上市申報(bào)過程中證券監(jiān)督部門最關(guān)注的三類問題為數(shù)據(jù)源合規(guī)、數(shù)據(jù)安全及數(shù)據(jù)使用合規(guī)，而這三類問題也是企業(yè)運(yùn)營時(shí)最容易產(chǎn)生的問題，它們無疑應(yīng)是擬上市企業(yè)數(shù)據(jù)合規(guī)治理的重中之重：

1、數(shù)據(jù)源合規(guī)之監(jiān)管關(guān)注要點(diǎn)

1、數(shù)據(jù)信息

就獲取的個(gè)人數(shù)據(jù)而言，監(jiān)管機(jī)關(guān)較為關(guān)注這些個(gè)人數(shù)據(jù)的具體內(nèi)容，如數(shù)據(jù)的具體類型及占比，以文字、圖像、視頻何形式為載體，是否涉及個(gè)人信息、重要數(shù)據(jù)、商業(yè)秘密及其他非公開信息，不同渠道獲取數(shù)據(jù)內(nèi)容差異性。

2、數(shù)據(jù)收集

?a、獲取方式：獲取用戶數(shù)據(jù)的來源、獲取途徑及授權(quán)方式，獲得用戶同意的具體制度，是否明確告知收集信息的范圍及使用用途；

b、授權(quán)基礎(chǔ)：即獲得用戶授權(quán)方式是否明確且合法有效，授權(quán)許可中使用范圍、主體或期限等方面的限制情況；

c、收集手段：如是否采用了特殊互聯(lián)網(wǎng)手段（或技術(shù)）采集，是否繞開了被收集對象的防護(hù)措施進(jìn)行數(shù)據(jù)抓取。

3、第三方數(shù)據(jù)源合規(guī)性

?對于數(shù)據(jù)來源于第三方的，監(jiān)管機(jī)關(guān)除關(guān)注核心數(shù)據(jù)來源、采購數(shù)據(jù)具體方式，不同形式采購數(shù)據(jù)內(nèi)容是否有差異及其體現(xiàn)。還較為關(guān)注數(shù)據(jù)供應(yīng)商對外提供數(shù)據(jù)行為，如數(shù)據(jù)供應(yīng)商是否有資質(zhì)要求，選擇數(shù)據(jù)供應(yīng)商的原因、合理性，及采購數(shù)據(jù)協(xié)議的合法合規(guī)性。

2、數(shù)據(jù)使用之監(jiān)管關(guān)注要點(diǎn)

1、數(shù)據(jù)處理

監(jiān)管機(jī)關(guān)比較關(guān)注數(shù)據(jù)處理的具體操作流程及其合理性、合規(guī)性。如接觸、保管和處理行為是否合法合規(guī)并獲得個(gè)人授權(quán)，是否存在獲取國家秘密、保密信息、個(gè)人信息的可能。數(shù)據(jù)處理操作是否具有商業(yè)合理性，企業(yè)與業(yè)務(wù)經(jīng)營之間的聯(lián)系。

2、數(shù)據(jù)存儲

重點(diǎn)在于審核數(shù)據(jù)的法定存儲義務(wù)，如主要運(yùn)營數(shù)據(jù)的保存內(nèi)容以及保存方式，及數(shù)據(jù)完整性。

3、范圍限制

a、超出法定范圍：即對于數(shù)據(jù)的使用是否存在法律法規(guī)所禁止的情形；

b、超出授權(quán)范圍：數(shù)據(jù)主體的授權(quán)許可是否存在使用范圍、主體或期限等方面的限制，以及使用數(shù)據(jù)時(shí)是否超出前述限制；

c、 超出必要性：對數(shù)據(jù)的使用是否超過必要的限度。

4、準(zhǔn)確性

如何確保經(jīng)過加工處理的數(shù)據(jù)與原始數(shù)據(jù)的同一性、真實(shí)性、準(zhǔn)確性。

5、合規(guī)性

a、業(yè)務(wù)運(yùn)營：公司從事與數(shù)據(jù)處理相關(guān)的業(yè)務(wù)，如精準(zhǔn)推薦和個(gè)性化營銷服務(wù)，進(jìn)行商業(yè)化變現(xiàn)的合規(guī)性；

?b、處理過程：是否制定并公開收集使用規(guī)則，是否向所在地網(wǎng)信部門備案，是否存在違反收集使用規(guī)則使用個(gè)人信息的情況，是否針對未成年用戶有特定保護(hù)措施。

3、數(shù)據(jù)安全之監(jiān)管關(guān)注要點(diǎn)

