通报中出现的次数如下:
图一:侵害用户权益APP问题汇总分析表
图二:下架APP问题汇总分析表
银保监会近日开展银行保险机构侵害个人信息权益乱象专项整治工作,明确指出了银行保险机构在个人信息收集、存储、传输、查询、使用、删除、第三方合作等方面侵害个人信息权益乱象的主要表现形式,例如,在未取得消费者同意的情况下利用App获取手机通讯录、未明确各类消费者个人信息电子数据和纸质材料删除的程序和方式等,并要求各机构对照整改。
可以看出,在执法层面,各主管部门既关注整体架构层面的合规问题,也精细检查细节执行层面的落实情况。
(二) 司法领域中的数据风险特征
为聚焦和回应数据领域(尤其是个人信息保护领域)的突出问题,公检法陆续选取发布一系列典型案例,从这些典型案例中,可以发现数据问题可能会引发的潜在民事、刑事风险。
全国公安机关在“净网2021”专项行动中,共破获侵犯公民个人信息案件9800余起[注2],在公安部公布的2021年侵犯公民个人信息犯罪十大典型案例中[注3],通过购买、窃取、交换、骗取、爬取等方式取得个人信息并牟利的,可能构成侵害公民个人信息罪或与个人信息相关的其他犯罪。
2021年4月,最高检发布11起个人信息保护诉讼典型案例[注4],其中,行政公益诉讼案件涉及督促整治医疗、快递、校外培训、房地产及装修装饰公司、政府信息公开等领域泄露个人信息问题,民事公益诉讼案件包括APP违法违规收集个人信息和非法获取、出售个人信息并进行消费欺诈等问题,刑事附带民事公益诉讼案件涉及通过技术软件窃取、购买、交换等方式非法获取并分享、出售个人信息等问题。
在杭州互联网法院近期公布的个人信息保护十大典型案例中[注5],既包括涉及平台违法处理儿童用户个人信息、APP违法违规收集个人信息、银行处理个人征信信息、组织搭建平台买卖个人信息等问题的民事公益诉讼,也包括民商事主体之间的因电子公交卡、网购平台向内嵌支付机构提供个人信息、自动化推荐等问题产生的个人信息保护纠纷、隐私权纠纷。
非个人信息方面,2022年7月,最高检发布的第三批合规不起诉典型案例中[注6]第一起即是利用爬虫非法获取其他公司数据的案件;至于商事主体间的民事纠纷,以百度地图抓取大众点评用户评论案、微博诉脉脉获取用户数据案、新浪微博与超级星饭团案、车来了获取公交车辆实时信息案为典型,出现了一批数据权益之争带来的新型不正当竞争纠纷案,给企业带来数据权益保护的教育和数据使用的警示。
二、A股IPO中的数据合规风险特征
A股IPO审核就是一个问答过程,审核机构会就其关注的重点事项进行反馈问询,拟上市企业对审核反馈问询的回复将决定其IPO审核结果,因此,从审核反馈问询中可以提炼出A股IPO中的数据合规风险特征。
(一) 时间跨度
数据合规风险的时间跨度,主要体现在关注和处理数据合规风险时,不仅需要考虑拟上市企业当前的数据合规状况,也需要关注其过往的数据合规问题及整改情况,以及未来潜在的数据合规风险及预防措施。
审核反馈问询示例如下:
1. 拟上市企业当前的数据合规状况
(1) 请说明注册在公司名下且在使用中的网站、APP、小程序、公众号的运营是否合法合规,是否存在需整改情形;
(2) 请说明公司拥有的公众号、小程序、APP、网页等是否涉及获取用户的个人信息,如有,说明处理个人信息的主要流程及合规性,是否符合《中华人民共和国个人信息保护法》等法规的规定;
(3) 请说明发行人产品涉及的软件、手机程序是否存在违规收集用户信息(包括下游客户及其他停车场使用者等)、泄露用户隐私等情形,是否存在合规风险;
(4) 请说明发行人在业务开展过程中产生、存储的主要数据类型,对相关数据的使用情况,发行人对于相关数据管理的内控制度建设情况及执行有效性情况。
2. 拟上市企业过往的数据合规问题及整改情况
(1) 请说明公司驾考宝典APP在手机助手应用上涉及“强制用户使用定向推送功能”等问题的整改情况,说明信息推送、交易推荐、提供算法推荐服务、用户权益保护等内容是否符合《互联网信息服务算法推荐管理规定》,是否已根据工信部《关于开展纵深推进APP侵害用户权益专项整治行动的通知》中反映的“违规搜集个人信息”等问题开展自查并予以整改;
(2) 请说明报告期内发行人数据管理不完善的具体情形、影响范围、严重程度,是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形,目前发行人针对该等不完善情形的具体整改情况及效果;
