【摘要】本文以2021年7月以后国内证券市场披露的IPO法律意见书涉及数据/个人信息(以下统称数据)的问询内容作为样本,对近期各大证券市场对IPO公司审查问询涉及数据合规的重点问题进行了整理和归纳,就《数据安全法》《个人信息保护法》颁布后的新变化做了分析总结,并结合现有研究成果及法律实务经验,提出了数据全生命周期的合规要点,覆盖数据处理的收集、存储、使用、加工、传输、提供、公开、删除等各个环节。本文对于已上市或拟上市公司的数据合规均具有指导意义,可以作为上述公司的数据合规指引。
【关键词】公司上市;信息披露;数据合规;合规指引
一、前言
人类进入21世纪以来,科技发展突飞猛进,高科技公司如雨后春笋般涌现。从初期基于网络应用给网民带来便利的电子商务公司,到近几年在大数据基础上的人工智能、区块链、NFT、Web3.0、元宇宙等新技术应用及新场景的呈现,已宣告科技领域步入了大数据时代。
数据已成为继土地、劳动力、资本、技术之外的第五大生产要素,成为国家基础性战略资源,也被称为数字经济时代的“石油”,其商业价值不容小觑。不少高科技公司将数据的处理作为底层技术,在此基础上拓展数字经济时代的主营业务,取得了不菲的业绩,在国内IPO公司阵营中异军突起。国内各大证券交易所对于涉及数据的IPO公司的审查,也从初期的普通问询关注,到近期的全面充分问询,这给此类公司的审核上市提出了更高的要求和挑战。如何有效合规并顺利通过上市审核部门的审查,也成为该类IPO公司亟待解决的新问题。
我国对于网络、数据的法律架构与规制在全球位居前列。《民法典》将《民法总则》中有关数据保护的内容纳入体系中,并在此基础上做了更加细化的规定;2017年出台的《网络安全法》,2021年出台的《数据安全法》《个人信息保护法》,与部分行政规章及国家推荐标准,构成了我国数据和个人信息保护的“一标二典三法”体系(“一标”是指GB/T 35273-2020《信息安全技术 个人信息安全规范》;“二典”是指《民法典》和《刑法》;“三法”是指《网络安全法》《数据安全法》《个人信息保护法》)。
本文以2021年7月后披露的IPO法律意见书涉及数据/个人信息(以下统称数据)的问询内容作为样本,对其中涉及数据的问询内容进行归纳整理,结合现有研究成果及作者的实务经验,对数据的全生命周期提出合规的要点。
二、IPO信息披露涉及数据的公司概况
笔者在“见微数据平台”(www.jianweidata.com),以“法律意见书”作为标题关键词,并分别以“数据合规”和“个人信息”作为正文关键词,检索了2021年7月至2022年4月26日期间的披露公告文件,经筛选共获取45份法律意见书(含补充法律意见书,涉及35家公司)。
此35家公司主营业务均与数据相关联,反映了数据安全、个人信息安全颇受上市审核部门的关注。根据上述法律意见书所涉及的业务情况,笔者将该35家公司业务类型分为人工智能/数字智能/智能设备、智能家居/智慧校园/智慧城市、数据技术/数据分析、计算机/移动通信和电子设备、生物制药/智慧医疗、电子商务、信息安全和云计算、游戏游艺、大宗商品、数字营销,移动端视频创作、锂电池储能类产品、电子支付、3D视觉感知产品、高档女装、电能监测等16个类别。经统计,人工智能/数字智能/智能设备、智能家居/智慧校园/智慧城市、数据技术/数据分析三类占比位居前三,占比分别达到了17.14%、14.29%和11.43%。具体详见下图:
三、《数据安全法》《个人信息保护法》颁布施行后问询内容的新变化
(一)数据合规成为部分法律意见书的单列章节
此前关于数据合规方面的问询,大部分属于业务合规的附带内容,在法律意见书中也只是作为答复的一部分,并未将其作为章节单列。《数据安全法》《个人信息保护法》(下称两法)颁布施行后,发审委更加重点关注数据合规内容,也促使律所在法律意见书中将该内容单列。
例如:浩瀚深度问询中,提及“发行人业务开展是否符合《数据安全法》《网络安全法》《个人信息保护法》《电信和互联网用户个人信息保护规定》等数据安全及信息保护相关法律法规的规定”[ 北京浩瀚深度信息技术股份有限公司首次公开发行股票并在上海证券交易所科创板上市之补充法律意见书(二)],法律意见书的答复中将“一、问题4.1关于数据安全及合规性”单独列出。合合信息问询中,提及“近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响”[ 关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(二)],其补充法律意见书二也在目录中单列“问题4.关于数据合规性”。其他如太美医疗补充法律意见书(一)中的“四、关于数据合规性”[ 关于浙江太美医疗科技股份有限公司首次公开发行股票并在科创板上市的的补充法律意见书(一)];英方软件补充法律意见书(一)中的“四、问询函问题10、关于数据合规性及业务资质”[ 关于上海英方软件股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(一)];正方软件补充法律意见书(一)中的“四、《审核问询函》问题7:关于用户信息安全与数据保护”[ 关于正方软件股份有限公司首次公开发行股票并在创业板上市之补充法律意见书(一)]等等。
