数字经济时代科技企业上市数据合规指南——基于2021年度最新(申报)上市案例的分析
数字经济时代科技企业上市数据合规指南——基于2021年度最新(申报)上市案例的分析
数据被称为二十一世纪的“石油”。随着互联网、大数据、云计算、人工智能、区块链等技术加速创新,日益融入经济社会发展各领域全过程,[1]更形成所谓数字经济。而数据作为数字经济的核心生产要素,其合规性问题已成为制约数字经济是否能实现良好发展的根本前提,是以对数据保护的重视程度已不亚于前数字经济时代对产权保护的重视程度。数据合规无小事,小则涉及个人信息和隐私,大则涉及国家安全和社会公共利益。中国的相关法制建设也迅速跟上。目前基本法律层面已经形成以《民法典》为核心,《网络安全法》、《数据安全法》、《个人信息保护法》“三驾马车”并行的数据保护合规立法体系。在行政法规、规章以及规范性文件层面,相关规定更是密集出台,(个人信息)数据合规保护规范体系日益丰满成型。[2]随着监管的逐步深入,相关执法或专项治理行动也不断见诸于报章。[3]强监管背景之下,企业也面临越来越严格细密的数据合规要求和法律责任,包括民事责任、行政责任(主要为被通报、产品被下架、企业及直接责任人被罚款、暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照等)甚至刑事责任。[4]
企业申请IPO上市所需过的最重要的法律关口无疑为合规关。就科技企业而言,无疑数据合规是重要的关口之一。相关拟上市公司在境内外申请上市,被证券监管部门问询的家数和次数也呈逐年上升趋势。[5]而数据合规不过关问题有时更直接成为申请上市的实质性法律障碍。[6]相关拟上市公司务必高度重视数据合规问题。根据我们的相关经验和研究,现有相关企业主要风险主要在数据采集、使用、管理以及共享(流转)这四个包含在数据全生命周期的环节中。同时,就上市招股说明书等法定文件的信息披露而言,还包括对前述各环节相关情况充分的风险披露。本文选取了2021年度中的9个最新案例,在梳理、分析相关证券监管问询、拟上市企业的答复以及相关招股说明书等公开披露文件基础上形成该数据合规指南。
图1:2021年度9个人工智能等科技企业(申报)上市案例
图2:企业数据合规全构成图
一、数据采集合规
数据的获取/采集是数据业务的起点和入口,解决的是数据来源合规性问题,把好数据来源合规关,确保获取/采集数据的途径、方式均合乎相关法律法规的要求,就把好了数据合规的第一道关口。在当前违法违规收集使用个人信息问题仍然突出的态势下[7],该问题自然也成为上市审核实践中最关注的问题。数据的采集分为直接收集和间接收集。直接收集指拟上市公司直接第一手采集C端信息,而不通过其他方共享或者委托处理的方式获得个人信息。而间接收集与之相对,指拟上市公司不直接对C端,而是一般通过直接收集方共享或者委托处理的方式获得个人信息,相关问询及回复情况如下表:
(点击图片查看大图)
总结上表可知,证券监管部门在问询时,在数据收集环节关注的主要问题在如下方面:
1) 数据收集(数据来源)是否具备合法性基础;
2) 数据收集是否遵循最小必要原则;
3) 数据收集的具体方式是否满足法律的合规要求;
4) 不同类别个人信息的收集是否满足其具体和相应的合规要求。
据此,我们理解,拟上市企业的相关应对解决措施为:
(1)明确合法基础
《个人信息保护法》第十三条规定,处理个人信息应当具备相应的合法性基础;或基于个人信息主体的同意,或基于订立、履行作为一方当事人的合同所必需等。对拟上市公司而言,应根据数据收集场景的不同,梳理匹配对应不同的合法基础,从而进一步履行数据收集环节的相应合规义务。例如,如果拟上市公司是基于个人信息主体的同意收集个人信息,则在数据收集前首先应告知个人信息主体数据处理的目的、方式、范围、保存期限等信息;其次如涉及敏感个人信息的收集,则应获取个人信息主体的单独同意等。
(2)遵循最小必要原则
在我国个人信息保护相关规则几经演变的过程中,最小必要原则一直是个人信息收集和处理的核心要求。《个人信息保护法》第六条规定,收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息。对拟上市公司而言,根据不同的数据收集场景,首先应明确数据收集的目的,进而确定数据收集的范围、类型等。例如,人工智能企业在收集数据用于算法训练过程中,如仅收集一般个人信息或者脱敏后的信息即可满足算法训练的需求,即应避免过度收集其他类型的个人信息。
