Dentons 与大成之间的联合现在生效。如需了解该事务所目前在全球的运营情况,请访问 dentons.com。为方便客户以及其他希望了解该事务所在中国的运营信息的人士,本网站将继续保持公开几个月。

【大成研究】拟上市企业数据合规要点分析之数据获取合规

大数据时代到来,数据资产被高度认可,但因缺少相关法律的规制,信息被违规收集、非法获取、恶意滥用、过度留存的情况非常普遍,特别是对违法违规使用个人信息的关注度始终居高不下。据统计,67%App存在5个及以上个人信息安全问题,18.5%App存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息。[1]为治理上述现象,自2019年来国家不断加大对数据合规和网络安全的监管力度,2021813日浙江省通信管理局发布《关于开展互联网行业市场秩序专项整治行动的通知》,预计今年10月底前完成对互联网企业的合规调查,11月底前完成督促检查、整改,执法问责。APP专项治理工作组负责App违法违规收集使用个人信息评估工作,要求企业就违规行为限期整改并建议相关部门对逾期未整改企业进行处罚,以上也成为中国证券监督管理委员会(以下简称“证监会”)关注重点。

一、拟上市企业所面临的数据合规问题

(一)关注执法检查

证监会对北京墨迹风云科技股份有限公司的发审会公告中要求发行人就APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险进行说明[2],同样类型问题有:一、发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见;二、报告期内受到行政处罚的整改情况,相关内部控制制度的具体措施及执行的有效性;三、2017年发行人被采取相关监管措施的事件经过、整改措施及落实情况、是否属于重大违法违规行为;[3]四、报告期内受到行政处罚的整改情况,相关内部控制制度的具体措施及执行的有效性;[4]五、日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。[5]值得关注的是,被问询企业已不再局限于互联网企业,如浙江一鸣食品股份有限公司,在上市过程中被要求就信息安全及系统访问控制情况及其可靠性情况进行说明。[6]可见,数据合规要求不再是互联网企业专属。

(二)数据获取问询分析

通过梳理2018年至20219月证监会发布的会议审核结果,拟上市企业被问询到的有关数据合规相关问题可以归纳为数据处理与数据安全两方面,其中数据处理包括数据的获取、存储、使用、加工、传输、提供、公开等。可见,数据监管已覆盖到数据产品全周期,篇幅所限,本文仅对证监会提出的与数据获取有关的合规问题进行归纳解读并提出合规建议,以期为拟上市企业的数据合规提供有益参考。

有关数据获取合规的问询包括:一、发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规;二、发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险;三、数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷;[7]四、报告期内开展业务所需数据的来源是否合法合规,是否存在侵权及欺诈等损害客户利益等情形,有无潜在纠纷;[8]五、付费买家数据的获得合理性,发行人外包给第三方,是否具有合规性,是否对发行人业务开展影响;[9]六、获取授权的过程在法律上是否完备,是否符合相关法律法规规定的要求;[10]七、发行人相关业务中应获得授权的手续是否完备。请保荐代表人说明核查过程、依据,并发表明确核查意见;[11]八、数据获取、使用、处理等内部控制制度及执行情况,对数据安全和个人隐私的保护措施,获得公安部门信息系统安全等级保护测评的情况。[12]

二、数据获取合规治理方向及布局

企业作为数字经济中最主要的市场主体,应注重自身的数据治理能力,以最大化的发挥数据价值。实践中,企业所处行业、提供服务类型、所需获取的数据类别存在较大差异,因此合规重点也所有不同,拟上市企业的数据合规工作需在关注相关法律法规的基础上,结合所处行业以及业务特点有针对性的制定合规方案。

(一)明确可收集范围

证监会对数据获取的合规性考量无非集中在以下两点,一是获取程序的正当性;二是获取手段的合法性。对数据获取程序的正当性考察主要为拟上市企业可收集的信息范围是否存在过度获取的情形,获取用户数据的过程以及用户授权在法律上是否完备。以个人信息为例,《个人信息保护法》规定收集个人信息的行为应当遵守最小、必要原则,是指收集的个人信息范围为实现目的所必要的最小范围,但何为最小范围目前没有固定的衡量标准,具体操作建议参考《常见类型移动互联网应用程序(APP)必要个人信息范围(征求意见稿)》以及《网络安全实践指南移动互联网应用基本业务功能必要信息规范(V1.0)》中列举的常见APP收集必要个人信息的范围再结合企业所开展的业务进行确定。若企业所提供服务的用户数量大且与生活密切相关,建议参考App专项治理工作组编制的《大众化应用基本业务功能及必要信息规范》,此类服务往往是民众与监管机构的重点关注对象,因此,拟上市企业有必要对评估机构的评估要点及标准进行了解,可参照《App违法违规收集使用个人信息评估要点和操作规程》等技术规范文件进行自查自纠,以减少或避免因数据获取行为不合规被通报整改、遭受行政处罚的情况。

