前 言

近年来，计算机互联网作为信息时代新鲜且重要的生产力量，不仅极大地提高了人类社会的生产能力，更是深刻影响了当今社会的生产关系及每个人的生活、工作方式，甚至是生活态度。而与此同时，随着网络数据以及个人信息数据的不断积累及企业为商业利益全方位的收集渗透，对于数据安全，国内外近年来已发生了多起因核心数据（涉及隐私）的违规采集、使用不当或安全管理疏漏引发的个人信息保护、商业秘密保护乃至国家安全的重大数据风险事件。由于对数据违规使用、发生数据泄露致使企业遭受行政处罚，以及数据泄露导致个人隐私曝光于公众的安全事件不断发生。我们看到，例如公司被处罚、业务被叫停，甚至影响了公司融资、上市等一系列发展规划，甚至还会使经营者个人面临经济赔偿、行政处罚甚至被追究刑事责任的情况亦有发生。

数据业务开展的合规性不仅关乎企业业务能否顺利开展，更是因为其敏感性和重要性，需要面对来自行政监管执法部门和社会各界的监督，同时企业的投资人、收购方、行业监管部门及上市监管部门都对数据合规给予了越来越多的关注。实践中，大数据企业临时抱佛脚、疲于应付外部监管的情况不仅频繁发生，而且会造成企业短期需要承担极大的来自监管和经营成本的压力，规范效果也往往并不理想。当下，随着数据安全立法及监管执法的不断完善，越来越多的企业和企业经营者都关注到了“数据安全”在合规性问题上的重要性和紧迫性，不重视数据合规的企业都面临着巨大的合规处罚风险；企业在融资、并购及上市的道路上，也有越来越多的投资人、行业内公司、上市监管机构对公司业务中的数据合规问题予以重点关注。

上市融资是企业发展道路上关键且具有里程碑意义的事件，上市公司作为公众公司更要面临社会各界的监督，发生数据安全问题更是将引起巨大的负面影响。因此，企业在上市申请的问询过程中所面对的合规性问题，能够从侧面反映出目前对数据安全及合规监管的整体思路和关注重点，更是资本方、投资人对公司合规性尤其是判断融资、上市风险的重要依据，披露信息也可作为数据企业的合规参考依据。

对此，我们结合在协助企业进行数据合规及上市辅导业务中的实践问题，结合上市问询意见所做的总结与分析，不仅可以帮助涉数据公司更为全面的了解行业内数据合规的普遍做法及监管动态，也是指导企业未来融资直至上市过程中的有益参考。

本文中，我们整理了在数据合规法律服务中的重点关注方向，结合近年来一部分涉大数据类公司上市过程中的共性问询问题，从数据收集、交易及使用、管理制度、以及数据保护、防范数据泄露几个方面提出规范建议及思路，有助于涉数据企业对自身业务的合规问题做全方位、多维度理解，进而厘清企业在融资或上市筹备等过程中确需重视且亟待解决的问题，从而降低企业运营试错成本、提高企业管理效率，合规经营、规范发展。

我们整理了以下具有一定共性内容的数据合规问题，供读者参考。

一、关于数据收集的合规性

（一）关于数据收集合规性问题的分析总结

数据收集是数据处理流程中的首要环节，数据来源如果做不到合规，后续所有处理行为将失去合规基础。数据收集主要方式分为自主收集或向供应商购买，在实践中，企业购买数据过程中的合规意识和购买合规性均有很大的改进空间。例如，我们发现非法购买数据、超范围采集数据等行为较为多见，有些甚至可能存在触犯刑事法律的风险。目前，我国《刑法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中已就公民个人信息保护的刑事责任认定问题进行了明确规定，对于企业及企业经营者刑事责任的分析，我们将另作文章阐述。