(3)收集方式应满足合规性要求
结合上述应对策略(1),在确定数据处理的合法基础后,拟上市公司在收集数据时,应根据数据收集方式的不同,履行不同的合规义务。具体而言,如拟上市公司是基于个人信息主体的同意收集数据,则应避免捆绑授权、强制授权等情形发生;如拟上市公司是从数据供应商处购买获得数据,则首先应对数据供应商进行尽职调查,明确其数据来源合法合规;其次在与数据供应商的合作协议中明确双方的数据处理关系,以及各自的权利义务。对数据供应商做到事前到事后的全流程审查,防范数据安全风险和影响。
(4)特殊类别个人信息的收集
基于不同的业务领域,拟上市公司收集的数据类型也存在差异。除一般个人信息(如姓名、性别、年龄等)之外,可能还会涉及面部数据等生物识别信息、医疗健康信息、公开数据等,前述不同类型的数据会具有相应不同的数据保护要求(如《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》、《信息安全技术健康医疗数据安全指南》等)。因此,拟上市公司应结合自身的业务特点,识别业务需求中不同类别的数据,满足数据收集面临的不同监管要求所规定的合规义务。
(5)对抓取收集方式的合规要求
数据抓取是一种较为常见的收集方式,人工智能类拟上市公司会采用抓取公开数据的方式,进行结构化处理并以此训练算法和进行深度学习。而数据抓取面临的法律问题和挑战较多,不仅涉及数据权属的问题,而且涉及抓取方式合规性以及被抓网站和ROBOTS协议的限制等问题。近年来,有关此类数据抓取的诉讼数量呈明显上升趋势,有关平台基于各种利益考虑,会主动提起侵权诉讼。而法院在考量抓取行为的正当性时,基于既往的认知总体上会偏保守。因此,拟上市公司需要在开展此类业务时,进行充分的法律论证和风险识别,并进行合规评估和项目监管,防止因抓取行为侵犯平台合法权益,而导致不利诉讼的发生。
二、数据使用合规
就该问题,具体证券监管部门问询内及拟上市公司答复、相关《招股书》披露如下:
(点击图片查看大图)
由上表可知,证券监管部门在问询时聚焦于“拟上市公司在使用数据时是否满足最小必要原则,是否超出相应的授权范围使用数据,是否存在侵犯个人隐私或其他合法权益的情形”。基于收集数据(来源)的不同,在数据使用过程中,数据处理者需要履行的合规义务也存在差异。基于此,结合《数据安全法》与《个人信息保护法》,我们总结梳理应对解决策略如下:
(1)直接收集数据使用应遵循最小必要原则
如果拟上市公司直接向用户收集数据,则在数据使用过程中,应当在数据收集时向用户明示数据处理目的,并需要在授权范围内使用数据。数据处理者不得超出处理所必须的授权范围,或者超出数据处理目的去使用数据,否则,则极有可能违反最小必要原则,进而侵犯用户的个人信息权益、隐私等。
举例而言,如个人信息主体同意收集其手机号仅用于账户注册,拟上市企业则不应使用其手机号码开展个性化推荐/精准营销活动;如果拟上市企业基于订立、履行作为一方当事人的合同所必须而处理数据,则仅能使用实现合同目的所需的最小范围内的数据;如拟上市公司使用收货人姓名、联系方式及收货地址即可实现作为线上交易一方当事人合同中的产品交付目的,拟上市企业则不应额外使用银行账号信息、身份证号等信息以完成产品交付;如基于按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需处理数据,应仅使用实现实施人力资源管理目的所必需的最小范围的数据。
最小必要原则贯穿于数据处理全生命周期,拟上市公司应当制定有关规范和评估工具,对敏感场景下是否遵循了此项原则,进行针对性和周期性的评估。
(2)间接收集数据的使用应遵循目的限制
在间接收集数据的场景下,又进一步区分处理场景和委托场景的不同做不同应对:
a.在处理场景下,可以进一步区分为单独处理与共同处理。拟上市公司间接收集数据后,可以自行决定数据处理的目的和方式,则其作为独立的数据处理者使用数据;如需与数据提供方共同决定数据处理的目的和方式,则双方作共同数据处理者使用数据。在前述两种场景下,数据合规义务的相同之处在于,拟上市公司的数据使用活动首先应受制于其与数据提供方之间约定的数据处理目的(数据处理目的将会对拟上市公司数据使用的具体方式、场景等产生重要影响,因此如何限制或者约定不同数据处理者的目的是拟上市公司数据合规中的难点问题,必要时,拟上市企业可以聘请外部专业机构对双方的数据合作进行相应评估与协助,从而明确数据处理目的,避免对业务发展产生限制或者不利影响);不同之处在于,在单独处理场景下,拟上市公司应自行承担数据处理义务(如保障数据使用的安全等),如数据使用活动侵害个人权益造成损害时的,应依法自行承担责任;而在共同处理场景下,拟上市公司应与数据提供方根据双方的约定承担各自的数据处理义务,如数据使用活动侵害个人权益造成损害时的,各方应依法承担连带责任。
