?

圖1：2021年度9個(gè)人工智能等科技企業(yè)（申報(bào)）上市案例

?

圖2：企業(yè)數(shù)據(jù)合規(guī)全構(gòu)成圖

?

?

數(shù)據(jù)的獲取/采集是數(shù)據(jù)業(yè)務(wù)的起點(diǎn)和入口，解決的是數(shù)據(jù)來(lái)源合規(guī)性問題，把好數(shù)據(jù)來(lái)源合規(guī)關(guān)，確保獲取/采集數(shù)據(jù)的途徑、方式均合乎相關(guān)法律法規(guī)的要求，就把好了數(shù)據(jù)合規(guī)的第一道關(guān)口。在當(dāng)前違法違規(guī)收集使用個(gè)人信息問題仍然突出的態(tài)勢(shì)下[7]，該問題自然也成為上市審核實(shí)踐中最關(guān)注的問題。數(shù)據(jù)的采集分為直接收集和間接收集。直接收集指擬上市公司直接第一手采集C端信息，而不通過(guò)其他方共享或者委托處理的方式獲得個(gè)人信息。而間接收集與之相對(duì)，指擬上市公司不直接對(duì)C端，而是一般通過(guò)直接收集方共享或者委托處理的方式獲得個(gè)人信息，相關(guān)問詢及回復(fù)情況如下表：

（點(diǎn)擊圖片查看大圖）

?

總結(jié)上表可知，證券監(jiān)管部門在問詢時(shí)，在數(shù)據(jù)收集環(huán)節(jié)關(guān)注的主要問題在如下方面：

?

1) 數(shù)據(jù)收集（數(shù)據(jù)來(lái)源）是否具備合法性基礎(chǔ)；

2) 數(shù)據(jù)收集是否遵循最小必要原則；

3) 數(shù)據(jù)收集的具體方式是否滿足法律的合規(guī)要求；

4) 不同類別個(gè)人信息的收集是否滿足其具體和相應(yīng)的合規(guī)要求。

?

據(jù)此，我們理解，擬上市企業(yè)的相關(guān)應(yīng)對(duì)解決措施為：

?

（1）明確合法基礎(chǔ)

?

《個(gè)人信息保護(hù)法》第十三條規(guī)定，處理個(gè)人信息應(yīng)當(dāng)具備相應(yīng)的合法性基礎(chǔ)；或基于個(gè)人信息主體的同意，或基于訂立、履行作為一方當(dāng)事人的合同所必需等。對(duì)擬上市公司而言，應(yīng)根據(jù)數(shù)據(jù)收集場(chǎng)景的不同，梳理匹配對(duì)應(yīng)不同的合法基礎(chǔ)，從而進(jìn)一步履行數(shù)據(jù)收集環(huán)節(jié)的相應(yīng)合規(guī)義務(wù)。例如，如果擬上市公司是基于個(gè)人信息主體的同意收集個(gè)人信息，則在數(shù)據(jù)收集前首先應(yīng)告知個(gè)人信息主體數(shù)據(jù)處理的目的、方式、范圍、保存期限等信息；其次如涉及敏感個(gè)人信息的收集，則應(yīng)獲取個(gè)人信息主體的單獨(dú)同意等。

?

（2）遵循最小必要原則

?

在我國(guó)個(gè)人信息保護(hù)相關(guān)規(guī)則幾經(jīng)演變的過(guò)程中，最小必要原則一直是個(gè)人信息收集和處理的核心要求?！秱€(gè)人信息保護(hù)法》第六條規(guī)定，收集個(gè)人信息，應(yīng)當(dāng)限于實(shí)現(xiàn)處理目的的最小范圍，不得過(guò)度收集個(gè)人信息。對(duì)擬上市公司而言，根據(jù)不同的數(shù)據(jù)收集場(chǎng)景，首先應(yīng)明確數(shù)據(jù)收集的目的，進(jìn)而確定數(shù)據(jù)收集的范圍、類型等。例如，人工智能企業(yè)在收集數(shù)據(jù)用于算法訓(xùn)練過(guò)程中，如僅收集一般個(gè)人信息或者脫敏后的信息即可滿足算法訓(xùn)練的需求，即應(yīng)避免過(guò)度收集其他類型的個(gè)人信息。

?

