【数据法学】孟洁:公司上市、并购数据合规初步指引
The following article is from M姐 数据合规评论 Author 孟洁律师团队
B D A I L C
欢 迎 关 注
Apollinary Mikhaylovich Vasnetsov
公司上市、并购数据合规初步指引
文 / 孟洁
一、事件背景
今年10月11日,证监会第十八届发行审核委员会2019年第142次发审委会议召开,此次申请上市的企业包括墨迹科技、天迈科技、斯迪克、电声营销4家公司。根据会议审核结果公告显示,北京墨迹风云科技股份有限公司的首发未获得通过,也是上述四家企业中唯一首发没有通过的公司。
根据证监会发布的公告显示,发审委会议针对墨迹科技提出的最主要的质询问题包括四个方面,第一,墨迹科技运营的网站、“墨迹天气App”存在未经其许可违规发布互联网新闻信息,被责令限期整改的情形;第二,墨迹科技通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其中涉及的数据安全问题有待公司说明;第三,报告期内发行人互联网广告信息服务收入占比超过95%;第四,报告期内与发行人存在直接或间接股权关系的客户(阿里、苏宁、腾讯,以下称“股权相关方”)直接或间接贡献收入金额及占比较大。
其中,较引人注目的地方是第二点,有关墨迹科技数据安全问题。在2019年7月,App专项治理工作组对墨迹科技发出《关于App收集使用个人信息相关问题的通知》,提出了其相关的数据不合规的问题。对于被点名整改这一情况,墨迹天气相关负责人对媒体表示,墨迹天气最新版本已根据国家标准完善了用户隐私协议,并且已初步通过国家的App安全认证初步审核。但此次事件仍旧对其上市造成了影响。
二、该事件有关的数据合规问题分析
在此次发布的公告中,证监会在关于数据安全方面主要提出了五个问题:
1、数据的收集
公告原文,“发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规。”
此问题主要是针对用户数据的收集过程,收集行为作为整个数据生命周期的前端,其合规性直接影响数据后续使用过程的合规性。根据《信息安全技术 个人信息安全规范》(10.22版)(以下简称“个人信息安全规范”)条款5.4中的规定,该条文对个人信息控制者的要求包括:“ a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围,并获得个人信息主体的授权同意;”。同时,App专项治理小组发布的《App违法违规收集使用个人信息自评估指南》中的评估点23也提到了App是否向用户明示收集、使用个人信息的目的、方式、范围。
其实,墨迹科技并不是第一例因为数据收集问题导致其在资本市场的发展受到阻碍的案例。许多公司在进行重组或者投融资时,数据收集问题都成为了审批部门关注的问题。具体案例详见下表:
数据收集作为整个数据全生命周期的起点,使得数据收集合规工作对整个数据合规工作具有巨大的意义。从上述案例我们可以看出,数据收集的核心焦点在于保证所收集数据来源的合法性。
对于公司直接收集的数据,公司则须履行告知义务并征得用户同意。企业履行告知义务的具体要求和方式方法又因业务场景的不同有所区分。不同场景如个人信息的收集、个人敏感信息的收集以及将个人信息与第三方的共享等情形下的告知义务法律均有不同的要求。
对于通过合作、委托处理等方式间接获取的数据,则需采取必要、适当的手段进行核实或者签订承诺函等方式保证数据来源的合法性。如根据最新版的《个人信息安全规范(征求意见稿)》,个人信息控制者应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
综上,我们建议企业在收集用户个人信息之前,一方面应当充分利用隐私政策、用户协议、PBD(Privacy By Design)来履行告知义务,详细说明其所收集的个人信息,及其方式和目的,搭建企业数据合规工作的基石;另一方面,对于间接获取的数据则应当通过签订承诺函并采取合适的措施等方式审查数据来源的合法性。
此外,根据目前的执法趋势,执法机关对于通过“一揽子授权”获得用户个人信息用于市场营销等特殊目的情形则予以严厉打击。运营者还应就不同数据收集使用场景,制定不同的征得用户授权同意方案。
2、数据的使用
公告原文,“发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的墨迹天气上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险;”
