取之有道、用之有度、守之有责——拟IPO企业数据合规之匙

文章作者：黄心蕊

近日，全国人大常委会公布了《数据安全法》（草案）并向全社会公开征求意见，自《网络安全法》颁布以来，数据安全第一次作为独立规范对象获得了法律层级的立法保障。《App违法违规收集使用个人信息行为认定方法》《信息安全技术个人信息安全规范》等法规的陆续出台也给许多依托数据经营的科技企业带来了不小的合规挑战。随着大数据、云计算、人工智能等科技企业频频登陆A股，审核机关对于数据合规关注的问题也更加细致、更加审慎。本文根据数据合规相关法律法规，结合近年来证监会、交易所对于拟IPO企业数据合规的关注重点，试图对拟IPO企业在数据收集、数据使用、数据安全保障等全流程的数据合规提出建议，供分享交流。

收集数据是企业利用数据进行经营的开端和源头，若数据收集存在法律瑕疵，则可谓是企业数据合规的“原罪”。因此，数据收集方式的合法合规一直是审核机关的重点关注问题，例如每日互动（300766）、慧辰资讯（688500）、值得买（300785）等企业曾就用户数据来源、授权是否明确及合法有效、是否明确告知收集信息的范围及使用用途等问题向审核机关进行详细解释说明。目前企业获取数据主要通过以下三种方式，不同方式的合规关注点亦有所差异：

1、直接面向用户收集

直接面向用户收集数据是TO C企业最主要的数据收集方式，该种收集方式往往依托于企业自有的APP或网站。用户直接信息通常来源于用户在注册及使用企业网站或APP过程中主动提供的信息，以及企业通过技术手段例如cookies收集的用户常用设备信息、浏览记录等。

直接面向用户收集应遵循的原则可概括为“明示告知、明确授权、必要范围”，即企业直接收集用户数据时，应公开收集、使用的规则，并且明确收集、使用相关数据和信息的目的、方式与范围，以明示的方式提示用户，并取得用户的明确同意及属权；并且，收集的数据必须限制在为实现产品或服务的目的所必需的范围内。

在直接面向用户收集信息的语境下，企业获取用户明示授权同意往往是通过用户协议与隐私政策的方式实现的，根据《App违法违规收集使用个人信息行为认定方法》并结合其他相关法律法规，为充分规避用户授权上的瑕疵，建议信息收集方在用户协议及隐私政策的文本制定及呈现方式上注意如下几点：

（1）隐私政策必须包含个人信息收集使用规则，即使用个人信息的目的、方式、范围；

（2）App首次运行时即通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则，建议企业可在向用户展示隐私政策等收集使用规则时设置一定的阅读时间，或将同意选项与相关政策的阅读进度条挂钩；

（3）隐私政策等收集使用规则必须易于阅读与理解，不在语言、字体、颜色、专业术语等方面人为制造阅读障碍，若相关政策出现大量专业术语，建议在文本开头以简洁易懂的语言进行释义解释；

（4）隐私政策等收集使用规则必须体现用户肯定性动作，不得设置为默认同意（如，必须由用户主动选择同意或不同意，不得在呈现相关政策时即由运营方预先勾选同意选项）；

（5）收集使用个人信息的目的、方式、范围发生变化时，应及时更新隐私政策等收集使用方式，并以适当的方式提醒用户阅读；建议企业可在隐私政策变化时，第一时间以弹窗等方式向用户呈现，以显著方式标明变化之处，并再次取得用户对变化修改后隐私政策的明确同意。

