随着网络活动和数据要素在经济活动中的占比逐渐提高,以及对网络安全及数据合规的监管要求逐渐体系化,在企业发行股票及上市过程中,网络及数据合规也成为监管越来越重点关注的领域,对企业能否成功上市有重要的影响。
上市审核过程中关注的网络及数据合规问题主要包括两类。第一类是由于企业上市行为本身导致企业需要承担的相关合规义务,包括部分境外上市企业需要履行的网络安全审查义务,企业境外上市过程中可能涉及的数据出境合规义务。此外,企业在境外上市过程中还需承担保密及档案管理相关的义务,广义上也属于数据合规义务。第二类是企业所从事的业务有关的网络安全及数据合规问题。
企业合规体系建设和企业发行上市均对实践操作经验要求非常高,无论是企业还是专业服务机构均不能简单和机械地理解和执行相关的法规条文并要求企业全面、无条件地遵守。原因是,一方面有些法规规定较为原则,具体执行尺度由执法机关在具体操作中根据实际情况灵活掌握;另一方面人类社会及经济活动极为复杂,任何法规都没办法全面考虑到经济活动中可能遇到的各种情况,企业和专业服务机构需要在充分理解法规目的和监管尺度的基础上,结合企业自身的特点和需求灵活应对。
基于此,本文在统计了50余个境内外上市案例的基础上,对企业在上市过程中需要履行的网络安全和数据合规义务以及企业如何满足网络及数据合规要求予以总结及梳理。
一、网络安全审查
根据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》《网络安全审查办法》等规定,需要主动申报网络安全审查的情形包括:
(1)关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的;
(2)掌握100万以上用户个人信息的网络平台运营者赴国外上市。
此外,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动的可以依职权启动网络安全审查。
在境外上市实践中,需要申报网络安全审查的情形主要是国外上市,但是一般在香港上市过程中也需要对是否涉及网络安全审查进行一定的论证,包括就是否适用网络安全审查问题向主管部门进行必要咨询。
二、境外上市场景下的数据出境合规
企业赴境外发行证券并上市(含香港上市),如涉及数据出境的,需要遵守中国境内关于数据出境的相关规定,包括取得用户单独同意,履行数据出境安全评估、订立个人信息出境标准合同或者通过个人信息保护认证等监管流程等。
此外,企业在境外上市过程中还需要符合保密和档案管理的相关规定,在向境外机构或个人(包括证券公司、证券服务机构、境外监管机构等)提供或披露涉密资料、涉及国家安全资料、会计档案及其复制件等重要资料前,应当严格按照国家有关规定履行相应程序。
三、个人信息保护
个人信息保护是企业上市审核中经常被重点关注的问题。涉及C端用户的行业,例如电商、社交、智能家居、安防、交通出行、医疗健康等均需承担较为严格的个人信息保护义务。在IPO审核中,对于处理个人信息较多的发行人,一般会要求发行人逐项论证是否满足个人信息保护合规要求。
此外,有部分发行人曾经因为个人信息保护措施不到位而受到处罚。例如,2021年,工信部曾集中对侵害用户权益行为的APP进行通报,有较多知名互联网产品受到通报和处罚。如发行人存在被通报或者被处罚的情形,也可能会被监管重点关注个人信息保护及数据合规情况以及内部控制制度的有效性,增加通过审核的难度。
个人信息保护涉及的合规义务较多,部分企业在日常运营过程中只是通过要求个人用户签署《隐私协议》或者类似协议的方式满足基本的告知用户及取得用户同意的要求,而容易忽略其他义务。我们梳理了个人信息保护相关的主要合规要求,包括个人用户的告知与同意、敏感个人信息的处理与保护、收集个人信息的最小必要原则、对外提供个人信息与委托处理、受托处理个人信息、个人信息保护影响评估、个人信息保护合规审计、个人信息安全保障措施及应急响应处置、未成年人保护等,建议直接面对个人用户的企业应及早对其需要满足的个人信息保护义务进行全面的梳理并进行相应的规范。
四、APP运营的合规要点提示
从我们统计的案例来看,发行人的业务如涉及APP运营,审核阶段可能会被重点关注两个方面的合规性问题:
其一,APP是否已取得完备的业务资质,包括增值电信业务经营许可证的办理情况,APP、小程序的备案手续办理情况等。
其二,APP收集使用个人信息的情况,包括获取用户个人信息的具体范围、个人信息存储地、访问权限、使用权归属,用户是否知情同意,APP是否存在违法违规收集个人信息的情形,对于历史上存在APP违规收集个人信息情况被通报要求整改的,相关事件是否已整改到位,是否构成重大违法违规。
