策略研究 | 境内上市、拟上市公司数据合规常见审核要点分析及应对策略报告

数据越来越成为当今社会重要的生产要素，作为数据重要部分的个人信息更是成为社会各界关注的焦点。国家对于数据安全、流通以及个人信息保护的力度不断加强，相应立法在逐渐完善，作为审核上市公司的监管机构也对此予以了高度关注，境内上市、拟上市企业的数据合规成为重要的询问内容之一。

本文选取了自2016年以来收到监管机构以问询等方式要求企业就数据合规方面情况进行答复的五十家境内上市、拟上市企业作为样本，通过深入分析监管机构的问询内容，进而研究企业在上市过程中需要重点关注的数据合规方面的问题。下一步，我们将适时就境外上市企业数据合规方面的问题进行深入研究。

一、上市、拟上市企业数据合规

面临的国内外法律监管

（1）国内数据方面基本立法体系

顶层制度设计：2020年4月9日发布的《中共中央国务院关于构建更加完善的要素市场化配置体制机制的意见》要求加强数据安全，2020年10月29日通过的《中共中央关于制定国民经济和社会发展第十四个五年规划和二〇三五年远景目标的建议》明确提出：保障国家数据安全，加强个人信息保护。

重要法律：《中华人民共和国刑法》（尤其是后期的修正案七和修正案九，就数据方面的犯罪做出了进一步的细化）、《中华人民共和国网络安全法》（2017年6月1日生效）、《中华人民共和国民法典》（2021年1月1日生效）、《中华人民共和国数据安全法》（2021年9月1日生效）、《中华人民共和国个人信息保护法》（2021年11月1日生效），基本形成了“四法一典”为核心的数据保护法律支柱框架。另外，目前又陆续公布了《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》（2021年7月28日发布）等相关司法解释和多个相关行政法规方面的征求意见稿。数据和个人信息保护的法律、法规体系不断完善，这为企业数据合规提供了良好的指引和规范。

主要行政法规、部门规章和行业标准：《关键信息基础设施安全保护条例》（2021.09.01实施）、中华人民共和国计算机信息系统安全保护条例(2011修订)（2011.1.8实施）、《网络数据安全管理条例（征求意见稿）》（2021年11月14日发布，未实施）、个人信息和重要数据出境安全评估办法(征求意见稿)（2017.04.11发布，未实施）、个人信息出境安全评估办法(征求意见稿)（2019.06.13发布，未实施）。

（2）域外主要立法

美国有著名的《加州隐私法案》，但囿于其州法律的属性，因而影响力有限。韩国有《个人信息保护法》、新加坡有2012年《个人信息保护法》，德国、加拿大、法国等亦有相应法律。域外最有影响力也非常完善的当属欧盟的《通用数据保护条例》（General Data Protection Regulation，以下简称“GDPR”），该法律不仅就全流程数据处理进行了规范，而且还具备强有力的域外效力，对很多全球性企业，尤其是涉及数据跨境情况的跨国公司业务均产生了较大影响。所以，作为国内拟上市或者已上市企业，不少业务可能也会触及GDPR的适用。

二、境内上市、拟上市企业数据合规

面临的监管现状

本文分为八大门类，对涉及的五十家已上市、拟上市企业数据方面所面临的监管问题进行梳理。

（一）电子信息类行业

表1

从监管层面分析，监管层非常关注数据安全问题以及企业数据来源合规问题，在数据使用方面主要涉及数据收集是否取得明确通知、是否在授权权限内使用数据。另外，需要特别注意的是，监管层面已经开始关注域外数据保护相关立法对于企业经营的影响。

（二）软件和信息技术服务类

表2

在软件和信息技术服务类监管中，数据安全亦属于重点关注内容，其中关注的主要方面是建立完整的数据合规安全体系，以及防止数据被篡改、泄露等的风险预警体系，尤其是在出现数据安全事故时，如何进行有效应对。

另外，监管机构开始关注企业的安全等级评定。在数据收集方面，重点关注方式、内容、目的的明确告知且要遵循最小必要原则。除此，还关注数据源提供主体资质的问题，是否获得相应部门的批准收集信息上市公司监管法规汇编，以及更加关注数据使用与数据采集者签订书面合同及履约的情况。就审查的法律方面，范围进一步扩大，已经涉及到部门规章的层面。在数据使用方面，就不同数据要进行分类管理和使用，涉及的层面已经比较细致。

