正文:
隨著在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)事件和立法日趨增加,當(dāng)科技企業(yè)在上市時(shí),網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)也越來受到證券監(jiān)管機(jī)構(gòu)和投資者的重視。我們?cè)谕度谫Y業(yè)務(wù)中,尤其是代表企業(yè)參與C輪之后的融資業(yè)務(wù),就多次遇到投資者對(duì)數(shù)據(jù)合規(guī)進(jìn)行詳細(xì)、嚴(yán)格的專項(xiàng)盡調(diào)。
為了對(duì)風(fēng)險(xiǎn)進(jìn)行類型化,我們搜尋了數(shù)十份境內(nèi)外上市公司招股書、法律意見書、問詢函,總結(jié)了其中監(jiān)管機(jī)構(gòu)要求發(fā)行人具體說明的問題或企業(yè)根據(jù)相關(guān)要求披露的風(fēng)險(xiǎn),并加以整理。我們認(rèn)為有些問題從法律上來說表述并不準(zhǔn)確,但盡量保持了原樣。
由于境內(nèi)外對(duì)信息披露的要求差別較大,分為上下兩篇,本篇為境內(nèi)篇,信息均來自于A股上市公司,下篇?jiǎng)t來自于美股和港股上市公司。
數(shù)據(jù)源的合規(guī)性
獲取用戶數(shù)據(jù)信息的來源、獲取途徑、授權(quán)方式及協(xié)議,授權(quán)是否明確且合法有效。
收集用戶信息獲得用戶同意的具體制度及相關(guān)安排,收集用戶信息時(shí)是否明確告知收集信息的范圍及使用用途。
通過向第三方數(shù)據(jù)供應(yīng)商購(gòu)買用戶數(shù)據(jù)情況下,第三方數(shù)據(jù)商是否具有相關(guān)數(shù)據(jù)的所有權(quán),其授權(quán)標(biāo)的公司使用相關(guān)數(shù)據(jù)是否需要經(jīng)過終端用戶或者其他第三方同意,授權(quán)是否合法、合規(guī)。
通過APP與用戶以《用戶協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶授權(quán)的過程在法律上是否完備,是否對(duì)客戶的用戶有明示,相關(guān)協(xié)議約定內(nèi)容存在明顯不利于個(gè)人用戶的格式條款,是否符合相關(guān)法律法規(guī)的規(guī)定要求。
通過 APP 與用戶以《用戶協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶授權(quán)過程中,收集個(gè)人用戶信息、向個(gè)人用戶推送廣告等有無明確告知用戶收集、使用信息的目的、方式和范圍。
數(shù)據(jù)權(quán)屬問題
發(fā)行人獲得終端用戶數(shù)據(jù)信息的權(quán)屬,其使用是否存在權(quán)屬風(fēng)險(xiǎn)。
標(biāo)的公司采購(gòu)所涉相關(guān)數(shù)據(jù)信息的產(chǎn)權(quán)歸屬及其法律依據(jù)。
數(shù)據(jù)的使用
發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī)。
公司取得數(shù)據(jù)后用來做商業(yè)化變現(xiàn)的合規(guī)性。
是否根據(jù)與用戶的約定收集、使用信息,對(duì)授權(quán)數(shù)據(jù)的使用(用于互聯(lián)網(wǎng)營(yíng)銷或其他業(yè)務(wù))是否超過授權(quán)范圍。
對(duì)數(shù)據(jù)的使用是否超過必要的限度。
業(yè)務(wù)開展中是否涉及對(duì)個(gè)人信息的使用,是否留存客戶用戶數(shù)據(jù)、個(gè)人信息。
標(biāo)的公司是否存在對(duì)相關(guān)信息數(shù)據(jù)進(jìn)行存儲(chǔ)、記錄或者使用等情形,如是,相關(guān)行為是否符合法律法規(guī)、行業(yè)規(guī)范的要求;如否,標(biāo)的公司是否能夠被認(rèn)定為大數(shù)據(jù)行業(yè)公司。
標(biāo)的公司是否對(duì)數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施,相關(guān)措施是否規(guī)范、有效。
是否存在非法出售個(gè)人信息的行為。
數(shù)據(jù)共享
與 APP 開發(fā)者《XX使用協(xié)議》約定的“延展至XX使其可以獲取實(shí)現(xiàn)相關(guān)推送功能所必要的合理信息”中“相關(guān)推送功能”是否包括利用該APP共享鏈路而向其他APP最終用戶發(fā)送通知,APP 最終用戶是否知悉通過鏈路共享而向其發(fā)送其他 APP 通知,是否取得 APP 最終用戶同意或授權(quán)。
抽樣頭部 APP 產(chǎn)品的《用戶協(xié)議》、《隱私政策》中部分表述基于提升本 APP 服務(wù)之目的而收集用戶數(shù)據(jù)并向第三方共享該數(shù)據(jù),發(fā)行人鏈路共享是否屬于“提升本APP 服務(wù)之目的”。
數(shù)據(jù)安全保護(hù)制度
標(biāo)的公司是否對(duì)數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施,相關(guān)措施是否規(guī)范、有效。請(qǐng)律師、獨(dú)立財(cái)務(wù)顧問核查并發(fā)表明確意見。
