资本市场中的数据合规问题

日期：2022-01-11

从2017年《网络安全法》出台开始，数据合规相关法律法规出台频率加快，法律法规在数据合规领域覆盖的范围也愈发全面。 《网络安全法》将原来《计算机信息系统安全保护条例》《互联网信息服务管理办法》《信息安全等级保护管理办法》等散见于各种法规、规章中的规定上升到法律层面，对个人信息保护、网络运营者的法律义务和责任、关键信息基础设施保护、数据跨境传输等进行了规定； 《数据安全法》作为我国数据安全领域的基础性法律，重点确立了数据安全保护的各项基本制度，完善了数据分类分级、重要数据保护、跨境数据流动和数据交易管理等多项重要制度，形成了我国数据安全的顶层设计[1]； 《个人信息保护法》作为我国第一部个人信息保护方面的专门法律，全面规定了各类组织、个人等个人信息处理者的义务与责任，为企业和个人在个人信息保护实操上提供了明确指引。 与上述法律相配套，我国还陆续出台了相关规范、指引和标准，如《网络安全审查办法》《数据出境安全评估办法（征求意见稿）》《信息安全技术 个人信息安全规范》《数据出境安全评估指南》等。

数据合规立法加速的背后，是信息化社会的高速发展催生出对网络安全、个人信息保护、隐私保护和数据安全的现实需求，是为了与全球数据监管立法和执法层面不断加强的趋势接轨，是为了规范我国企业合规经营，引导企业提高数据合规意识，帮助企业有效融入数字化转型趋势中。 在这样的大背景下，数据合规监管在资本市场的比重也明显增加，上市主管机构对拟上市企业的问询中，已将网络安全、个人信息保护、数据安全等方面的合规作为拟上市企业IPO过会的必考题。

随着网络安全和数据合规法律法规的完善，我国对网络安全和数据合规监管执法层面也相应具备更加明确的执法依据，推动网络安全和数据合规监管执法细化。 主要表现在以下两方面：

1. 不同行业领域的监管规定陆续出台。 例如，2021年9月16日，工信部发布《关于加强车联网网络安全和数据安全工作的通知》，对车联网产业的网络安全和数据安全管理工作提出监管要求； 2021年9月30日，工信部发布《工业和信息化领域数据安全管理办法（试行）（征求意见稿）》，对在中国境内开展的工业和电信数据处理活动及其安全提出监管要求等。

2. 多个监管部门针对细分领域开展联合执法行动。 例如，2019年开始，工信部持续开展APP侵害用户权益专项整治行动，加大对APP治理的常态化执法力度； 2021年12月，国家计算机病毒应急处理中心监测发现十七款违法移动应用存在隐私不合规行为，违反网络安全法、个人信息保护法相关规定，涉嫌超范围采集个人隐私信息等。 网络安全和数据合规监管执法领域细化，表明了我国在落实网络安全和数据合规方面的决心，更加提示拟上市企业应落实网络安全和数据合规工作，避免因不合规被通报批评或处罚，影响企业上市。

网信办2021年11月发布的《网络数据安全管理条例（征求意见稿）》第十三条规定，“处理一百万人以上个人信息的数据处理者赴国外上市的，数据处理者赴香港上市，影响或者可能影响国家安全的，应当按照国家有关规定，申报网络安全审查”； 2022年1月发布的《网络安全审查办法》第七条规定，“掌握超过100万用户个人信息的网络平台运营者赴国外上市，必须向网络安全审查办公室申报网络安全审查”。

以上两份近期出台的网络安全新规明确了三点拟上市企业数据出境的监管要求： （1）明确了赴国外上市不包括赴香港上市； （2）明确掌握超过100万用户个人信息的网络平台运营者赴国外上市前，应申报网络安全审查； （3）明确了无论是赴国外上市还是香港上市，只要数据处理活动涉国家安全，都会受到审查。 同时，《网络安全审查办法》第十条规定了网络安全审查涉国家安全风险的因素，其中第六项明确规定“上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险，以及网络信息安全风险”应进行网络安全审查。 这条规定表明，无论是境内上市、香港上市还是境外上市，只要存在上述风险，都应申报网络安全审查。 并且，2021年7月国务院也发布了《关于依法从严打击证券违法活动的意见》，意见指出，“要加强跨境监管合作，完善数据安全、跨境数据流动、涉密信息管理等相关法律法规，压实境外上市公司信息安全主体责任”。