b.在委托处理场景,拟上市公司基于数据提供方的委托而处理数据,数据提供方是委托人,拟上市公司是受托人,双方首先应通过订立数据委托处理协议的方式,对数据处理的目的、期限、处理方式、数据种类、保护措施以及双方的权利义务进行明确约定;在后续的数据使用中,拟上市公司应遵循合同约定的目的使用数据。如违反与委托人的约定,将可能会面临违约等相关风险。如数据使用活动侵害个人权益造成损害时的,委托人应自行承担责任。《个人信息保护法》中也明确委托人对受托人数据处理活动的监督义务。如何实际限制和控制受托人的数据处理活动,将会直接影响拟上市公司数据处理活动的范围和具体场景。因此,拟上市公司在与数据提供方订立数据委托处理协议时,应着重关注委托人对受托人数据处理活动的要求和限制,避免约定不明或者约定过于严苛导致对实际业务开展造成不利影响。
三、数据管理合规
数据管理是保障拟上市公司平台内数据存储、安全防护、防止数据泄漏等方面制度、措施之集合。相关证券监管部门问询内容及答复、相关《招股书》内容披露如下:
(点击图片查看大图)
总结上表可知,证券监管部门关于数据管理方面的关注问题主要集中在数据安全管理(包括但不限于数据存储制度、权限管理、安全漏洞防控等)建制是否完善、是否实际落实执行等方面。基于此,我们梳理相关应对解决策略如下:
(1)搭建数据安全内部管理制度
根据《数据安全法》与《个人信息保护法》的相关要求,数据处理者应当根据数据的处理目的、处理方式、数据的种类以及对个人权益的影响、可能存在的安全风险等制定全生命周期的数据安全内部管理制度和操作规程,保障数据处理活动的安全。整体而言,数据处理者需要制定的内部管理制度包括但不限于数据安全管理制度、数据分类分级管理制度、个人信息保护影响评估制度、数据合作管理制度、数据合规培训制度、数据安全事件应急预案等。对拟上市公司而言,需要依据自身的业务特点、商业模式、处理数据的类型、具体的数据处理活动等整体布局,科学地搭建数据合规内部管理制度体系。合理的数据安全内部管理制度不仅可以保障外部数据处理行为的秩序和合法合规性,而且也可以实现内部数据处理活动的科学、有效、合规地管理。
(2)完善数据安全人员组织结构
对拟上市公司而言,制度建设是数据管理重要的方面,人员组织架构的完善也是不可或缺的部分。《个人信息保护法》明确:处理个人信息达到国家网信部门规定数量的个人信息处理者,应当指定个人信息保护负责人,《数据安全法》则要求重要数据处理者应当明确数据安全负责人和保护机构。对此,拟上市公司应根据处理数据的数量、种类,确定是否需要指定相应的数据安全负责人。指定负责人的同时,公司还应当明确负责人或者负责机构的职责范围(例如监督、管理、上报等职责)。
(3)确保相关制度、流程的执行落地
拟上市企业欲实现企业内部数据安全,以及数据处理活动的科学有效管理,我们建议拟上市公司制定了数据安全管理制度,明确个人信息保护负责人/数据安全负责人及其相关职责以及日常业务经营活动相关必要的支持与协助措施,同时,建立起数据分类分级管理,根据数据分类分级的结果,制定相配套的数据存储、权限控制、访问限制、展示限制等措施,并且在系统、流程中进行落地和执行。
四、数据共享(流转)合规
数据的价值在于使用,其生命在于流动。数据流转,即拟上市公司授权或分享给外部第三方部分或全部获取本公司所有的数据信息,可见广义的数据流转内含了分享的意蕴。但无论是分享还是流动,其前提无疑也都在于安全合规。而数据的流转或共享由于涉及外部第三方,也是最容易造成安全隐患和突破合规底线的薄弱环节。[9]
相关证券监管部门问询内容及答复、《招股书》内容披露如下:
(点击图片查看大图)
综上,我们梳理拟上市公司数据共享方面的合规应对要点如下:
(1)履行告知义务并征得用户单独同意
针对数据共享行为,拟上市公司应当在隐私政策或用户协议中向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和数据种类;如基于个人的同意处理数据的,拟上市公司应就数据共享行为征得个人的单独同意。如涉及敏感个人信息的共享,其应向个人告知共享的敏感个人信息类型、数据接收方的身份和数据安全能力,并征得用户的单独同意。根据工信部近期发布的《关于开展信息通信服务感知提升行动的通知》中提出的“双清单”要求,拟上市公司可以在隐私协议中以列表方式明确APP产品与第三方共享的用户个人信息基本情况,包括与第三方共享的个人信息种类、使用目的、使用场景和共享方式等。