在此问题的问询中,证监会重点关注了当数据进行商业化变现时的合规性问题。数据作为企业的重要资产,其合理的使用能够给公司创造巨大的价值,但其使用也有着诸多限制,突破这些限制就可能引发侵犯用户隐私的风险。
根据《网络安全法》第四十一条的规定,使用个人信息要遵守合法、正当和必要的原则。《个人信息安全规范》第7.3条也规定,“使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意;”由此可以看出,使用个人信息的范围应当遵循个人信息主体授权同意的范围。
事实上除了墨迹科技之外,许多公司在进行重组或者投融资时,数据使用问题都成为了审批部门关注的问题。具体案例详见下表:
在数据商业变现过程中,数据交易也是企业常见的做法之一,从上述案例可看出,授权第三方使用数据行为本身的合规性越来越受到证监会的关注。即向第三方机构提供用户的个人信息,同样需要获得用户的授权同意,如果对法益的侵害达到一定程度,还有可能存在侵犯公民个人信息的刑事风险。根据《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》,《刑法》第二百五十三条之一中规定过的“提供公民个人信息的情形”包括未经被收集者同意,将合法收集的公民个人信息向他人提供等情形。
综上,企业不仅在自己使用用户数据时需要履行法律上的合规义务,当企业向第三方提供公民个人信息以实现相应商业目的时,也同样需要注意获取用户授权同意,避免被认定为非法提供公民个人信息情形的发生。
3、内部控制制度
公告原文,“数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。”
对于个人信息保护的监管,不限于对隐私政策等外部制度文件的监管,还包括对公司个人信息保护的内部制度的监管。《个人信息安全规范》第7.1条规定了企业对个人信息访问进行的控制措施,要求对被授权访问个人信息的人员,应建立最小授权的访问控制策略,并对安全管理人员、数据操作人员、审计人员的角色进行分离设置等。
除此之外,《个人信息安全规范》第5.6条还规定,个人信息控制者制定的隐私政策应当包括“遵循的个人信息安全基本原则,具备的数据安全能力,以及采取的个人信息安全保护措施,必要时可公开数据安全和个人信息保护相关的合规证明”。
由标准规定的内容可以看出,公司关于数据保护的内部制度也是公司合规义务中重要的一部分。公司要注重加强在内部管理上的文化和制度建设,以避免潜在的信息安全事件。《个人信息安全规范》第5.6条没有阐述公开数据安全和个人信息保护相关的合规证明的“必要”的具体情景,根据司法实践,此情景可能发生在用户提出要求,监管部门进行核查或者发生数据安全事件时作为免责事由的证明等。无论在何种情境中,企业内部的合规建设都有着重要的作用。
企业内部数据安全内控制度的建设情况同样是审批部门重点关注的问题,具体案例详见下表:
基于以上监管案例,我们建议拟上市企业还应构建和完善企业内部管理制度,主要包括领导决策、人员管理、安全技术方面的管理制度以及风险管理制度三个维度。
(1) 领导决策
根据最新版《个人信息安全规范(征求意见稿)》第10.1条的规定,法定代表人或主要负责人对个人信息安全负全面领导责任,包括为个人信息安全工作提供人力、财力、物力保障等。在实践中,公司多采取在内部设立委员会的方式,对公司的数据合规策略与治理进行共同决策。
(2)人员管理制度
对于新入职员工,企业应当组织个人信息保护方面的培训并与其签署保密协议。对于在职员工,要明确信息保护的权责,设立专职的个人信息保护负责人和个人信息保护工作机构,形成个人信息保护工作的责任制。对于离职员工,应当要求在一定时期继续履行保密义务。
(3)安全技术方面的管理制度
安全技术方面的管理制度包括访问权限管理制度、数据加密管理制度、信息系统安全等级保护制度等。第一,在权限管理制度的构建上,企业应做对被授权访问个人信息的人员,建立最小授权的访问控制策略,使其只能访问职责所需的最少的个人信息。同时对于重要数据访问的请求方、授权方、管理方应当实现职责分离,不同级别的访问权限需要专人审批。对于外部人员访问相关数据,则应签订相关的保密协议,对其访问进行监督等。第二,企业在进行数据的存储、传输等过程中要严格进行加密措施,常见的加密措施包括MD5等。第三,企业需要构建信息系统安全等级保护制度,制定等保指引文件并按照文件要求落实系统定级、网络备案、网络安全建设整改、等级测评、企业自查等工作。
(4) 应急事件管理制度