根据公开资料统计，2020年共有至少32家拟上市企业在上市审核过程中收到有关网络安全与数据合规方面的问询[2]，我们注意到，在立法加速、执法趋细、数据出境监管趋严的证券监管形势下，数据不合规的问题逐渐成为影响拟上市企业IPO过会不可忽视的风险因素。 根据上市主管机构对拟上市企业涉及数据合规方面的问询内容，拟上市企业在数据合规方面主要面临以下风险点的审查：

实施网络安全风险管理，将安全风险控制在可接受的水平，不仅能够保护企业的资产和业务免遭损失，对维护国家安全和社会公共利益也有重要意义。 因此，网络安全风险成为上市主管机构的关注重点。 上市主管机构在网络安全合规的部分问询示例如下： （1）请发行人说明是否已建立完善的防泄密和保障网络安全的内部管理制度，该等制度的执行是否有效； （2）请发行人说明主营产品安全技术的具体情况，防范交易外挂、黑客攻击等的具体措施及实际效果，是否达到行业平均技术水平； （3）发行人是否出现过网络安全事件（类型、原因、发生概率统计），是否受到主管部门调查（调查内容、原因、结果），相比同行业遇到的网络攻击频率和影响，发行人在抗击网络攻击方面是否存在更大风险等。

总结上市主管机构在网络安全合规方面的问询内容可知，上市主管机构考察拟上市企业的网络安全合规，主要围绕以下要点： （1）网络信息系统基础性运营能力。 企业是否可以发现系统内部潜在的网络安全风险和漏洞，是否进行了必要的网络安全等级保护测评，是否能通过安全整改提升系统的安全防护能力，降低网络安全风险； （2）监测、应对网络攻击并恢复的整体能力。 企业是否能够及时监测到网络安全事件，面对网络攻击威胁时能否有效应对并快速恢复，将网络安全风险及时控制在可接受水平。

数据来源合法性是企业通过数据创造价值的前提与基础。 当前众多企业的数据利用越来越需要来自多渠道的大数据支撑，数据来源合法是企业能够合规使用所获取到的数据的前提，也是监管机构关注的重点。

上市主管机构对拟上市企业在数据来源合法性风险方面的部分问询示例如下： （1）请说明发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规； （2）请说明是否对数据来源进行分类，数据采集和应用过程中是否获得用户许可，是否存在侵犯用户权益（隐私权、肖像权等）的情形； （3）请说明发行人采集数据（包括自行采集，也包括向供应商采集）时，是否获得了相关信息主体（及用户）的合法授权，获取用户数据的手段及方式是否合法合规。

总结上市主管机构在数据来源合法性方面的问询内容可知，上市主管机构考察拟上市企业数据来源的合法性主要基于两个角度： 企业自主收集的数据和来源于第三方的数据。

（1）对于企业自主收集的数据，企业应遵守合法、正当及必要性原则，仅收集与业务直接相关的个人信息，避免收集与业务无关的信息； 如果企业收集的个人信息为敏感个人信息，例如金融机构收集的个人生物特征、金融账户等信息，则企业还需要获取客户对于敏感个人信息收集与使用的明示同意； 在收集个人信息前，企业需依法履行告知义务，例如制定《隐私政策》，并在《隐私政策》中具体说明个人信息的使用场景，采取技术措施（例如弹窗等）引导个人信息主体查阅隐私政策，获得个人信息主体明示同意后开展有关个人信息的收集活动。