(二)常规的问询内容表述更为简洁
两法颁布前,数据合规内容尚无明确立法(国家推荐标准除外),IPO问询涉及数据的内容和方式较为广泛和多样化,多数情况下按照《信息安全技术 个人信息安全规范》的体系进行发问。两法颁布之后,在有明确法律依据的前提下,对于数据相关的常规问询内容变得更为直接简洁。
如三态电商的问询内容为:“说明经营过程中涉及客户信息、第三方信息获取及处理的环节及主要内容,发行人所使用的相关数据来源是否需经过授权,是否存在数据合规性风险。[ 关于深圳市三态电子商务股份有限公司首次公开发行股票并在创业板上市补充法律意见书(三)]”太美医疗的问询内容是:“(一)关于发行人主要产品及核心技术涉及的数据的相关情况;(二)符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定的情况;(三)发行人是否建立有效的内部控制制度确保业务开展中涉及的数据合规性。[ 关于浙江太美医疗科技股份有限公司首次公开发行股票并在科创板上市的的补充法律意见书(一)]”萤石网络的问询内容是“(5)发行人获取用户信息的情况及合规性,保障数据安全的措施及执行情况。[ 杭州萤石网络股份有限公司首次公开发行股票并在科创板上市补充法律意见书(一)]”
上述问询内容简明扼要,针对性强,具体反馈意见需要发行人根据实际情况展开分析。
(三)涉及到专业的内容更加深入细致
在现有的数据合规法律体系下,对于一些细分领域的专业数据合规,发审委的问询表现得更加全面、细致、审慎,也便于IPO公司全面地向社会披露与之相关的内容,并为后期类似公司的上市行为提供参照标准与样本。
如以数据集成技术和垂直应用算法为主营业务核心技术的零点有数,问询涉及:“(1)核心技术中是否存在使用第三方公司技术、算法等情况……;(2)数据集成及采购的数据中,是否存在未经授权获取用户数据的情况,获取个人数据是否对用户有明确提示、收集的数据是否限制在必要的范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为;(3)公开数据搜集能力的核心竞争力,数据集成与独立数据采购的关系,请与可比公司进行比较,披露发行人在数据搜集与数据分析方面的优势与竞争力;(4)数立方数据来源,其集成的数据是否存在限制使用范围或未经授权使用的数据,包括但不限于问卷数据、客户提供的数据、公司购买的大数据等,是否存在数据资产法律风险;(5)发行人的开发环境和保密条款是否可以有效防止自主研发的模型、算法泄漏。[ 关于北京零点有数数据科技股份有限公司首次公开发行股票并在创业板上市的法律意见书]”在卓创资讯的问询中,因涉及到新金融的专业法律问题,发审委列举了多个规范性文件并进行了询问,具体涉及《个人信息保护法》《互联网信息服务算法推荐管理规定》《金融信息服务管理规定》《关于开展境内金融信息服务报备工作的通知》《互联网新闻信息服务管理规定》《市场准入负面清单(2021年版)》《互联网市场准入禁止许可目录》《通信短信息和语音呼叫服务管理规定(征求意见稿)》《证券服务机构从事证券服务业务备案管理规定》等[ 关于山东卓创资讯股份有限公司申请首次公开发行股票并在创业板上市之法律意见书]。
(四)反馈意见更加明确且具有示范效应
在两法颁布前,不少IPO公司对于数据合规未引起足够重视,尚未形成一个完成的数据合规体系,不少反馈内容仅根据技术标准如《信息安全技术 个人信息安全规范》做了一些内部布局,并直接援引该规范内容体系作为回复。而在近期的IPO公司法律意见书所披露的内容显示,有相当数量的公司已经设立了数据合规委员会或小组,由董事长担任负责人,建立了内部组织体系;制定一整套较为完善的内部网络安全与数据保护的管理制度;对现行法律体系下的合规重点做了全面安排。部分公司还聘请了外部律所作为数据合规的专项顾问,从里到外做了全面系统的合规安排。
四、IPO问询中与数据相关的问题
因各IPO公司主营业务不一致,而数据合规需要结合业务模块和商业场景展开;加上数据处理流程较复杂、多变,IPO问询内容呈现出专业性强、覆盖面广、形式多样、深度各异等特点。本文针对不同的纬度,将问询的内容归类为五个方面:
