*首发失败、复审或暂停上市公司#为匿名企业,所属行业或核心产品替换表(1) 票(2) 2、详述企业上市需要应对的数据合规重点问题,这三类问题是上市公司的数据合规性。在此,为了全面显示上市公司将面临的数据合规性查询,我们整理了100多个数据合规性问题。
y>类别
问题
数据源合规
主要产品的研发周期、渠道推广和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况。[3]
获取用户数据信息的来源、获取途径及授权方式,收集用户信息获得用户同意的具体制度及相关安排,收集用户信息时是否明确告知收集信息的范围及使用用途。[4]
对于公司向数据供应商购买数据的,请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意,授权是否完备合规,个人信息获取是否合法。公司是否建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施。[5]
请发行人补充说明“个推大数据平台”的数据来源及合规性,包括数据的具体来源及协议。[6]
数据权属
标的公司采购所涉相关数据信息的产权归属及其法律依据。[7]
数据使用
获取数据进行商业化变现的合规性。[8]
发行人通过 APP 授权获取的用户信息用于互联网营销或其他业务是否超过用户对 APP 的授权范围。[9]
对数据的使用是否超过必要的限度。[10]
发行人运用大数据相关技术从事精准推荐和个性化营销服务是否涉及侵犯产品用户个人隐私或其他侵权风险,发行人的大数据相关技术及其使用、相关服务的开展的合法合规性,是否存在纠纷或潜在纠纷。[11]
发行人是否有权接触、保管、处理相关数据,是否需取得最终个人的授权许可。[12]
发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况。[13]
发行人使用用户数据是否合法合规,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险。[14]
请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合 2018 年 5 月 1 日实施的《信息安全技术个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。[15]
数据共享
抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 APP 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本APP 服务之目的”。[16]
发行人的数据是否存在转授权或流转给第三方使用的情况,如存在,是否经过了个人信息主体的明示同意,是否经过了充分的脱敏,相关授权流程是否完备。[17]
第三方处理
各个下游行业对第三方进行数据处理方面的相关政策。[18]
相关业务的开展方式及相关数据的使用方式,行业是否允许第三方机构处理相关数据,是否需取得有权主管部门批准。[19]
数据安全
对相关个人信息是否存在有效的保密机制,是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定。[20]
说明在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息,是否存在泄漏国家秘密、保密信息、个人信息的情况或未来风险,是否已建立完善的防泄密和保障网络安全的内部管理制度,该等制度的执行是否有效。[21]
说明是否需要进行信息安全等级保护测评。[22]
最近三年发生的严重泄密事件、重大诉讼、处理结果及有关的整改措施。[23]
公司主要客户为政府、金融部门、公安部门、医疗等部门,在为客户提供云平台、大数据存储等服务中可能涉及国家或地方政府政治、经济、金融、卫生、安全等领域涉密信息。请发行人对自身业务层面潜在的或可能面临的数据或信息被窃取、篡改、泄露、假冒、恶意破坏或被攻击等网络安全事件风险和法律风险及应对措施或解决方案向投资者进行充分提示。[24]
数据安全相关制度及措施,包括但不限于数据的备份机制、防范数据窃取及泄露的措施、对用户隐私数据加密措施以及对于到期数据的处理机制等。[25]
系统与技术
用户信息保护技术体系,尤其是防止外部黑客攻击和内部人员恶意导致的数据泄露的技术措施。[26]
说明运营系统和财务系统的数据是否衔接,IT审计是否实施到位。[27]
招股说明书披露,发行人的核心技术主要体现在移动客户端技术、大规模通信技术、分布式处理技术、广告计算技术、大数据技术以及大规模数据存贮技术等。补充披露发行人主要技术、核心技术的来源、形成过程及合法合规性。[28]
数据立法和监督
欧盟《通用数据保护法案》( General Data Protection Regulation, GDPR )的颁布实施对于发行人经营业务有什么影响,发行人有什么整改措施,是否存在被处罚的风险,GDPR 对于发行人未来的业务经营是否存在影响。[29]
主管部门对数据隐私保护的标准是否会持续升级,未来的趋势对业务的影响及相关应对措施。请说明发行人在数据保护及个人隐私安全等方面是否符合相关规定。[30]
发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。[31]
数据相关的业务经营
披露标的公司业务模式是否存在侵犯消费者知情权、公平交易权、个人信息安全权的情形。[32]
说明发行人进行主动监测业务是否涉及对客户APP及服务器的信息数据使用,是否需经过客户许可或网站、APP的使用授权,是否涉及对网站、APP具体使用者商业秘密、个人隐私的侵犯;以上涉及授权的是否已合法合规签订使用授权协议或完成其他形式的授权;是否导致诉讼或潜在法律风险。[33]
在大数据业务、云计算中具体提供的软件名称和业务内容。[34]
与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。[35]
与客户签订的服务协议中对于潜在安全泄露的责任约定与免责条款。[36]
公司业务中是否涉及用户的隐私数据,问询回复中认定"不曾亦不会获取用户的隐私数据"的依据是否充分合理。[37]
请发行人针对数据获取途径说明各类途经的具体内容、标准及占比,发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似,是否存在数据来源的风险,是否对数据供应商存在重大依赖。[38]
表(三)
企业在创业板与科创板申请上市过程中涉及的上述数据合规的问询问题覆盖了企业数据全生命周期的管理活动。除此之外,我们观察到主板上市企业也在申请上市过程中被要求说明其系统是否安全稳定可靠,是否开展了IT审计,以及如何确保数据获取的可靠性与准确性。上市企业推进数据业务相关的并购重组项目时也会面临并购重组审核委员会对标的公司提出的类似问询,这对于拟上市企业也具备一定的参考价值。
同时,新三板挂牌企业同样面临数据合规问询以及数据合规风险,甚至涉及更为严重的刑事风险,如2017年8月11日,数据堂(北京)科技股份有限公司因员工涉嫌侵犯公民个人信息罪而作出公司股票暂停转让的公告,直至2018年9月11日才恢复转让[39]。2017年北京瑞智华胜科技股份有限公司申请新三板挂牌过程中被要求解释数据采集、使用的合法合规性问题。因涉嫌特大数据泄露案件,公司于2018年11月终止挂牌[40]。2019年公司被判非法获取计算机信息系统数据罪,判处罚金人民币10,000,000元。
CIO之家-企业信息化知识平台 作者:陈际红 韩璐 王雨婷 来源:中伦法律