通力法律评述 | 公司合规 2021 年 4 月 公司上市与数据合规(上篇) 作者: 潘永建 | 邓梓珊 | 胡鑫超 近年来, 中国逐步公布若干新法律、法规、规范性文件和司法解 释, 对网络安全、数据保护的范围和力度逐步增强。根据公开资 料统计, 2020 年共有至少 32 家拟上市企业在上市过程中收到发 m o c . 5 审委有关网络安全与数据合规方面的问询, 可见在融资场景下 企业的网络安全与数据合规情况也日益受到监管部门的重点关 注。 企业在网安数据领域的违法违规可能招致“能力罚” , 即不仅仅 是罚款的事情, 而事关企业可否继续经营。兹事体大, 融资企业 b u 和投资人应当充分关注。 我们检索了 2020 年与网安数据合规相关的行政处罚决定书、上 h t i g 市公司招股书、法律意见书、问询函, 本《上篇》从“上市前” “上市后”两个时间段, 并从“执法部门关注重点” “发审委关注 重点及发行人如何答复”两个角度为您罗列与上市企业相关的网 安数据合规问题。我们将在《下篇》中为您总结不同行业的拟上 市企业可能面临的网安数据合规问题类型及相关法律依据。 第一部分 执法部门关注重点 一. 履行网络安全义务 2020.4.20 某医药上市 网站存在 WEB 应 公司 用漏洞 警告 如您需要了解我们的出版物, 请联系: [email protected] 上海 | 北京 | 深圳 | 香港 | 伦敦 1 通力法律评述 | 公司合规 二. 对客户个人信息未尽安全保护义务 2020.7.28 2020.7.28 A 银行信用卡 对某客户个人信息未尽安全保护义务, 对部分 责令改正 中心 信用卡催收外包管理严重不审慎 罚款 100 万元 B 银行信用卡 对某客户个人信息未尽安全保护义务, 对某信 责令改正 中心 用卡申请人资信水平调查严重不审慎 罚款 100 万元 某汽车上市公 某 APP 无收集信息明示且未取得用户同意, 未 责令改正 司 向用户明示收集、使用个人信息的目的、方式、 三. 违法违规收集使用个人信息 2020.5 m o c . 5 范围 2020.5.17 2020.11.23 2020.4.29 某信息技术上 某应用在部分第三方 SDK 组件中存在调用获取 市公司 任务信息和读取联系人等两项权限的情况 A 证券公司 某应用内集成多个可收集个人信息的第三方 责令限期改正通 SDK, 但未在隐私政策逐一说明是否向第三方 知各应用商店督 共享信息 促整改 A 银行某分行 b u 未按照规定未经同意查询个人信息; 未按照规 定处理异议 2020.10.20 C 银行某支行 2020.10.20 D 银行某分行 2020.10.19 E 银行 A 分行 2020.10.20 E 银行 B 分行 2020.10.20 E 银行 C 分行 2020.10.20 E 银行 D 分行 ti h 责令改正 罚款 10 万元 侵害消费者个人信息依法得到保护的权利; 违 警告 反反洗钱管理规定, 泄露客户信息 罚款 1223 万元 侵害消费者个人信息依法得到保护的权利 罚款 411 万元 g 罚款 1406 万元 罚款 533 万元 罚款 514 万元 罚款 101 万元 四. 未按规定报送数据、保存交易记录等 2020.2.10 F 银行 未按规定履行客户身份识别义务; 罚款 2360 万元 2020.2.14 G 银行 未按规定保存客户身份资料和交易记录; 罚款 1820 万元 未按规定报送大额交易报告和可疑交易报告; 与身份不明的客户进行交易 2020.2.14 B 证券公司 未按规定履行客户身份识别义务; 罚款 1010 万元 未按规定报送大额交易报告和可疑交易报告; 与身份不明的客户进行交易 上海 | 北京 | 深圳 | 香港 | 伦敦 2 通力法律评述 | 公司合规 第二部分 发审委关注重点 *本部分内容根据公开资料整理, 采取节选摘录的方式, 如需了解详情, 可以联系我们。 1. 发行人是否能够有效保护个人隐私信息、确保数据来源合法 典型 北京慧辰资道资讯股份有限公司 案例 问题 《首次公开发行股票并在科创板上市申请文件的第三轮审核问询函》 问题 1: 关于数据合规性的核查 m o c . 5 根据二轮问询回复, 针对供应商以公司名义或代为采集数据的场景, 公司均通过要求供应 商签署合规经营承诺函、供应商业务管理、提供授权文本模板等方式严格督促供应商对被 采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权。发行 人在自行采集数据或客户提供数据时, 也采取措施确保数据来源合法合规, 但是未明确回 复是否均取得了信息主体的授权或许可。 b u 请保荐机构、发行人律师: h t i g (1)针对不同的数据来源, 核查发行人收集收据、采购数据时, 是否均取得了信息主体明确 的授权或许可文件; (2)报告期内, 公司数据获取、使用、处理等内部控制制度的制定时间及执行情况, 开展业务 中使用个人信息是否存在不符合《信息安全技术个人信息安全规范》的情况, 如存在, 请说 明发行人内部的整改及规范情况; (3)公司业务中是否涉及用户的隐私数据, 问询回复中认定“不曾亦不会获取用户的隐私数 据”的依据是否充分合理。 