（3）收集方式應(yīng)滿足合規(guī)性要求

?

結(jié)合上述應(yīng)對(duì)策略（1），在確定數(shù)據(jù)處理的合法基礎(chǔ)后，擬上市公司在收集數(shù)據(jù)時(shí)，應(yīng)根據(jù)數(shù)據(jù)收集方式的不同，履行不同的合規(guī)義務(wù)。具體而言，如擬上市公司是基于個(gè)人信息主體的同意收集數(shù)據(jù)，則應(yīng)避免捆綁授權(quán)、強(qiáng)制授權(quán)等情形發(fā)生；如擬上市公司是從數(shù)據(jù)供應(yīng)商處購(gòu)買獲得數(shù)據(jù)，則首先應(yīng)對(duì)數(shù)據(jù)供應(yīng)商進(jìn)行盡職調(diào)查，明確其數(shù)據(jù)來(lái)源合法合規(guī)；其次在與數(shù)據(jù)供應(yīng)商的合作協(xié)議中明確雙方的數(shù)據(jù)處理關(guān)系，以及各自的權(quán)利義務(wù)。對(duì)數(shù)據(jù)供應(yīng)商做到事前到事后的全流程審查，防范數(shù)據(jù)安全風(fēng)險(xiǎn)和影響。

?

（4）特殊類別個(gè)人信息的收集

?

基于不同的業(yè)務(wù)領(lǐng)域，擬上市公司收集的數(shù)據(jù)類型也存在差異。除一般個(gè)人信息（如姓名、性別、年齡等）之外，可能還會(huì)涉及面部數(shù)據(jù)等生物識(shí)別信息、醫(yī)療健康信息、公開數(shù)據(jù)等，前述不同類型的數(shù)據(jù)會(huì)具有相應(yīng)不同的數(shù)據(jù)保護(hù)要求（如《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干問題的規(guī)定》、《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》等）。因此，擬上市公司應(yīng)結(jié)合自身的業(yè)務(wù)特點(diǎn)，識(shí)別業(yè)務(wù)需求中不同類別的數(shù)據(jù)，滿足數(shù)據(jù)收集面臨的不同監(jiān)管要求所規(guī)定的合規(guī)義務(wù)。

?

（5）對(duì)抓取收集方式的合規(guī)要求

?

數(shù)據(jù)抓取是一種較為常見的收集方式，人工智能類擬上市公司會(huì)采用抓取公開數(shù)據(jù)的方式，進(jìn)行結(jié)構(gòu)化處理并以此訓(xùn)練算法和進(jìn)行深度學(xué)習(xí)。而數(shù)據(jù)抓取面臨的法律問題和挑戰(zhàn)較多，不僅涉及數(shù)據(jù)權(quán)屬的問題，而且涉及抓取方式合規(guī)性以及被抓網(wǎng)站和ROBOTS協(xié)議的限制等問題。近年來(lái)，有關(guān)此類數(shù)據(jù)抓取的訴訟數(shù)量呈明顯上升趨勢(shì)，有關(guān)平臺(tái)基于各種利益考慮，會(huì)主動(dòng)提起侵權(quán)訴訟。而法院在考量抓取行為的正當(dāng)性時(shí)，基于既往的認(rèn)知總體上會(huì)偏保守。因此，擬上市公司需要在開展此類業(yè)務(wù)時(shí)，進(jìn)行充分的法律論證和風(fēng)險(xiǎn)識(shí)別，并進(jìn)行合規(guī)評(píng)估和項(xiàng)目監(jiān)管，防止因抓取行為侵犯平臺(tái)合法權(quán)益，而導(dǎo)致不利訴訟的發(fā)生。

?

?

就該問題，具體證券監(jiān)管部門問詢內(nèi)及擬上市公司答復(fù)、相關(guān)《招股書》披露如下：

（點(diǎn)擊圖片查看大圖）

?