(一)数据安全
公司名称 |
审核状态 |
披露日期 |
问询要点 |
正方软件 |
已问询 |
2022.3.23 |
关于信息安全与数据保护的相关内部控制制度及执行情况。(补充法律意见书一) |
麒麟信安 |
已问询 |
2022.3.19 |
对照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及《网络安全审査办法》,说明发行人提供主要产品服务是否需配合网络安全审査及过往配合网络安全审查的情况,是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务,是否存在不满足监管要求的风险(补充法律意见书一) |
英方软件 |
中止 |
2022.3.18 |
发行人业务开展及资质、许可取得情况是否符合《数据安全法》《网络安全法》《个人信息保护法》等数据安全及信息保护相关法律法规的规定,发行人采取的保护措施,是否发生过泄密行为或存在纠纷、潜在纠纷,相关风险是否充分揭示。(补充法律意见书一) |
萤石网络 |
已问询 |
2022.3.15 |
保障数据安全的措施及执行情况。(补充法律意见书一) |
联智科技 |
中止 |
2022.2.9 |
是否可能导致安全数据泄露、危害国家安全、军事秘密等法律风险,发行人可能面临的相应责任(补充法律意见书二) |
赛特斯 |
提交注册 |
2022.2.7 |
对照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及《网络安全审查办法》,说明发行人提供主要产品服务是否需配合网络安全审查及过往配合网络安全审查的情况,是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务,是否存在不满足监管要求的风险;在当前强化网络和数据安全监管的背景下,……,是否对发行人影响(补充法律意见书二) |
云天励飞 |
提交注册 |
2021.8.5 |
发行人的经营活动和本次发行上市是否需要申请网络安全审查;2021年9月1日即将实施的《数据安全法》对发行人经营活动的影响。(补充法律意见书四) |
(二)数据收集
公司名称 |
审核状态 |
披露日期 |
问询要点 |
数聚智连 |
终止 |
2022.3.11 |
说明发行人可获取、使用的数据具体类型、数量规模(补充法律意见书二) |
三态电商 |
终止 |
2022.3.1 |
相关数据来源是否需经过授权,是否存在数据合规性风险(补充法律意见书三) |
零点有数 |
已上市 |
2021.10.19 |
集成的数据是否存在限制使用范围或未经授权使用的数据(补充法律意见书七) |
格灵深瞳 |
已上市 |
2021.8.23 |
训练数据的获取方式及其合规性(补充法律意见书一) |
云天励飞 |
提交注册 |
2021.8.5 |
结合境内外法律法规和人工智能行业规范趋势,说明发行人在数据来源与数据应用等方面存在的合规风险。(补充法律意见书四) |
云从科技 |
注册生效 |
2021.7.10 |
是否获得相关数据主体的明确授权许可,授权许可是否存在使用范围、主体或期限等方面的限制,发行人是否存在超出上述限制使用数据的情形,是否存在获取、使用相关数据时侵犯个人隐私或其他合法权益的情形。(补充法律意见书二) |
(三)数据其他处理
公司名称 |
审核状态 |
披露日期 |
问询要点 |
英方软件 |
中止 |
2022.3.18 |
发行人产品研发、销售及使用过程中涉及到的数据釆集、处理、使用等情况及其合规性,数据内容是否涉及个人隐私或涉密信息,是否获得相关数据主体或主管部门的明确授权许可,是否存在使用范围、主体或期限等方面的限制,发行人是否存在超出上述限制使用数据的情形。(补充法律意见书一) |
太美医疗 |
中止 |
2022.3.7 |
关于发行人主要产品及核心技术涉及的数据的相关情况……发行人是否建立有效的内部控制制度确保业务开展中涉及的数据合规性(补充法律意见书一) |
奥比中光 |
提交注册 |
2021.8.16 |
相关信息、数据采集、清洗、管理、运用等各方面的合规措施(补充法律意见书一) |
合合信息 |
已问询 |
2022.3.5 |
各项业务及研发分别获取、存储、使用哪些数据……获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况,是否能够有效保障数据安全及业务合法合规(补充法律意见书二) |
浩瀚深度 |
