拟IPO企业数据合规审核要点及应对

2019-11-22

引言
2019年10月11日，北京墨迹风云科技股份有限公司首发申请未予通过。中国证监会公告详述了证监会发审委会议针对墨迹科技提出询问的四大主要问题，其中用户数据收集及处理合规问题是一大关键问题。这并不是证监会首次在IPO审核过程中就数据合规问题进行反馈询问。经过我们初步统计，从2016年至今，国内有几十家企业在申请IPO（含科创板）时，审核部门就网络安全和数据合规问题提出反馈或问询函。

近年来IPO审核部门有关数据合规的反馈问询更有覆盖行业越来越广，反馈问询越来越频繁的趋势。那么IPO审核为什么会对数据合规越来越重视？数据合规审核的要点在哪里？拟IPO企业需要做哪些应对？本文在盘点了2016年以来20余家发审委会议询问及科创板问询涉及数据合规相关问题的IPO企业的基础上，结合我国目前数据合规的法律法规及有关监管政策尝试做一些分析，希望能给拟IPO企业一些启发。

一、近年IPO数据合规反馈问询盘点

▲图表1IPO企业数据合规问询摘录表（截止到2019年11月10日）

▲图表2IPO企业数据合规反馈问询柱形图（截止到2019年11月10日）

根据上述反馈问询盘点，我们大致可以分析出如下两个结论：

（一）从反馈问询的行业来看，大部分集中在计算机通信、互联网、软件和信息技术服务等新一代信息科技企业。其次是金融业、应用互联网+创新商业模式的企业。传统商务服务业、制造业若涉及数据问题也会被反馈问询。

（二）从反馈问询的内容来看，主要集中以下几个方面：是否经过公安部门的等级保护测评？是否建立了完善的防泄漏和保障网络安全的数据内控体系并有效执行？数据中若含有个人信息，是否取得授权、是否侵犯个人隐私？是否有数据安全和个人隐私保护的措施？数据获取、使用、处理、流转过程是否合法合规？是否涉及网络安全及数据合法合规方面的处罚及诉讼仲裁？以数据作为商业模式环节的稳定性、集中度如何？

二、我国数据立法及监管趋势

近年来，全球持续的网络安全及数据保护立法浪潮，展现出各国对网络安全及数据保护问题的关注。我国也从立法层面逐步完善了对网络安全及个人信息的保护。2017年以前，我国的网络安全和个人信息保护起点较低，立法呈现碎片化和宽松化状态。伴随着2017年6月1日《网络安全法》正式生效实施，业界称2017年为中国“数据合规元年”。从这一年开始，我国的网络安全和数据保护进入了新的发展阶段，网络安全及数据合规相应成为立法、监管和社会备受关注的焦点。

目前我国在网络安全方面，已经形成以《网络安全法》（简称“《网安法》”）为主体相关行政法规、部门规章为配套的网络安全保障架构。个人信息保护方面，我国目前还未有个人信息保护的专门法律，有关个人信息保护的规定散见于《民法总则》、《消费者权益保护法》、《刑法》及有关司法解释等为总体立法、《征信业管理条例》、《电信和互联网用户个人信息保护规定》等法律、法规、规章及各行业的规范性文件里。形成了多层次、多领域、分散型的网络安全及个人信息保护法律体系。

▲图表3网络安全、数据合规、个人信息保护主要法律法规（截止到2019.11.10）

随着GDPR的落地实施与影响力的全球化扩张。在我国，以分散型立法模式为主的现状，在不久的将来，也将走向统一化、体系化的立法模式。《数据安全法》、《个人信息保护法》两部重要法律已列入十三届全国人大常委会立法规划，切合时代需求和中国国情的网络安全和数据法律体系初具雏形。

近年来，各行政执法部门在网络安全及个人信息保护方面的执法趋于活跃。随着《网安法》各配套法规逐步从征求意见转为落地实施，网络安全审查、等级保护制度落实、跨境数据监管将成为重点。随着等保2.0版本的落地，未来，所有中国公司和法律实体都将被要求实行网络安全等级保护制度。行政执法部门会持续加强对个人信息的保护，不仅关注有没有隐私政策，还将注重个人信息的收集和处理过程。网络安全、个人信息保护相关的各类民事赔偿、行政处罚甚至刑事案件数量将会快速上升。