由上表可知，證券監(jiān)管部門在問詢時(shí)聚焦于"擬上市公司在使用數(shù)據(jù)時(shí)是否滿足最小必要原則，是否超出相應(yīng)的授權(quán)范圍使用數(shù)據(jù)，是否存在侵犯?jìng)€(gè)人隱私或其他合法權(quán)益的情形"。基于收集數(shù)據(jù)（來(lái)源）的不同，在數(shù)據(jù)使用過(guò)程中，數(shù)據(jù)處理者需要履行的合規(guī)義務(wù)也存在差異?；诖?，結(jié)合《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》，我們總結(jié)梳理應(yīng)對(duì)解決策略如下：

?

（1）直接收集數(shù)據(jù)使用應(yīng)遵循最小必要原則

?

如果擬上市公司直接向用戶收集數(shù)據(jù)，則在數(shù)據(jù)使用過(guò)程中，應(yīng)當(dāng)在數(shù)據(jù)收集時(shí)向用戶明示數(shù)據(jù)處理目的，并需要在授權(quán)范圍內(nèi)使用數(shù)據(jù)。數(shù)據(jù)處理者不得超出處理所必須的授權(quán)范圍，或者超出數(shù)據(jù)處理目的去使用數(shù)據(jù)，否則，則極有可能違反最小必要原則，進(jìn)而侵犯用戶的個(gè)人信息權(quán)益、隱私等。

?

舉例而言，如個(gè)人信息主體同意收集其手機(jī)號(hào)僅用于賬戶注冊(cè)，擬上市企業(yè)則不應(yīng)使用其手機(jī)號(hào)碼開展個(gè)性化推薦/精準(zhǔn)營(yíng)銷活動(dòng)；如果擬上市企業(yè)基于訂立、履行作為一方當(dāng)事人的合同所必須而處理數(shù)據(jù)，則僅能使用實(shí)現(xiàn)合同目的所需的最小范圍內(nèi)的數(shù)據(jù)；如擬上市公司使用收貨人姓名、聯(lián)系方式及收貨地址即可實(shí)現(xiàn)作為線上交易一方當(dāng)事人合同中的產(chǎn)品交付目的，擬上市企業(yè)則不應(yīng)額外使用銀行賬號(hào)信息、身份證號(hào)等信息以完成產(chǎn)品交付；如基于按照依法制定的勞動(dòng)規(guī)章制度和依法簽訂的集體合同實(shí)施人力資源管理所必需處理數(shù)據(jù)，應(yīng)僅使用實(shí)現(xiàn)實(shí)施人力資源管理目的所必需的最小范圍的數(shù)據(jù)。

?

最小必要原則貫穿于數(shù)據(jù)處理全生命周期，擬上市公司應(yīng)當(dāng)制定有關(guān)規(guī)范和評(píng)估工具，對(duì)敏感場(chǎng)景下是否遵循了此項(xiàng)原則，進(jìn)行針對(duì)性和周期性的評(píng)估。

?

（2）間接收集數(shù)據(jù)的使用應(yīng)遵循目的限制

?

在間接收集數(shù)據(jù)的場(chǎng)景下，又進(jìn)一步區(qū)分處理場(chǎng)景和委托場(chǎng)景的不同做不同應(yīng)對(duì)：

?