提交注册 |
2022.2.28 |
数据采集、处理、使用等情况及其合规性(补充法律意见书二) |
商米科技 |
终止 |
2021.12.17 |
是否存在侵犯用户隐私或不当收集、使用、转让、共享、公开披露用户数据的情况……合规防控的技术措施(补充法律意见书二) |
(四)个人信息保护
公司名称 |
审核状态 |
披露日期 |
问询要点 |
唯都策划 |
已问询 |
2022.4.15 |
各类细分业务中取得消费者个人信息的方式、环节、范围,消费者个人信息的用途、利用方式,使用和保管个人信息、保障用户个人信息安全的内部管理制度和保护措施,并结合相关法律法规,说明个人信息的取得、传递/交付、使用过程是否合法合规,是否存在泄露消费者个人信息、侵犯消费者隐私权的法律风险。(补充法律意见书二) |
熵基科技 |
提交注册 |
2022.4.4 |
发行人产品涉及公民个人信息采集,……请发行人披露发行人各类产品在国内及出口各国家及地区认证取得情况及取得时间(补充法律意见书六) |
卓创资讯 |
提交注册 |
2022.3.30 |
结合相关产品的用户协议、个人信息授权使用的相关条款、信息搜集的具体内容,说明处理个人信息是否基于个人同意,该同意是否由个人在充分知情的前提下自愿、明确作出,在相关产品的推广、使用过程中,发行人的经营活动、个人信息的处理(含收集、存储、使用、加工、传输、提供、公开、删除等)、发行人履行的义务是否符合《个人信息保护法》的相关要求及合规性,进行必要的风险揭示。(补充法律意见书七) |
正方软件 |
已问询 |
2022.3.23 |
软件产品是否可以直接或间接获得相关学校、师生的具体数据和个人资料等信息,如是,请说明获取条件、获取方式和信息范围,上述数据和信息获取方式是否合法合规,是否符合《网络安全法》等相关法规要求或保密约定。对相关信息的储存及使用情况,发行人的盈利模式是否与所获取的用户信息紧密相关,是否存在信息泄露、侵犯用户隐私及数据的情况,是否存在法律风险、纠纷或潜在纠纷。(补充法律意见书一) |
萤石网络 |
已问询 |
2022.3.15 |
发行人获取用户信息的情况及合规性。(补充法律意见书一) |
数聚智连 |
终止 |
2022.3.11 |
关于用户个人数据使用的合作机制、权责划分机制。……进一步结合《数据安全法》《个人信息保护法》《网络安全审查办法》等相关法律法规,说明发行人使用用户个人数据的合规性。(补充法律意见书二) |
太美医疗 |
中止 |
2022.3.7 |
符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定的情况(补充法律意见书一) |
浩瀚深度 |
提交注册 |
2022.2.28 |
是否存在获取、使用相关数据时侵犯个人隐私或其他合法权益的情形(补充法律意见书二) |
小影创新 |
已问询 |
2022.2.17 |
是否符合……《信息安全技术个人信息安全规范》的要求,是否存在强制获取用户个人信息、用户无法永久删除发行人获取信息的情况,是否存在利用获取、保管的用户、客户数据开展商业用途的情形;对个人信息的处理和使用是否符合《个人信息保护法》规定的处理规则。……说明海外产品的用户信息获取、保管及使用是否符合所在地法律、法规及平台用户隐私保护政策的要求。(补充法律意见书一) |
商米科技 |
终止 |
2021.12.17 |
涉及到用户的个人数据的釆集情况,该等数据的运用、管理及合规性。(补充法律意见书二) |
奥比中光 |
提交注册 |
2021.8.16 |
是否涉及到个人信息、大量数据的采集和运用(补充法律意见书一) |
青木股份 |
已上市 |
2021.8.13 |
是否存在违规收集用户信息、泄露用户隐私的情形(补充法律意见书四) |
云天励飞 |
提交注册 |
2021.8.5 |
如何从内控机制、技术手段等方面对涉及个人隐私的数据进行保护。(补充法律意见书四) |
云从科技 |
注册生效 |
2021.7.10 |
近期立法对个人信息采集和人脸识别应用范围等进行约束的具体体现,对发行人业务开展的影响,是否存在违反相关规定的情形;……发行人业务开展及人脸信息收集等是否符合《个人信息安全规范》等相关法律法规的规定,是否存在纠纷或潜在纠纷,相关风险揭示是否充分。(补充法律意见书二) |
(五)人工智能伦理
公司名称 |
审核状态 |
披露日期 |
问询要点 |
格灵深瞳 |
已上市 |
2021.8.23 |
人工智能技术可控、符合伦理规范的措施和规划(补充法律意见书一) |