(2)安全影响评估与动态监测
拟上市公司在对外共享数据前,应当根据公司内部制定的个人信息安全影响评估制度事先开展个人信息安全影响评估,并依评估结果采取有效的数据安全与个人信息保护措施。在共享之后,应当就数据接收方的相关数据处理活动进行监测和追踪,并对相应情况进行记录。
(3)与数据接收方签署合作协议
拟上市公司应当与数据接收方签署合作协议,明确约定处理数据的目的、范围、处理方式,在数据安全方面明确自身和第三方应分别承担的责任和义务,以及各自应当采取的数据安全保护措施等内容。拟上市公司应在实现合同约定目的最小必要范围内共享数据,并要求数据接收方在实现合同目的最小范围内使用数据。
(4)记录保存义务
拟上市公司应当准确记录和保存个人信息共享的情况,包括共享的日期、规模、目的,以及数据接收方基本情况等。根据网信办最新发布的《网络数据安全管理条例(征求意见稿)》,提示拟上市公司注意,进行数据共享应当对个人同意情况进行记录,提供个人信息的日志记录、共享重要数据的审批记录和日志记录保存至少五年时间。
(5)行权协助义务
拟上市公司应当帮助个人信息主体了解数据接收方履行义务的情况(例如对个人信息的保存、使用等情况),以及个人信息主体享有的权利,包括但不限于访问、更正、删除、注销账户等。
五、相关数据合规风险的披露
拟上市公司在上市过程中在招股说明书等相关上市申请文件中对数据合规风险应进行充分的披露,既包括对既存数据合规风险的揭示,也包括对未来潜在数据合规风险的客观分析。相关证券监管部门问询和拟上市公司答复及相关招股说明书披露如下:
(点击图片查看大图)
而对于既有数据合规风险的披露,证券监管部门要求拟上市公司一方面应披露现有的诉讼或者行政处罚情况,另一方面应披露现有产品和业务模式下是否有导致诉讼或者行政处罚的风险。对于潜在数据合规风险的评估,证券监管部门在问询中对拟上市公司未来潜在的数据合规风险也尤为关注:其会要求拟上市公司根据主要产品和业务模式对未来的政策制度风险可能对业务及生产经营产生的影响进行客观分析。相应的应对解决方式为:
(1)已有数据合规风险披露
充分评估及披露其是否因数据不合规受过相关的行政处罚、法律纠纷或诉讼以及其对公司业务的影响;对于相关负面舆论报道,也需及时关注与回应,必要时进行进一步相关说明。
(2)未来潜在数据合规风险评估
未来潜在风险,不仅包括现有商业模式下“灰度”问题如何去解释和改进,也包括由于立法的更新和变化,所带来监管的不确定性考虑。我们认为,拟上市公司应当从持续跟进—积极研判—主动评估—制度落地—意识提升等几个维度去进行建设,形成自身良好的合规闭环体系,以及从上至下的合规意识提升,从而才能有效应对未来的数据合规风险。
(3)跨境业务下的风险评估
考虑到大多数国内企业产品在国内外均具有市场竞争力,有些拟上市公司产品已经行销海外,因此境外的数据合规问题亦不容忽视。全球主要经济体对于个人隐私和数据安全均十分看重,而每个国家对此的合规要求又有不同。因此拟上市公司必须评估产品和服务跨境场景下的数据合规问题。而根据我们经验,跨境合规评估涉及到不同法域和不同场景,相较于国内合规评估,此类合规工作较为复杂和不可控。因此,我们建议拟上市企业应当未雨绸缪,尽早进行规划,特别是主要产品的主要市场在境外的,更要制定比较详细的评估方案,以应对监管问询。
结语
如本指南所揭示,科技企业的数据合规问题已经成为企业上市所需要关注的核心问题。目前证券监管部门在相关审核和问询中所重点关注的风险不仅涵盖最基础的如数据收集、数据购买、数据使用和管理等“必答题”,而且对于当前比较有争议的比如用户的行权问题、自动化访问收集等问题均有详细的问询。在有限时间内如何帮助拟上市企业迅速有效应对和解决这些问询,考验着专业律师的经验和智慧。我们的初步建议是相关拟上市企业在上市专业律师之外,同时也尽早引入数据合规专业律师以全面熟悉企业的核心产品和技术方案,并协同公司法务、风控合规、技术、业务等各部门条线和外部技术专家顾问一起,及早核查整改并确保相关措施有效实施。企业甚至应考虑在公司初创及产品设计或早期融资时即开展相关工作,避免拖延到后期积重难返而整改成本代价畸高,甚至直接构成通过上市审核的实质性障碍。
[注]