a.在處理場(chǎng)景下，可以進(jìn)一步區(qū)分為單獨(dú)處理與共同處理。擬上市公司間接收集數(shù)據(jù)后，可以自行決定數(shù)據(jù)處理的目的和方式，則其作為獨(dú)立的數(shù)據(jù)處理者使用數(shù)據(jù)；如需與數(shù)據(jù)提供方共同決定數(shù)據(jù)處理的目的和方式，則雙方作共同數(shù)據(jù)處理者使用數(shù)據(jù)。在前述兩種場(chǎng)景下，數(shù)據(jù)合規(guī)義務(wù)的相同之處在于，擬上市公司的數(shù)據(jù)使用活動(dòng)首先應(yīng)受制于其與數(shù)據(jù)提供方之間約定的數(shù)據(jù)處理目的（數(shù)據(jù)處理目的將會(huì)對(duì)擬上市公司數(shù)據(jù)使用的具體方式、場(chǎng)景等產(chǎn)生重要影響，因此如何限制或者約定不同數(shù)據(jù)處理者的目的是擬上市公司數(shù)據(jù)合規(guī)中的難點(diǎn)問題，必要時(shí)，擬上市企業(yè)可以聘請(qǐng)外部專業(yè)機(jī)構(gòu)對(duì)雙方的數(shù)據(jù)合作進(jìn)行相應(yīng)評(píng)估與協(xié)助，從而明確數(shù)據(jù)處理目的，避免對(duì)業(yè)務(wù)發(fā)展產(chǎn)生限制或者不利影響）；不同之處在于，在單獨(dú)處理場(chǎng)景下，擬上市公司應(yīng)自行承擔(dān)數(shù)據(jù)處理義務(wù)（如保障數(shù)據(jù)使用的安全等），如數(shù)據(jù)使用活動(dòng)侵害個(gè)人權(quán)益造成損害時(shí)的，應(yīng)依法自行承擔(dān)責(zé)任；而在共同處理場(chǎng)景下，擬上市公司應(yīng)與數(shù)據(jù)提供方根據(jù)雙方的約定承擔(dān)各自的數(shù)據(jù)處理義務(wù)，如數(shù)據(jù)使用活動(dòng)侵害個(gè)人權(quán)益造成損害時(shí)的，各方應(yīng)依法承擔(dān)連帶責(zé)任。

?

b.在委托處理場(chǎng)景，擬上市公司基于數(shù)據(jù)提供方的委托而處理數(shù)據(jù)，數(shù)據(jù)提供方是委托人，擬上市公司是受托人，雙方首先應(yīng)通過(guò)訂立數(shù)據(jù)委托處理協(xié)議的方式，對(duì)數(shù)據(jù)處理的目的、期限、處理方式、數(shù)據(jù)種類、保護(hù)措施以及雙方的權(quán)利義務(wù)進(jìn)行明確約定；在后續(xù)的數(shù)據(jù)使用中，擬上市公司應(yīng)遵循合同約定的目的使用數(shù)據(jù)。如違反與委托人的約定，將可能會(huì)面臨違約等相關(guān)風(fēng)險(xiǎn)。如數(shù)據(jù)使用活動(dòng)侵害個(gè)人權(quán)益造成損害時(shí)的，委托人應(yīng)自行承擔(dān)責(zé)任?！秱€(gè)人信息保護(hù)法》中也明確委托人對(duì)受托人數(shù)據(jù)處理活動(dòng)的監(jiān)督義務(wù)。如何實(shí)際限制和控制受托人的數(shù)據(jù)處理活動(dòng)，將會(huì)直接影響擬上市公司數(shù)據(jù)處理活動(dòng)的范圍和具體場(chǎng)景。因此，擬上市公司在與數(shù)據(jù)提供方訂立數(shù)據(jù)委托處理協(xié)議時(shí)，應(yīng)著重關(guān)注委托人對(duì)受托人數(shù)據(jù)處理活動(dòng)的要求和限制，避免約定不明或者約定過(guò)于嚴(yán)苛導(dǎo)致對(duì)實(shí)際業(yè)務(wù)開展造成不利影響。

?

?

數(shù)據(jù)管理是保障擬上市公司平臺(tái)內(nèi)數(shù)據(jù)存儲(chǔ)、安全防護(hù)、防止數(shù)據(jù)泄漏等方面制度、措施之集合。相關(guān)證券監(jiān)管部門問詢內(nèi)容及答復(fù)、相關(guān)《招股書》內(nèi)容披露如下：

（點(diǎn)擊圖片查看大圖）

?

總結(jié)上表可知，證券監(jiān)管部門關(guān)于數(shù)據(jù)管理方面的關(guān)注問題主要集中在數(shù)據(jù)安全管理（包括但不限于數(shù)據(jù)存儲(chǔ)制度、權(quán)限管理、安全漏洞防控等）建制是否完善、是否實(shí)際落實(shí)執(zhí)行等方面?；诖?，我們梳理相關(guān)應(yīng)對(duì)解決策略如下：

?

（1）搭建數(shù)據(jù)安全內(nèi)部管理制度

?

