企业拟上市,数据获取合规做好准备了吗?

据统计，67%的App存在5个及以上个人信息安全问题，18.5%的App存在10个及以上个人信息安全问题。超过四成App的问题集中在未公开收集使用规则、未明示收集使用目的、超范围收集个人信息。

为治理上述现象，自2019年来国家不断加大对数据合规和网络安全的监管力度，2021年8月13日浙江省通信管理局发布《关于开展互联网行业市场秩序专项整治行动的通知》，预计今年10月底前完成对互联网企业的合规调查，11月底前完成督促检查、整改，执法问责。

证监会对北京墨迹风云科技股份有限公司的发审会公告中要求发行人就APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可，是否面临被处罚的风险进行说明，同样类型问题有：

①发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可，是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见；

②报告期内受到行政处罚的整改情况，相关内部控制制度的具体措施及执行的有效性；

③2017年发行人被采取相关监管措施的事件经过、整改措施及落实情况、是否属于重大违法违规行为；

④报告期内受到行政处罚的整改情况，相关内部控制制度的具体措施及执行的有效性；

⑤日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。

2. 数据获取问询分析

通过梳理2018年至2021年9月证监会发布的会议审核结果，拟上市企业被问询到的有关数据合规相关问题可以归纳为数据处理与数据安全两方面，其中数据处理包括数据的获取、存储、使用、加工、传输、提供、公开等。

可见，数据监管已覆盖到数据产品全周期，篇幅所限，本文仅对证监会提出的与数据获取有关的合规问题进行归纳解读并提出合规建议，以期为拟上市企业的数据合规提供有益参考。有关数据获取合规的问询包括：

①发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规；

②发行人使用用户数据是否合法合规，尤其是商业化变现的合规性，结合相关媒体报道的墨迹天气上传用户隐私等情况，对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的的情况，是否存在法律风险或潜在法律风险；

③数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷；

④报告期内开展业务所需数据的来源是否合法合规，是否存在侵权及欺诈等损害客户利益等情形，有无潜在纠纷；

⑤付费买家数据的获得合理性，发行人外包给第三方，是否具有合规性，是否对发行人业务开展影响；

⑥获取授权的过程在法律上是否完备，是否符合相关法律法规规定的要求；

⑦发行人相关业务中应获得授权的手续是否完备。请保荐代表人说明核查过程、依据，并发表明确核查意见；

⑧数据获取、使用、处理等内部控制制度及执行情况，对数据安全和个人隐私的保护措施，获得公安部门信息系统安全等级保护测评的情况。

企业作为数字经济中最主要的市场主体，应注重自身的数据治理能力，以最大化的发挥数据价值。

1. 明确可收集范围

证监会对数据获取的合规性考量无非集中在两点：一是获取程序的正当性；二是获取手段的合法性。

对数据获取程序的正当性考察主要为拟上市企业可收集的信息范围是否存在过度获取的情形，获取用户数据的过程以及用户授权在法律上是否完备。

以个人信息为例，《个人信息保护法》规定收集个人信息的行为应当遵守最小、必要原则，是指收集的个人信息范围为实现目的所必要的最小范围，但何为最小范围目前没有固定的衡量标准，具体操作建议参考《常见类型移动互联网应用程序（APP）必要个人信息范围（征求意见稿）》以及《网络安全实践指南—移动互联网应用基本业务功能必要信息规范（V1.0）》中列举的常见APP收集必要个人信息的范围再结合企业所开展的业务进行确定。

因此，拟上市企业有必要对评估机构的评估要点及标准进行了解，可参照《App违法违规收集使用个人信息评估要点和操作规程》等技术规范文件进行自查自纠，以减少或避免因数据获取行为不合规被通报整改、遭受行政处罚的情况。

2. 如实披露、取得授权

在确定可获取的数据范围后，企业需要对收集信息的目的、使用范围、使用规则进行如实披露并在此基础上制定用户授权规则，除《民法典》《网络安全法》对如实披露、用户授权的原则性规定之外，建议参考《网络安全标准实践指南-移动互联网应用程序（APP）收集使用个人信息自评估指南》，国家标准《信息安全技术 个人信息告知同意指南（征求意见稿）》的第5、6、7、8、9部分对告知同意的适用情形、免于告知同意的情形、告知同意的基本原则、不同场景下的告知同意进行了详细规定，具有很强的参考价值。

3. 获取手段正当性

①数据交易

企业除直接向用户收集信息外还可以在数据交易场所购买数据，与数据产品所有者达成数据交易或通过技术手段从网络公开、半公开渠道获取。我国数据交易产业起步于2014年，已建成和计划建成的数据交易场所达17家。

目前，能够在数据交易所进行交易的数据必须是经过匿名化处理的数据，未经处理的个人信息交易不被允许，对于数据产品的卖方而言，收集个人信息后，宜立即进行去标识化处理，并采取技术和管理方面的措施，用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理，信息的匿名化处理必须达到不可识别到特定人且不可复原并重新识别的程度。

根据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五、六条关于侵犯公民信息的行为、情节严重程度的规定，不论企业是作为买方还是买方，在进行数据交易时，为避免被追究刑事责任，应当在交易或作出许可前，对对方进行尽职调查，包括对方的业务领域、商业目的、数据用途、保护信息安全的手段等。

②技术手段及 0pen API开发合作

撞库已被认定为非法手段，爬虫技术只有在满足爬取对象为公开数据且遵守通用的技术规则的前提下，才可以被认定为合法，否则将会产生各类法律责任，如非法获取计算机信息系统罪、侵犯公民个人信息罪、不正当竞争等。

北京鼎阅文学信息技术有限公司在未经权利公司许可的情况下，利用网络爬虫技术，爬取正版电子图书后，在其推广运营的App中展示，供他人访问并下载阅读进行牟利，最终鼎阅公司及相关人员被认定为犯侵犯著作权罪。

0pen API开发合作模式是实现数据信息资源共享的新途径，企业可考虑采用 0pen API开发合作模式代替爬虫技术，0pen API开发合作模式需遵守“用户授权”+“平台授权”+“用户授权”的三重授权原则。

具体而言，是指数据出卖方就其出卖行为告知并取得用户同意，购买方在使用用户信息时还应当明确告知用户其使用的目的、方式和范围,再次取得用户的同意，若企业未达到上述要求，将会导致数据获取手段的正当性被否定。

大数据时代，数据资产无疑是企业的核心竞争力之一，合规的地基不牢，不仅会导致企业多年努力付之东流，更可能引发舆情危机，其后果从“墨迹”IPO被否所引起的一系列连锁事件中可见一斑。

合规从不是一个“点”，而是需要企业一以贯之的“线”，就数据收集到形成数据产品的全流程制定符合本企业特点的合规方案，是发挥数据价值的关键所在。

作者介绍：

陈亚纳 ，来自iLAW合规联盟——宁波分院，北京大成（宁波）律师事务所合伙人，现任浙江省律师协会民商事委员会委员、宁波市律师协会民商事委员会委员、宁波市律师协会金融与资本市场委员会委员。长期专注于公司治理、金融证券、民商事争议解决、不动产及常年法律顾问业务。