(3) 请说明报告期内是否存在数据泄露造成发行人及客户损失的情形,是否存在发行人利用相关个人消费者或企业客户信息进行牟利等违法违规行为,是否存在侵犯个人隐私、商业秘密或其他侵权方面的情形。
3. 拟上市企业未来潜在的数据合规风险及预防措施
(1) 请说明未来“数据磨坊”及相关产品是否面临法律及政策风险;
(2) 请说明发行人业务开展是否符合《数据安全法》《网络安全法》《个人信息保护法》《电信和互联网用户个人信息保护规定》等数据安全及信息保护相关法律法规的规定,是否存在纠纷或潜在纠纷,相关风险是否充分揭示;
(3) 结合《关于加强互联网信息服务算法综合治理的指导意见》的精神,分析说明发行人产品所使用算法的发展趋势,前述《指导意见》规定的发展方向、安全治理规则等对发行人技术研发、核心技术在产品或服务中的运营拟产生的影响,如有必要,请在招股说明书中细化提示相关产业政策、治理目标对发行人产品方向和业务内容产生影响的风险。
(二) 行业跨度
数据合规风险的行业跨度,主要体现在涉及数据合规风险的企业不仅仅局限于电信和互联网行业企业,也扩展至批发业、零售业、供应链管理、商务服务业、医药制造业、专用设备制造业、专业技术服务业等众多行业企业。
(三) 问题深度
数据合规风险的问题深度,主要体现在审核反馈问询明显趋向于细致化,即反馈问题非常细致、具体。
审核反馈问询示例如下:
1. 请说明收集业主的个人信息登记为线索后,平均单个业主的线索发送给不同装修企业的次数,发送前是否均征得业主同意,是否存在未经业主同意将业主线索大量发送给装修企业的情形,业主可否自行操作将个人信息从平台上删除;
2. 请说明主要产品及核心技术涉及的数据来源及类型、数据获取方式、存储方式,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯患者隐私的情形;
3. 请说明发行人关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况,是否能够有效保障数据安全及业务合法合规;
4. 请说明所提供的产品或服务是否符合2020年3月6日国家市场监督管理总局、国家标准化管理委员会发布的《信息安全技术个人信息安全规范》的要求,是否存在强制获取用户个人信息、用户无法永久删除发行人获取信息的情况,是否存在利用获取、保管的用户、客户数据开展商业用途的情形;对个人信息的处理和使用是否符合《个人信息保护法》规定的处理规则;
5. 请详细说明获取的用户个人信息的具体类型、内容、发行人使用所获取的个人信息的具体场景,进一步分析发行人对用户个人信息的收集、使用、保护等是否符合《个人信息保护法》的相关规定,发行人保护用户隐私、防止个人信息相关数据泄露的措施的有效性。
(四) 问题广度
数据合规风险的问题广度,主要体现在两方面,其一,反馈问题广泛覆盖数据合规领域的重点、难点及热点事项,例如,既关注个人信息处理全流程的合规风险,也关注数据所有权归属、境外数据合规、爬虫、数据安全、网络安全审查等问题;其二,在聚焦某一方面问题时,语言表述高度概括、内涵丰富,如“请说明发行人业务开展是否符合《数据安全法》《网络安全法》《个人信息保护法》《电信和互联网用户个人信息保护规定》等数据安全及信息保护相关法律法规的规定”。
审核反馈问询示例如下:
1. 个人信息处理全流程的合规风险
(1) 请说明公司拥有的公众号、小程序、APP、网页等是否涉及获取用户的个人信息,如有,说明处理个人信息的主要流程及合规性,是否符合《中华人民共和国个人信息保护法》等法规的规定;
(2) 请说明在相关产品的推广、使用过程中,发行人的经营活动、个人信息的处理(含收集、存储、使用、加工、传输、提供、公开、删除等)、发行人履行的义务是否符合《个人信息保护法》的相关要求及合规性;
(3) 全面核查发行人的业务开展过程,并说明:相关数据的获取、管理、存储和使用是否符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定、是否存在超出授权范围使用数据的情形,是否存在法律风险。
2. 数据所有权归属
(1) 请说明发行人自电商平台获取数据的主要类型(如用户个人信息、订单管理信息、平台运营信息等),是否取得相关数据的所有权;
