正文：

　　隨著在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)事件和立法日趨增加，當(dāng)科技企業(yè)在上市時，網(wǎng)絡(luò)安全、數(shù)據(jù)保護(hù)也越來受到證券監(jiān)管機(jī)構(gòu)和投資者的重視。我們在投融資業(yè)務(wù)中，尤其是代表企業(yè)參與C輪之后的融資業(yè)務(wù)，就多次遇到投資者對數(shù)據(jù)合規(guī)進(jìn)行詳細(xì)、嚴(yán)格的專項(xiàng)盡調(diào)。

　　為了對風(fēng)險(xiǎn)進(jìn)行類型化，我們搜尋了數(shù)十份境內(nèi)外上市公司招股書、法律意見書、問詢函，總結(jié)了其中監(jiān)管機(jī)構(gòu)要求發(fā)行人具體說明的問題或企業(yè)根據(jù)相關(guān)要求披露的風(fēng)險(xiǎn)，并加以整理。我們認(rèn)為有些問題從法律上來說表述并不準(zhǔn)確，但盡量保持了原樣。

　　由于境內(nèi)外對信息披露的要求差別較大，分為上下兩篇，本篇為境內(nèi)篇，信息均來自于A股上市公司，下篇則來自于美股和港股上市公司。

　　數(shù)據(jù)源的合規(guī)性

　　獲取用戶數(shù)據(jù)信息的來源、獲取途徑、授權(quán)方式及協(xié)議，授權(quán)是否明確且合法有效。

　　收集用戶信息獲得用戶同意的具體制度及相關(guān)安排，收集用戶信息時是否明確告知收集信息的范圍及使用用途。

　　通過向第三方數(shù)據(jù)供應(yīng)商購買用戶數(shù)據(jù)情況下，第三方數(shù)據(jù)商是否具有相關(guān)數(shù)據(jù)的所有權(quán)，其授權(quán)標(biāo)的公司使用相關(guān)數(shù)據(jù)是否需要經(jīng)過終端用戶或者其他第三方同意，授權(quán)是否合法、合規(guī)。

　　通過APP與用戶以《用戶協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶授權(quán)的過程在法律上是否完備，是否對客戶的用戶有明示，相關(guān)協(xié)議約定內(nèi)容存在明顯不利于個人用戶的格式條款，是否符合相關(guān)法律法規(guī)的規(guī)定要求。

　　通過 APP 與用戶以《用戶協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶授權(quán)過程中，收集個人用戶信息、向個人用戶推送廣告等有無明確告知用戶收集、使用信息的目的、方式和范圍。

　　數(shù)據(jù)權(quán)屬問題

　　發(fā)行人獲得終端用戶數(shù)據(jù)信息的權(quán)屬，其使用是否存在權(quán)屬風(fēng)險(xiǎn)。

　　標(biāo)的公司采購所涉相關(guān)數(shù)據(jù)信息的產(chǎn)權(quán)歸屬及其法律依據(jù)。

　　數(shù)據(jù)的使用

　　發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī)。

　　公司取得數(shù)據(jù)后用來做商業(yè)化變現(xiàn)的合規(guī)性。

　　是否根據(jù)與用戶的約定收集、使用信息，對授權(quán)數(shù)據(jù)的使用（用于互聯(lián)網(wǎng)營銷或其他業(yè)務(wù)）是否超過授權(quán)范圍。

　　對數(shù)據(jù)的使用是否超過必要的限度。

　　業(yè)務(wù)開展中是否涉及對個人信息的使用，是否留存客戶用戶數(shù)據(jù)、個人信息。

　　標(biāo)的公司是否存在對相關(guān)信息數(shù)據(jù)進(jìn)行存儲、記錄或者使用等情形，如是，相關(guān)行為是否符合法律法規(guī)、行業(yè)規(guī)范的要求；如否，標(biāo)的公司是否能夠被認(rèn)定為大數(shù)據(jù)行業(yè)公司。

　　標(biāo)的公司是否對數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施，相關(guān)措施是否規(guī)范、有效。

　　是否存在非法出售個人信息的行為。

　　數(shù)據(jù)共享

　　與 APP 開發(fā)者《XX使用協(xié)議》約定的“延展至XX使其可以獲取實(shí)現(xiàn)相關(guān)推送功能所必要的合理信息”中“相關(guān)推送功能”是否包括利用該APP共享鏈路而向其他APP最終用戶發(fā)送通知，APP 最終用戶是否知悉通過鏈路共享而向其發(fā)送其他 APP 通知，是否取得 APP 最終用戶同意或授權(quán)。

　　抽樣頭部 APP 產(chǎn)品的《用戶協(xié)議》、《隱私政策》中部分表述基于提升本 APP 服務(wù)之目的而收集用戶數(shù)據(jù)并向第三方共享該數(shù)據(jù)，發(fā)行人鏈路共享是否屬于“提升本APP 服務(wù)之目的”。

　　數(shù)據(jù)安全保護(hù)制度

　　標(biāo)的公司是否對數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施，相關(guān)措施是否規(guī)范、有效。請律師、獨(dú)立財(cái)務(wù)顧問核查并發(fā)表明確意見。