2、从第三方获取数据

从第三方获取数据亦可视为一种间接获取用户数据的方式，在实践中通常体现为企业采购供应商提供的数据，或当用户使用第三方账户登录企业运营的网页或APP时，读取用户在该第三方平台上登记、公布、记录的公开信息­等。每日互动（300766）、慧辰资讯（688500）、海天瑞声（已终止审核）的IPO反馈或问询问题以及数知科技（300038）的重组问询问题均涉及向供应商采购数据时是否获得授权以及授权的完整性问题。“获得授权”的要求自不必说，即企业在向供应商采购数据时，应确认该供应商已取得用户对其采集数据的明确授权；“完整授权”则比“获得授权”的要求更进一步，要求供应商不仅需用户对其自身采集数据的授权，亦需取得用户对供应商将其个人信息提供给第三方作出明确授权，同时，亦应明确提示第三方收集该等信息的目的、方式、范围。需要说明的是，根据《信息安全技术个人信息安全规范》，个人信息经匿名化处理后所得的信息不属于个人信息；《App违法违规收集使用个人信息行为认定方法》亦规定，若App既未经用户同意，也未做匿名化处理，向第三方提供信息的行为可认定为“未经同意向他人提供个人信息”；因此，笔者理解，在现行的规范体系下，企业采购第三方提供的用户个人信息时，“完整授权”与“匿名化处理”[1]可二者取其一。

注[1]：根据《信息安全技术个人信息安全规范》，“匿名化”指的是通过对个人信息的技术处理，使得个人信息主体无法被识别，且处理后的信息不能被复原的过程。

除上文所述授权问题外，企业还可从如下方面加强从第三方获取数据的合规性：

（1）制定供应商审核管理制度，加强事前审查，如供应商未对用户个人信息进行充分匿名化处理，即应要求供应商就完整用户授权提供充分证明与承诺；

（2）对于特殊种类数据，应注意供应商资质审核；如为金融机构提供借款人信用分析等助贷业务的企业采购个人征信信息时，需充分关注供应商是否为合法持有《个人征信业务经营许可证》的持牌机构；

（3）根据《数据安全法》（草案）第三十条的要求，从事数据交易中介服务的机构在提供交易中介服务时,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录；

（4）读取用户在第三方平台上登记、公布、记录的信息­时，应提示用户使用第三方平台登陆后将使该网站或APP获得的信息权限，并获得用户明示授权同意。

3、网络平台采集数据

为整合数据并为数据“赋能”，许多科技企业亦将从公开网络平台或半公开网络平台采集数据作为其获取数据的重要渠道之一，如通过“爬虫”“探针”等自动化手段收集相关数据。相比于本文前述两种数据获取方式，网络平台采集的数据涉及的法律关系更加复杂；首先，网站数据源应是被爬取网站通过合法合规方式取得并经用户明确授权同意采集的数据；其次，对于被爬取的网站，爬取方需在遵循被爬取网站Robots协议[2]的前提下获得其开放或经授权的数据，不­得超出开放或授权范围爬取对方明示禁止爬取的数据；再次，对于爬取数据涉及的个人信息，亦需取得该主体对于数据向第三方共享、公开披露的明示授权同意。司法实践中目前亦已确立了从公开网络平台或半公开网络平台采集数据应遵循“三重授权”的基本原则，即“用户授权平台+平台授权采集方+用户授权采集方”。由于授权链条复杂，合规漏洞风险较大，建议拟IPO科技企业根据自身业务需求审慎采用“爬虫”等自动化手段获取数据，若必需采用，则建议建立明确的爬取事前审核机制，避免引来侵权及不正当竞争等风险。

[2] 又称为“机器人协议”，指的是存放于网站根目录下的ASCII编码的文本文件，用来告知搜索引擎哪些页面能被抓取，哪些页面不能被抓取。

需要注意的是，根据《数据安全管理办法》(征求意见稿)第十五条规定，网络运营者以经营为目的收集重要数据或个人敏感信息的，应向所在地网信部门备案。该规定目前尚未生效，一旦生效，拟IPO科技企业涉及收集个人敏感信息[3]，应及时予以备案。

[3] 根据­《信息安全技术个人信息安全规范》，“敏感信息” 是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。包括财产信息、生理健康信息、生物识别信息、个人身份信息等。

