统计分析揭示上市企业申报过程中数据合规审核有以下的特点:
数据合规是全行业全领域企业所面临的普遍挑战:不仅科技企业面临日趋严格的数据合规审查,身处传统行业的拟上市企业,如业务经营涉及大量用户数据[1],或在销售设计端运用云计算与大数据技术[2],也会在申请上市过程中面临审核机关就数据合规相关的问题的问询。
审核机关的问询更加具体、有针对性。我们注意到,在《网络安全法》颁布之初发审委的问询相对笼统和概括,关注点在于企业数据来源是否合规、是否建立内部控制制度。随着数据保护规范不断完善,发审委的问询问题逐渐具体化到企业是否建立数据供应商甄选机制,是否建立数据备份机制、防泄漏机制与到期数据处理机制等具体制度,以及该等制度是否实际得到有效执行。
审核机关对拟上市企业问询回复的审查更加深入。在梳理近期拟上市企业审核问询函及回复的过程中我们发现,发审委将针对企业回复中不明晰的阐述持续追问,例如某企业在问询回复中称其产品“不曾亦不会获取用户的隐私数据”,随后发审委发起了进一步问询,要求该企业解释这一认定的依据是否充分合理。为准确回答该等问询问题,拟上市企业需对企业数据进行全面和准确的风险识别并落实相应合规措施。
审核机关的问询同样关注企业如何相应匹配技术性措施。发审委针对拟上市企业系统与技术的关注体现在两个方面。一是要求企业对其信息保护技术体系进行说明,二是要求企业对其核心技术的合法合规性进行说明,企业核心技术可能包括移动客户端技术、大规模通信技术、分布式处理技术、大数据技术以及大规模数据存贮技术等。因此,拟上市企业的数据合规治理不仅包括对数据的识别和合规风险管控,也包括对信息系统和技术的管理。
审核机关的问询覆盖数据全生命周期。相较企业日常经营中采取的平衡商业需求与数据合规要求的合规标准而言,审核机关针对拟上市企业的数据合规审查标准往往更为严苛,其数据收集、使用、共享、数据安全制度、以及与商业伙伴的合作业务模式均会落入发审委审查的范围。同时,拟上市企业为满足上市披露要求,对其数据相关产品及服务模式的公开披露也将进一步扩大企业的合规风险。
上市过程中企业的数据治理将面对发审委的全方位考察。除此之外,拟上市企业还应做好成功上市所带来的后续合规风险的规避。成功获批上市的企业将在其招股说明书中按发审委要求或自行决定披露投资者需特别关注的风险因素,该等风险披露将把企业潜在的数据风险暴露在投资者、产品与服务的使用者、以及同行业竞争者的关注之下,随之而来的可能行政处罚风险及潜在的民事侵权诉讼风险和不正当竞争诉讼风险。
因此,在上市筹备阶段,拟上市企业应当将采取有效且有针对性的数据合规治理措施纳入上市整改工作范围之中,以防范该等风险。通过对既往上市企业涉及的数据合规问询的梳理,我们整理了既往上市企业申报过程中面临的主要数据合规风险点,以期对拟上市企业开展合规治理工作有所助益。
风险因素:(1)不当使用互联网信息的风险。公司通过向移动应用开发者提供第三方消息推送服务,覆盖了大量移动终端和活跃用户。虽然公司一贯重视信息数据的保护并建立了完善的信息保密制度和操作流程,但在业务开展过程中,一旦公司员工或数据合作方、客户基于自身原因造成了信息的不当使用,将会对公司声誉造成不利影响,甚至可能会对公司的业务开展造成不利影响,进而影响公司的经营业绩。(2)数据资源安全风险。对于获取的数据,公司建设了数据管理中心机群,公司采用了防火墙、数据加密等技术,以保障数据资源存储、使用的安全性、可靠性。但如果公司受到互联网上的恶意软件、病毒的影响,或者受到黑客攻击,将会影响公司信息系统正常运行,或者导致公司信息数据资源泄露、损失,从而可能会损害公司的市场声誉,对公司经营业绩造成不利影响。
