拟上市公司数据合规法律问题浅析

2021-09-18

前言

2021年9月1日，经过反复酝酿和审议的《中华人民共和国数据安全法》（简称《数据安全法》）在我国正式实施；《中华人民共和国个人信息保护法》（简称《个人信息保护法》），将于2021年11月1日起施行。《数据安全法》和《个人信息保护法》的出台和实施，进一步完善了我国的数据保护法律体系。

企业的业务开展，将不可避免地面对因立法或监管政策的日趋强化而引发数据合规方面的潜在法律风险。对于拟上市数据密集型企业来说，严重违反数据隐私或数据安全规定可能导致企业上市被终止，并最终影响企业的经营治理能力，也可能触发对经营者有重大影响的监管行动。

拟上市企业应如何应对数据合规的挑战？结合数据保护的立法重点，本文通过整理近六个月以来多家数据密集型拟IPO企业的公开披露文件，梳理审核机构重点关注的数据合规要点，提出可供企业在准备上市过程中参考的可行性建议，希望为拟上市企业的数据合规工作提供帮助。

一、数据合规政策提示

（一）境外立法

境外最为严苛的一部数据立法是欧盟的《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”）。GDPR对儿童数据与特殊类别的个人数据的处理提出了强化要求，赋予数据的控制者和处理者对此类数据更加严格的保护义务。作为专门保护个人信息的法案，GDPR还定义了隐私保护的七项基本原则，提出了一套更具备可行性的要求与规范，适用于任何向欧盟消费者推销或销售产品的企业，对如何收集、使用和存储消费者数据，包括在欧盟境内开展业务的外国公司，都提出了严格的要求。目前，GDPR是国际上对数据保护要求最高且通行的一套规则，涉及数据出境相关业务的企业应当重点关注GDPR的相关条款，做好数据合规工作。

（二）境内立法

秉持着对“个人信息”和“重要数据”的双重保护原则，我国陆续出台和修改多部基础性法律规范，并加入中央和地方性的规章、规范性文件和司法解释进行辅助。

我国目前对数据合规有所涉及的重要法律文件包括：

1.《中华人民共和国民法典》（2021年1月1日生效）

2.《中华人民共和国网络安全法》（2017年6月1日生效）

3.《中华人民共和国数据安全法》（2021年9月1日生效）

4.《中华人民共和国个人信息保护法》（2021年11月1日生效）

5.《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（2021年7月28日发布）

6.《信息安全技术个人信息安全规范》（2020年10月1日生效）

《民法典》《网络安全法》《数据安全法》和《个人信息保护法》主要对收集、使用个人信息的基本原则、信息控制者的合规义务以及个人信息主体的权利保护等内容作出了规定。《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》则对人脸识别技术侵害自然人合法权益的行为进行了细致的解释和说明。除上述法律法规以外，我国还出台了关于个人信息保护的国家标准《信息安全技术个人信息安全规范》（GB/T 35273-2020），对个人信息的定义，处理的方式和原则等方面进行了细化。

面对近年来法律法规的陆续出台，准备上市的数据密集型企业应根据新出台政策，通过技术水平的提高以及对政策风险进行合理评估预测，逐步构建出一套全面的运作机制来减弱政策对企业经营发展可能造成的负面影响。

二、企业上市与数据合规相关的常见问题

盘点最近半年内交易所对七家IPO企业问询涉及数据合规的内容，近期审核部门重点关注的问题主要集中在以下几方面：

（一）数据来源

（二）数据保存及处理

（三）相关政策及涉诉风险

对上述问询进行总结，可以看出IPO审核部门对数据密集型企业的关注重点包括几个方面：数据的来源是否合规？数据的获取方式是否合规？如何对客户的数据隐私进行保护？结合国家的立法规定，有何数据合规方面的风险？是否存在涉及数据合规方面的处罚或诉讼？