（三）互联网和相关服务类

‍ ‍

‍ ‍

表3

‍ ‍

在互联网和相关服务类中，数据使用中的存储、传输问题等问题多次被提到，数据使用过程的数据存储和传输的安全、可靠成为重点。互联网和相关服务类企业多涉及为各种上下游企业提供数据服务，所以在审查数据合规方面，特别强调数据权属的问题，如数据系来源于他处则数据资源的稳定性与业务发展之间的依赖性也将成重点关注的内容。需特别指出，在调研的对象中，某家拟上市企业因数据安全问题，其员工涉嫌数据犯罪导致企业上市受到较大的影响。

（四）通讯行业类

表4

在通讯行业类中，比较关注对于用户个人隐私权的保护，保证用户的隐私不被侵害，需充分注重用户数据的安全。

（五）文化类

表4

文化类的企业数据合规监管，要求企业在采集数据、存储数据以及数据安全方面作出相应的制度安排。

（六）制造业类

表5

制造业类，非常关注数据采集方面的问题，采集行为是否具备相应资质，是否获得相应主体的同意。此外其中还涉及到，对于安全等级的问询。

（七）医药类

表6

在数据类中，就数据方面主要关注两大方面：一是数据的安全问题，如涉及敏感的个人信息尤其是基因方面；另一方面就是法律合规风险，特别强调是否符合所在国、地区的法律规定，医药类企业需更加关注跨境方面的数据合规。

（八）其他类

表7

在其他类中，两企业值得关注：对于专业技术服务业的广东达安项目管理股份有限公司主要问询其数据安全方面的问题；对于银行业中的长沙银行股份有限有限公司和食品饮料业的三只松鼠股份有限公司主要是问询其数据源的可靠性。

三、境内上市、拟上市企业数据合规审查

核心要点探析

将上述涉及到的数据方面问题进行细化上市公司监管法规汇编，主要涉及数据源合规、数据收集、数据使用、数据共享、数据权属、委托或受托处理、数据跨境、数据安全保障等数据合规方面的问题。下文，将按照相关法律对于数据合规要点的分类，依数据的处理全流程进行境内企业上市、拟上市时数据合规方面的审核要点进行梳理和总结。

（一）数据来源

数据来源包含两个方面，来自第三方的数据源合规问题以及自行收集数据的合规问题。

首先，对于来自第三方的数据，应当尽到合理的审查义务，确保数据的来源无论是从采集和共享、委托处理等方面都具有合法基础、不存在违法情形。

其次，《个人信息保护法》《数据安全法》《网络安全法》等对于收集数据已经作出了明确的规定。收集数据前应当取得同意的，应依照相关法律的规定明确告知收集的目的、使用的范围等。

（二）数据使用

数据使用是合规审查的重点，也是最容易出现问题的地方，风险点非常多。本文的数据使用是一个广义的概念，包含了对于数据进行存储、传输、处理和其他的共享、委托他人处理等使用方式。数据使用除了应当按照法律相关规定遵循最小必要、合理原则外，尤其应注意将安全贯穿于数据处理的整个过程。如企业在使用数据时，自己是否在授权范围内进行使用，委托第三方时是否获得明确授权且保证第三方能够在授权范围内进行数据的使用。因为数据使用是一个动态的过程，这就要求全流程都不应存在数据主体无权处理或者越权处理的问题。较为常见的是数据共享的问题，共享需要明确告知数据主体，并且要保证数据共享期间的安全。

（三）数据跨境

数据跨境的合规主要涉及两个问题：符合出境地区的数据合规；符合入境地区的数据合规。在统计的多家企业中，监管机构关注到数据出境安全问题和入境地区的数据相关法律对于企业经营的实际影响。就上述两个方面，无论任何一个方面出现问题，都将导致企业面临巨大的经营风险。

（四）数据安全

数据安全方面主要涉及两个问题：技术层面保证数据运行的安全；制度层面保证数据方面安全及应急处理。就上述统计的各个行业中，数据安全始终是监管机构关注的重点也是容易出问题的难点。在技术层面，要求相应的技术措施安全可靠，保证数据不会被篡改和破坏，还有能力抵御攻击。这其中就涉及具备国家的相关技术认证或资质，以确保企业在数据保护方面能够获得国家认可的能力。在制度层面，主要审查企业的应急制度和数据安全保证体系是否完善，要求企业从制度层面对数据安全形成全流程的部署。