我国《数据安全法》《个人信息保护法》规定,数据的处理包括收集、存储、使用、加工、传输、提供、公开,个人信息的处理增加了删除。相较于个人信息保护主要体现在各项处理活动中,数据安全则强调通过采取必要措施来保证数据处于有效保护和合法利用的状态,并且具备保障持续安全状态的能力。
部分被问询IPO公司的主营业务虽不直接涉及个人信息数据,但审查问询中仍就数据处理对个人信息权益、隐私安全的影响予以关注,故本文合规要点和建议以个人信息合规作为切入点,涉及的合规要点适用于数据。
(一)数据收集合规
数据收集是数据处理活动中十分重要的一个环节,确保数据收集环节的合规对于数据全生命周期的合规具有底层合规的重要意义。数据收集一般包括直接收集和间接收集两种方式。
1、数据收集具体要求
(1)告知同意
关于数据收集中的告知同意,可参见典型案例“微信读书案”[ 吕倩:《互联网法院宣判微信读书与抖音案,隐私权不同于个人信息权益保护》,https://www.yicai.com/news/100719321.html,2022年5月8日访问。]。在该案中,法院认为,微信读书收集原告黄某的微信好友列表,向黄某并未主动添加关注的微信好友自动公开读书信息,其并未以合理的“透明度”告知黄某并获得黄某的同意,违反了法律关于处理个人信息的规定。
笔者结合审判实务,认为需重点关注以下三个方面:
①告知:告知数据收集规则,包括收集目的、方式和范围等;网络业务数据收集可通过制订公示隐私政策或收集规则进行告知,包括首次运行时通过明显方式(如弹窗等)提示用户阅读数据收集使用规则;并且要保证收集使用规则易于访问和易于阅读。
②取得同意:不得以默认选择同意隐私政策等非明示方式征求同意,即应当通过例如书面、口头等方式主动作出纸质或电子形式的声明,或自主作出肯定性动作。对个人敏感信息的收集,必须取得单独的明示同意而不能一揽子授权;收集个人生物识别信息,还应应单独告知收集规则并取得明示同意;收集未成年人个人信息,若未成年人年满14周岁,应征得未成年人或其监护人明示同意;若未成年人不满14周岁,应征得其监护人明示同意;
③若用户明确反对,应停止收集或删除个人信息,收集权限不得继续收集或打开。也不得频繁征求用户同意以及做出其他干扰用户正常使用的行为等;
上述主要针对直接收集场景下的合规建议,若公司间接获取个人信息的,如通过采购等方式从第三方获取,则应当注意要求数据提供方说明数据来源,充分关注提供方已获得的授权同意范围,尤其需要关注授权使用目的以及授权权限,并对数据来源的合法性进行确认。
笔者建议,在数据收集阶段,IPO公司需要做好内部的审核设计,将商业模式中与数据相关的环节进行分解并列举,结合商业目的及上述具体要求,逐项进行比对。这既包括了纵向的流程分析与审核,也包括了横向的分项要件的核实;既包括了以书面形式签订的用户协议等条款的审核,也包括了其他以弹窗等方式提示同意的审核。因业务场景不同,审查的方式和流程均会有所区别。
(2)合法性
无论是直接收集数据还是间接收集数据,IPO公司都应当注意收集行为及收集数据的合法性。需遵循的合规建议有:遵循明示告知原则,禁止以欺诈、诱骗、误导的方式收集数据;包括不得隐瞒产品或服务所具有的收集数据的功能等;不得从非法渠道获取数据;不应收集法律法规明令禁止收集的个人信息,不应大规模收集或处理我国公民的种族、民族、政治观点、宗教信仰等敏感数据。
(3)最小必要
公司应当注意,若公司拟收集的个人信息或权限,并非属于实现某项业务功能所需要,用户享有拒绝提供的权利,且公司无权因此拒绝向用户提供该等功能,也不得因此拒绝向用户提供其他的功能或服务。若公司产品或服务同时具有多项功能,用户并未选择其中某项业务功能,则就该业务功能所需的个人信息或权限,公司也无权强制用户提供或以欺诈等方式诱使用户提供。除了前述功能的必要性之外,还需要注意收集频率、数量等必要性。
(4)安全保密
收集个人信息之前,应对被收集人进行身份认证,该身份认证机制应具有相应安全性;应制定并完善对收集内容进行安全检测和过滤的机制,防止非法内容提交。
(5)授权同意的例外
根据现行的法律法规以及相关规范性文件的要求,数据的收集以告知为必要前提,以授权同意为原则,以法定情形为例外。该例外情形的规定可见《个人信息保护法》第13条规定的5种例外情形。笔者认为《信息安全技术 个人信息安全规范》(GB/T35273—2020)中规定的11种例外情形在实践中仍具有参考意义。
2、数据收集的的合规建议
(1)数据收集评估