　　數(shù)據(jù)獲取、使用、加工處理、存儲及傳輸?shù)冗^程配套的內(nèi)部控制制度及執(zhí)行情況、效果，避免或防止泄露用戶隱私的具體制度及相關(guān)安排，是否存在泄密風(fēng)險(xiǎn)。

　　用戶信息保護(hù)技術(shù)體系，尤其是防止外部惡意軟件、病毒、黑客攻擊和內(nèi)部人員惡意導(dǎo)致的數(shù)據(jù)泄露的技術(shù)措施。

　　通過公安部門信息系統(tǒng)安全等級保護(hù)測評的情況。

　　對數(shù)據(jù)安全和個人隱私的保護(hù)措施與手段及其有效性，是否出現(xiàn)過個人信息、隱私泄露事件，是否存在侵權(quán)風(fēng)險(xiǎn)，是否存在糾紛或潛在糾紛，最近三年發(fā)生的嚴(yán)重泄密事件、重大訴訟、處理結(jié)果及有關(guān)的整改措施。

　　對提供產(chǎn)品、服務(wù)過程中掌握的個人信息、國家安全信息、國家秘密、保密信息所采取的防泄密措施和保障網(wǎng)絡(luò)安全的內(nèi)部管理制度及執(zhí)行效果，有無泄露國家秘密、保密信息、個人信息的風(fēng)險(xiǎn)，是否發(fā)生過相關(guān)信息泄露事件，是否因此受到過行政處罰。

　　業(yè)務(wù)及具體數(shù)據(jù)服務(wù)

　　說明發(fā)行人在開展業(yè)務(wù)、日常運(yùn)營過程中是否獲取或有可能獲取國家秘密、保密信息、個人信息。

　　結(jié)合《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等法規(guī)、司法解釋，說明各類業(yè)務(wù)是否存在侵犯客戶以及客戶用戶、APP具體使用者和其他第三方的商業(yè)秘密、個人信息安全、個人隱私的情形，是否存在法律風(fēng)險(xiǎn)或潛在法律風(fēng)險(xiǎn)。

　　與客戶所簽署業(yè)務(wù)合同中是否存在可能侵犯第三方商業(yè)秘密或個人信息安全的條款。

　　與客戶所簽署業(yè)務(wù)合同的業(yè)務(wù)內(nèi)容條款和保密條款是否存在協(xié)助或變相協(xié)助客戶、第三方開展可能侵犯第三方商業(yè)秘密或個人信息安全的行為。

　　DMP（Data ManagementPlatform）服務(wù)：

　　DMP服務(wù)的一般客戶來源，服務(wù)內(nèi)容，該業(yè)務(wù)開展具體內(nèi)部流程及控制措施；

　　報(bào)告期各期主要DMP服務(wù)項(xiàng)目的具體情況，銷售政策、定價方式、結(jié)算方式。

　　技術(shù)問題

　　相關(guān)大數(shù)據(jù)技術(shù)以及大規(guī)模數(shù)據(jù)存貯技術(shù)等的來源、形成過程及合法合規(guī)性。

　　列表說明發(fā)行人現(xiàn)有各項(xiàng)核心技術(shù)的發(fā)明人或主要研發(fā)人員及其曾任職單位，核心技術(shù)的具體來源和形成過程，是否涉及公司董事、監(jiān)事、高級管理人員或其他核心人員在曾任職單位的職務(wù)成果，是否存在權(quán)屬糾紛或潛在糾紛風(fēng)險(xiǎn)。請發(fā)行人結(jié)合其核心人員曾任職于同行業(yè)其他公司的有關(guān)情況，補(bǔ)充說明其主要產(chǎn)品的研發(fā)周期、渠道推廣和用戶積累的過程，是否存在向第三方購買底層數(shù)據(jù)并在外購數(shù)據(jù)的基礎(chǔ)上持續(xù)開發(fā)等情況。

　　數(shù)據(jù)立法和監(jiān)管對業(yè)務(wù)的影響

　　歐盟《通用數(shù)據(jù)保護(hù)法案》（General Data Protection Regulation,GDPR）的頒布實(shí)施對于發(fā)行人經(jīng)營業(yè)務(wù)有什么影響，發(fā)行人有什么整改或應(yīng)對措施，是否存在被處罰的風(fēng)險(xiǎn)，GDPR 對于發(fā)行人未來的業(yè)務(wù)經(jīng)營是否存在影響。

　　數(shù)據(jù)監(jiān)管及個人隱私保護(hù)政策變動情況（主管部門對數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)是否會持續(xù)升級）對未來發(fā)行人業(yè)務(wù)的影響及發(fā)行人的應(yīng)對措施。

　　請補(bǔ)充說明標(biāo)的公司對用戶信息的收集、傳輸、保存及應(yīng)用的現(xiàn)狀是否符合《信息安全技術(shù) 個人信息安全規(guī)范》的要求。若否，請充分提示相關(guān)風(fēng)險(xiǎn)并說明后續(xù)整改措施。

　　請發(fā)行人結(jié)合和XX的糾紛，補(bǔ)充說明其人才庫所涉?zhèn)€人信息的收集、存儲、使用，是否符合《全國人民代表大會常務(wù)委員會關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《中華人民共和國網(wǎng)絡(luò)安全法》的規(guī)定。