数据的生命在于使用。拟IPO科技企业万不可认为完整授权就“万事大吉”，而将取得的数据随意使用，“挥霍无度”。­就数据的使用，IPO审核过程中通常将重点关注数据使用是否超过必要的限度、是否存在违反收集使用规则使用个人信息的情况、转授权给第三方是否经过充分脱敏或完备授权等问题。经梳理相关法律法规，笔者对拟IPO科技企业数据使用环节的合规建议如下：

1、使用信息不超过授权范围，不超过必要限度

如前文所述，企业获得用户信息授权时，应明确信息使用的方式、范围与目的，用户一旦同意，即可视为企业与用户就信息的授权与使用达成了协议，若企业擅自超过授权的范围使用数据即构成违约。因此，企业使用数据必须与隐私政策、用户协议等政策中向用户明示的方式范围与目的相符。此外，“必要限度”亦是相关法律法规确立的重要使用原则，《信息安全技术个人信息安全规范》将其称之为“最小必要”，即收集的数据需与实现产品和服务有直接关联；收集的信息应为满足产品和服务功能的最低频率和最小数量。

2、向第三方提供信息应取得用户明示同意授权或做匿名化处理

如前文所述，如企业向第三方提供用户信息，则“明示授权同意”或“匿名化处理”必须满足一项。未作匿名化处理时，在共享，转让前应向用户明确告知转让该信息的目的、数据接收方的类型等信息。

大数据时代，数据的丢失或泄漏往往会造成灾难性的后果。企业在采集和使用数据的同时，也必须对数据的安全负责。优刻得（688158）、安恒信息（688023）等企业在上市过程中就曾面临审核机关对于其数据安全制度及措施、数据安全泄露发行人应承担的责任以及是否存在数据安全相关纠纷等问题的关注。为守护数据安全，避免引发安全事故及争议纠纷，笔者建议拟IPO科技企业按照如下要求规范其数据安全管理：

1、建立管理+技术双层面的安全制度

数据安全需要管理手段与技术手段“双管齐下”，缺一不可。在管理措施层面，企业可制定数据操作内部规程；与接触数据的人员签订保密协议；对数据重要操作设置内部审批流程，并对安全管理人员、数据操作人员、审计人员进行角色分离及相应的权限管理；对批量导出、复制、销毁信息实行审查；制定网络安全应急预案等。在技术措施层面，收集用户个人信息的，应按照GB/T 22239-2008 7.1第三级的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复要求进行安全保护。

2、保存信息时间最小化，去标识化处理

收集个人信息后，个人信息的保存期限应为目的所需最短时间；个人信息控制者获取信息后宜立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的信息与可用于恢复识别个人的信息分开存储。

3、对个人敏感信息、生物识别信息，加重安全责任

传输和存储个人敏感信息时，应采用加密等安全措施；存储个人生物识别信息时，应采用技术措施确保信息安全后再进行存储，例如将个人生物识别信息的原始信息和摘要分开存储，或仅存储摘要信息。

4、建立并公布个人信息安全投诉、举报渠道；用户有权对其个人信息进行删除更改

在企业收集个人信息时，即应同时告知个人信息安全投诉、举报的方式，并应及时受理并处理有关网络信息安全的投诉和举报。鉴于用户是其个人信息的最终所有者，对其个人信息享有处分、支配的权利，因此企业应提供用户删除更改个人信息的明确途径，提供注销个人账户的功能。

背靠大数据时代的海量数据，企业可以“好风凭借力，送我上青云”；同时，企业也应尊重用户的隐私与尊严，维护网络空间的安全。取之有道，用之有度，守之有责，拟IPO科技企业宜以合规的尺度丈量和数据接触的每一步，重视数据合规中的法律风险，步步谨慎，避免因构成侵权或不正当竞争陷入争议纠纷，或因违反相关规定受到行政处罚，给企业IPO之路带来负面影响。