文|天元律师事务所    楼奇    朱腾飞    吴晓洪
2020年6月28日，《数据安全法（草案）》提请十三届全国人大常委会第二十次会议审议，制定数据安全相关法律正式列入十三届全国人大常委会立法规划和年度立法工作计划。距2017年6月1日《网络安全法》的正式生效至今已走过三年，网络安全与数据合规问题从陌生到熟识，渐渐走入大众的视野，数据合规，已然成为监管机构的日常关注重点，也成为企业、特别是拟上市企业所必须关注的核心问题。
一、企业数据合规的类型
网络安全与数据合规往往被连在一起提及，但是从《网络安全法》到《民法典》，更多关注的是网络安全问题、个人信息保护问题，对数据合规的问题并未过多提及：《网络安全法》中，“数据”一词全文被提及18次，“数据安全”一词只出现1次，“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展”[1]。
《民法典》中，“数据”一词全文被提及6次，“数据安全”一词出现次数为0。
根据全国人大网新闻报道[2]，《数据安全法（草案）》的主要内容包括：确立数据分级分类管理以及风险评估、监测预警和应急处置等数据安全管理各项基本制度；明确开展数据活动的组织、个人的数据安全保护义务，落实数据安全保护责任；坚持安全与发展并重，规定支持促进数据安全与发展的措施；建立保障政务数据安全和推动政务数据开放的制度措施。
在《数据安全法（草案）》出台之前，企业该从何处着手，规范企业的数据安全呢？我们或许可以从证监会对上市公司的审核中找到回答。通过整理公开材料，我们发现，2017年至今，企业申请IPO时被审核机构问询到的数据合规问题，最主要包括如下3个方面：
1. 审核机构提出的关于数据来源合规问题主要有：
请说明数据的形成过程，使用权限及其合法合规性；
针对不同的数据来源，核查发行人收集收据、采购数据时，是否均取得了信息主体明确的授权或许可文件；
请说明发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规；
获取授权的过程是否对客户的用户有明示，客户的用户对于上述行为被视为授权许可在法律上是否完备，相关协议约定内容存在明显不利于个人用户的格式条款，是否符合相关法律法规的规定要求；
请说明要求发行人说明是否对数据来源进行分类，数据采集和应用过程中是否获得用户许可，是否存在侵犯用户权益(隐私权、肖像权等)的情形；
获取用户数据信息的来源、获取途径及授权方式，收集用户信息获得用户同意的具体制度及相关安排，收集用户信息时是否明确告知收集信息的范围及使用用途，对数据的使用是否超过必要的限度；
请说明发行人采集数据（包括自行采集，也包括向供应商采集）时，是否获得了相关信息主体（及用户）的合法授权，获取用户数据的手段及方式是否合法合规；
发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规。
2. 审核机构提出的关于数据使用合规问题主要有：
发行人使用用户数据是否合法合规，请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的情况，是否存在法律风险或潜在法律风险；
发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定，是否制定并公开收集使用规则，是否向所在地网信部门备案，是否存在违反收集使用规则使用个人信息的情况；
发行人对数据的使用是否超过必要的限度；
发行人运用大数据相关技术从事精准推荐和个性化营销服务是否涉及侵犯产品用户个人隐私或其他侵权风险，发行人的大数据相关技术及其使用、相关服务的开展的合法合规性，是否存在纠纷或潜在纠纷；
发行人的数据是否存在转授权或流转给第三方使用的情况，如存在，是否经过了个人信息主体的明示同意，是否经过了充分的脱敏，相关授权流程是否完备；
发行人相关业务的开展方式及相关数据的使用方式，行业是否允许第三方机构处理相关数据，是否需取得有权主管部门批准；
发行人通过 APP 授权获取的用户信息用于互联网营销或其他业务是否超过用户对 APP 的授权范围。
发行人对用户信息的收集、传输、保存及应用的现状是否符合 2018 年 5 月 1 日实施的《信息安全技术个人信息安全规范》的要求。若否，请充分提示相关风险并说明后续整改措施。
3. 审核机构提出的关于数据安全合规问题主要有：
对相关个人信息是否存在有效的保密机制，是否符合《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《中华人民共和国网络安全法》的规定；
在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息，是否存在泄漏国家秘密、保密信息、个人信息的情况或未来风险，是否已建立完善的防泄密和保障网络安全的内部管理制度，该等制度的执行是否有效；