答复 (1)综上, 截至本问询函回复报告出具日, 发行人自行采集数据及发行人向供应商采集数据 时, 均会取得信息主体明确的授权或许可文件, 对于客户提供的数据, 客户会确保其获取 数据的合法性。 (2)发行人根据相关法律法规的要求并结合自身数据处理情况所建立的数据安全管理内部 控制制度覆盖了整体信息化安全管理、数据及商业秘密安全与泄露事件的应对、个人数据 的独立保护以及物理层面系统及机房的安全管理, 从整体到不同的数据类型, 从数据、系 统到物理层面均包含在内。此外, 发行人为增强全员数据安全意识、推动落实上述各项内 部控制制度, 已切实开展全员信息安全培训与欧盟《通用数据保护条例》合规培训等培训 活动, 并以考试方式予以合理考核, 总体上确保了有关内控制度的较好、有效执行。 发行人已参照《个人信息安全规范》的基本要求对开展业务中个人信息使用方面、通过《HCR 数据与隐私保护政策》对外公开提供了相对完整的规范与承诺, 鉴于发行人目前的业务实 践, 发行人在个人信息主体注销账户、个人信息主体获取个人信息副本方面并不具备完全 上海 | 北京 | 深圳 | 香港 | 伦敦 3 通力法律评述 | 公司合规 满足《个人信息安全规范》要求的条件。根据发行人的说明, 随着大数据行业对个人信息 安全要求的整体提高, 发行人将按照《个人信息安全规范》的要求对发行人在个人信息保 护方面进行持续规范。 (3)综上, 发行人业务中收集和使用用户个人信息均会确保获得相关信息主体(及用户)的合 法授权, 且在对客户披露的成果中涉及的用户数据均不会识别至特定个人, 保荐机构、发 行人律师认为, 结合发行人收集和使用用户个人信息的方式及目的, 发行人业务中获取的 用户个人信息与司法解释所列举的个人隐私相关信息存在一定的差异。在获得被采集者授 权同意的前提下, 发行人对所其采集的个人信息的使用不会不合理地侵犯被采集者的个人 隐私相关权益。 典型 m o c . 5 厦门美柚股份有限公司 案例 问题 《关于厦门美柚股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函》 问题 7．关于客户、用户信息安全 b u 招股说明书显示, 发行人 DMP 数据管理平台获取了超过 2 亿女性用户的数据, 日新增处理 数据量超过 20 亿条。发行人具备移动端无痕埋点技术、移动端到服务端全链路分布式跟踪 技术、全链路自动化测试与质量可视化技术, 可绑定触摸事件跟内容控件, 收集应用各项 性能指标数据等。 请发行人补充披露: h t i g (1)发行人主要产品是否均符合 2020 年 3 月 6 日国家市场监督管理总局、国家标准化管理 委员会发布的《信息安全技术个人信息安全规范》的要求, 是否存在强制获取用户个人信 息、用户无法永久删除发行人获取信息的情况, 是否存在利用获取、保管的用户、客户数 据开展商业用途的情形, 是否存在违法违规行为或被行政处罚的风险, 是否对发行人构成 重大不利影响; (2)发行人披露的用户数量是否去重, 获取 2 亿女性用户数据的表述是否谨慎; 平均单日每 个用户获取的数据量, 与同行业可比公司数据是否存在较大差异; 发行人日新增处理数据 量超过 20 亿条的合理性; (3)请发行人对上述问题进行有针对性的风险提示。 请保荐人发表明确意见并说明: (1)发行人在产品中使用移动端到服务端全链路分布式跟踪技术、全链路自动化测试与质量 可视化技术的具体方式, 可实现功能、获取的数据内容, 上述技术在行业内的使用情况, 是 否有针对使用上述技术的规范要求; (2)发行人 APP 是否具备在客户、用户没有使用移动终端或 APP 的状态下进行数据采集、升 级、点击的性能, 是否侵犯个人隐私, 发行人是否存在通过技术手段增加日活、月活、流量、 广告点击量的情形, 是否存在违规风险。 上海 | 北京 | 深圳 | 香港 | 伦敦 4 通力法律评述 | 公司合规 答复 1、发行人主要产品均符合2020年3月6日国家市场监督管理总局、国家标准化管理委员会发 布的《信息安全技术个人信息安全规范》的要求, 不存在强制获取用户个人信息、用户无 法永久删除发行人获取信息的情况, 不存在利用获取、保管的用户、客户数据开展商业用 途的情形。 2、截至本回复出具之日, 未发现发行人存在违法违规行为或被行政处罚的风险, 不会对发 行人构成重大不利影响。 3、第三方机构友盟披露的数据系按照设备数统计, 发行人使用自记录数据进行去重处理 后, 预计女性用户数仍超过2亿, 表述谨慎。 4、发行人披露的平均单日每个用户获取的数据量、日新增处理数据量超过20亿条的计算方 式与核查结果一致, 具备合理性。 5、由于同行业公司未披露口径完成相同的数据, 无法进行直接比较。 m o c . 5 公司已制订《信息安全管理手册》等一系列较为完善的规范制度, 严格遵守各项数据 隐私保护的规范要求开展业务。移动端到服务端全链路分布式跟踪技术、全链路自动化测 试与质量可视化技术主要通过快速故障查明、性能测试等途径, 提高APP产品的开发与迭 代效率, 不涉及获取终端用户的个人信息。目