在收集数据前,进行收集必要性的审查和合规评估,既是为了防范数据安全事故,也是控制不必要的业务投入。具体可以依据或参考《民法典》《网络安全法》《消费者权益保护法》《个人信息保护法》《数据安全法》以及《信息安全技术 个人信息安全规范》《个人信息处理法律合规性评估指引》《信息安全技术个人信息安全影响评估指南》《个人信息告知同意指南》《App违法违规收集使用个人信息行为认定办法》《App违法违规收集使用个人信息自评估指南》《App违法违规收集使用个人信息评估要点和操作规程》等文件。此外,对于符合法定例外情形的,即无需事先取得同意即可收集的情形,还需要注意如涉及到的已经公开的公共数据,应对核对内容无误,避免因数据错误而对第三方产生侵权责任后果。
除了上述收集前的评估,还包括业务动态发展中的评估。随着业务的变更,部分信息或权限的收集可能已并非必要,此时也可通过第三方检测机构进行实时检测评估。例如“嘉联支付”的App产品就曾接受银行卡检测中心的检测评估,就“公开收集使用规则”“明示收集使用个人信息的目的、方式和范围”等事项进行检测,结果判定均为符合。
(2)授权交互式收集
授权交互式收集,是经过用户同意,公司以多种方式(如提交表单、数据发送等)收集数据。这种方式收集数据,是公司常见的自主收集数据的形式。对于公司而言,必须严格执行法律中关于告知、同意、单独同意、重新同意等的要求,另外还包括了提示的方式,详见前文的“五、(一)、1. 数据收集具体要求”。
(3)第三方处收集(购买或者交换)
无论是数据交换,还是采购数据,都需要做好内外合规工作。笔者认为具体包括:建立内控体系,先行确定收集数据的目的、类别、范围等,明确供应商范围,建立数据采购管理规范;对数据供应商进行尽职调查和筛选,建立黑白名单,形成数据供应商档案管理制度,对合同签订状态、采购数据类型、数据范围、背景资质审查情况等及时记录、更新、管理;由外部第三方提供其与被收集方的授权书,保证其所收集的数据获得被收集方的有效授权;与数据提供方签署包含数据来源合法合规的确认、承诺条款,保证来源合法;如第三方数据出现瑕疵,及时采取有效措施封存并消除影响。
(4)自动化访问收集
通过爬虫等数据自动化采集系统收集数据,笔者认为,需要重点关注如下内容:收集前进行综合性评估,如数据类型、网站性质、Robots协议或其他公示文件的的具体限制、收集频次(并发数、访问频率)是否会影响网站运营等;配合技术人员就自动化访问工具进行合规性审查;收集期间定期检查若干评估项,例如:确保不删除、不篡改被采集网站系统存储、处理或传输的数据;确保不破坏被采集网站的数据;确保不使用钓鱼链接、木马程序、植入后门等行为对网站系统进行程序干扰;确保不采用网络攻击来针对网站自动化采集限制措施做暴力破解;定期对自动化访问工具的代码及访问清单进行审查。
(二)数据存储合规
数据存储,相对于其他环节属于静态的一环,一般要求包括:对收集的数据严格保密;不得泄露、篡改、毁损;不得非法出售或向他人提供所收集的数据;履行等级保护、数据分类分级、重要数据备份和加密等安全保护义务。同时,公司也应当对数据存储的必要性进行评估。例如对于并非必要存储的信息,厦门三五互联科技股份有限公司在其补充法律意见书中明确,其在游戏业务中,仅将收集的个人实名信息上传至国家防沉迷实名验证系统,不对已收集的信息进行存储。
1、数据存储具体要求
(1)存储方式
存储过程中,各类技术措施的应用,应当确保能够防止内部的泄漏以及外部的攻击、侵入。例如:《个人信息保护法》规定,对数据进行存储应采取相应的加密、去标识化等安全技术措施。《互联网个人信息安全保护指南》规定,收集到的个人信息应采取相应的安全加密存储等安全措施进行处理。保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于一种备份手段(具有本地数据备份功能、将备份介质进行场外存放或具有异地数据备份功能)。《信息安全技术 个人信息安全规范》则明确个人数据处理者宜立即进行去标识化处理,并将可用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理,对于个人敏感信息的存储还应当采取加密等安全措施,个人生物识别信息应与个人身份信息分开存储,原则上不应存储原始个人生物识别信息(如样本、图像等)。
(2)存储地点
笔者认为,现行法律体系中,对于存储地的要求以国内为原则,以境外为例外,尤其是对于一些重要数据、核心数据和个人信息等。IPO问询的问题中也多次涉及存储地。其中,关键信息基础设施的运营者在境内运营收集和产生的个人信息和重要数据以及处理个人信息达到国家网信部门规定数量的,均应当在境内存储;确需向境外提供的,应当通过相关部门的安全评估。具体可见《网络安全法》《个人信息保护法》《互联网个人信息安全保护指南》等相关规定。
(3)存储时间
