正文：

　　在【企業(yè)上市過(guò)程面臨的數(shù)據(jù)合規(guī)問(wèn)題和相關(guān)風(fēng)險(xiǎn)：境內(nèi)篇】，我們梳理了中國(guó)公司在境內(nèi)上市時(shí)證券監(jiān)管機(jī)構(gòu)所提出的相關(guān)問(wèn)題；在本篇中，我們主要關(guān)注《網(wǎng)絡(luò)安全法》生效后在境外上市（包含在美國(guó)和香港上市）的中國(guó)公司在招股書等公開文件中披露的重大風(fēng)險(xiǎn)，對(duì)其進(jìn)行了翻譯和整合，總結(jié)出在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面境外上市公司的普遍性合規(guī)風(fēng)險(xiǎn)和相關(guān)行業(yè)的特殊性合規(guī)風(fēng)險(xiǎn)，供讀者參考。由于境內(nèi)外上市公司披露的材料有所不同，所以境內(nèi)篇和境外篇所利用的材料和文章的結(jié)構(gòu)也有較大差別，但我們認(rèn)為其中揭示的風(fēng)險(xiǎn)點(diǎn)對(duì)于境內(nèi)外上市公司和非上市公司都是相通的，值得深入研究和系統(tǒng)應(yīng)對(duì)。

　　普遍性合規(guī)風(fēng)險(xiǎn)

　　數(shù)據(jù)安全方面

　　任何安全漏洞和數(shù)據(jù)解密，包括網(wǎng)絡(luò)攻擊、未經(jīng)授權(quán)的訪問(wèn)和使用、計(jì)算機(jī)病毒、硬件或系統(tǒng)軟件被入侵或類似的破壞或中斷，都可能導(dǎo)致公司的保密技術(shù)遭受損害或破壞、用戶數(shù)據(jù)和保密信息泄露、降低用戶體驗(yàn)、侵犯用戶隱私等后果，從而導(dǎo)致公司聲譽(yù)受損、合同提前終止、訴訟、監(jiān)管調(diào)查或公司面臨其他責(zé)任的后果。

　　公司自身、應(yīng)用程序開發(fā)商以及客戶所使用的數(shù)據(jù)安全措施可能因第三方操作失誤、員工工作失誤、瀆職或其他原因而遭到破壞，公司技術(shù)基礎(chǔ)設(shè)施中的設(shè)計(jì)缺陷可能被暴露和利用，從而可能導(dǎo)致他人未經(jīng)授權(quán)訪問(wèn)開發(fā)人員、客戶以及終端用戶的機(jī)密信息。

　　未經(jīng)授權(quán)訪問(wèn)和攻擊系統(tǒng)的技術(shù)正在不斷變化和發(fā)展，并且其在發(fā)起攻擊前通常難以被識(shí)別，公司可能無(wú)法預(yù)測(cè)這些技術(shù)，難以實(shí)施適當(dāng)?shù)念A(yù)防措施，因而存在安全漏洞。

　　公司無(wú)法保證公司的員工將來(lái)不會(huì)違反保密協(xié)議。

　　如果公司未能保護(hù)客戶數(shù)據(jù)和隱私，客戶可能會(huì)察覺(jué)到公司的第三方渠道泄漏或?yàn)E用客戶數(shù)據(jù)。

　　如果公司未能遵守隱私政策和數(shù)據(jù)安全措施，不當(dāng)使用或披露數(shù)據(jù)，則可能導(dǎo)致未經(jīng)授權(quán)發(fā)布或傳輸個(gè)人身份信息或?qū)е缕渌脩粜畔⑿孤?，從而可能?dǎo)致訴訟、監(jiān)管調(diào)查、聲譽(yù)受損等不利后果。

　　第三方保險(xiǎn)安排未必足以涵蓋因個(gè)人信息泄露產(chǎn)生的虧損。（此處摘自港股招股書原文）

　　數(shù)據(jù)立法和監(jiān)管對(duì)業(yè)務(wù)的影響

　　中國(guó)的個(gè)人信息保護(hù)相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的解釋和適用仍然處于不確定狀態(tài)，并在不斷調(diào)整中。相關(guān)政府部門可能會(huì)以對(duì)公司不利的方式解釋或?qū)嵤┓煞ㄒ?guī)。公司無(wú)法保證根據(jù)中國(guó)的《網(wǎng)絡(luò)安全法》及其配套法規(guī)，公司已經(jīng)采取或?qū)⒁扇〉拇胧┦峭耆浞值?，中?guó)不斷發(fā)展的隱私保護(hù)監(jiān)管框架可能會(huì)要求公司改變目前的業(yè)務(wù)實(shí)踐。