三、拟IPO企业数据合规要点及应对措施

通过上文对IPO数据合规反馈问询盘点和我国数据立法及监管趋势的分析，拟IPO企业数据合规要点主要集中在网络安全及个人信息数据保护两个大方面：

（一）网络安全方面

1.经过网络安全等级保护测评

目前《网安法》第21条已经规定了企业需要进行网络安全等级评定，但与此配套的《等保条例》尚处于征求意见阶段。在《等保条例》正式实施前，拟IPO企业应参照目前已实施的《计算机信息系统安全保护条例》以及《信息安全技术网络安全等级保护实施指南》、《信息安全技术网络安全等级保护基本要求》等国家标准评估自身的网络安全等级，并采取相应的网络安全防护措施。我们建议拟IPO企业可根据国家网络安全等级保护工作协调小组办公室发布的《全国网络安全等级保护测评机构推荐目录》向有关网安测评机构咨询。

2.网络关键设备、网络安全专用产品取得合规性认证

网信办已于2017年公布了《网络关键设备和网络安全专用产品目录（第一批）》其中载明了部分设备采购需要取得安全检测和认证标志，拟IPO企业除了确保自身采购使用的网络关键设备和网络安全专用产品取得安全检测和认证标志外，还需要考虑数据处理、共享方的相关产品也需取得安全检测和认证标志。

3.关键信息基础设施运营者（简称“CIIO”）身份的认定

《网安法》第31、34条、《CII安保条例（意见稿）》,都明确了CIIO的行业归属和特殊义务。虽然目前相关的识别法规和指南都还处于征求意见阶段，但建议拟IPO企业还是应当根据自身所处的行业、数据持有量、体量规模、行业地位等因素并参考《信息安全技术数据出境安全评估指南》(征求意见稿)初步判断是否会被定性为CIIO。若可能被认定为CIIO，应及早按照CIIO标准建立更加严格的网络安全保障及数据合规体系。

4.与所处行业、规模相匹配的网络安全保障措施

拟IPO企业经过上述CIIO身份认定及等保测评后，需要根据身份认定及测评采取相应的安保措施。安保措施分为技术措施和管理措施，技术措施包括加密管理、数据脱敏、Web应用防火墙、隔离区、TLS2.0、SSL等，管理措施包括人员配备、权限管理、第三方访问管理，供应链数据合规管理等。企业应当以清单方式列明并核查运行情况，需要注意安保措施的完备性和可执行性。

5.制定网络安全事件应急预案

《网安法》第25条规定了网络运营者应当建立网络安全事件应急预案。也有反馈问询直接提及IPO企业是否建立网络安全事件应急预案。一直以来，包括北京、上海等地的网信部门每年都会发布当地的网络与信息安全事件应急预案。也有很多企业和机构都已经制定了网络安全事件应急预案。拟IPO企业可以参照这些预案，并结合自身的行业及企业特点，制定符合自身情况的应急预案。应急预案至少应包括成立小组、事件定级、预案启动、消除影响、系统恢复、善后处理等部分。除有应急预案外，还应当定期（至少每年一次）组织内部相关人员进行应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程。

6.完善的网络安全和数据合规的内控体系并有效执行

鉴于上述网络安全合规要求，拟IPO企业需要具备一整套齐备的网络安全内部控制制度，并有效运行，这也是拟IPO企业内控制度的一部分。网络安全内控制度主要包括网络与信息系统安全总纲、第三方访问策略、介质管理、设备管理、机器环境管理、数据存储、处理管理、信息系统操作管理与记录、数据库访问记录、数据备份、用户认证等。

（二）个人信息数据保护方面

1.个人信息的收集、保存、使用需合法合规

《网安法》41条、《消费者权益保护法》29条、《个人信息安全规范》3.2、5.5条等法律法规规范性文件均明示：获取客户个人信息需被收集者授权同意；个人信息收集处理规则（合法、正当、必要）；按照法律行政法规以及与用户之间的约定收集、保存、使用用户个人信息。这三个层面问题，是个人信息保护的核心要求，也是监管机关重点关注的合规内容。