根據(jù)《數(shù)據(jù)安全法》與《個(gè)人信息保護(hù)法》的相關(guān)要求，數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)數(shù)據(jù)的處理目的、處理方式、數(shù)據(jù)的種類以及對(duì)個(gè)人權(quán)益的影響、可能存在的安全風(fēng)險(xiǎn)等制定全生命周期的數(shù)據(jù)安全內(nèi)部管理制度和操作規(guī)程，保障數(shù)據(jù)處理活動(dòng)的安全。整體而言，數(shù)據(jù)處理者需要制定的內(nèi)部管理制度包括但不限于數(shù)據(jù)安全管理制度、數(shù)據(jù)分類分級(jí)管理制度、個(gè)人信息保護(hù)影響評(píng)估制度、數(shù)據(jù)合作管理制度、數(shù)據(jù)合規(guī)培訓(xùn)制度、數(shù)據(jù)安全事件應(yīng)急預(yù)案等。對(duì)擬上市公司而言，需要依據(jù)自身的業(yè)務(wù)特點(diǎn)、商業(yè)模式、處理數(shù)據(jù)的類型、具體的數(shù)據(jù)處理活動(dòng)等整體布局，科學(xué)地搭建數(shù)據(jù)合規(guī)內(nèi)部管理制度體系。合理的數(shù)據(jù)安全內(nèi)部管理制度不僅可以保障外部數(shù)據(jù)處理行為的秩序和合法合規(guī)性，而且也可以實(shí)現(xiàn)內(nèi)部數(shù)據(jù)處理活動(dòng)的科學(xué)、有效、合規(guī)地管理。

?

（2）完善數(shù)據(jù)安全人員組織結(jié)構(gòu)

?

對(duì)擬上市公司而言，制度建設(shè)是數(shù)據(jù)管理重要的方面，人員組織架構(gòu)的完善也是不可或缺的部分?！秱€(gè)人信息保護(hù)法》明確：處理個(gè)人信息達(dá)到國(guó)家網(wǎng)信部門規(guī)定數(shù)量的個(gè)人信息處理者，應(yīng)當(dāng)指定個(gè)人信息保護(hù)負(fù)責(zé)人，《數(shù)據(jù)安全法》則要求重要數(shù)據(jù)處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和保護(hù)機(jī)構(gòu)。對(duì)此，擬上市公司應(yīng)根據(jù)處理數(shù)據(jù)的數(shù)量、種類，確定是否需要指定相應(yīng)的數(shù)據(jù)安全負(fù)責(zé)人。指定負(fù)責(zé)人的同時(shí)，公司還應(yīng)當(dāng)明確負(fù)責(zé)人或者負(fù)責(zé)機(jī)構(gòu)的職責(zé)范圍（例如監(jiān)督、管理、上報(bào)等職責(zé)）。

?

（3）確保相關(guān)制度、流程的執(zhí)行落地

?

擬上市企業(yè)欲實(shí)現(xiàn)企業(yè)內(nèi)部數(shù)據(jù)安全，以及數(shù)據(jù)處理活動(dòng)的科學(xué)有效管理，我們建議擬上市公司制定了數(shù)據(jù)安全管理制度，明確個(gè)人信息保護(hù)負(fù)責(zé)人/數(shù)據(jù)安全負(fù)責(zé)人及其相關(guān)職責(zé)以及日常業(yè)務(wù)經(jīng)營(yíng)活動(dòng)相關(guān)必要的支持與協(xié)助措施，同時(shí)，建立起數(shù)據(jù)分類分級(jí)管理，根據(jù)數(shù)據(jù)分類分級(jí)的結(jié)果，制定相配套的數(shù)據(jù)存儲(chǔ)、權(quán)限控制、訪問限制、展示限制等措施，并且在系統(tǒng)、流程中進(jìn)行落地和執(zhí)行。

?

?

數(shù)據(jù)的價(jià)值在于使用，其生命在于流動(dòng)。數(shù)據(jù)流轉(zhuǎn)，即擬上市公司授權(quán)或分享給外部第三方部分或全部獲取本公司所有的數(shù)據(jù)信息，可見廣義的數(shù)據(jù)流轉(zhuǎn)內(nèi)含了分享的意蘊(yùn)。但無(wú)論是分享還是流動(dòng)，其前提無(wú)疑也都在于安全合規(guī)。而數(shù)據(jù)的流轉(zhuǎn)或共享由于涉及外部第三方，也是最容易造成安全隱患和突破合規(guī)底線的薄弱環(huán)節(jié)。[9]

相關(guān)證券監(jiān)管部門問詢內(nèi)容及答復(fù)、《招股書》內(nèi)容披露如下：

（點(diǎn)擊圖片查看大圖）

?