(2) 请补充说明应用软件交付后其软件著作权及监测数据的所有权归属情况;结合目前我国关于信息数据安全的管理规定,说明监测数据所有权归发行人与客户共同所有的合理性,合法性,是否可能导致安全数据泄露、危害国家安全、军事秘密等法律风险,发行人可能面临的相应责任。
3. 境外数据合规
(1) 请补充说明主要销售国家或地区数据保护和网络安全相关法律法规的规定和发行人符合规定的情况,是否存在数据泄露造成发行人及客户损失,利用相关收集信息进行牟利等侵犯个人隐私、商业秘密等的违法违规行为;
(2) 核查并说明发行人境外业务开展是否遵守当地个人信息和数据安全保护的相关规定,是否存在被境外主管机构处罚的情况或潜在风险;
(3) 请说明发行人业务开展是否符合所在国家或地区数据保护和网络安全等法律法规的规定;
(4) 请说明海外产品的用户信息获取、保管及使用是否符合所在地法律、法规及平台用户隐私保护政策的要求,报告期内发行人是否因违反隐私条款或其他政策导致受到所在地主管机关、监管部门或互联网平台公司/服务商的限制性措施或惩罚,如有,请说明具体内容、影响及整改规范情况。
4. 爬虫
请说明发行人来源于供应商采购和自主获取的大数据的区别及报告期内占比,自动化访问获取的企业数据如何确保来源合法性,发行人调查供应商及数据来源合法性的具体方式及有效性。
5. 算法
(1) 请说明公司技术(如算法的训练、系统的搭建等)、业务及产品(或服务)中是否涉及到个人信息、大量数据的采集和运用,若是,请进一步说明存在该等情形的业务环节,相关数据的来源及其合法合规性;
(2) 结合《关于加强互联网信息服务算法综合治理的指导意见》的精神,分析说明发行人产品所使用算法的发展趋势,前述《指导意见》规定的发展方向、安全治理规则等对发行人技术研发、核心技术在产品或服务中的运营拟产生的影响,如有必要,请在招股说明书中细化提示相关产业政策、治理目标对发行人产品方向和业务内容产生影响的风险。
6. 数据安全
(1) 请说明发行人收集和使用患者个人信息的合规性,发行人是否具备足够的数据安全能力并对患者个人信息采取了充分的保密措施;
(2) 请说明发行人对消费者个人信息安全所采取的相关措施,内控制度是否健全有效;
(3) 请说明发行人保障数据安全的措施及执行情况。
7. 网络安全审查
(1) 请说明发行人产品是否需要通过网络安全审查及通过情况;
(2) 请说明依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等,发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务,是否需配合网络安全审查,是否存在不满足监管要求的风险;
(3) 请对照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及《网络安全审查办法》,说明发行人提供主要产品服务是否需配合网络安全审查及过往配合网络安全审查的情况,是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务,是否存在不满足监管要求的风险。
此外,从以上反馈问题可以看出,IPO中的监管问询与前述执行和司法层面的关注点契合度很高,如下表示例:
数据问题典型案例/问询对比表
以上示例所涉企业,有正在等待结果的IPO在审企业,也有已经成功上市发行股票跻身上市公司队列的企业,还有已经终止审核的企业,可见,审核反馈问询的每一个问题(包括数据合规问题)都不可能是“无缘无故的爱”,其都将单独/共同决定企业的IPO命运。
以上风险特征,概括言之,A股IPO中的数据合规风险较为普遍,且应对难度较大,对IPO成败的影响不容小觑。
三、A股IPO中的数据合规风险应对现状
对审核反馈问询的回复,可以直观看出拟上市企业在IPO过程中应对和解决数据合规风险的方式、方法。
(一) 应对主体
监管部门在问询数据合规问题时,通常会要求发行人(即拟上市企业)予以说明,同时,要求保荐人、发行人律师核查并发表明确意见。毋庸置疑,发行人及中介机构(通常是保荐人、律师)必须应对数据合规问题,且发行人是第一责任人,中介机构应当归位尽责。
值得关注的是,前述主体在应对数据合规问题的过程中,甚少借助数据合规专业机构/人士的帮助,如网络安全服务机构、第三方检测机构等专业技术机构、数据合规专业律师。
(二) 核查方式
