科技企业上市之数据合规(上)——审核要点篇
科技企业上市之数据合规(上)——审核要点篇
前言
数据是现代企业的血液,以大数据或互联网为工具开发新型服务或产品的传统行业企业也依赖数据带来新的业务增长点。随着《中华人民共和国网络安全法》(“《网络安全法》”)正式生效并逐步深入落实,网络安全执法活动日趋活跃,科技企业的网络安全及数据保护合规状态亦成为监管机关的重点关注内容。
对于科技企业上市而言,数据不仅作为企业资产价值评估的重点,其全流程管理的合规现状也已成为上市审核的核心要素。从数据堂员工涉嫌刑事犯罪到墨迹天气上市申请被否,在《网络安全法》生效的不到三年内,数据合规问题逐渐从幕后走向台前,走入大众的视野,也落入上市审核机关的“射程”范围内。拟上市企业、保荐机构、会计师事务所与律师事务所若只关注企业盈利能力、关联交易、应收账款,而忽视了企业对数据的管理,数据合规问题则可能成为拟上市企业的阿克琉斯之踵。在数据收集、数据融合、数据的二次开发、数据流转、用户推送等环节稍有不慎,数据合规问题可能成为企业上市的“拦路虎”,甚至引发刑事责任:
-
2017年8月11日,数据堂(北京)科技股份有限公司因员工涉嫌侵犯公民个人信息罪而作出公司股票暂停转让的公告。[1]
-
2018年4月4日,中国证券监督管理委员会(“证监会”)第十七届发行审核委员会(“发审委”)2018年第57次发审委会议审核北京博睿宏远数据科技股份有限公司[2](创业板)(首发)未通过。
-
2018年11月2日,北京瑞智华胜科技股份有限公司因涉及特大数据泄露案件于新三板终止挂牌。2019年10月28日,越城区人民法院宣判北京瑞智华胜科技股份有限公司犯非法获取计算机信息系统数据罪,判处罚金人民币10,000,000元,公司法定代表人及涉案员工共七人分别被判处2年至3年6个月不等刑期,并处罚金。
-
2019年3月5日,从事互联网数据服务的天聚地合(苏州)数据股份有限公司创业板上市申请终止审查。
-
2019年10月11日,发审委审核北京墨迹风云科技股份有限公司(创业板)(首发)未通过。
为了协助科技企业在申请上市过程落实数据合规工作,妥善回应发审委问询,降低拟上市企业潜在的数据合规风险,我们梳理了自《网络安全法》生效以来审核机关对主板、创业板、科创板上市(或拟上市)企业、新三板挂牌企业及上市重组的审核问询,涉及共27家企业数据收集、数据权属、数据使用和共享、第三方处理、数据安全、数据立法和监管对业务的影响等涵盖企业整个数据生命周期的问题。同时,我们对上市过程中审核机关关注的数据合规风险点的进行了系统梳理并提出了相应合规建议,希望可以对拟上市科技企业开展数据合规工作提供帮助。
一、企业上市面临的数据合规挑战
基于我们对公开材料的梳理,分别有1家主板上市企业、12家创业板上市(或拟上市)企业、9家科创板上市(或拟上市)企业、2家新三板挂牌企业(包括1家已停牌企业)在申请上市或挂牌过程中接受了发审委或交易平台关于数据合规问题的问询。此外,3家创业板上市企业在开展并购重组项目中,也因标的公司的数据相关业务接受了证监会上市公司并购重组审核委员会的问询。我们基于上述27家企业的招股说明书、审查反馈意见、问询函、发审委会议审核公告等文件,汇总整理了发审委重点关注的九类数据合规问题:数据源合规、数据权属、数据使用、数据共享、第三方处理、数据安全、系统与技术、数据立法和监督、数据相关的业务经营。
* 为首发未通过、在审或停止挂牌企业
# 为匿名企业,以其所属行业或核心产品代称
表(一)
* 为首发未通过、在审或停止挂牌企业
# 为匿名企业,以其所属行业或核心产品代称
表(二)
二、企业上市须应对的数据合规重点问题
通过上述梳理,我们发现在创业板及科创板上市申报过程中,审核机关最关注的三类问题为数据源合规、数据安全及数据使用合规。这三类问题无疑应是拟上市企业数据合规治理的重中之重。在此,我们对百余个数据合规问题进行了梳理,以期全面展现拟上市企业将面临的数据合规问询。
类别 |
问题 |
数据源合规 |
主要产品的研发周期、渠道推广和用户积累的过程,是否存在向第三方购买底层数据并在外购数据的基础上持续开发等情况。[3] |
获取用户数据信息的来源、获取途径及授权方式,收集用户信息获得用户同意的具体制度及相关安排,收集用户信息时是否明确告知收集信息的范围及使用用途。[4] |
|
对于公司向数据供应商购买数据的,请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意,授权是否完备合规,个人信息获取是否合法。公司是否建立完善的供应商评价体系,以及供应商甄选、数据源核验以及合同合规性审核的内控措施。[5] |
|
请发行人补充说明“个推大数据平台”的数据来源及合规性,包括数据的具体来源及协议。[6] |
|
数据权属 |
标的公司采购所涉相关数据信息的产权归属及其法律依据。[7] |
数据使用 |
获取数据进行商业化变现的合规性。[8] |
发行人通过 APP 授权获取的用户信息用于互联网营销或其他业务是否超过用户对 APP 的授权范围。[9] |
|
对数据的使用是否超过必要的限度。[10] |
|
发行人运用大数据相关技术从事精准推荐和个性化营销服务是否涉及侵犯产品用户个人隐私或其他侵权风险,发行人的大数据相关技术及其使用、相关服务的开展的合法合规性,是否存在纠纷或潜在纠纷。[11] |
|
发行人是否有权接触、保管、处理相关数据,是否需取得最终个人的授权许可。[12] |
|
发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定,是否制定并公开收集使用规则,是否向所在地网信部门备案,是否存在违反收集使用规则使用个人信息的情况。[13] |
|
发行人使用用户数据是否合法合规,请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险。[14] |
|
