作者丨刘平 刘浩
前言
随着我国《网络安全法》、《数据安全法》、《个人信息保护法》“三驾马车”并行的数据合规法律体系的形成,以及相关行政法规、规章和规范性文件的密集出台,交易所对于申请境内上市的企业在数据合规层面的审核问询也日趋严格和细化。对于数字经济、互联网平台企业等涉及数据处理活动的申请境内上市企业而言,数据合规问题已成为交易所审核问询关注的重点之一,问题严重的甚至可能成为企业申请上市过程中的实质性法律障碍。因此,在数据合规领域监管日趋加强的背景之下,如何在企业日常运营管理中落实各项数据合规要求,并在申请上市过程中妥善回复交易所的相关问询,是拟申请上市的企业需要关注的重要事项。
本文通过梳理申请在境内上市或新三板挂牌的企业在2023年度受到的交易所在数据合规方面的相关问询及企业对问询作出的回复,总结出交易所在数据合规方面审核问询的关注重点,并提出相应的合规建议,以供拟申请上市的企业参考。
一、数据合规事项的信息披露要求
根据《首次公开发行股票注册管理办法》(证监会令第205号)第34条第2款,“中国证监会制定的信息披露规则是信息披露的最低要求,不论上述规则是否有明确规定,凡是投资者作出价值判断和投资决策所必需的信息,发行人均应当充分披露,内容应当真实、准确、完整”。
根据《首次公开发行股票注册管理办法》(证监会令第205号)第40条,“发行人应当以投资者需求为导向,精准清晰充分地披露可能对公司经营业绩、核心竞争力、业务稳定性以及未来发展产生重大不利影响的各种风险因素。”
虽然上述规定未明确要求企业披露数据合规情况,但由于数据已经成为部分类型企业生产经营的重要驱动力,数据合规事项可能构成“投资者作出价值判断和投资决策所必需的信息”或者“可能对公司经营业绩、核心竞争力、业务稳定性以及未来发展产生重大不利影响的风险因素”,因此,在申请境内上市或新三板挂牌过程中,这一类企业需要就数据合规事项进行相关信息披露,并可能受到交易所对有关数据合规问题的问询。
此外,深交所和上交所均针对数据合规事项的核查要求作出更为具体的规定。根据《深圳证券交易所股票发行上市审核业务指南第3号——首次公开发行审核关注要点》(深证上[2023]778号)之“13-5发行人业务是否涉及数据安全和个人信息保护”问题的核查要求,“发行人属于数字经济、互联网平台企业,或发行人涉及数据开发利用等数据处理活动的,保荐人、发行人律师应当对公司相关经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规进行核查,并发表明确意见”。此外,根据《上海证券交易所发行上市审核业务指南第4号——常见问题的信息披露和核查要求自查表》(上证函[2023]657号)之“第一号 首次公开发行”之“4-7数据安全和个人信息保护”问题的核查要求,相关企业应在招股书、保荐工作报告、专项核查报告、律师工作报告、会计师核查报告等文件中披露或核查相关要求的落实情况。
二、2023年度境内IPO数据合规概况
根据我们在公开渠道的查询,申请境内上市或新三板挂牌的企业中,在2023年度(2023年1月1日至2023年12月31日)受到交易所关于数据合规事项问询的企业共有82家(可能并未穷尽全部),各板块分布及行业分布情况如下:
(一)各板块分布
在上述82家企业中,申请主板上市的企业13家,申请创业板上市的企业13家,申请科创板上市的企业11家,申请北交所上市的企业14家,申请新三板挂牌的企业31家。具体如以下图表所示:
点击可查看大图
从以上图表可以看出,申请在主板、创业板、科创板、北交所上市受到数据合规方面的问询的企业数量相近,说明交易所对各板块申请上市企业的审核均会关注到数据合规方面的问题。申请新三板挂牌受到数据合规方面问询的企业数量最多,这与2023年新三板挂牌企业数量远超其他板块有关。
(二)行业分布
在上述82家企业中,软件和信息技术服务业33家、计算机、通信和其他电子设备制造业8家,商务服务业8家,专用设备制造业5家、互联网和相关服务业5家,电气机械和器材制造业4家,其他行业合计19家。具体如以下图表所示:
点击可查看大图
从以上图表可以看出,软件和信息服务业、计算机、通信和其他电子设备制造商、商务服务业、专用设备制造业、互联网和相关服务业等行业的申请上市企业的数据合规问题受到交易所的重点关注,这些行业拟申请上市的公司应引起充分重视。
三、交易所问询要点及合规建议
根据上述82家企业的问询函、问询回复等公开披露文件,我们总结了交易所重点关注的4大类型数据合规问题(数据全生命周期的合规性、数据合规制度建设及执行情况、数据合规相关风险披露、数据合规立法及监管对业务的影响)及常见的问询问题,并提出相应的合规建议。