綜上，我們梳理擬上市公司數(shù)據(jù)共享方面的合規(guī)應(yīng)對(duì)要點(diǎn)如下：

?

（1）履行告知義務(wù)并征得用戶單獨(dú)同意

?

針對(duì)數(shù)據(jù)共享行為，擬上市公司應(yīng)當(dāng)在隱私政策或用戶協(xié)議中向個(gè)人告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和數(shù)據(jù)種類；如基于個(gè)人的同意處理數(shù)據(jù)的，擬上市公司應(yīng)就數(shù)據(jù)共享行為征得個(gè)人的單獨(dú)同意。如涉及敏感個(gè)人信息的共享，其應(yīng)向個(gè)人告知共享的敏感個(gè)人信息類型、數(shù)據(jù)接收方的身份和數(shù)據(jù)安全能力，并征得用戶的單獨(dú)同意。根據(jù)工信部近期發(fā)布的《關(guān)于開展信息通信服務(wù)感知提升行動(dòng)的通知》中提出的"雙清單"要求，擬上市公司可以在隱私協(xié)議中以列表方式明確APP產(chǎn)品與第三方共享的用戶個(gè)人信息基本情況，包括與第三方共享的個(gè)人信息種類、使用目的、使用場(chǎng)景和共享方式等。

?

（2）安全影響評(píng)估與動(dòng)態(tài)監(jiān)測(cè)

?

擬上市公司在對(duì)外共享數(shù)據(jù)前，應(yīng)當(dāng)根據(jù)公司內(nèi)部制定的個(gè)人信息安全影響評(píng)估制度事先開展個(gè)人信息安全影響評(píng)估，并依評(píng)估結(jié)果采取有效的數(shù)據(jù)安全與個(gè)人信息保護(hù)措施。在共享之后，應(yīng)當(dāng)就數(shù)據(jù)接收方的相關(guān)數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)測(cè)和追蹤，并對(duì)相應(yīng)情況進(jìn)行記錄。

?

（3）與數(shù)據(jù)接收方簽署合作協(xié)議

?

擬上市公司應(yīng)當(dāng)與數(shù)據(jù)接收方簽署合作協(xié)議，明確約定處理數(shù)據(jù)的目的、范圍、處理方式，在數(shù)據(jù)安全方面明確自身和第三方應(yīng)分別承擔(dān)的責(zé)任和義務(wù)，以及各自應(yīng)當(dāng)采取的數(shù)據(jù)安全保護(hù)措施等內(nèi)容。擬上市公司應(yīng)在實(shí)現(xiàn)合同約定目的最小必要范圍內(nèi)共享數(shù)據(jù)，并要求數(shù)據(jù)接收方在實(shí)現(xiàn)合同目的最小范圍內(nèi)使用數(shù)據(jù)。

?

（4）記錄保存義務(wù)

?

擬上市公司應(yīng)當(dāng)準(zhǔn)確記錄和保存?zhèn)€人信息共享的情況，包括共享的日期、規(guī)模、目的，以及數(shù)據(jù)接收方基本情況等。根據(jù)網(wǎng)信辦最新發(fā)布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征求意見稿）》，提示擬上市公司注意，進(jìn)行數(shù)據(jù)共享應(yīng)當(dāng)對(duì)個(gè)人同意情況進(jìn)行記錄，提供個(gè)人信息的日志記錄、共享重要數(shù)據(jù)的審批記錄和日志記錄保存至少五年時(shí)間。

?

（5）行權(quán)協(xié)助義務(wù)

?

擬上市公司應(yīng)當(dāng)幫助個(gè)人信息主體了解數(shù)據(jù)接收方履行義務(wù)的情況（例如對(duì)個(gè)人信息的保存、使用等情況），以及個(gè)人信息主體享有的權(quán)利，包括但不限于訪問、更正、刪除、注銷賬戶等。

?