请补充说明标的公司对用户信息的收集、传输、保存及应用的现状是否符合 2018 年 5 月 1 日实施的《信息安全技术个人信息安全规范》的要求。若否,请充分提示相关风险并说明后续整改措施。[15] |
|
数据共享 |
抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 APP 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本APP 服务之目的”。[16] |
发行人的数据是否存在转授权或流转给第三方使用的情况,如存在,是否经过了个人信息主体的明示同意,是否经过了充分的脱敏,相关授权流程是否完备。[17] |
|
第三方处理 |
各个下游行业对第三方进行数据处理方面的相关政策。[18] |
相关业务的开展方式及相关数据的使用方式,行业是否允许第三方机构处理相关数据,是否需取得有权主管部门批准。[19] |
|
数据安全 |
对相关个人信息是否存在有效的保密机制,是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定。[20] |
说明在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息,是否存在泄漏国家秘密、保密信息、个人信息的情况或未来风险,是否已建立完善的防泄密和保障网络安全的内部管理制度,该等制度的执行是否有效。[21] |
|
说明是否需要进行信息安全等级保护测评。[22] |
|
最近三年发生的严重泄密事件、重大诉讼、处理结果及有关的整改措施。[23] |
|
公司主要客户为政府、金融部门、公安部门、医疗等部门,在为客户提供云平台、大数据存储等服务中可能涉及国家或地方政府政治、经济、金融、卫生、安全等领域涉密信息。请发行人对自身业务层面潜在的或可能面临的数据或信息被窃取、篡改、泄露、假冒、恶意破坏或被攻击等网络安全事件风险和法律风险及应对措施或解决方案向投资者进行充分提示。[24] |
|
数据安全相关制度及措施,包括但不限于数据的备份机制、防范数据窃取及泄露的措施、对用户隐私数据加密措施以及对于到期数据的处理机制等。[25] |
|
系统与技术 |
用户信息保护技术体系,尤其是防止外部黑客攻击和内部人员恶意导致的数据泄露的技术措施。[26] |
说明运营系统和财务系统的数据是否衔接,IT审计是否实施到位。[27] |
|
招股说明书披露,发行人的核心技术主要体现在移动客户端技术、大规模通信技术、分布式处理技术、广告计算技术、大数据技术以及大规模数据存贮技术等。补充披露发行人主要技术、核心技术的来源、形成过程及合法合规性。[28] |
|
数据立法和监督 |
欧盟《通用数据保护法案》( General Data Protection Regulation, GDPR )的颁布实施对于发行人经营业务有什么影响,发行人有什么整改措施,是否存在被处罚的风险,GDPR 对于发行人未来的业务经营是否存在影响。[29] |
主管部门对数据隐私保护的标准是否会持续升级,未来的趋势对业务的影响及相关应对措施。请说明发行人在数据保护及个人隐私安全等方面是否符合相关规定。[30] |
|
发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。[31] |
|
数据相关的业务经营 |
披露标的公司业务模式是否存在侵犯消费者知情权、公平交易权、个人信息安全权的情形。[32] |
说明发行人进行主动监测业务是否涉及对客户APP及服务器的信息数据使用,是否需经过客户许可或网站、APP的使用授权,是否涉及对网站、APP具体使用者商业秘密、个人隐私的侵犯;以上涉及授权的是否已合法合规签订使用授权协议或完成其他形式的授权;是否导致诉讼或潜在法律风险。[33] |
|
在大数据业务、云计算中具体提供的软件名称和业务内容。[34] |
|
与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。[35] |
|
与客户签订的服务协议中对于潜在安全泄露的责任约定与免责条款。[36] |
|
公司业务中是否涉及用户的隐私数据,问询回复中认定"不曾亦不会获取用户的隐私数据"的依据是否充分合理。[37] |
|
请发行人针对数据获取途径说明各类途经的具体内容、标准及占比,发行人是否掌握核心数据来源,此种运营模式是否与同行业可比公司相同或相似,是否存在数据来源的风险,是否对数据供应商存在重大依赖。[38] |
表(三)
企业在创业板与科创板申请上市过程中涉及的上述数据合规的问询问题覆盖了企业数据全生命周期的管理活动。除此之外,我们观察到主板上市企业也在申请上市过程中被要求说明其系统是否安全稳定可靠,是否开展了IT审计,以及如何确保数据获取的可靠性与准确性。上市企业推进数据业务相关的并购重组项目时也会面临并购重组审核委员会对标的公司提出的类似问询,这对于拟上市企业也具备一定的参考价值。
同时,新三板挂牌企业同样面临数据合规问询以及数据合规风险,甚至涉及更为严重的刑事风险,如2017年8月11日,数据堂(北京)科技股份有限公司因员工涉嫌侵犯公民个人信息罪而作出公司股票暂停转让的公告,直至2018年9月11日才恢复转让[39]。2017年北京瑞智华胜科技股份有限公司申请新三板挂牌过程中被要求解释数据采集、使用的合法合规性问题。因涉嫌特大数据泄露案件,公司于2018年11月终止挂牌[40]。2019年公司被判非法获取计算机信息系统数据罪,判处罚金人民币10,000,000元。
结语
《科技企业上市之数据合规》共分为上、中、下三篇,以上是上篇的全部内容。我们将在中篇梳理既往上市企业申报过程中面临的主要数据合规风险点,以期全面展现拟上市企业将面临的数据合规审查趋势。在下篇中,我们将分三个部分讨论拟上市企业如何开展数据合规治理工作,以妥善应对审核机关问询,并有效降低行政监管、民事甚至刑事风险。
[注]
[1]《数据堂(北京)科技股份有限公司重大事项暂停转让公告》,2017年8月11日。