(一)数据全生命周期的合规性
1. 数据收集
(1)问询要点
点击可查看大图
(2)合规建议
A. 明确个人信息收集的合法性基础
根据《个人信息保护法》第13条第1款,“符合下列情形之一的,个人信息处理者方可处理个人信息:(一)取得个人的同意;(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;(三)为履行法定职责或者法定义务所必需;(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;(七)法律、行政法规规定的其他情形”。
根据《个人信息保护法》第14条第1款,“基于个人同意处理个人信息的,该同意应当由个人在充分知情的前提下自愿、明确作出……”
根据上述规定,企业收集个人信息应以“取得个人的同意”或其他六种例外情形作为合法性基础;若以“取得个人的同意”作为个人信息收集的合法性基础,则该同意应当由个人在充分知情的前提下自愿、明确作出。
上述合规要求在部分企业的问询回复中有所体现。例如,某企业在问询回复中披露:“无论何种方式采集业主信息,发行人门禁系统采集信息时均按照公开、自愿和必要性规则进行,首先通过向注册用户明示收集使用个人信息的目的、方式和范围,再通过用户主动注册的方式进行采集,采集过程中被采集人是充分知情的……”
B. 间接获取个人信息需采取的合规措施
根据《信息安全技术 个人信息安全规范》(GB/T 35273-2020)第5.4 e)条,“间接获取个人信息时,1)应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;2)应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意”。
根据《个人信息保护法》第23条,“个人信息处理者向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理个人信息。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意”。
根据上述规定,若企业从数据供应商处间接获取个人信息,需要进行必要的尽职调查,了解数据供应商提供的个人信息来源是否合法合规、转让或共享等间接收集个人信息的行为是否已获得个人信息主体的授权同意、企业开展业务所需进行的个人信息处理活动是否在个人信息主体授权同意的范围之内等事项。
C. 收集个人信息需遵循最小必要原则
根据《个人信息保护法》第6条,“处理个人信息应当具有明确、合理的目的,并应当与处理目的直接相关,采取对个人权益影响最小的方式;收集个人信息,应当限于实现处理目的的最小范围,不得过度收集个人信息”。
上述合规要求在部分企业的问询回复中有所体现。例如,某企业在回复中披露:“发行人对相关个人信息的使用,系与开展业务直接相关且出于实现业务目的的必要范围……”
2. 数据使用
(1)问询要点
点击可查看大图
(2)合规建议
根据《个人信息保护法》第10条,“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息……”
根据《个人信息保护法》第14条第2款,“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意”。
根据上述规定,企业不应进行非法买卖个人信息、利用相关个人或企业客户信息进行牟利、利用用户信息违规开展精准营销等非法使用个人信息的行为;若超出个人信息主体的授权许可范围使用个人信息的,则应重新取得个人同意。
3. 数据存储
(1)问询要点
点击可查看大图
(2)合规建议
A. 采取有效措施防止数据泄露
根据《数据安全法》第3条第3款,“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。
根据《个人信息保护法》第51条,“个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失:(一)制定内部管理制度和操作规程;(二)对个人信息实行分类管理;(三)采取相应的加密、去标识化等安全技术措施;(四)合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;(五)制定并组织实施个人信息安全事件应急预案;(六)法律、行政法规规定的其他措施”。
根据上述规定,企业应根据具体情况采取制定相关数据合规管理制度、加密、去标识化、确定个人信息处理的操作权限等必要措施,确保数据在存储过程中处于有效保护和合法利用的状态,防止数据或个人信息的泄露、篡改、丢失。