（五）数据法律风险

所谓数据法律风险是指相关企业涉及的国内外数据合规方面的法律及其适用。就监管问询而言，监管机构不仅仅关注到已生效的数据合规法律的要求，而且要求企业就正在制定的法律法规也做到风险的预估。除此之外，虽然是境内企业上市审查，但还是不可避免会涉及企业在域外所面临的法律风险分析。

四、境内上市、拟上市企业数据合规

基本应对策略

（一）数据合规处理

第一，数据收集。《网络安全法》《个人信息保护法》《数据安全法》确立了数据收集方面需要遵循的几大原则：同意原则，收集数据必须得到数据主体的同意，在敏感数据等特殊主体的收集中还要得到单独的通知。合法、正当、必要性原则，严格把握数据收集的规模和数量，非必要数据尽量不收集。公开原则，数据的全流程应当向数据主体进行告知，明示收集使用的目的、方式及范围。

当然，在此还要保证数据主体的拒绝权，不能因数据主体不同意对其数据进行采集就一刀切地拒绝其使用相应产品。另外，在收集个人信息时，尽量避免单纯的概括授权和一揽子授权，对于敏感个人信息还需要单独的授权。

第二，数据存储、传输、应用。保证数据在处理过程中的安全及数据的完整性，防止数据泄露事件的出现，重视加强访问和使用的权限管理，采用加密措施进行存储，采取相应的数据备份等措施。在数据的整个处理过程中，要严格按照权限进行处理，不能超越权限、超越目的及超越使用的范围。如果确实需要超过用户的授权范围，则必须再一次征求用户的同意。

第三，数据共享或委托第三方使用。在发生数据委托处理、共享等交互行为时，数据保护的要求也需相应传导给第三方。根据《网络安全法》《个人信息保护法》《数据安全法》等法律法规、国家标准及规范性文件规定，首先当然要确保第三方合规使用相关数据；其次，对于委托、共享第三方的事项，需明确告知数据主体且征得其同意，告知内容包括委托、共享的时间、规模、目的以及第三方基本情况等信息。

（二）数据安全流动

第一，安全体系。

（1）技术层面

就确保数据安全的技术措施，如果国家有相应的安全技术等级认证，企业最好主动取得相应资质。例如《网络安全法》第21条规定企业需要进行网络安全等级评定。当然，目前很多具体等级认定的规定正在征求意见阶段尚未正式公布实施，也可以作为参考。

（2）制度层面

在内部管理方面，企业应重视建立健全数据合规内控体系，明确具体保障措施的内容、人员安排、设备安排。这套内控体系应完整且贯穿数据流通的全过程全周期及企业经营的全流程。

制定网络安全事件应急预案，《网络安全法》《个人信息保护法》《数据安全法》等均明确指出了相关方面的要求，处理数据达到一定规模的企业，对于上市企业来说应当按照此要求来规范数据合规。同时需结合自身的行业及企业特点，制定符合自身情况的应急预案。企业根据其自身行业特点制定适合企业的应急预案，预案一般应当包括预案启动、消除影响、系统恢复、善后处理等内容。对于应急预案，还需进行定期的人员培训和预案的优化。

第二，数据跨境。

（1）法律合规

对于部分业务范围涉及数据跨境传输的上市、拟上市企业，企业不仅要遵守我国《网络安全法》《个人信息保护法》《数据安全法》等法律的规定，还要特别注意数据入境地区的法律规定。比如，目前影响力最大的《通用数据保护条例》（GDPR），其对于域外的企业同样有管辖权。全球性企业或者业务涉及跨国情形的企业，应当同时关注国内外数据合规问题，如果企业涉及数据跨境，更要符合数据输入地区的法律。

（2）程序合法

《网络安全法》《个人信息保护法》《数据安全法》对于部分数据尤其是个人信息出境规定了相应的审批流程。企业数据中的重要数据和个人信息在符合法律要求的同时，其出境还需进行出境安全评估。上市、拟上市企业可以参考《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》，尽管上述办法尚未公布生效，但在目前法律框架下具有较强的参考价值。