　　除了有關(guān)個(gè)人隱私和數(shù)據(jù)安全的法律、法規(guī)和其他適用規(guī)則外，行業(yè)團(tuán)體或其他私人方也可能提出新的和更嚴(yán)格的隱私實(shí)踐標(biāo)準(zhǔn)。例如，《個(gè)人信息安全規(guī)范》要求數(shù)據(jù)控制者必須提供收集和使用個(gè)人信息的目的，要求數(shù)據(jù)控制者對(duì)其核心功能與附加功能進(jìn)行區(qū)分，以確保數(shù)據(jù)控制者只會(huì)根據(jù)實(shí)際需要來(lái)收集個(gè)人信息。公司無(wú)法確保能夠滿足這些可能不斷出現(xiàn)的新標(biāo)準(zhǔn)。

　　在全球市場(chǎng)戰(zhàn)略下，公司業(yè)務(wù)會(huì)涉及到不同的司法管轄區(qū)，因而公司需受其個(gè)人信息保護(hù)法律和法規(guī)的約束，但公司可能無(wú)法及時(shí)調(diào)整內(nèi)部政策以同時(shí)符合各管轄區(qū)的不同要求。例如，如果有歐盟境內(nèi)的居民安裝了裝有公司SDK的APP，或公司的其他用戶到歐盟境內(nèi)旅行，則公司可能需要遵守GDPR的相關(guān)要求。

　　世界各地的監(jiān)管機(jī)構(gòu)近期正在制定或醞釀一系列有關(guān)數(shù)據(jù)保護(hù)的立法和監(jiān)管提案，這些立法和監(jiān)管提案如獲通過(guò)，其解釋和適用除了可能導(dǎo)致公司被罰款外，還可能會(huì)要求公司改變目前的數(shù)據(jù)業(yè)務(wù)實(shí)踐，這可能對(duì)公司的業(yè)務(wù)產(chǎn)生不利影響。

　　中國(guó)監(jiān)管機(jī)構(gòu)越來(lái)越關(guān)注數(shù)據(jù)安全和數(shù)據(jù)保護(hù)領(lǐng)域的監(jiān)管，公司預(yù)計(jì)這些領(lǐng)域?qū)⑹艿奖O(jiān)管機(jī)構(gòu)的更多關(guān)注，并吸引持續(xù)的或更多的公眾監(jiān)督和關(guān)注，這可能會(huì)增加公司的合規(guī)成本，并使公司面臨數(shù)據(jù)安全和保護(hù)相關(guān)的更高風(fēng)險(xiǎn)和挑戰(zhàn)。

　　即使公司使用的是匿名化的設(shè)備層面的移動(dòng)信息，該信息也仍然有可能被認(rèn)定為中國(guó)《網(wǎng)絡(luò)安全法》下的個(gè)人信息，從而需要符合相關(guān)規(guī)定和要求。中國(guó)法律法規(guī)中對(duì)于個(gè)人信息的收集、存儲(chǔ)、使用、處理、披露和轉(zhuǎn)移都有相關(guān)的規(guī)范要求，根據(jù)這些法律法規(guī)，互聯(lián)網(wǎng)信息服務(wù)提供商在收集用戶的個(gè)人信息前必須獲得用戶同意，并且不能收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，同時(shí)互聯(lián)網(wǎng)信息服務(wù)提供商也必須就信息收集和使用的目的、方式和范圍告知用戶。

　　輿論風(fēng)險(xiǎn)

　　一些對(duì)公司收集、存儲(chǔ)、處理和使用數(shù)據(jù)的做法的擔(dān)憂（即使沒(méi)有實(shí)際根據(jù)），也可能損害公司的聲譽(yù)和業(yè)務(wù)經(jīng)營(yíng)。