（2）对来源于第三方的数据，企业需在从第三方接收此类数据前，核实数据来源的合法性，包括： ①此类数据在收集时，第三方是否获得了客户有关其个人信息收集与处理的同意，该同意是否覆盖个人信息主体到企业的全部传输链接，个人信息主体同意的内容是否覆盖企业利用该数据的各场景； ②是否要求第三方提供相应的证明文件，确保企业收集到的个人信息来源的可追溯性； ③如果需要从合作伙伴处获取个人信息，是否有通过尽职调查等适当方式确认合作伙伴的数据来源合法合规、真实有效，对外提供数据不违反法律法规要求，并已获得信息主体本人的明确授权。 [3]

企业内部数据治理水平应与企业对数据赋能的推进相适应，若企业数据内控体系无法完善，则企业的数据安全无法得到有效保障。 上市主管机构在数据内控体系方面的部分问询示例如下： （1）请发行人说明数据获取、使用、处理等内部控制制度及执行情况； （2）发行人是否就业务所涉及的个人隐私信息、数据等建立了完整的制度，有效确保所管理信息的合规使用； （3）发行人是否建立完善的防泄漏和保障网络安全的内部管理制度，制度是否有效。

总结上市主管机构在数据内控体系方面的问询内容可知，上市主管机构在审查拟上市企业数据内控体系风险方面，主要围绕以下要点： （1）企业是否具备定位其拥有的数据的能力； （2）企业是否具备完善的内控制度和流程以及时响应数据获取、使用、处理的需求； （3）企业是否建立数据存储最小化系统，防范数据泄露风险； （4）企业数据内控系统是否最大程度保护数据的安全，建立透明的数据保护和安全流程，确保符合审计和合规要求； （5）企业是否建立数据保护影响评估流程，并将该评估流程引入任何新的业务流程或系统。 [4]

数据的处理包括数据的收集、存储、使用、加工、传输、提供、公开等活动。 数据的处理应采取合法、正当的方式，遵循诚信原则进行。 上市主管机构在数据处理方面的部分问询示例如下： （1）发行人对数据的使用是否超过必要的限度； （2）发行人的数据是否存在转授权或流转给第三方使用的情况，如存在，是否经过了个人信息主体的明示同意，是否经过了充分的脱敏，相关授权流程是否完备； （3）发行人运用大数据相关技术从事精准推荐和个性化营销服务是否涉及侵犯产品用户个人隐私或其他侵权风险，发行人的大数据相关技术及其使用、相关服务的开展的合法合规性，是否存在纠纷或潜在纠纷等。

总结上市主管机构在数据处理合规方面的问询内容可知，上市主管机构在审查拟上市企业数据处理风险方面，主要围绕以下要点： （1）拟上市企业是否建立系统性的数据安全保障机制； （2）在拟上市企业内部是否对具体保障措施的内容、针对的数据对象、负责的人员等予以明确，并全面记载安全措施的实施情况，以确保企业数据的使用与处理合法合规； （3）当监管机构提出检查时，企业是否能够拿出相应的记录来进行说明，或者在发生网络安全或数据安全事故时，能够证实已尽到必要的安全保障义务。

拟上市企业在开展涉数据的业务过程中，其商业模式的合规性是上市主管机构所重点关注的方面。 上市主管机构在涉及数据的业务经营方面的部分问询示例如下： （1）发行人使用用户数据手段是否合法合规，尤其是商业化变现的合规性，是否有潜在纠纷； （2）发行人是否掌握核心数据来源，此种运营模式是否与同行业可比公司相同或相似，是否对数据供应商存在重大依赖； （3）发行人开展业务所收集的个人信息是否存在转授权或流转给第三方使用的情况？ 如存在，是否经过了个人信息主体的明示同意，是否经过了充分脱敏，相关授权流程是否完备； 将涉及信息收集的业务外包给第三方，是否具有合规性等。

