涉数据公司业务合规及数据类公司上市合规监管与分析(二)
发布日期:2022-05-17

结合我们整理的数据合规上市问询反馈的相关内容以及《涉数据公司业务合规及数据类公司上市合规监管与分析(一)》,我们继续如下分析和探讨:

三、关于防范数据风险的内控制度及其合规性

(一)关于防范数据风险内控制度的合规性分析及总结

建立健全企业的内控制度是防范数据安全风险最为有效的做法之一,也是《数据安全法》第二十七条规定的具体举措之一。如果企业涉及处理个人信息的,《个人信息保护法》第五十一条也作出了明确的规定,企业应当积极履行法定义务。

我们曾在多个投资并购项目中看到相类似情况:涉及需处理用户个人信息的企业,虽明知法律法规有着明确的要求,但迟迟不采取行动开展内控制度的建设,在业务中对于数据处理的具体操作方式缺乏必要的统一规范,往往采取个别管理、阶段性收紧或一刀切等方式,这样的企业在面对收购方、投资方就企业业务数据合规的尽职调查时,往往会因为内控制度执行频繁变化、没有内控制度或内控制度未能完全执行,成为整体交易中受到关注的法律风险,影响投资或并购的进程,企业往往需要就规范数据制度和执行数据安全管理等进行整改或作出严格的承诺后,交易才可能继续推进。因而不仅没能节省必要的工作量,还可能因为短期目标达成的压力,造成企业自身业务步骤的混乱或导致交易、投资无法如期或切实达成。

近年来,越来越多的互联网大数据企业通过取得信息安全管理体系认证证书等方式,向监管部门展示自身数据保护所做出的努力,显然这是一种行之有效的方法。但我们在法律服务业务中同样发现,不少企业虽然聘请专业机构制作了一系列的内控管理制度,但却在实际执行过程中与内控制度严重脱节。我们也了解到,造成这种局面的原因是多方面的,如企业为追求效率、为应付监管部门审批备案要求、为应对监管部门已经发现或提出的问询、风险点等,这些都是企业为追求短期收益的临时补救措施,其并未把数据安全作为企业稳健合规、长期安全的层面来对待。

需要重点提示的是,有关数据安全的内控制度,完全可以通过技术手段进行审计或分析。发生问题后,制度是否实际执行到位将与最终是否认定违法违规的后果紧密联系。另外,从上市问询问题的角度,我们也能侧面了解到目前对数据安全执行中就制度是否有效执行的关注,仅有制度文件但缺少落实制度的底层依据将难以应对上市问询,同样也无法应对监管机构的监督管理。

(二)关于防范数据风险内控制度合规性的问询及规范思路(列举)

四、关于防范数据泄露

(一)关于防范数据泄露及补救措施有效性的分析总结

近年来,知名企业发生数据泄露的报道屡见不鲜,我们也曾多次协助客户处置应对数据泄露事件。事实上,数据泄露事件会以多种形式发生,并会因企业泄露数据规模不同而造成不同程度的影响。可以这样讲,企业开展数据合规及数据安全工作的重要目的之一,就是为了避免发生数据泄露等数据安全事件。虽然许多企业非常关注数据安全,也制定了极为严格的管理制度,并不断提升数据安全管理的水平,却依然无法绝对的避免数据泄露事件的发生。但是,相较于忽视数据安全、合规意识不强的企业来说,积极作为的企业发生数据泄露的风险将远低于前者。

以上市反馈问询环节的问题作为参考,我们发现,即使企业申请上市的申请文件中已经作出了对数据安全保护的披露内容,数据泄露问题仍是大数据企业上市中的必问题和必答题。企业如在发展过程中发生过数据泄露事件且认定为企业(或主要负责人)责任的,将会增加在融资、上市路途中的难度,企业甚至可能会因此失去几年内冲击上市的可能性,错失重要的发展时机。

因此,企业除了应当做好数据泄露事件事前防范、制定数据泄露安全事件应急预案,更需要在日常的经营中及时依法依规的做好数据泄露的基础事实认定和合同风险保障。同时,数据泄露事件一旦发生,应当第一时间积极履行补救义务,尽可能将损失及危害降至最低。随后,应当对数据安全管理中存在的漏洞积极整改,将数据安全工作作为一项重要的议事日程常抓不懈。需要提示的是,企业在完成上述工作的同时还应及时造册、留档,做好数据安全事件处置日志的留存及备份,以备接受监管部门对数据安全及数据泄露责任认定的监管和调查,避免出现数据安全责任边界无法划分,责任难以认定的情形。