自主收集数据的合规关注重点是围绕用户的明确同意或明确授权，而且应当严格限制在用户授权范围内展开收集。实践中，故意或明知超范围收集或无意识模糊“明确”同意、授权范围的情况较为多见，也是数据收集中主要的违规表现形式。数据采集过程中，存在企业或经办人员主动模糊或忽略用户数据授权的范围，对收集范围做无限制或超出必要使用需要的扩大；另一种常见的情形则是，因业务模式的改变或某项业务的特殊要求或管理制度未能及时跟进，导致授权文件未能及时更新、实际超范围收集未能及时上报或更改、扩大收集权限缺乏必要监督管控。由于企业自我监管和内控制度缺失，往往会造成虽然已实际发生了违规采集的行为，但管理者或执行者却没有意识到甚至全然不知的状态长期持续存在，致使企业数据收集处于管理真空或失控状态，一旦被遭到举报或监管关注，将随时可能被认定为构成重大违法违规，使得企业长期且持续的在高风险下运行。

关于向供应商购买数据是否合规这一问题出现在审核问询环节亦非偶然。业内普遍认为，数据属于一类特殊的“商品标的”，其中包含的信息性质及类别属性特点决定了其不能仅作为普通商品进行买卖交易、交付和管理。实践中，数据购买过程除了应在与供应商订立的采购合同中明确双方的权利义务之外，还需要结合所购买数据的特点重点关注数据供应商的数据来源本身是否合法取得。之所以强调这一点，是因为实践中企业向供应商购买数据信息数量庞大且种类庞杂，而一旦供应商所提供的数据中包含的个人信息系非法获取，根据《刑法》第253条及《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第6条的相关规定，企业及企业主管人员、直接责任人都存在面临侵犯公民个人信息罪的刑事责任风险。

一般而言，数据收集合规问题需要从收集方式、收集范围、收集过程、收集后用途，以及所收集数据的类型进行细致全面的研判。以拟上市企业为例，其应当将数据收集规范作为数据合规管理制度最重要的且基础性的工作，力争在进入上市报告期前全面落实完成，以符合《数据安全法》《个人信息保护法》及其相关配套细则的相关规定，不将数据合规问题的疑问带到上市审核监管部门的视野当中。

（二）具体上市问询汇总及规范思路分析

1、关于数据收集合规性的问询及规范思路（列举）

2、关于数据供应商数据收集/来源合规性的问询及规范思路（列举）

二、关于数据使用的合规性

（一）关于数据使用合规性问题的分析总结

移动互联网时代，谁能够挖掘到数据中蕴藏的价值，谁就最有可能成为市场中最大的受益者、成为得到最多市场关注和最高行业估值的公司，在行业内各方的关注下和资本的推动下走上更大的舞台。因此，对数据的挖掘能力、使用能力不仅在一定程度上代表了一家公司在业务模式的生命力和数据处理的技术实力，更是走上行业巅峰的基石。数据使用的根本目的，本质上是为了实现商业价值最大程度上的变现，但与此同时，如何能够在变现过程中保持在合法规范的范围内取得最大的商业价值，不以侵害或损害他人的合法权益为前提，随着违法成本（甚至刑责加身）的不断增加，数据使用合规不仅是考验一家企业能否基业长青的基础，更是监管部门愈加重视、监督关注的重点。

数据使用与前文所述的数据收集方式密切相关，收集的方式在一定程度上也取决于数据的使用目的及具体用途。例如，在个人信息收集环节，个人信息处理者就应当披露具体用途、使用方式、使用范围，并获得个人信息主体的明示同意，同样企业在收集数据的同时就应当就数据的使用进行规划，并将未来可能且必要的使用方式与业务做好规划，并在数据收集的同时向用户明确告知使用方式，并取得其同意后使用。当然，如果数据的使用方式发生了变化，也应当及时的告知用户。同时，我们注意到，除以上数据使用的方式之外，近年来上市关注问题上，就数据使用合规性问询的重点多聚焦于是否存在过度使用、违规使用等行为，这也从侧面反应出“过度使用”已成为数据违规使用的常见、多发的表现形式，并已受到监管部门的关注。

（二）具体数据使用合规的上市问询及规范思路（列举）

来源：锦天城律师事务所

作者：

• 詹磊，锦天城律师事务所 合伙人，zhanlei@allbrightlaw.com
• 沈慧力，锦天城律师事务所 律师，william.shen@allbrightlaw.com
• 李东阳，锦天城律师事务所 律师助手， dongyang.li@allbrightlaw.com