　　對(duì)于公司平臺(tái)的安全或隱私保護(hù)機(jī)制和政策的任何負(fù)面宣傳，以及對(duì)公司提出的任何索賠或監(jiān)管機(jī)關(guān)對(duì)公司的處罰，都會(huì)有損公司的公眾形象、聲譽(yù)以及業(yè)務(wù)發(fā)展。

　　如違反公司的網(wǎng)絡(luò)安全措施，或公司的平臺(tái)受到攻擊而導(dǎo)致用戶的個(gè)人信息遭受未經(jīng)授權(quán)的入侵，公司的服務(wù)可能被視為不安全及不可靠。因此，用戶可能會(huì)減少或停止使用公司的服務(wù)，可能有損公司的業(yè)務(wù)及經(jīng)營(yíng)業(yè)績(jī)。

　　第三方對(duì)公司的影響

　　公司無(wú)法保證其應(yīng)用開發(fā)商和業(yè)務(wù)合作伙伴所采取的數(shù)據(jù)保護(hù)措施的有效性，其存在的網(wǎng)絡(luò)安全漏洞可能導(dǎo)致公司客戶信息泄露。

　　公司無(wú)法控制應(yīng)用開發(fā)商及業(yè)務(wù)合作伙伴等第三方的具體活動(dòng)，如果其行為違反了中國(guó)《網(wǎng)絡(luò)安全法》或與保護(hù)個(gè)人信息相關(guān)的其他法律法規(guī)，或未能完全遵守與公司達(dá)成的服務(wù)協(xié)議，公司可能也會(huì)面臨被處罰的風(fēng)險(xiǎn)。

　　第三方網(wǎng)上支付平臺(tái)的運(yùn)營(yíng)安全及其收取費(fèi)用的行為可能會(huì)對(duì)公司的業(yè)務(wù)產(chǎn)生重大不利影響。公司無(wú)法控制第三方網(wǎng)上支付供應(yīng)商的安全措施，而公司所用網(wǎng)上支付系統(tǒng)出現(xiàn)安全漏洞或會(huì)令公司面臨訴訟，并可能就未能保障客戶保密信息產(chǎn)生負(fù)債。（此處摘自港股招股書原文）

　　相關(guān)行業(yè)的特殊性合規(guī)風(fēng)險(xiǎn)

　　數(shù)據(jù)服務(wù)類公司

　　公司通過(guò)為移動(dòng)應(yīng)用程序開發(fā)者提供服務(wù)，可以訪問(wèn)用于開發(fā)特定行業(yè)數(shù)據(jù)解決方案的大量移動(dòng)數(shù)據(jù)?；诠炯惺降膶Ｓ袛?shù)據(jù)處理平臺(tái)以及人工智能和機(jī)器學(xué)習(xí)，公司能夠從數(shù)據(jù)中發(fā)掘出有效可行的見(jiàn)解，并開發(fā)各種數(shù)據(jù)解決方案。但某些應(yīng)用開發(fā)者可能禁止或限制公司訪問(wèn)或使用公司業(yè)務(wù)所需的數(shù)據(jù)。

　　終端用戶所使用的某些計(jì)算機(jī)軟件或程序可能會(huì)限制公司訪問(wèn)用戶數(shù)據(jù)，或者終端用戶可能會(huì)對(duì)公司使用其數(shù)據(jù)提出異議。如果公司未來(lái)無(wú)法繼續(xù)獲取大量移動(dòng)數(shù)據(jù)，公司將失去競(jìng)爭(zhēng)優(yōu)勢(shì)，公司可能無(wú)法有效地提供和改進(jìn)現(xiàn)有數(shù)據(jù)解決方案以響應(yīng)客戶的需求。

　　用戶對(duì)數(shù)據(jù)隱私的態(tài)度在不斷變化，用戶會(huì)擔(dān)心其個(gè)人信息被公司客戶或其他人訪問(wèn)、使用或共享，這可能會(huì)對(duì)公司獲取數(shù)據(jù)的能力產(chǎn)生不利影響。

　　如果有其他的數(shù)據(jù)解決方案提供商發(fā)生嚴(yán)重的安全漏洞事件，公司的客戶和潛在客戶可能會(huì)對(duì)公司的開發(fā)服務(wù)或數(shù)據(jù)解決方案的安全性失去信任。