上述合规要求在部分企业的问询回复中有所体现。例如,某企业在问询回复中披露:“尽管相关系统及售后服务APP及产品资讯和售后咨询APP并非由公司自行独立开发,但相关平台账户等信息管理权限由发行人负责;同时,发行人已指定具体部门负责公司信息系统管理、信息系统的日常维护等工作,并对云系统、售后服务APP及产品资讯和售后咨询APP数据读取设定了差异化的使用权限,有效保证了数据传递及使用安全,降低了数据及信息泄露的风险……”
B. 个人信息存储时间的最小化要求
根据《个人信息保护法》第19条,“除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间”。
上述合规要求在部分企业的问询回复中有所体现。例如,某企业在问询回复中披露:“根据不同客户的要求,发行人存储、使用客户持卡人(或消费者/用户)个人信息在完成结算工作或协议终止后会及时进行删除、返还,客户不定期对发行人数据定期删除情况进行检查;发行人同时建立有机制,如消费者要求删除其个人信息,在与客户确认不影响其售后服务的情形下,发行人即刻将消费者个人信息予以删除”。
4. 其他问询问题
根据上述82家企业的问询函等公开披露文件,除上述数据收集、使用、存储环节问询的主要问题外,交易所也可能就数据处理情形、数据权属等问题向相关企业进行概括性地问询,具体如下:
点击可查看大图
(二)数据合规制度建设及执行情况
(1)问询要点
点击可查看大图
(2)合规建议
《网络安全法》、《数据安全法》、《个人信息保护法》等相关法律法规对企业在数据合规制度建设及执行方面提出的要求包括但不限于:
点击可查看大图
企业应根据上述要求,建立健全网络安全、数据安全、个人信息保护的各项管理制度;此外,还应采取相应的网络及数据安全技术措施,设置数据合规相关负责人、责任机构,并开展数据安全教育培训,以确保网络安全、数据安全、个人信息保护管理制度的有效执行。
上述合规要求在部分企业的问询回复中有所体现。例如,某企业在问询回复中披露:“公司建立的数据安全内部控制制度已经覆盖了整体信息化安全管理、数据安全与泄露事件的应对、物理层面系统及机房的安全管理等多方面,从整体到不同类型数据类型,从数据、系统到物理层面均包含在内,内部控制制度健全;此外,为增强全员数据安全意识、推动落实上述各项内部控制制度,公司已开展信息安全培训等活动,总体上保障有关内控制度的有效执行”。
(三)数据合规相关风险披露
1. 问询要点
点击可查看大图
2. 合规建议
根据上述问询要点,交易所一方面可能要求申请上市企业披露现有的数据合规相关诉讼、行政处罚、被有关部门责令整改等情况,另一方面还可能要求披露现有业务模式下是否有导致数据合规相关诉讼、行政处罚的潜在合规风险。
因此,企业在日常经营管理过程中,应落实数据合规的各项要求,避免数据合规方面的处罚、纠纷或其他违规。对于现有合规问题,我们建议企业应在申请上市之前尽快对有关问题进行核查和整改,对于重大合规问题应在申请上市前整改完毕。对于潜在数据合规风险,我们建议企业应持续对业务经营中涉及的数据合规问题进行评估和管理,积极提升数据安全和合规管理能力,从而有效应对潜在的数据合规风险。
(四)立法及监管对业务的影响
1. 问询要点
点击可查看大图
2. 合规建议
近年来,由于网络安全、数据合规、个人信息保护领域相关法律法规密集出台,交易所对相关立法的出台对申请上市企业在业务、研发等方面的影响,以及数据处理是否符合规定日趋关注。
因此,我们建议,企业一方面应根据现行的法律法规建立相匹配的数据合规管理制度并有效执行,另一方面应持续跟进数据合规领域相关法律法规的变化,关注相关征求意见稿反映的立法趋势,并在业务开展过程中针对该等变化和立法趋势作出及时、有效的调整和应对措施。
结语
总体而言,2023年度交易所在审核问询境内上市申请或新三板挂牌申请过程中,延续了过往对于网络安全、数据合规、个人信息保护监管趋严的思路,并且可以预见的是,随着相关行政法规、规章、规范性文件等的逐步完善,未来的审核问询可能会更为严格、细致。因此,拟申请上市的企业有必要了解交易所在数据合规方面审核问询的关注要点,并参考相应的合规建议,提前在企业运营管理中落实各项数据合规要求,并对申请上市过程中受到的数据合规问询予以有效应对,为企业的成功上市在数据合规方面做好充分准备。
作者简介
刘平 律师
深圳办公室
非权益合伙人
业务领域:中国内地资本市场,网络安全和数据保护,反垄断和竞争法
刘浩 律师
深圳办公室 资本市场部
声明:本文来自中伦视界,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