五、关于数据的搜集和采购
信息化时代,数据的搜集和采购活动已成为企业日常经营重要且常见的组成部分。基于大数据技术,企业能够实现对海量数据的搜集、整理和分析,挖掘出有价值的信息和规律,通过加以合理运用,形成新的商业模式和应用场景。从我们统计的案例来看,常见的应用场景主要包括:用于产品开发、提供数据整合服务、提供数据分析服务、提供信用评估服务。
为了更好地帮助企业落地数据应用场景和商业模式,从合规角度,我们整理了企业搜集获取公共数据、企业搜集和使用已公开的个人信息、通过爬取方式直接搜集数据、向第三方采购数据等几种在数据的搜集和采购活动中较为常见的情况,供相关企业了解背后的合规要求和潜在风险。
六、关于数据的分类分级
数据的分类分级是数据安全保护、数据规范治理和数据有序流通的前提条件。对业务开展过程中采集和沉淀的各项数据进行合理的分类分级,不仅有利于企业规范管理和使用数据,提高数据利用效率,更有助于企业对不同类别、级别的数据开展针对性保护,有效降低自身数据安全风险。
根据《数据安全法》,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。
实践中,由于各行各业的数据采集和处理活动存在不同,在具体落实上述数据分类分级保护要求时,企业经常感到无从下手,对此,可以参考《网络安全标准实践指南—网络数据分类分级指引》《信息安全技术 重要数据识别指南(征求意见稿)》等提出的数据分类分级原则、框架和工作流程执行,主要包括以下几点:
(一)按照数据分类管理、分级保护的思路,把握合法合规、分类多维、分级明确、就高从严、动态调整五大原则开展工作
(二)按照便于日常数据管理和使用为目的对数据进行分类
(三)按照数据一旦泄露或被非法利用对国家安全、公共利益或个人、组织合法权益造成的危害程度,分为一般数据、重要数据、核心数据三个基本级别
七、数据交易
对存在数据采购、数据互换(以广告换数据、以数据换数据等)、数据销售等数据交易活动的发行人来说,上市审核过程中可能被关注数据交易活动的合规性,例如发行人的数据交易对手方(或者数据供应商)是否具有获取、使用、销售数据的资质,相关业务模式是否合规,是否符合行业惯例等。
我们理解,自然人、法人和非法人组织等相关主体均可从事数据类服务及数据交易活动,不存在法律法规禁止相关主体从事数据交易活动的情况。开展一般性数据交易活动,无需取得特殊的行业或业务资质,但涉及征信业务的,需要按照《征信业管理条例》的要求办理相关许可或备案手续。
八、某些行业涉及的特殊监管要求
当前一些行业性的数据管理规定也在陆续出台,比如金融行业、医疗医药行业、电力行业、汽车/网约车行业、交通领域等,建议相关行业的发行人予以关注。
九、发行人相关内部制度及内部合规体系建设
从我们统计的案例来看,大部分案例都会关注发行人内部合规体系是否有效,在这方面,企业通常可考虑围绕内部制度层面、组织架构层面、技术手段层面和人员管控层面进行完善。
十、外部合规确认
为了论证业务经营合规性,部分项目上披露发行人取得了相关政府部门出具的合规函,或通过对主管部门进行访谈的形式确认发行人在网络和数据安全方面合法合规。除此以外,一些发行人还聘请了专业第三方机构,就其产品/服务在数据安全管理、个人信息和隐私保护等方面的合规性出具了专业评估/检测报告,进一步印证发行人业务经营的合规性。
鉴于当前网络安全和数据合规领域尚有不少具体问题有待规则明确,我们建议相关企业在上市项目推动过程中,结合其实际业务情况,聘请专业第三方机构进行专业评测,并争取取得相应业务主管部门的合规确认,以更好地论证业务经营的合规性。
十一、小结
现实中,每家企业的业务形态和业务特点各有不同,所涉及的网络与数据合规义务也不能一概而论,本文也无法穷尽列举企业所需要满足的所有合规义务。在建设信息化社会、发展新质生产力的大趋势下,企业的数据合规义务和数据资产价值的重要性是不言而喻的。建设完善的网数合规体系、提升合规意识不仅是应对上市审核所必须,也是企业在发展壮大过程中的内生性需求。我们建议企业应及早布局网数合规体系建设,希望本文能够提供一定的帮助。
来源:金杜研究院,https://www.kwm.com/cn/zh/home.html
作者:
- 孙及,金杜律师事务所合伙人,股权与资本市场部;业务领域涵盖证券及公司并购、企业出海、企业合规;邮箱:sunji@cn.kwm.com
- 贾潇寒,金杜律师事务所股权与资本市场部资深律师
- 周凡尧,金杜律师事务所股权与资本市场部
声明:本文对任何提及“香港”的表述应解释为“中华人民共和国香港特别行政区”。本篇文章的所有内容仅供参考与交流,不代表金杜律师事务所的法律意见以及对法律的解读。