《个人信息保护法》规定,除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间[ 《中华人民共和国个人信息保护法》第十九条。]。超出期限后,处理者应及时采取删除或匿名化的措施。
同时,根据《个人信息保护法》的规定,个人信息处理者还应当对个人信息的处理目的及保存期限的必要性承担举证责任,保存期限设置得越长,就越需要证明其必要性。而该保存期限,若有法律、行政法规规定的,则适用该规定,若无规定的,则相关的部门规章、行业规范等有关保存期限的规定可作为参考。笔者认为,在既无法定情形,也无参考情形下,个人信息的保存期限需根据具体场景进行考察确定,在遵循目的限制和必要性原则外,可以考量个人信息的特点、属性、个人信息的处理方式、对各方利益可能产生的影响等因素。
(4)安全等级保护制度
网络安全等级保护制度,是国家有关部门根据各类主体所从事的业务领域、数据重要性的不同,对相关主体进行等级划分并根据等级的不同进行分类管理的制度。根据等级保护有关规定,网络运营者应当依照国家法律法规规定和网络安全等级保护制度要求,建立并落实重要数据和个人信息安全保护制度;采取保护措施,保障数据在收集、存储、传输、使用、提供、销毁过程中的安全;采取技术手段,保障重要数据的完整性、保密性和可用性。《信息安全等级保护管理办法》对网络安全等级保护制度进行了明确具体的规定和要求。
2、数据存储合规建议
数据存储是数据合规的另一关键环节,前文已基于现有法律和标准体系对数据存储合规性要求进行了梳理和归纳,现对合规。
合规措施 |
具体要求 |
数据分类分级 |
不同的数据类型采用不同的存储方式。敏感个人信息和重要、核心数据必须单列,实施特别保护。为不同类型的数据制定适当的安全级别,针对不同的安全级别设置不同的安全等级保护制度,适用不同的安全存储方案。 |
建立安全策略 |
制定公司内部书面正式的信息系统策略,技术部门应当设定信息资源保密、网络访问、物理访问、第三方访问、雇员访问等安全策略以保障策略得以实施。 |
安全管理制度 |
如建立访问制度,基于角色的访问控制是安全数据存储系统的必备条件,在某些情况下,还需要多因素认证。管理员还应确保更改其存储设备上的默认密码,并强制新增用户使用强密码。 |
软硬件加密系统 |
安装单独加密软件或硬件设备,以确保公司数据加密;数据在传输过程中以及在存储系统中静止时都应该加密,以确保数据的安全性。 |
人员培训 |
不定期组织员工进行有关数据安全保护的培训及考试,对新员工进行入职安全培训,尤其是对接触数据信息的岗位人员予以重要关注和指导。 |
存储介质和存储环境 |
影响数据存储的介质的因素很多,比如环境、温度、湿度等,应当注意物理环境对存储的影响。 |
数据丢失预防 |
仅靠加密不足以提供全面的数据安全,建议组织还部署数据丢失防护(DLP)解决方案,以帮助查找和阻止正在进行的任何攻击。 |
网络整体安全性 |
存储系统被强大的网络安全系统所包围,例如防火墙、反恶意软件防护、安全网关、入侵检测系统,以及可能的高级分析和基于机器学习的安全解决方案。这些措施应该可以防止大多数网络攻击者获得对存储设备的访问权限。 |
客户端安全性 |
采用软硬件结合的方式,确保员工在个人电脑、智能手机和其他访问存储数据的设备上拥有适当的安全措施。 |
备份和恢复 |
存储用户数据的数据库通过主从备份等方式保证数据安全不丢失,确保备份系统和流程适合各种类型事件以及灾难恢复的目的,通过对数据库的高可用配置,保证数据存储层的高可用性。 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
而对于数据(不涉及个人信息部分)的公开活动,《数据安全法》并未对非政务数据的公开进行规定,对此笔者认为其他数据仍有可能涉及商业秘密的保护问题,故而对于该等非个人信息、非政务数据的公开,企业仍需要注意商业秘密的侵权责任防范以及可能的合同保密违约风险防范。
对于个人信息的公开合规,提供如下合规建议:公开以依法取得用户的单独同意为前提;若涉及海量的或是敏感的个人信息公开,应当开展个人信息安全影响评估,对采取相应的防护措施;涉及敏感个人信息的公开,建议进一步明确告知用户公开的内容等信息,以避免隐私侵权风险;及时有效准确的记录公开活动,包括公开内容、范围、规模、日期等;依法不予公开的数据,例如涉及公共安全、国家利益的数据,不得公开。
此外,无论是否是涉个人信息的数据公开,笔者认为数据公开活动的合法合规与数据存储的安全具有较为紧密的联系,故对于数据公开的合规建议除上述内容外,公司可以参考数据存储的合规要求。
(六)数据删除/注销合规建议
