查看原文
其他

浅议境内上市中的数据合规实务

王岩、付孟阳 商法CBLJ
2024-08-26


资本市场


  

王岩

国枫律师事务所

合伙人

付孟阳

国枫律师事务所

律师

年来,随技术的迅猛发展,企业经营中处理的数据规模呈指数级增长,数据合规在境内上市审核中日益受到审核部门的关注。本文试以企业境内上市为视角,浅议其中的数据合规实务。


数据合规审核趋严

在目前的境内上市审核中,数据合规事项作为问询问题的频度及深度均有明显提升,主要表现在:(1)对业务重度涉及数据处理的企业,关于数据合规事项的问询贯穿审核的全过程;(2)随立法逐步完善,审核问询所对应的法律法规逐步从《民法典》《数据安全法》《个人信息保护法》等法律延展至部门规章、规范性文件、行业标准,以木仓科技的案例为例,审核部门要求发行人除结合前述法律外,还需对照《互联网信息服务算法推荐管理规定》《关于开展纵深推进APP侵害用户权益专项整治行动的通知》等规定分析相关经营行为的合规性;(3)对发行人数据合规的审核,全面覆盖至个人信息的收集、存储、使用、加工、传输、提供、公开等各环节,部分案例中审核部门已结合发行人的业务模式有针对性地进行设问。


在上述背景下,拟上市企业若不能规范处理数据合规事项,在上市过程中将面临不同程度的法律障碍。


数据合规典型问题

拟上市企业在数据合规方面常存在几类典型问题:


对数据合规的边界认知不足。实务中,部分拟上市企业仍局限地认为数据合规仅适用于部分特定行业,自身无APP、小程序等线上工具的企业不会触及数据监管。但《个人信息保护法》《数据安全法》等法律法规颁布后,明确个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,数据是指任何以电子或者其他方式对信息的记录,而个人信息、数据的处理则包括收集、存储、使用、加工、传输、提供、公开、删除等各类行为。企业即使是通过线下填表归档方式收集数据和个人信息,或者仅使用、加工第三方收集的数据和个人信息,也属于数据处理行为,例如在联众信息的案例中,审核部门即对发行人线下收集并装箱的纸质病案管理予以关注,而在零点有数的案例中,审核部门要求发行人补充披露保障外部采购数据可靠性的措施及有效性。


对数据合规主体、行为边界认知的不足,造成部分企业在数据合规上出现盲区,并进而影响其上市的合规性审查。


对数据合规缺乏系统性梳理。在现有法律框架及监管要求下,数据处理的环节众多、内涵丰富,对企业自身管控要求较高,但由于数据合规并不“直接创造生产力”,部分企业对其缺乏系统性梳理,导致部分企业存在过度收集个人信息、误导用户下载、软件开发工具包(SDK)违规收集个人信息、未取得授权将数据及个人信息共享给第三方、数据出境未履行相应报备程序等违规情形,并构成上市的法律障碍。


数据合规内控制度流于形式。以笔者观察到的某项目为例,该企业主营业务是为某大型互联网平台提供外包服务,在其开展业务过程中接触了平台收集的大量用户个人信息。该企业在内控制度中明确要求“可访问客户数据的权限人员不超过3名,未经部门负责人同意,其他人员不得查阅、复制用户数据,且查阅行为将被记录……”,但实际操作中,因制度执行流于形式,某员工擅自复制了大量个人信息并以牟利为目的出售,该行为导致互联网平台立即终止了与企业的业务合作,对其业务造成重大不利影响。


数据合规建议

企业的数据合规是一个长期且系统化、动态化的工作,在筹备上市过程中,笔者建议:(1) 企业应树立正确的数据合规意识,通过公司与外部机构、公司各部门之间的协同,为企业量身定制符合监管要求、运营需要且实际可执行的数据内控制度,切实防范数据合规风险。


(2) 拟上市企业应尽快通过外部机构的尽职调查,梳理并确保企业拥有处理数据信息的相关资质,对合规瑕疵及时进行整改,并做好证据留痕工作,保证后续在应对中介机构核查及上市审核时能够做到依据充分,结论清晰。


(3) 在上市审核过程中,可以寻求第三方为企业数据合规提供证据支持,例如在联众信息案例中,发行人聘请具有专业资质的第三方机构对公司产品及服务中涉及的数据保护措施进行了检测并提供结论性意见;在日日顺的案例中,公司取得了市级主管单位出具的合规证明,确认报告期内个人信息保护等方面的合规性,该等措施均为企业上市审核提供了有力支持。



作者 | 国枫律师事务所合伙人王岩、律师付孟阳


本文刊载于《商法》2023年6月刊。如欲阅读电子版,欢迎浏览《商法》官网。

往期专栏精选



长按扫码关注我们

为了让您第一时间获取专业法律资源

请常点“在看”

并将CBLJ 商法设为星标


阅读原文查看更多国枫律师事务所的相关内容

继续滑动看下一个
商法CBLJ
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存