(二)关于防范数据泄露及合规性的问询及规范思路(列举)

五、关于数据侵权及数据造假

(一)关于数据侵权及数据造假合规性问题的分析总结

关于数据侵权,交易所问询主要关注侵犯个人隐私、不实数据影响数据产品质量、自身或外购数据侵害用户权益、侵犯第三方商业秘密或个人信息等问题。其中,如产品应用中曾存在侵犯用户个人隐私的,将可能直接导致企业上市被否或无法申报,这同样也是近年来工信部、市场监管总局、国家网信办和公安部四大部门重点监管的范围。此外,针对不实数据,也就是数据造假,亦需要引起足够的重视。我们曾在某并购项目的尽职调查中关注到被收购方企业为获取丰厚的广告流量收益,向广告主提供带有一定“水分”的用户浏览量和点击量数据,我们在对拟投资人反馈尽职调查结果时对上述情况做出了重点的风险提示,并结合不实数据的影响进行合规及法律风险的分析,提示委托方可能面临的法律合规风险等。我们同样了解到,这样的“数据优化”做法在业内并不少见,这与国家对于互联网大数据企业的监管政策是背道而驰的,数据企业更加应当避免这样的违规行为。

我们注意到,近期工信部提出将对移动互联网服务涉及的诸多环节进行全链条、全覆盖监管,主要实现三个“全覆盖”——对手机、平板各类终端全覆盖;对应用商店、第三方软件开发工具包、预置预装等关键的责任链环节全覆盖;对APP技术检测全覆盖,让用户权益得到全方位保护。但是,仍有大量互联网大数据企业不断登上“通报”名单,这其中不乏一些已上市企业。可见,在巨大的商业利益面前,企业的数据合规治理工作依然任重而道远。

(二)关于数据侵权及数据造假合规性问题的问询及规范思路(列举)

综上,企业开展的数据合规体系建设,必将会对企业业务模式和规范行为模式发生深远改变。与此同时,在诸多合规行为中,由于企业数据合规方面的业务模式具有多样性,各企业对数据类型的使用,数据价值的发掘以及保护的程度都有所不同,因此应采取的数据合规方式、手段及程度也会有所差别,数据合规不能简单的就某一典型案例或同行业可比公司的合规方式进行直接的模仿或套用,还是要根据企业自身情况及特点制定与企业相匹配的合规方案。

另外,在此就数据合规在不同阶段所涉及的刑事风险问题进行简单提示:非法收集数据可能涉及非法获取计算机信息系统数据罪、侵犯公民个人信息罪、破坏计算机信息系统罪等罪名;数据存储未履行管理义务,可能涉及拒不履行信息网络安全管理义务罪;数据的不当使用和流转,则可能涉嫌侵犯商业秘密罪、侵犯著作权罪、侵犯公民个人信息罪、走私人类遗传资源材料罪等罪名。

限于篇幅,就数据安全法律法规及对企业业务模式影响等合规性分析,以及数据合规涉及的刑事责任风险等内容,我们近期将在此后的文章中分解和详述。

来源:锦天城律师事务所

作者:

免责声明

本文内容仅为提供信息之目的由作者/锦天城律师事务所制作,不应视为广告、招揽或法律意见。阅读、传播本文内容不以建立律师-委托人关系为目的,订阅我们的文章也不构成律师-委托人关系。本文所包含的信息仅是作为一般性信息提供,作者/锦天城律师事务所不对本文做日常性维护、修改或更新,故可能未反映最新的法律发展。读者在就自身案件获得相关法域内执业律师的法律意见之前, 不要为任何目的依赖本文信息。作者/锦天城律师事务所明确不承担因基于对本文任何形式的使用(包括作为或不作为)而产生的一切责任、损失或损害。

延伸阅读:涉数据公司业务合规及数据类公司上市合规监管与分析(一)

免责声明及版权等信息,请查看此处

电话咨询

在线咨询

留言咨询