3

拟上市企业在数据合规方面要符合上市监管要求，首要的基础工作是搭建起数据保护合规制度。 具体搭建步骤大致可分为以下三个阶段：

第一阶段，数据核查。 从信息安全角度进行数据核查的常规做法是使用软件来“感知”一个系统内的数据种类，并给予这些数据的敏感程度对该系统提出整体的安全方案。 例如，有些比较关注数据合规的企业会通过SERVICE NOW、ONE TRUST、HIPEROS等数据合规工具，在跨境数据传输、合同审查、产品服务、隐私监管审查、尽职调查等方面辅助数据核查。 数据核查不仅能够了解企业个人信息的收集和处理的现状，同时也是企业了解现状、识别风险和建立数据合规体系的重要基础。 [6]

第二阶段，进行风险识别和制定合规方案。 拟上市企业可结合网络安全和数据保护法律法规规定的合规义务进行差距分析和风险识别，系统梳理和评估企业面临的数据风险和竞争风险，慎重选择上市目的地和数据出境目的地，提前分析预判可能导致的数据合规风险。 在选择香港上市或国外上市时，充分考虑是否需要进行网络安全审查，如需配合国外监管机构的信息披露要求，应当及时与国内监管保持沟通并按照程序获得批准，优先遵循国内法律法规要求。 并且，在企业的IT系统、用户界面、用户注册流程以及个人信息收集、使用以及保护的透明度等方面，进行整体合规方案规划。

第三阶段，数据合规规则建立和落地。 拟上市企业可结合实际情况建立数据合规规则，完善相关的制度和流程。 开展员工意识培训，使员工认识、了解数据合规要求以及如何在业务流程中落实制度要求。 在数据保护合规制度搭建起来后，企业需要持续追踪数据保护合规制度实施情况，改善企业数据合规机制，确保企业的数据合规制度能够持续符合证券监管要求，助力企业顺利上市。

拟上市企业搭建起来的数据合规体系如何落实到具体的业务流程中，以确保涉及数据的业务经营符合证券监管要求？ 在此，我们以单项产品上线流程为例，简要描述一个数据合规体系的落地过程。

首先，在产品酝酿阶段，企业可以邀请隐私保护专家列席产品开发研讨，专家提供个人信息保护的合规建议，提示合规风险与解决方案，此过程应通过会议记录或邮件的形式留痕。

其次，在初步产品设计阶段，产品设计团队针对使用的数据种类建立控制以及架构来处理第一稿的产品设计，第一稿的产品设计需体现上一阶段提出的隐私及个人信息保护风险的解决方案。

再次，产品设计团队将完成后的产品设计进行个人信息安全影响评估（Data Protection Impact Assessment, DPIA）。 滴滴出行受审查一事，也强有力地证明了企业对于与数据相关的产品进行个人信息安全评估的必要性和重要性。 例如，有些比较关注数据合规的企业，其与数据相关的新产品和新服务，从研发到上线，都需要数据安全和个人隐私专家提前介入，从法律、商业、技术三个维度对个人信息安全进行综合评估，并形成个人信息安全影响评估报告，防范数据安全风险，防止企业日后因数据安全不合规而遭受重大损失，影响企业发展。

最后，最终产品能够对先前查出的隐私和个人信息保护风险进行处理，以及明确相应的技术手段和控制，通过最终产品展示会议（包含法务、风控、合规、安全等部门）以及论证加以证明。 [7]

除了搭建数据合规制度以及将制度落实到具体的业务流程中以外，拟上市企业还可以考虑以下应对措施：

1. 关注国内外形势以及相关监管政策变化，在选择上市目的地和开展数据出境活动时，对潜在的政治风险、商业风险、合规风险等进行综合评估，结合企业自身实际情况，从长远发展角度进行判断，做出最优决策；

2. 加强与监管机构的良性沟通，积极征求和听取监管部门的意见或建议，掌握最新监管动态，以确保企业能及时更新数据合规制度，使企业的数据合规活动符合证券监管要求；

3. 数据本地化。 数据本地化是一种强调数据地域属性的做法，数据跨境流动会涉及国家主权、数据安全、个人信息安全等风险，对拟上市企业而言，也是增加了数据不合规的风险。 因此，拟上市企业可以考虑通过在当地建立数据存储中心，将当地数据存放在当地服务器或云服务基础设施之上，以数据本地化应对监管挑战。