中介机构在核查数据合规风险的过程中,普遍采用IPO项目中常规的核查方式,例如:(1)查阅发行人书面说明/确认、内控制度、业务合同、资质证书、合规证明等书面文件;(2)访谈发行人员工、合作伙伴、主管政府部门等相关方;(3)检索国家企业信用信息公示系统、中国裁判文书网、人民法院公告网、中国执行信息公开网、信用中国、公安部网站、工信部网站、网信办网站等网站。相反,采用数据合规监管和服务领域常用处理方式的情形并不常见,例如通过第三方检测机构测评、通过亲自登录/试用发行人产品(如网站、APP、小程序、公众号)等方式对发行人数据处理全流程合规情况进行检查测试等。
(三) 回复内容
发行人及中介机构对数据合规问题的回复内容存在篇幅有限、高度概括、结论完全正面的特点,当然,有些特点是A股IPO的审核要求和机制决定的,但往往“字少事大”,回复内容虽短,背后却可能是纷繁复杂的情况,发行人及中介机构都背负着或多或少的风险,尤其是在强调提高信息披露质量的注册制改革大背景之下,一旦披露内容不符合真实准确完整的要求,可能会引发监管处罚、民事赔偿甚至刑事追责。
四、关于拟上市企业如何防范和化解数据合规风险的建议
(一) 未雨绸缪
一方面,随着数字经济的发展,各行各业的企业在经营过程中或多或少都会与数据产生交集,数据合规风险也随之而来,成为无法回避的问题。另一方面,虽然数据合规看起来是与合规相关的法律问题,但由于数据往往与企业的业务活动紧密相关,数据合规问题的整改和规范极有可能涉及对企业的业务模式、流程等进行或多或少的调整,进而影响业绩,而业绩是A股IPO(采用科创板第五套标准的IPO项目除外)的核心条件,如果数据合规问题的整改导致拟上市企业的业绩“变脸”,将直接影响其IPO进程。
因此,为保证IPO计划的顺利实施,建议拟上市企业尽早启动数据合规工作,结合自身情况建立数据合规体系,以最小的成本防范和化解数据合规风险。
(二) 专业助攻
一方面,数据领域的法律规制体系以《网络安全法》《数据安全法》和《个人信息保护法》为核心,以大量的规定、征求意见稿和国家标准为重要组成部分,既多又杂,且不同场景下的数据合规要求存在很大差异,同时,执法层面非常关注相关规定的落地执行情况,因数据问题引发的争议纠纷可能牵涉各类民商事、刑事案件。凡此种种,使得数
据合规业务对法律人的专业能力和实践经验具有较高的要求,在法律服务领域的专业化趋势愈发凸显。另一方面,数据往往与技术紧密相关,对技术的理解能力、运用能力很可能会影响对数据合规风险的识别、整改效果。
因此,借助数据合规专业机构/人士的帮助,如网络安全服务机构、第三方检测机构等专业技术机构、数据合规专业律师,能够帮助拟上市企业在防范和化解数据合规风险时少走弯路。
(三) 合规披露
以信息披露为核心的注册制改革深入推进,真实、准确、完整是信息披露不可逾越的底线。拟上市企业及中介机构在撰写与编制IPO申报文件(包括招股说明书、律师工作报告、反馈问询回复等)时,针对数据合规问题,也应遵循重要性、针对性、可读性原则,真实、准确、完整地予以披露,提高信息披露质量,以期顺利通过审核及完成注册。
注释及参考文献:
[1] 关于开展2022年上海市电信和互联网行业网络和数据安全检查的通知 (miit.gov.cn)
[2] 公安部公布十大典型案例 -中国警察网 (cpd.com.cn) http://special.cpd.com.cn/2021zt/hw2021/yw_28914/202201/t20220110_1011591.html
[3] 政府信息公开 (mps.gov.cn)https://app.mps.gov.cn/gdnps/pc/content.jsp?id=8314457
[4] 最高检发布检察机关个人信息保护公益诉讼典型案例_中华人民共和国最高人民检察院(spp.gov.cn)https://www.spp.gov.cn/spp/xwfbh/wsfbt/202104/t20210422_516357.shtml#2
[5] 个人信息保护十大典型案例|杭州互联网法院5周年(qq.com)https://mp.weixin.qq.com/s/82rYeUUmNzCgehKjY4ifhA
[6] 最高检发布第三批涉案企业合规典型案例_中华人民共和国最高人民检察院(spp.gov.cn)https://www.spp.gov.cn/xwfbh/wsfbt/202208/t20220810_570413.shtml#2