三、拟上市企业数据合规要点提示

为不影响上市进度，数据合规工作是数据密集型企业在准备上市的过程中必须关注的问题，应当渗透在数据收集和使用的全过程。

（一）数据来源

近年来，国家部委曾先后几次对移动应用软件违规私自收集、过度收集、超范围收集用户数据信息的问题展开专项整治行动。《网络安全法》确立了收集用户信息的三大规则，第一是同意规则，数据的收集必须经过被收集者同意；第二是合法、正当、必要性规则，合法正当收集信息及不得收集与其服务无关的信息；第三则是公开明示规则，公开收集使用规则，明示收集使用的目的、方式及范围。上述原则要求企业在收集个人信息的时候必须遵守上述规则并获取信息主体的同意，同时，还应仅收集与其业务直接相关的个人信息，避免收集与业务无关的用户信息。

除自行收集信息以外，企业数据的获取方式还包括数据供应商和网络爬虫技术的自动化访问等，这给企业对数据来源的审查提出了更高的要求。为此，企业应当建立严格的内控审查管理体系，不仅要重点关注供应商的资质、安全管理能力、与用户签订的协议和证明文件，也要及时对获取的数据内容进行审查，一旦发现获取的数据含有个人信息和隐私或侵犯他人合法权益的内容，就应当及时删除并停止获取。

（二）数据存储

在企业对数据进行收集、存储、传输、处理、使用的过程中，发生用户数据泄露事件的概率并不低。这是由于企业自身数据安全保护系统存在的漏洞导致关键信息容易被干扰和破坏，或外部人员利用计算机网络技术措施窃取用户数据。为保障数据的存储安全，应当采取措施对获取到的数据进行二次处理，例如将收集到的个人信息进行去标识化处理、加强访问和使用的权限管理、采用加密措施进行存储、采取相应的数据备份措施等。

结合《个人信息保护法》的规定，进行企业内部数据安全管理还应关注以下几个问题：首先，《个人信息保护法》规定个人有权申请查询自己的个人信息，并要求更正、补充，甚至删除数据，企业只有具备定位和检索数据的能力，才能确保及时响应此类要求。其次，还应建立数据存储最小化系统，防范数据泄露风险，最大程度保护数据的安全。最后，企业应改变处理、存储和保护用户个人信息的方式，建立一套隐私影响评估流程，对数据保护及个人隐私权影响作出正式分析，并将其引入任何新的业务流程或系统。

（三）数据使用

企业非法使用用户数据，严重侵害用户合法权益的问题屡有发生。数据的使用与处理应采取合法、正当的方式，遵循诚信原则进行。企业对收集数据的使用应当符合收集时的约定，保证不超过约定的范围和界限，如果确实因为业务发展而需要超过用户的授权范围，则必须再一次征求用户的同意。

在内部管理方面，企业应当建立对数据安全进行保障的系统性机制，明确具体保障措施的内容，细化针对的数据对象以及负责的人员等。为确保企业数据的使用与处理合法合规，还要完善记录措施实施的具体情况，以便在监管机构进行检查时，能够拿出相应的记录来证实已尽到必要的安全保障义务。

（四）数据出境

有些拟上市企业的业务涉及数据跨境传输，此类企业不仅要遵守我国数据合规政策，也应关注数据跨境要求，例如上文所述欧盟的《通用数据保护条例》（GDPR）等。我国法律要求个人信息的出境应当取得自然人的明确授权，同时，运营者还需对需要出境个人信息进行安全评估，根据类别、传输数量、目的范围、技术处理情况等要素向监管部门报备，获取主管政府部门的批准后才能出境，如果涉及国家秘密的，应当特别签订保密协议。

结语

数据是数字经济时代最核心、最具价值的生产要素，也是企业最宝贵的资产。充分挖掘和利用好数据的价值并保障数据安全，对于企业而言至关重要。

数据和信息就像一把双刃剑，这把剑能够帮企业走向更广阔的市场，同时借助资本市场的力量进一步做大做强，但若忽视了对数据和信息的规范化管理，企业便随时可能出现法律风险得不偿失。在享受数据所带来福利的同时，企业亦不能停止对数据安全的重视和对重要信息的保护。

本文作者：

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。