(二)如实披露、取得授权

在确定可获取的数据范围后,企业需要对收集信息的目的、使用范围、使用规则进行如实披露并在此基础上制定用户授权规则,除《民法典》《网络安全法》对如实披露、用户授权的原则性规定之外,建议参考《网络安全标准实践指南-移动互联网应用程序(APP)收集使用个人信息自评估指南》,国家标准《信息安全技术 个人信息告知同意指南(征求意见稿)》的第56789部分对告知同意的适用情形、免于告知同意的情形、告知同意的基本原则、不同场景下的告知同意进行了详细规定,具有很强的参考价值。

(三)获取手段正当性

1.数据交易

企业除直接向用户收集信息外还可以在数据交易场所购买数据,与数据产品所有者达成数据交易或通过技术手段从网络公开、半公开渠道获取。我国数据交易产业起步于2014年,已建成和计划建成的数据交易场所达17家。[13]目前,能够在数据交易所进行交易的数据必须是经过匿名化处理的数据,未经处理的个人信息交易不被允许,对于数据产品的卖方而言,收集个人信息后,宜立即进行去标识化处理,并采取技术和管理方面的措施,用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理,[14]信息的匿名化处理必须达到不可识别到特定人且不可复原并重新识别的程度。根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五、六条关于侵犯公民信息的行为、情节严重程度的规定,不论企业是作为买方还是买方,在进行数据交易时,为避免被追究刑事责任,应当在交易或作出许可前,对对方进行尽职调查,包括对方的业务领域、商业目的、数据用途、保护信息安全的手段等。[15]

2.技术手段及0pen API开发合作

撞库已被认定为非法手段,爬虫技术只有在满足爬取对象为公开数据且遵守通用的技术规则的前提下,才可以被认定为合法,否则将会产生各类法律责任,如非法获取计算机信息系统罪、侵犯公民个人信息罪、不正当竞争等。北京鼎阅文学信息技术有限公司在未经权利公司许可的情况下,利用网络爬虫技术,爬取正版电子图书后,在其推广运营的App中展示,供他人访问并下载阅读进行牟利,最终鼎阅公司及相关人员被认定为犯侵犯著作权罪。[16]0pen API开发合作模式是实现数据信息资源共享的新途径,企业可考虑采用0pen API开发合作模式代替爬虫技术,0pen API开发合作模式需遵守用户授权”+“平台授权”+“用户授权的三重授权原则。具体而言,是指数据出卖方就其出卖行为告知并取得用户同意,购买方在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意,[17]若企业未达到上述要求,将会导致数据获取手段的正当性被否定。

三、结语

大数据时代,数据资产无疑是企业的核心竞争力之一,合规的地基不牢,不仅会导致企业多年努力付之东流,更可能引发舆情危机,其后果从“墨迹”IPO被否所引起的一系列连锁事件中可见一斑。合规从不是一个“点”,而是需要企业一以贯之的“线”,就数据收集到形成数据产品的全流程制定符合本企业特点的合规方案,是发挥数据价值的关键所在。



[1]中国信息通信研究院安全研究所:《移动应用(App)数据安全与个人信息保护白皮书(2019 年)》。

[2]中国证券监督管理委员会,第十八届发审委2019年第142次会议审核结果公告。

[3]中国证券监督管理委员会,第十八届发审委2019年第118次会议审核结果公告。

[4]中国证券监督管理委员会,第十八届发审委2019年第9次会议审核结果公告。

[5]中国证券监督管理委员会,第十七届发审委2018年第118次会议审核结果公告。

[6]中国证券监督管理委员会,第十八届发审委2020年第154次会议审核结果公告。

[7]中国证券监督管理委员会,第十八届发审委2019年第142次会议审核结果公告。

[8]中国证券监督管理委员会,第十八届发审委2019年第118次会议审核结果公告。

[9]同上注。

[10]中国证券监督管理委员会,第十七届发审委2018年第118次会议审核结果公告。

[11]中国证券监督管理委员会,第十七届发审委2018年第57次会议审核结果公告。

[12]中国证券监督管理委员会,第十七届发审委2018年第188次会议审核结果公告。

[13]中国信息通信研究院:《大数据白皮书(2020)》。

[14]《信息安全技术 个人信息安全规范GB/T 35273-2020》第6.2条。

[15]参见万玲娣:《企业数据交易的法律风险规定和风险防范》,《上海人大月刊》2021年第04期。

[16]2020)京0108刑初237号民事判决书。

[17] 2016)京73民终588号民事判决书。