1、數(shù)據(jù)保護(hù)機(jī)制

a、技術(shù)措施和其他必要措施：如是否進(jìn)行必要的信息安全等級保護(hù)測評等，是否建立、健全數(shù)據(jù)庫的保密措施，是否建立相應(yīng)的企業(yè)內(nèi)部管理制度，執(zhí)行有效性如何；

b、應(yīng)急方案及糾紛解決機(jī)制：針對可能發(fā)生的數(shù)據(jù)泄露事件及相關(guān)數(shù) 據(jù)糾紛，是否有應(yīng)急處置方案和糾紛解決機(jī)制。

2、風(fēng)險(xiǎn)披露

包括報(bào)告期內(nèi)已發(fā)生或可能發(fā)生安全事故的發(fā)生類型、原因及發(fā)生概率統(tǒng)計(jì)，處理結(jié)果及有關(guān)的解決措施。是否存在泄露國家秘密、保密信息、個(gè)人信息的情況或未來風(fēng)險(xiǎn)，潛在或已有的糾紛或爭議情況，公司因受投訴、監(jiān)管處罰、訴訟等情形，是否存在關(guān)于數(shù)據(jù)合規(guī)方面的負(fù)面輿情及其對生產(chǎn)經(jīng)營的影響。

4、其他不可控風(fēng)險(xiǎn)

1、數(shù)據(jù)安全風(fēng)險(xiǎn)升級

日前“滴滴出行”、“運(yùn)滿滿”、“貨車幫”、“BOSS 直聘”幾家赴美上市公司因涉及“國家數(shù)據(jù)安全風(fēng)險(xiǎn)”和個(gè)人信息收集合規(guī)問題，出于維護(hù)國家安全目的而受到網(wǎng)絡(luò)安全審查辦公室的審查，其中滴滴出行因?yàn)樯婕皢栴}嚴(yán)重，根據(jù)網(wǎng)絡(luò)安全審查結(jié)論及發(fā)現(xiàn)的問題和線索，國家互聯(lián)網(wǎng)信息辦公室依法對滴滴全球股份有限公司涉嫌違法行為進(jìn)行立案調(diào)查。經(jīng)查實(shí)，滴滴全球股份有限公司違反《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的違法違規(guī)行為事實(shí)清楚、證據(jù)確鑿、情節(jié)嚴(yán)重、性質(zhì)惡劣。2022 年 7 月 21 日，國家互聯(lián)網(wǎng)信息辦公室依據(jù)相關(guān)法律法規(guī)，對滴滴全球股份有限公司處人民幣 80.26 億元罰款，對滴滴全球股份有限公司董事長兼 CEO 程維、總裁柳青各處人民幣 100 萬元罰款。

2、人員管理

公司內(nèi)控管理制度是數(shù)據(jù)安全系統(tǒng)中不可忽視的重點(diǎn)。在數(shù)據(jù)堂、瑞智華勝、蛋殼公寓等上市公司處罰案例中，公司員工利用技術(shù)手段或者職務(wù)便利，非法獲取、提供公民個(gè)人信息，其個(gè)人行為卻對上市公司經(jīng)濟(jì)、聲譽(yù)造成重大不利影響，甚至引發(fā)停牌的后果。

3、技術(shù)規(guī)范

技企業(yè)業(yè)務(wù)經(jīng)營涉及人工智能、大數(shù)據(jù)、云計(jì)算等新型技術(shù)時(shí)尤為受監(jiān)管機(jī)關(guān)關(guān)注，關(guān)注焦點(diǎn)包括：

?a、技術(shù)倫理規(guī)范：公司對人工智能技術(shù)可控、符合倫理規(guī)范的措施和規(guī)劃，公司在技術(shù)開發(fā)和業(yè)務(wù)開展過程所面臨的倫理風(fēng)險(xiǎn)；

?b、技術(shù)說明：技術(shù)大數(shù)據(jù)核心技術(shù)（如算法的訓(xùn)練、系統(tǒng)的搭建等）是否涉及大量的數(shù)據(jù)的應(yīng)用，主動(dòng)式數(shù)據(jù)采集技術(shù)和被動(dòng)式數(shù)據(jù)采集技術(shù)的異同點(diǎn)；

?c、技術(shù)應(yīng)用：一體化數(shù)據(jù)處理平臺各功能模塊的具體構(gòu)成、具體功能和用途以及與發(fā)行人生產(chǎn)經(jīng)營的具體關(guān)系。

*內(nèi)容節(jié)選 北京德和衡律師事務(wù)所《中國上市公司數(shù)據(jù)合規(guī)案例研究報(bào)告》

歡迎加入數(shù)據(jù)合規(guī)交流群添加管理員微信，備注：數(shù)據(jù)合規(guī)群