是否建立数据安全相关制度及措施，包括但不限于数据的备份机制、防范数据窃取及泄露的措施、对用户隐私数据加密措施以及对于到期数据的处理机制等；
是否需要进行信息安全等级保护测评；
近三年是否发生的严重泄密事件、重大诉讼，如有，请说明处理结果及有关的整改措施。
二、企业上市所需面临的数据合规问题
针对上述问题，我们选取了2家数据服务企业，对比其在上市申报过程中被审核机构问询的情况，总结企业面临上述问询时的回复要点。
通过对比，我们可以看到，每日互动在风险披露部分，就对数据的使用及安全问题做出了风险披露，对发审委提出的数据合规问题，也在补充《法律意见书》中做出了回复。与之相较的墨迹风云，其在招股书中，只对数据来源的单一性做了风险提示，对于具体的使用、安全问题，并未做出明确的风险提示，至于发审委的问询，我们通过公开渠道，未检索到相关的回复或说明。
综上，虽然我们不能说，墨迹风云（首发）未通过的原因一定与数据合规有关，但是从发审会会议审核结果[6]的公告中，至少可以看出，数据合规问题确实是墨迹风云在审核中被重点关注的问题之一。
通过整理近期科创板的问询函及回复，我们还发现，发审委审核对数据合规问题审核关注重点有日益具体、深入、有针对性的趋势，对企业在首轮问询中回复不明确的问题，也将持续追问。
2020年6月17日注册生效的北京慧辰资道资讯股份有限公司（以下简称“慧辰资道”）为一家数据分析服务提供商，在该企业的问询中，关于“在公司为客户提供数据分析服务时，主要有三类数据获取途径，分别是客户提供的数据、公司向供应商采集的数据以及公司自行采集的数据”的问题，就在两轮问询中，被反复提及，且在第二轮的问询中，问询得更为详细：
并且，随着数据的广泛使用和数据保护规范制度的逐步建立和不断完善，我们认为，监管机构关注的企业类型，将不仅仅限于大数据企业、科技企业，对于传统行业的企业，如业务经营涉及大量用户数据、或是销售设计端运用云计算与大数据技术的，在上市审核中，也将面临审核机关就数据合规问题的问询，企业的数据收集、使用、共享、以及商业合作的业务模式，均会落入审核机构的审查范围，对其数据相关产品及服务模式的公开披露也将进一步扩大企业的合规风险。三、企业数据合规的治理方向及布局
为有效应对上市过程中的数据合规审查，拟上市企业、特别是科技企业应针对上述数据合规问题，应当及早部署专业的数据合规团队持续参与企业数据合规建设全流程，在上市前期落实数据治理工作，识别并把控数据合规风险，减小企业上市申报及上市后可能面临的风险。   1、数据来源问题
数据来源包括从个人直接收集信息、从第三方供应商收集信息以及从网络公开或半公开平台收集信息。不同来源均需要获得信息主体的明确授权。具体地说，应对数据来源进行分类，根据不同类别，说明获取用户数据信息的来源、获取途径及授权方式，收集用户信息获得用户同意的具体制度及相关安排，收集用户信息时是否明确告知收集信息的范围及使用用途，对数据的使用是否超过必要的限度。
特别地，对个人信息和个人隐私应重点关注。根据《民法典》第一千零三十四条第二款的规定，个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。该等数据敏感程度较低、涉及私人生活安宁的隐私属性不强，与“个人隐私”或“隐私数据”存在一定差异。涉及民法典第一千零三十二条规定的隐私权的，则应该进行更加严格的保护。
企业自行采集数据时，要明确告知收集信息的范围及使用用途，符合必要性、目的性要求，对用户明示提示并获得相关信息主体（及用户）的合法授权。不仅数据来源需要获得用户的明确同意，监管机构还可能要求企业明确数据运用的具体方式，使用是否超越用户授权范围；
对于来自供应商的数据，企业应当按照以下步骤确保引入的数据供应商数据来源的合法合规性：
核实引入第三方数据源的必要性和可行性；
要求第三方数据源就用户授权提供有效、充足的承诺与证明；
确保第三方数据的用户授权范围足够覆盖企业处理数据的业务需求；
制定《外部数据采购管理制度》并严格按其提请流程。
对于通过网络公开平台获取的数据，企业应重视其自行收集个人信息途径的合法性，禁止使用非法的爬虫技术或撞库技术从其他网络运营者的平台非法抓取数据。对于爬虫爬取的数据，需要进行深度的合规性评估，避免存在连带的法律责任甚至是行政、刑事风险。应审查和确认：是否获得被爬取用户同意或者平台是否授权同意，是否需要三重授权，是否存在民事、行政和刑事违法风险。
2、数据使用问题
在数据的使用过程中，企业需要从个人信息访问控制措施、展示限制、访问限制、信息访问、信息更正、信息删除、信息主体撤回同意、信息主体撤销账户等方面，制定隐私保护政策并对外公开提供规范与承诺。