　　公司收集匿名的、設(shè)備層面的無(wú)法識(shí)別個(gè)人身份的數(shù)據(jù)，如應(yīng)用程序要求用戶做出相應(yīng)授權(quán)，發(fā)行人是否能接收個(gè)人身份信息，或者收集的數(shù)據(jù)是否可以通過(guò)其他方式用于識(shí)別個(gè)人身份。（此處摘自SEC對(duì)發(fā)行人的問(wèn)詢）

　　互聯(lián)網(wǎng)金融公司

　　公司通過(guò)線上提供金融服務(wù)時(shí)會(huì)收集借款人的某些個(gè)人信息，并且還需要將該種個(gè)人信息與公司的業(yè)務(wù)合作伙伴（如信貸機(jī)構(gòu)等）共享，以便為借款人提供信貸，公司已就該種收集和使用個(gè)人信息的行為取得了借款人的同意，并且建立了信息安全系統(tǒng)以保護(hù)用戶信息。但是，相關(guān)法律對(duì)于維護(hù)網(wǎng)絡(luò)安全和保護(hù)個(gè)人信息的要求仍存在不確定性，公司無(wú)法保證公司目前的信息安全政策和實(shí)踐完全符合現(xiàn)在或?qū)?lái)適用的任何法律法規(guī)。

　　公司會(huì)從外部數(shù)據(jù)源收集一些數(shù)據(jù)進(jìn)行信用評(píng)估，該種外部數(shù)據(jù)源可能違反了中國(guó)《網(wǎng)絡(luò)安全法》，公司可能因此無(wú)法使用相關(guān)數(shù)據(jù)開展業(yè)務(wù)。

　　如果借款人或其他第三方提供的或公司收集的數(shù)據(jù)不準(zhǔn)確、不完整或有欺詐性，則公司的信用評(píng)估的準(zhǔn)確性可能會(huì)受到影響，可能減弱客戶對(duì)公司的信任。

　　公司從用戶處收集、存儲(chǔ)和處理某些個(gè)人和其他敏感數(shù)據(jù)，這可能使公司成為網(wǎng)絡(luò)攻擊的目標(biāo)。未經(jīng)授權(quán)披露個(gè)人敏感信息或機(jī)密的客戶數(shù)據(jù)，無(wú)論是因?yàn)橄到y(tǒng)故障、員工疏忽、欺詐還是盜用，都可能導(dǎo)致客戶和投資者的機(jī)密信息被盜并用于犯罪目的，會(huì)損害公司的聲譽(yù)并導(dǎo)致公司失去客戶。

　　公司收到了客戶關(guān)于其個(gè)人信息泄露的一些投訴，雖然公司已對(duì)此類泄漏進(jìn)行了調(diào)查，但公司無(wú)法保證不會(huì)發(fā)生其他類似的事件和投訴。

　　根據(jù)中國(guó)《網(wǎng)絡(luò)安全法》，關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)商，包括公共通信和信息服務(wù)以及金融業(yè)和其他重要行業(yè)和領(lǐng)域，應(yīng)將在中國(guó)境內(nèi)運(yùn)營(yíng)期間收集和生成的個(gè)人信息和重要數(shù)據(jù)儲(chǔ)存在境內(nèi)，如需向境外傳輸，則應(yīng)按相關(guān)規(guī)定進(jìn)行安全性評(píng)估。公司所使用的數(shù)據(jù)中心位于海外，可能需要在不同地點(diǎn)之間傳輸某些個(gè)人數(shù)據(jù)，并且由于此類數(shù)據(jù)被用于金融服務(wù)，公司可能會(huì)受到中國(guó)《網(wǎng)絡(luò)安全法》規(guī)定的安全性評(píng)估要求的約束。公司無(wú)法保證，公司目前采用的評(píng)估個(gè)人數(shù)據(jù)安全的措施可以滿足相關(guān)政府部門現(xiàn)在或未來(lái)的要求。

　　電子商務(wù)公司

　　公司的業(yè)務(wù)會(huì)生成并處理大量數(shù)據(jù)，因而面臨處理和保護(hù)大量數(shù)據(jù)所固有的風(fēng)險(xiǎn)。電子商務(wù)行業(yè)面臨的一個(gè)重大挑戰(zhàn)是機(jī)密信息的安全存儲(chǔ)及其在公共網(wǎng)絡(luò)上的安全傳輸。