拟IPO企业只要涉及个人信息收集，就应当制定并对外公开个人信息收集处理规则即隐私政策并获得客户的同意（个人敏感信息需获得明示同意）。隐私政策的内容应当包含对个人信息数据的全周期处理规定，包括收集、使用、存储、处理、共享、交换、删除、自主管理等环节，遵守合法、正当、必要、保密、简明的原则。Cookie和同类技术使用规则、个人信息数据保护措施。目前，监管机构对企业收集个人信息数据越来越严苛，单纯的概括授权和一揽子授权已经被监管机构很难得到认可，未来的隐私政策将会朝着差异化、细节化、可选择的方向变化。

此外，根据《儿童信保规定》如果涉及儿童个人信息保护的还需要企业单独制定保护政策并确定负责人。

根据《网安法》规定，个人信息的使用应遵循合法性、最小必要、授权同意的原则。合法性原则要求运营者使用个人信息不得违反法律、行政法规规范性文件的规定；最小必要原则要求网络运营者不得使用与其提供的服务无关的个人信息；授权同意则要求使用个人信息需要获得被收集者的同意，如果因业务需要，确需超出范围使用个人信息的，应再次征得被收集者的明示同意。如果拟IPO企业违反上述个人信息的使用要求，将面临警告、罚款、吊销相关业务许可证等的行政处罚。

2.涉第三方的个人信息保护

在数据的商业合作领域，经常会发生数据委托处理、共享、数据融合等交互行为，数据保护的要求也相应传导给第三方。根据《网安法》、《个人信息安全规范》等法律法规国家标准及规范性文件规定，个人信息经过数据脱敏处理后可以进行共享、传输，但是对于未经脱敏处理的个人信息需满足下述合规要求：（1）事先开展个人信息安全影响评估，并依评估结果采取有效的保护个人信息主体的措施；（2）向个人信息主体告知共享、转让个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意。涉及个人敏感信息的，还应告知个人敏感信息的类型、数据接收方的身份和数据安全能力；（3）准确记录和保存个人信息的共享、转让的情况，包括共享、转让的日期、规模、目的，以及数据接收方基本情况等；（4）帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况，以及个人信息主体的权利，例如，访问、更正、删除、注销账户等。

3.个人信息和数据跨境的合法合规

拟IPO企业如果涉及数据的跨境传输，需要遵守我国数据传输的法律要求，同时也需要遵守有关国家和地区对于数据跨境要求，例如欧盟的《一般数据保护条例》（“GDPR”）、美国的加州消费者隐私法（“CCPA”）等。目前国内按照网信部门要求，原则上允许数据因业务需要在经安全评估后可以出境。《个人信息出境安全评估办法（征求意见稿）》要求网络运营者向境外提供在中国境内运营中收集的个人信息应当按照该办法进行安全评估。目前虽然该办法尚未生效，建议拟IPO企业参照其规定做好安全评估，并参照《信息安全技术数据出境安全评估指南》(征求意见稿)的规定根据类别、传输数量、目的范围、技术处理情况四大要素，向监管部门报备、通知等，并评估接收方网络安全保障能力和政治法律环境。此外如果关于数据出境的行业规定和一般规定不一致的，我们建议应该向监管机构寻求指导。

4.个人信息内控及保护措施的完备及有效执行

《网安法》第42条提出网络运营者采取技术措施和其他必要措施以确保其收集的个人信息安全的原则性规定。包括员工接触用户信息、使用、处理用户信息的内部管理规程等。若运营者要保证用户数据安全，需要在组织制度、技术措施上同时发力，这不仅是企业本身数据管理的要求，而且越来越成为监管机构审查的内容。

拟IPO企业除需要制定完备的个人信息保护制度作为内控制度的重要内容之一外，还需要确保制度有效执行并且做好个人信息安全事件的应对。

四、结语

随着新一代信息科技的发展，网络安全和数据合规已成为证监会重点关注的问题之一，并成为影响企业上市成功与否的重要因素。通过上述盘点和分析，以期为不同类型的拟上市企业开展网络安全与数据合规工作提供借鉴。

本文作者：

*胡承浩实习生亦对本文有所贡献

声明：

本文由德恒律师事务所律师原创，仅代表作者本人观点，不得视为德恒律师事务所或其律师出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。