在数据展示中，进行脱敏化处理，保证通过数据不会识别到个人。在公司层面统一设置个人信息处理权限管控制度，并切实推行至各部门与业务团队，确保该等数据经过加密、去标识化处理，使其不会识别至个人，并只允许那些为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息，保证其遵守严格的合同保密义务；
在数据商业变现和共享中，严控数据的对外输出，在对外转让、披露、共享个人信息时应获得个人信息主体的充分知情同意，通过数据安全防控技术，保障数据在共享的过程中不可篡改。比如罗克佳华在数据共享链条中，通过运用区块链中的密码学技术，每个节点都有各自的密钥，以确保唯一性和传输安全性，使用云链数据库防止数据造假；
在企业内部，对数据获取、使用、处理等过程制定一整套完善的内部控制制度，从内部管理规范、管理制度、具体执行部门、人员安全管理与培训、安全等级测评等层面描述企业数据使用与运营的合规性，并在报告期内得到有效执行。做好数据安全管控，采用加密存储、设置访问权限、数据备份、选用多个服务提供商等多重数据安全风险防控措施。
3、数据安全问题
明确对数据安全和个人隐私的保护措施与手段，结合《数据安全管理办法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释，分析各类业务是否存在侵犯客户以及客户用户商业秘密、个人隐私的情况，是否存在法律风险或潜在法律风险。
在技术方面，建立用户信息保护技术体系，尤其是防止外部黑客攻击和内部人员恶意导致的数据泄露的技术措施。在安全认证上，企业可以根据业务类型，通过信息系统安全等级保护测评，取得《信息系统安全等级保护备案证明》。2019年市场监管总局、中央网信办正式对外发布公告，将依据《移动互联网应用程序（App）安全认证实施规则》开展App安全认证工作。安全认证过程中对App运营者提出了严格要求，违反相关法律法规的App运营者不得申请认证。
除了企业自身的数据风险防控，还应当通过协议等方式与合作方就数据共享中的用户同意、使用范围、安全防护等方面达成共识，加强对第三方数据合规性的管理。依据《个人信息安全规范》，企业作为个人信息控制者做出委托处理、共享、转让或者融合数据行为，应事前进行个人信息安全影响评估，确保供应商满足相关规定的数据安全能力要求。
很多拟上市企业招股说明书提到：“企业不能完全避免因立法或监管政策的发展变化而引发数据合规方面的潜在法律风险。”面对监管部门对信息安全、个人隐私保护标准的升级，企业应当密切关注主管部门的立法和执法动态，完善内部数据风险控制程序，减少对业务的影响。
4、数据合规问题审核的参考依据
对于拟申请上市的企业而言，应当关注上市审核机构问询依据，密切关注最新的数据保护相关的立法动态、数据合规执法和监管趋势。
严格遵守《网络安全法》、《民法典（人格权篇）》、《密码法》等已经出台的法律，密切关注《数据安全法（草案）》等制定中法律。
遵守各监管部门制定的网络安全与数据保护规范性文件，如：《网络安全审查办法》、《儿童个人信息网络保护规定》、《网络信息内容生态治理规定》和《App违法违规收集使用个人信息行为认定方法》等，关注《数据安全管理办法（征求意见稿）》、《个人信息出境安全评估办法（征求意见稿）》等重要文件的推进进程。
关注数据合规执法活动，如：2019年中央网信办、工信部、公安部和市场监管总局在全国范围内联合开展的App违法违规收集使用个人信息专项治理工作。
总而言之，对于拟上市的企业而言，数据合规工作“宜未雨而绸缪，毋临渴而掘井”，为保证企业上市计划的顺利实施，建议企业尽早咨询数据合规律师，并启动数据合规工作。根据法律法规的监管动向，结合审核机关针对拟上市企业数据合规审查的整体趋势，自身业务建立合规体系，提前布局数据合规治理工作以应对企业上市过程中面临的数据合规审查挑战，方能在企业上市审核及问答过程中游刃有余。
作者相关文章推荐：
?企业数据合规——从认识数据开始
?企业数据合规之数据法律属性辨析
?企业数据合规之数据采集那些事儿
?数据利用的法律责任
?企业数据合规之数据出境也要“通关”
?人力资源管理中的数据合规
注释：
[1] 《网络安全法》第18条第1款。
[2]http://www.npc.gov.cn/npc/c30834/202006/97f149839ff04c428224f6344ead7e38.shtml
[3]《招股说明书》（申报稿）中最后一个报告期
[4] 第二类增值电信业务中的信息服务业务，包括：仅限于互联网信息服务和不含互联网信息服务2类。
[5] 第二类增值电信业务中的信息服务业务，仅限于互联网信息服务。
[6] 第十八届发审委2019年第142次会议审核结果公告
声明
-本文仅为交流目的，不代表天元律师事务所的法律意见或对法律的解读，如您需要具体的法律意见，请向相关专业人士寻求法律帮助；
-本文系天元律师事务所原创，如需转载，请注明来源。