　　中國(guó)政府機(jī)構(gòu)可能要求公司共享公司所收集的個(gè)人信息和數(shù)據(jù)，以符合中國(guó)有關(guān)網(wǎng)絡(luò)安全的法律。

　　在公司平臺(tái)上進(jìn)行產(chǎn)品銷售均須通過(guò)第三方在線支付服務(wù)進(jìn)行結(jié)算。第三方在線支付服務(wù)提供商在信息安全措施等方面的漏洞會(huì)損害公司客戶的利益，從而對(duì)公司的聲譽(yù)、公眾形象、業(yè)務(wù)前景等方面產(chǎn)生不利影響。

　　公司的客戶使用的付款處理服務(wù)或其他第三方服務(wù)可能會(huì)未經(jīng)授權(quán)入侵公司用戶的數(shù)據(jù)。

　　公司與簽約的第三方物流服務(wù)提供商共享有關(guān)平臺(tái)用戶的某些個(gè)人信息，例如平臺(tái)用戶的姓名、地址、電話號(hào)碼和交易記錄，第三方物流服務(wù)提供商可能違反其保密義務(wù)并非法披露或使用有關(guān)平臺(tái)用戶的信息。

　　視頻類公司

　　公司的業(yè)務(wù)優(yōu)勢(shì)在于能夠制作極受大眾歡迎、引領(lǐng)潮流的原創(chuàng)內(nèi)容，但公司面臨著黑客非法訪問(wèn)和非法分發(fā)尚未發(fā)布的原始內(nèi)容的風(fēng)險(xiǎn)。

　　公司的產(chǎn)品和服務(wù)涉及用戶和廣告客戶信息的存儲(chǔ)和傳輸，特別是計(jì)費(fèi)數(shù)據(jù)以及原始內(nèi)容，網(wǎng)絡(luò)安全漏洞可能使公司丟失此類數(shù)據(jù)。

　　可能存在第三方入侵公司的用戶帳戶并將用戶流量導(dǎo)向到其他互聯(lián)網(wǎng)平臺(tái)的情況，使公司丟失客戶。

　　公司需依靠第三方（如第三方在線支付處理商）的計(jì)費(fèi)和支付系統(tǒng)來(lái)確定付費(fèi)用戶的消費(fèi)記錄并收取此類付款。公司無(wú)法控制第三方支付服務(wù)提供商的網(wǎng)絡(luò)安全措施，如果公司使用的在線支付系統(tǒng)存在安全漏洞，可能會(huì)使公司面臨訴訟以及承擔(dān)未能保護(hù)客戶機(jī)密信息的責(zé)任。

　　作為移動(dòng)端直播平臺(tái)，公司的業(yè)務(wù)涉及大量用戶數(shù)據(jù)及其他相關(guān)信息。任何用戶數(shù)據(jù)泄露或丟失，或用戶制作任何不當(dāng)內(nèi)容，均可能對(duì)公司聲譽(yù)造成不利影響，若屬嚴(yán)重情況，公司或須承擔(dān)潛在的法律責(zé)任。

　　教育類公司

　　未獲授權(quán)披露或使用學(xué)生、老師及其他個(gè)人敏感數(shù)據(jù)（不論通過(guò)破壞網(wǎng)絡(luò)安全或以其他方式）可能令公司面臨訴訟或?qū)镜穆曌u(yù)造成不利影響。

　　醫(yī)療類公司

　　與患者醫(yī)療保密相關(guān)的法律法規(guī)在未來(lái)可能對(duì)信息披露和使用的要求更加嚴(yán)格，包括限制轉(zhuǎn)移醫(yī)療保健數(shù)據(jù)。于2017年生效的《網(wǎng)絡(luò)安全法》指定醫(yī)療保健為優(yōu)先保護(hù)領(lǐng)域，因?yàn)槠涫顷P(guān)鍵信息基礎(chǔ)設(shè)施的一部分，且中國(guó)國(guó)家互聯(lián)網(wǎng)信息辦公室正在試圖最終確定跨境轉(zhuǎn)移個(gè)人信息法規(guī)草案。（此處摘自港股招股書原文）