企业应当构建和完善应急事件的管理制度。首先,企业应当成立专门的应急处置小组,面对数据安全突发事件应立即采取初步补救措施,并对相关部门人员进行追责。其次,评估事件可能造成的影响,并采取必要措施控制事态,消除隐患。再次,企业应按《国家网络安全事件应急预案》的有关规定和要求及时上报。最后,企业应按照法律规定履行安全事件的告知义务并进行后期整改建设。
4、监管趋势下的业务影响
公告原文,“日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施”。
自2016年《网络安全法》颁布以来,我国相继出台了许多的法律法规来保障数据收集和使用的安全。包括《数据安全管理办法(征求意见稿)》、《儿童个人信息网络保护规定》、《个人信息安全规范(征求意见稿)》等等。在层层监管下,对于企业来说,合规建设也需要包含内外部契约的制定:
外部契约:无论是对于用户还是对于监管机构,像隐私政策和用户协议等外部契约,是其展示自身合规水准的第一层标签。做好外部制度的建设,也是规避法律风险的第一道屏障;
第三方契约:不同于外部契约,第三方契约是企业与和其业务有关联的第三方合作方所签订的相关契约。因为数据流转是数据生命周期流程中非常重要的一个环节。当企业从第三方获取数据,需要第三方保障数据来源的合法性;如果是企业向第三方共享数据,需要获得用户的授权同意、对第三方的安全能力要进行安全评估、并且对共享后第三方处理数据的行为进行合理审计。
内部制度:内部制度建设是防止信息安全事件最重要的一个环节。从数据内部使用的审批制度,到数据每一个收集使用环节的审计制度,到发生信息安全事件时的应急响应制度,每一个步骤都达到相应的合规标准才能增强企业对个人信息的整体保护能力。
5、整改情况及整改效果
公告原文,“发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。”
从2018年下半年开始,监管部门开始加强对App的监管。App专项治理小组,消费者保护协会等部门开始对市场上热门的App进行测评并发布公告,对不合规的企业进行点名批评,并对其约谈要求整改。最近工信部发布《关于开展APP侵害用户权益专项整治工作的通知》,针对APP服务提供者和APP分发服务提供者的四个方面、八个突出问题进行APP专项整治。
目前,法律法规中对于违法违规收集使用个人信息的处罚方式包括,公开曝光、约谈、没收违法所得、暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或吊销营业执照等;构成犯罪的,还会依法承担相应的刑事责任。在具体实践中,监管部门往往会采取先测评,根据测评结果进行整改,如果整改不力进行约谈的步骤,若企业仍旧不及时更改相应不合规的问题将面临相应的处罚。
根据墨迹科技的回应,墨迹天气已对隐私政策进行修改和完善,也通过了App安全认证初步审核。不过,这一问题仍对其IPO造成拖累。由此企业需要警惕,不要只等到监管机构曝光之后才对不合规的问题进行整改,否则被点名或约谈的记录仍然会对企业后续业务以及声誉造成影响。在监管找上门来之前,先构建好自身的合规体系对企业未来在资本市场的发展有着重要意义。
综上所述,我们认为企业首先应当充分认识数据合规工作的重要性以及对公司发展的影响,特别是在进行IPO、重组、投融资时应当注重数据合规,梳理数据资产,分析公司现有业务存在的风险与问题,再针对这些问题有针对性地进行有效整改,从而保证公司为数据资产提供全生命周期的安全保护。在上市或完成重组或投融资后,应当持续关注我国关于数据以及个人信息的立法动态,及时完善公司的数据合规策略,并在企业进行数据共享、转让、公开披露,发生重大安全事件或者公司业务模式、信息系统、运行环境发生重大变更时进行个人信息安全评估。对整个制度以及机制的落实情况也要随着上市过程、投融资进展审查是否完整落实,针对于一些不合适的地方,还要考虑进行调整与优化。需要组织人员进行培训,对梳理出来的问题整改情况与法律法规的跟踪变化进行比对并进一步复盘并更新完善,最后构成一个有效的合规闭环。
数据合规非一日之功,建议企业在监管趋严的趋势之下,及早考虑并完成数据合规,不要等到重大投资决策时方才为了应对监管或者为了完成交易而匆忙补课、临时抱佛脚地进行整改。如果拟上市企业需要体系化制定数据合规架构的,也可以考虑聘请相关专业律师团队协助企业开展企业数据全生命周期的合规治理。
转载于网安寻路人
仅作学习交流之用
Картины Марии Вишняк
往期荐读
编辑:韩雨硕
欢迎点击“阅读原文”