上市申报过程中证券监督部门最关注的三类问题为数据源合规、数据安全及数据使用合规,而这三类问题也是企业运营时最容易产生的问题,它们无疑应是拟上市企业数据合规治理的重中之重:
1、数据源合规之监管关注要点
1、数据信息
就获取的个人数据而言,监管机关较为关注这些个人数据的具体内容,如数据的具体类型及占比,以文字、图像、视频何形式为载体,是否涉及个人信息、重要数据、商业秘密及其他非公开信息,不同渠道获取数据内容差异性。
2、数据收集
a、获取方式:获取用户数据的来源、获取途径及授权方式,获得用户同意的具体制度,是否明确告知收集信息的范围及使用用途;
b、授权基础:即获得用户授权方式是否明确且合法有效,授权许可中使用范围、主体或期限等方面的限制情况;
c、收集手段:如是否采用了特殊互联网手段(或技术)采集,是否绕开了被收集对象的防护措施进行数据抓取。
3、第三方数据源合规性
对于数据来源于第三方的,监管机关除关注核心数据来源、采购数据具体方式,不同形式采购数据内容是否有差异及其体现。还较为关注数据供应商对外提供数据行为,如数据供应商是否有资质要求,选择数据供应商的原因、合理性,及采购数据协议的合法合规性。
2、数据使用之监管关注要点
1、数据处理
监管机关比较关注数据处理的具体操作流程及其合理性、合规性。如接触、保管和处理行为是否合法合规并获得个人授权,是否存在获取国家秘密、保密信息、个人信息的可能。数据处理操作是否具有商业合理性,企业与业务经营之间的联系。
2、数据存储
重点在于审核数据的法定存储义务,如主要运营数据的保存内容以及保存方式,及数据完整性。
3、范围限制
a、超出法定范围:即对于数据的使用是否存在法律法规所禁止的情形;
b、超出授权范围:数据主体的授权许可是否存在使用范围、主体或期限等方面的限制,以及使用数据时是否超出前述限制;
c、 超出必要性:对数据的使用是否超过必要的限度。
4、准确性
如何确保经过加工处理的数据与原始数据的同一性、真实性、准确性。
5、合规性
a、业务运营:公司从事与数据处理相关的业务,如精准推荐和个性化营销服务,进行商业化变现的合规性;
b、处理过程:是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况,是否针对未成年用户有特定保护措施。
3、数据安全之监管关注要点
1、数据保护机制
a、技术措施和其他必要措施:如是否进行必要的信息安全等级保护测评等,是否建立、健全数据库的保密措施,是否建立相应的企业内部管理制度,执行有效性如何;
b、应急方案及纠纷解决机制:针对可能发生的数据泄露事件及相关数 据纠纷,是否有应急处置方案和纠纷解决机制。
2、风险披露
包括报告期内已发生或可能发生安全事故的发生类型、原因及发生概率统计,处理结果及有关的解决措施。是否存在泄露国家秘密、保密信息、个人信息的情况或未来风险,潜在或已有的纠纷或争议情况,公司因受投诉、监管处罚、诉讼等情形,是否存在关于数据合规方面的负面舆情及其对生产经营的影响。
4、其他不可控风险
1、数据安全风险升级
日前“滴滴出行”、“运满满”、“货车帮”、“BOSS 直聘”几家赴美上市公司因涉及“国家数据安全风险”和个人信息收集合规问题,出于维护国家安全目的而受到网络安全审查办公室的审查,其中滴滴出行因为涉及问题严重,根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。2022 年 7 月 21 日,国家互联网信息办公室依据相关法律法规,对滴滴全球股份有限公司处人民币 80.26 亿元罚款,对滴滴全球股份有限公司董事长兼 CEO 程维、总裁柳青各处人民币 100 万元罚款。
2、人员管理
公司内控管理制度是数据安全系统中不可忽视的重点。在数据堂、瑞智华胜、蛋壳公寓等上市公司处罚案例中,公司员工利用技术手段或者职务便利,非法获取、提供公民个人信息,其个人行为却对上市公司经济、声誉造成重大不利影响,甚至引发停牌的后果。
3、技术规范
技企业业务经营涉及人工智能、大数据、云计算等新型技术时尤为受监管机关关注,关注焦点包括:
a、技术伦理规范:公司对人工智能技术可控、符合伦理规范的措施和规划,公司在技术开发和业务开展过程所面临的伦理风险;
b、技术说明:技术大数据核心技术(如算法的训练、系统的搭建等)是否涉及大量的数据的应用,主动式数据采集技术和被动式数据采集技术的异同点;
c、技术应用:一体化数据处理平台各功能模块的具体构成、具体功能和用途以及与发行人生产经营的具体关系。