风险因素:公司因用户个人信息保护不当所面临的法律及用户流失风险。作为互联网信息服务提供者,公司在经营过程中会获取用户的手机号码、家庭住址、身份证号等个人信息。根据国家相关法律法规的规定,发行人收集、使用用户个人信息应当遵循合法、正当、必要的原则,并对用户个人信息的安全负责,不得泄露、篡改、毁损、出售或者非法向他人提供用户个人信息等。若由于内部管理或外部原因造成用户信息的泄露,公司将会面临承担相应法律责任以及用户投诉和用户流失的风险。
风险因素:因使用爬虫技术非法获取数据引发的刑事责任风险。公司通过股东成立的其他关联公司与运营商签订精准广告营销协议,获取运营商服务器登录许可,并通过部署SD程序,从运营商服务器抓取采集网络用户的登录数据,并将上述数据保存在运营商数据库中,利用研发的爬虫软件、加粉软件,远程访问数据库中的数据,非法登录网络用户的淘宝、微博等账号,进行强制加粉、订单爬取等行为,从中牟利。公司该等行为构成非法获取计算机信息系统数据罪。
以爬虫技术非法爬取用户发布在第三方平台上的内容[6]
风险因素:因使用爬虫技术引发的侵权与责任不正当竞争责任。公司未经许可在其运营的APP中的明星账号中设置微博专题,并嵌套该明星的新浪微博界面,完整展示该明星微博包括界面和内容在内的全部数据。
风险披露:供应商相对单一的风险。公司向关联方采购占比分别达到40.16%和 75.48%,对该单一供应商存在一定程度的依赖。未来如果市场发生重大不利变化或关联方因特殊原因停止向公司提供账号推广服务,可能对公司盈利能力产生较大影响。
风险披露:(1)内部控制风险。随着公司的业务发展,公司总体经营规模将逐步扩大,这将对公司在战略规划、组织机构、内部控制、运营管理、财务管理等方面提出更高要求。股份公司设立前,公司内控体系不够健全,运作不够规范。公司整体变更为股份有限公司后,逐步建立健全了法人治理结构,制定了适应企业发展的内部控制体系。但由于股份公司运行前期缺少专业机构的辅导和督导,公司及管理层的规范运作意识不高,在实际运行中存在一定程度的不规范性。(2)数据来源合法性的风险。公司作为一家大数据公司,业务涉及到数据的收集,如果收集到的数据涉及个人隐私、国家安全或其它非法数据,将面临法律方面的风险。
以互联网为工具提供金融数据分析和证券投资咨询服务[9]
风险因素:互联网系统及数据安全风险。互联网及相关设备客观上存在着网络基础设施故障、软件漏洞、网络恶意攻击及自然灾害等因素引起网络瘫痪的风险。上述风险一旦发生,客户将无法及时享受公司提供的产品和服务,严重时可能造成公司业务中断,从而影响公司的声誉和经营业绩甚至引起法律诉讼。
风险因素:信息安全与数据保密风险。公司的各类产品服务及其赖以运行的基础网络、处理的数据和信息,可能存在软硬件缺陷、系统集成缺陷以及信息安全管理中潜在的薄弱环节,从而导致不同程度的安全风险。由于信息系统本身固有的安全特点,公司存在不可预测的信息安全与数据保密的风险,一旦发生信息安全事故,可能存在业务系统产生漏洞,客户数据泄密或流向错误,从而对公司的经营造成影响。
风险因素:因最终客户发生数据泄密及其他网络安全事件时,公司承担罚款或赔偿的风险。当最终客户发生数据泄密及其他网络安全事件时,如主管部门认定公司在提供相应产品或服务时违反了国家与网络安全和信息安全相关的法律法规,公司可能承担相应的法律责任,并可能需根据销售合同的约定向客户承担相应的赔偿责任。
风险因素:公司运营业务尚未取得第三方测评机构出具的信息安全等级保护测评报告的风险。信息安全测评认证中心仍在进行测评工作,正式测评报告尚未出具,如正式测评报告的安全保护等级高于第三级以上(含第三级),则公司存在未及时进行信息安全等级保护测评而被主管部门责令改正、给予警告的风险。
CIO之家 www.ciozj.com 公众号:imciow