?

擬上市公司在上市過(guò)程中在招股說(shuō)明書等相關(guān)上市申請(qǐng)文件中對(duì)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)應(yīng)進(jìn)行充分的披露，既包括對(duì)既存數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的揭示，也包括對(duì)未來(lái)潛在數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的客觀分析。相關(guān)證券監(jiān)管部門問詢和擬上市公司答復(fù)及相關(guān)招股說(shuō)明書披露如下：

（點(diǎn)擊圖片查看大圖）

?

而對(duì)于既有數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的披露，證券監(jiān)管部門要求擬上市公司一方面應(yīng)披露現(xiàn)有的訴訟或者行政處罰情況，另一方面應(yīng)披露現(xiàn)有產(chǎn)品和業(yè)務(wù)模式下是否有導(dǎo)致訴訟或者行政處罰的風(fēng)險(xiǎn)。對(duì)于潛在數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)的評(píng)估，證券監(jiān)管部門在問詢中對(duì)擬上市公司未來(lái)潛在的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)也尤為關(guān)注：其會(huì)要求擬上市公司根據(jù)主要產(chǎn)品和業(yè)務(wù)模式對(duì)未來(lái)的政策制度風(fēng)險(xiǎn)可能對(duì)業(yè)務(wù)及生產(chǎn)經(jīng)營(yíng)產(chǎn)生的影響進(jìn)行客觀分析。相應(yīng)的應(yīng)對(duì)解決方式為：

?

（1）已有數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)披露

?

充分評(píng)估及披露其是否因數(shù)據(jù)不合規(guī)受過(guò)相關(guān)的行政處罰、法律糾紛或訴訟以及其對(duì)公司業(yè)務(wù)的影響；對(duì)于相關(guān)負(fù)面輿論報(bào)道，也需及時(shí)關(guān)注與回應(yīng)，必要時(shí)進(jìn)行進(jìn)一步相關(guān)說(shuō)明。

?

（2）未來(lái)潛在數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)評(píng)估

?

未來(lái)潛在風(fēng)險(xiǎn)，不僅包括現(xiàn)有商業(yè)模式下"灰度"問題如何去解釋和改進(jìn)，也包括由于立法的更新和變化，所帶來(lái)監(jiān)管的不確定性考慮。我們認(rèn)為，擬上市公司應(yīng)當(dāng)從持續(xù)跟進(jìn)—積極研判—主動(dòng)評(píng)估—制度落地—意識(shí)提升等幾個(gè)維度去進(jìn)行建設(shè)，形成自身良好的合規(guī)閉環(huán)體系，以及從上至下的合規(guī)意識(shí)提升，從而才能有效應(yīng)對(duì)未來(lái)的數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)。

?

（3）跨境業(yè)務(wù)下的風(fēng)險(xiǎn)評(píng)估

?

考慮到大多數(shù)國(guó)內(nèi)企業(yè)產(chǎn)品在國(guó)內(nèi)外均具有市場(chǎng)競(jìng)爭(zhēng)力，有些擬上市公司產(chǎn)品已經(jīng)行銷海外，因此境外的數(shù)據(jù)合規(guī)問題亦不容忽視。全球主要經(jīng)濟(jì)體對(duì)于個(gè)人隱私和數(shù)據(jù)安全均十分看重，而每個(gè)國(guó)家對(duì)此的合規(guī)要求又有不同。因此擬上市公司必須評(píng)估產(chǎn)品和服務(wù)跨境場(chǎng)景下的數(shù)據(jù)合規(guī)問題。而根據(jù)我們經(jīng)驗(yàn)，跨境合規(guī)評(píng)估涉及到不同法域和不同場(chǎng)景，相較于國(guó)內(nèi)合規(guī)評(píng)估，此類合規(guī)工作較為復(fù)雜和不可控。因此，我們建議擬上市企業(yè)應(yīng)當(dāng)未雨綢繆，盡早進(jìn)行規(guī)劃，特別是主要產(chǎn)品的主要市場(chǎng)在境外的，更要制定比較詳細(xì)的評(píng)估方案，以應(yīng)對(duì)監(jiān)管問詢。

?

?