总之，数据合规是一个常态化、动态化的过程，合规应贯穿数据处理的全过程；同时，数据合规也是一个随着时代发展，合规要求不断变化的过程。数据合规对于企业而言，是一个关联越来越密切且权重越来越高的生存与发展事项，在未来将成为无可回避的永恒话题。上文就上市、拟上市企业数据合规问题的梳理与分析，期待对相关企业探索合规之道产生借鉴与裨益。

注释：

表1

1.《浙江每日互动网络科技股份有限公司创业板首次公开发行股票申请文件反馈意见》《中国证监会行政许可项目审查二次反馈意见通知书》《关于请做好浙江每日互动网络科技股份有限公司发审委会议准备工作的函》。

2.《关于优刻得科技股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。

3.杭州安恒信息技术股份有限公司科创板首发首轮问询。

4. 北京慧辰资道资讯股份有限公司科创板首发首轮问询。

5.北京海天瑞声科技股份有限公司:发行人及保荐机构关于审核问询函的回复。

6.上海凯淳实业股份有限公司: 补充法律意见书。

表2

1.国浩律师（深圳）事务所关于深圳冰川网络股份有限公司申请首次公开发行股票并在创业板上市之补充法律意见书（四）

2.《关于请做好发审会议准备工作的函》（深信服科技股份有限公司）。

3. 北京指南针科技发展股份有限公司问询函

4.北京安博通科技股份有限公司科创板首发首轮问询。

5. 深圳市财富趋势科技股份有限公司科创板首发首轮问询。

6.北京青云科技股份有限公司:发行人及保荐机构关于审核问询函的回复。

7.罗普特科技集团股份有限公司:发行人及保荐人关于第二轮审核问询函的回复。

8.《北京博睿宏远数据科技股份有限公司创业板首次公开发行申请文件反馈意见》、第十七届发审委2018年第57次会议审核结果公告。

9.《关于普元信息技术股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函》。

10.深圳微众信用科技股份有限公司:发行人及保荐机构关于审核问询函的回复。

11.广州市品高软件股份有限公司:发行人及保荐机构关于审核问询函的回复意见。

12.北京中数智汇科技股份有限公司:发行人及保荐机构关于审核问询函的回复。

13.京东数字科技控股股份有限公司:发行人及保荐人关于审核问询函的回复。

14.山东卓创资讯股份有限公司:发行人及保荐机构关于第二轮审核问询函的回复意见、山东卓创资讯股份有限公司:补充法律意见书(二)。

15.南京森根科技股份有限公司:发行人及保荐机构关于第三轮审核问询函的回复。

16.北京格灵深瞳信息技术股份有限公司公告

17.#rd，最后一次访问2021年11月19日。

18.亚信安全科技股份有限公司公告

19.深圳云天励飞技术股份有限公司公告

20.云从科技集团股份有限公司公告

21.青木数字技术股份有限公司公告

22.《申请文件的审核问询函之回复》。

23.北京墨迹风云科技股份有限公司创业板首次公开发行股票申请文件反馈意见》。

表3

1.博拉网络股份有限公司关于博拉网络股份有限公司 首次公开发行股票并在科创板上市申请文件的审核问询函的回复、关于博拉网络股份有限公司首次公开发行股票并在科创板上市申请文件的第三轮审核问询函的回复。

2.北京木瓜移动科技股份有限公司:补充法律意见书(一)。

3.易点天下网络科技股份有限公司:补充法律意见书(二)。

4.蚂蚁科技集团股份有限公司:补充法律意见书。

5.数据堂（北京）科技股份有限公司重大事项暂停转让公告》。

表4

1.深圳传音控股股份有限公司科创板首发首轮问询。

2.《北京瑞智华胜科技股份有限公司关于公司股票在全国中小企业股份转让系统终止挂牌的公告》。

3.创业板发审委2017年第2次会议审核结果公告。

4.《关于请做好相关项目发审委会议准备工作的函》。

表5

1.广州尚品宅配家居股份有限公司问询函。

2.奥比中光科技集团股份有限公司公告。

3.深圳市道通科技股份有限公司科创板首发首轮问询、深圳市道通科技股份有限公司科创板首发二轮问询。

4.科创板上市委2019年第22次审议会议结果公告。

表6

1.广州创尔生物技术股份有限公司:补充法律意见书(一)。

2.辽宁何氏眼科医院集团股份有限公司 :补充法律意见书。

3.百济神州有限公司招股说明书 。