[2] 公司的主要业务主动式检测的实施需要在APP或服务器安装SDK及探针。
[3] 《浙江每日互动网络科技股份有限公司创业板首次公开发行股票申请文件反馈意见》根据。
[4] 《中国证监会行政许可项目审查二次反馈意见通知书》;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》。
[5] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。
[6] 《北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)》,口头反馈问题一(浙江每日互动网络科技股份有限公司)。
[7] 《关于对上海华铭智能终端设备股份有限公司的重组问询函》。
[8] 《中国证监会行政许可项目审查二次反馈意见通知书》;《北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)》,口头反馈问题一;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》)。
[9] 《北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)》,口头反馈问题四(浙江每日互动网络科技股份有限公司)。
[10] 《中国证监会行政许可项目审查二次反馈意见通知书》;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》。
[11] 《北京墨迹风云科技股份有限公司创业板首次公开发行股票申请文件反馈意见》。
[12] 《关于普元信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[13] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。
[14] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。
[15] 《关于对北京梅泰诺通信技术股份有限公司的重组问询函》(现名为北京数知科技股份有限公司)。
[16] 《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》()。
[17] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。
[18] 《关于普元信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[19] 《关于普元信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[20] 《关于请做好相关项目发审委会议准备工作的函》(北京科锐国际人力资源股份有限公司)。
[21] 《关于请做好发审会议准备工作的函》(深信服科技股份有限公司)。
[22] 《关于请做好发审会议准备工作的函》(深信服科技股份有限公司)。
[23] 《中国证监会行政许可项目审查二次反馈意见通知书》;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》。
[24] 《关于杭州安恒信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询函》。
[25] 《关于优刻得科技股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[26] 《中国证监会行政许可项目审查二次反馈意见通知书》;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》)。
[27] 第十七届发审委2018年第57次会议审核结果公告,北京博睿宏远数据科技股份有限公司(首发)未通过。
[28] 《浙江每日互动网络科技股份有限公司创业板首次公开发行股票申请文件反馈意见》。
[29] 《北京市万商天勤律师事务所关于公司首次公开发行人民币普通股(A股)股票并在创业板上市的补充法律意见书(四)》,口头反馈问题三;《中国证监会行政许可项目审查二次反馈意见通知书》;《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》)。
[30] 《中国证监会行政许可项目审查二次反馈意见通知书》(浙江每日互动网络科技股份有限公司)。
[31] 第十八届发审委2019年第142次会议审核结果公告,北京墨迹风云科技股份有限公司(首发)未通过。
[32] 并购重组委2016年第47次会议审核结果公告,上海康耐特光学股份有限公司发行股份购买资产方案审核意见)(现名为旗天科技集团股份有限公司)。
[33] 《北京博睿宏远数据科技股份有限公司创业板首次公开发行申请文件反馈意见》。
[34] 《关于普元信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[35] 第十七届发审委2018年第57次会议审核结果公告,北京博睿宏远数据科技股份有限公司(首发)未通过。
[36] 《关于优刻得科技股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[37] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函》。
[38] 《关于北京慧辰资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。
[39] 《数据堂(北京)科技股份有限公司关于股票恢复转让的公告》,2018年9月7日。
[40] 《北京瑞智华胜科技股份有限公司关于公司股票在全国中小企业股份转让系统终止挂牌的公告》,2018年11月1日。