數(shù)據(jù)獲取、使用、加工處理、存儲(chǔ)及傳輸?shù)冗^程配套的內(nèi)部控制制度及執(zhí)行情況、效果,避免或防止泄露用戶隱私的具體制度及相關(guān)安排,是否存在泄密風(fēng)險(xiǎn)。
用戶信息保護(hù)技術(shù)體系,尤其是防止外部惡意軟件、病毒、黑客攻擊和內(nèi)部人員惡意導(dǎo)致的數(shù)據(jù)泄露的技術(shù)措施。
通過公安部門信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的情況。
對(duì)數(shù)據(jù)安全和個(gè)人隱私的保護(hù)措施與手段及其有效性,是否出現(xiàn)過個(gè)人信息、隱私泄露事件,是否存在侵權(quán)風(fēng)險(xiǎn),是否存在糾紛或潛在糾紛,最近三年發(fā)生的嚴(yán)重泄密事件、重大訴訟、處理結(jié)果及有關(guān)的整改措施。
對(duì)提供產(chǎn)品、服務(wù)過程中掌握的個(gè)人信息、國(guó)家安全信息、國(guó)家秘密、保密信息所采取的防泄密措施和保障網(wǎng)絡(luò)安全的內(nèi)部管理制度及執(zhí)行效果,有無泄露國(guó)家秘密、保密信息、個(gè)人信息的風(fēng)險(xiǎn),是否發(fā)生過相關(guān)信息泄露事件,是否因此受到過行政處罰。
業(yè)務(wù)及具體數(shù)據(jù)服務(wù)
說明發(fā)行人在開展業(yè)務(wù)、日常運(yùn)營(yíng)過程中是否獲取或有可能獲取國(guó)家秘密、保密信息、個(gè)人信息。
結(jié)合《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》等法規(guī)、司法解釋,說明各類業(yè)務(wù)是否存在侵犯客戶以及客戶用戶、APP具體使用者和其他第三方的商業(yè)秘密、個(gè)人信息安全、個(gè)人隱私的情形,是否存在法律風(fēng)險(xiǎn)或潛在法律風(fēng)險(xiǎn)。
與客戶所簽署業(yè)務(wù)合同中是否存在可能侵犯第三方商業(yè)秘密或個(gè)人信息安全的條款。
與客戶所簽署業(yè)務(wù)合同的業(yè)務(wù)內(nèi)容條款和保密條款是否存在協(xié)助或變相協(xié)助客戶、第三方開展可能侵犯第三方商業(yè)秘密或個(gè)人信息安全的行為。
DMP(Data ManagementPlatform)服務(wù):
DMP服務(wù)的一般客戶來源,服務(wù)內(nèi)容,該業(yè)務(wù)開展具體內(nèi)部流程及控制措施;
報(bào)告期各期主要DMP服務(wù)項(xiàng)目的具體情況,銷售政策、定價(jià)方式、結(jié)算方式。
技術(shù)問題
相關(guān)大數(shù)據(jù)技術(shù)以及大規(guī)模數(shù)據(jù)存貯技術(shù)等的來源、形成過程及合法合規(guī)性。
列表說明發(fā)行人現(xiàn)有各項(xiàng)核心技術(shù)的發(fā)明人或主要研發(fā)人員及其曾任職單位,核心技術(shù)的具體來源和形成過程,是否涉及公司董事、監(jiān)事、高級(jí)管理人員或其他核心人員在曾任職單位的職務(wù)成果,是否存在權(quán)屬糾紛或潛在糾紛風(fēng)險(xiǎn)。請(qǐng)發(fā)行人結(jié)合其核心人員曾任職于同行業(yè)其他公司的有關(guān)情況,補(bǔ)充說明其主要產(chǎn)品的研發(fā)周期、渠道推廣和用戶積累的過程,是否存在向第三方購(gòu)買底層數(shù)據(jù)并在外購(gòu)數(shù)據(jù)的基礎(chǔ)上持續(xù)開發(fā)等情況。
數(shù)據(jù)立法和監(jiān)管對(duì)業(yè)務(wù)的影響
歐盟《通用數(shù)據(jù)保護(hù)法案》(General Data Protection Regulation,GDPR)的頒布實(shí)施對(duì)于發(fā)行人經(jīng)營(yíng)業(yè)務(wù)有什么影響,發(fā)行人有什么整改或應(yīng)對(duì)措施,是否存在被處罰的風(fēng)險(xiǎn),GDPR 對(duì)于發(fā)行人未來的業(yè)務(wù)經(jīng)營(yíng)是否存在影響。
數(shù)據(jù)監(jiān)管及個(gè)人隱私保護(hù)政策變動(dòng)情況(主管部門對(duì)數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)是否會(huì)持續(xù)升級(jí))對(duì)未來發(fā)行人業(yè)務(wù)的影響及發(fā)行人的應(yīng)對(duì)措施。
請(qǐng)補(bǔ)充說明標(biāo)的公司對(duì)用戶信息的收集、傳輸、保存及應(yīng)用的現(xiàn)狀是否符合《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求。若否,請(qǐng)充分提示相關(guān)風(fēng)險(xiǎn)并說明后續(xù)整改措施。
請(qǐng)發(fā)行人結(jié)合和XX的糾紛,補(bǔ)充說明其人才庫(kù)所涉?zhèn)€人信息的收集、存儲(chǔ)、使用,是否符合《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定。