根据“小影创新”补充法律意见书(一)反馈内容可见,公司通过在产品中设置删除功能、在个人信息保护政策中明确告知用户个人信息处理方式(包括删除请求的处理流程)、匿名化处理等方式保证用户对其个人信息数据的删除或帐号注销权利。
结合实务经验,笔者提出如下合规建议:
1、公布流程
数据处理者应当在用户协议或隐私政策中明示流程,或者在注销或删除环节提供详细的、便捷的流程指引,不得设置不合理的条件。常见的不合规需整改的案例包括:缺乏注销或删除入口或过于隐蔽,设置较为繁琐的流程,规定账户注册未满一定期限不得注销,要求解除关联绑定后才可以注销,设置所谓的“反悔期”导致注销流程过长,强制要求注销单个账户视同注销多个产品或服务,要求填写精确的历史操作记录作为注销的必要条件等。
2、核验用户身份
数据处理者应当基于用户角度考虑,充分平衡安全性和便捷性。对于删除/注销的用户进一步核实其操作者的身份信息,如通过手机验证码、智能验证码等方式核实,防止他人故意或自身错误操作导致用户权益受损。另外,核验过程中需要关注所获取的数据不得超过此前注册所涉及的数据范围。
3、二次确认
为了降低错误操作带来的不利后果,同时也是数据处理者的证据保全要求,在用户提交申请后、正式删除/注销前,建议数据处理者对用户的请求设立二次通知确认项,通知的方式包括流程中的文案提示,或者通过电子邮件、短信等方式发送单独的确认函。
4、具体形式
数据“删除”是指在实现日常业务功能所涉及的系统中去除个人信息的行为,使其保持不可被检索、访问的状态(即逻辑删除),而不是说要求数据处理者必须彻底的、永久的删除用户信息及其备份(即物理删除)。结合实务经验,笔者认为公司可以根据相关的规范性文件,结合业务场景来确定具体形式。
5、响应期限
《个人信息安全规范》规定数据处理者应在三十天内或法律法规规定的期限内作出答复及合理解释。《电子商务法》规定的删除/注销的时限是“及时”“立即”,没有具体的时间限制,实务中需要关注期限的合理性。
6、共享、转让后的处置
《个人信息安全规范》规定,一旦数据接收方违反法律法规要求或双方约定处理个人信息的,必要时个人信息控制者应解除与数据接收方的业务关系,并要求数据接收方及时删除从个人信息控制者获得的个人信息。对此,笔者认为IPO公司并不需要实际确保第三方已删除用户信息,仅需要尽到合理的通知义务。
六、结语
数据的全生命周期合规,是一个动态的整体性的过程,也是一个结合商业场景进行分析规划滚动调整的过程,不同类型的数据处理者对数据合规的关注点亦有不同侧重。
随着《数据安全法》《个人信息保护法》实施落地以及其他配套制度的制定实施,既需要公司根据法律法规及规范性文件的调整而加以变化和完善,同时也需要公司根据商业模式的调整在技术应用、管理制度、合作模式等方面及时作出调整、变化。
没有最完美的数据合规体系,只有较合适的、更契合公司生态的数据合规整体制度。数据合规也并非一蹴而就,需要提前布局,形成一个框架体系,而后由法务、业务人员对其所涉及各个环节进行细致化的研究,并能够结合业务流程进行反复推敲,最终形成一个较为完善的合规体系。
1.2020年04月10日,《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》
2.北京浩瀚深度信息技术股份有限公司首次公开发行股票并在上海证券交易所科创板上市之补充法律意见书(二)
3.关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(二)
4. 关于浙江太美医疗科技股份有限公司首次公开发行股票并在科创板上市的的补充法律意见书(一)
5.关于上海英方软件股份有限公司首次公开发行股票并在科创板上市的补充法律意见书(一)
6.关于正方软件股份有限公司首次公开发行股票并在创业板上市之补充法律意见书(一)
7.关于深圳市三态电子商务股份有限公司首次公开发行股票并在创业板上市补充法律意见书(三)
8.关于浙江太美医疗科技股份有限公司首次公开发行股票并在科创板上市的的补充法律意见书(一)
9. 杭州萤石网络股份有限公司首次公开发行股票并在科创板上市补充法律意见书(一)
10.关于北京零点有数数据科技股份有限公司首次公开发行股票并在创业板上市的法律意见书
11.关于山东卓创资讯股份有限公司申请首次公开发行股票并在创业板上市之法律意见书
12..查询时间截止到2022年5月9日,下同
13.吕倩:《互联网法院宣判微信读书与抖音案,隐私权不同于个人信息权益保护》
14.《中华人民共和国个人信息保护法》第十九条
15.《中华人民共和国电子商务法》第十八条
16.宁园:《个人信息已公开”作为合法处理事由的法理基础和规则适用》,《环球法律评论》2022年第2期。