金诺法谈 | 北交所上市系列文章（二十一）——北交所上市关于数据安全与合规审核要点

随着2021年9月1日《中华人民共和国数据安全法》（以下简称《数据安全法》）的颁布实施，越来越多的拟上市公司在《招股说明书》《审核问询函的回复》《法律意见书》对企业数据合规、信息系统安全进行重点披露和回复，虽然根据相关上市信息披露规则目前没有明确将数据安全与合规作为公司上市必须披露的事项，但是，笔者注意到自从2021年9月至今，上交所、深交所、北交所境内三大交易所对于拟上市公司在数据合规层面的审查和监管愈发严格和细化。

本文结合北交所对拟上市公司的问询以及拟上市公司、中介机构的回复要点，介绍企业在北交所上市过程中对企业数据安全与合规应当重点关注的几大问题。

一.企业数据安全与合规的相关立法

?相关法律规定：《中华人民共和国刑法》《中华人民共和国网络安全法》《中华人民共和国民法典》《中华人民共和国数据安全法》《中华人民共和国密码法》《儿童个人信息网络保护规定》《网络信息内容生态治理规定》《中华人民共和国个人信息保护法》《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》等。

?主要法规、规章和行业标准：《关键信息基础设施安全保护条例》《中华人民共和国计算机信息系统安全保护条例》《APP违法违规收集使用个人信息行为认定方法》以及正在征求意见的《网络数据安全管理条例》《个人信息和重要数据出境安全评估办法》《个人信息出境安全评估办法》、上海市《企业数据合规指引》、广州市国资委《广州市国资委监管企业数据安全合规管理指南（试行2021年版）》等。

二.北交所关于数据安全与合规的问询要点

笔者在北交所——发行上市——公开发行并上市板块进行查询，以用友金融、并行科技、华信永道为例，北交所关于数据安全与合规的主要问询内容如下：

1.用友金融

问题7.数据安全及合规性。（1）是否存在收集或使用客户数据的情形。请发行人结合公司业务开展模式、具体业务内容、产品应用场景及产品功能等，分析并补充披露公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形，如是，请补充披露相关信息或数据来源及使用的合法合规性、风险控制制度及执行情况，是否存在因泄露或使用前述信息或数据产生的纠纷或处罚。（2）是否存在对外采购原料数据的情形。请发行人结合公司研发模式、产品功能、大数据和人工智能等技术在公司产品中应用情况等，说明公司是否存在对外采购原料数据的情形，如是，请进一步说明发行人及其原料数据采集供应商相关数据的获取方式及其合规性，发行人是否享有数据的所有权或获得相关数据主体的授权许可，相关授权许可是否存在使用范围、主体或期限等方面的限制，发行人及其原料数据采集供应商是否存在超出上述限制使用数据的情形，是否存在数据内容侵犯个人隐私或其他合法权益的风险。（3）数据安全监管政策变动趋势对发行人的影响。请发行人结合前述情况，分析并补充披露《数据安全法》《个人信息安全规范》等法律法规的出台对发行人业务开展或研发模式的具体影响，发行人及其原料数据采集供应商（如有）是否存在违反上述规定的情形，发行人主要客户在使用发行人产品过程中是否存在违反上述规定的情形及对发行人的影响，并视情况进行风险揭示、做重大事项提示。

2.并行科技

问题6. 数据安全管理及经营合规性。（1）结合发行人超算云服务的业务模式和实质，涉及上游超算基础设施、下游高等院校、科研院所等客户的法律法规、监管政策对于超算设施管理、超算第三方服务、信息数据安全和保密等方面的要求，说明发行人从事超算领域业务是否已取得相关资质、许可或认证。（2）结合超算云服务等主营业务内容、数据接收和处理方式、超算云服务主要应用场景等，分析说明发行人及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形，如是，请说明相关信息或数据获取及使用的合法合规性、风险控制制度、执行情况以及是否存在受到行政处罚的法律风险。（3）依据《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》等，说明发行人提供的主要产品和服务是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务，是否需配合网络安全审查，是否存在无法满足监管要求的情形或相关风险。

3.华信永道

问题4. 数据安全管理及经营合规性。（1）公司是否存在收集或使用客户数据的情形。请发行人结合公司业务开展模式、具体业务内容、产品应用场景及产品功能等，分析说明公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形，如是，请补充披露相关信息或数据获取及使用的合法合规性、风险控制制度及执行情况，是否存在泄露、使用或允许第三方使用前述信息或数据的情形及是否产生纠纷或处罚，公司所研发软件及应用关于采集、使用个人信息等数据的功能设置是否符合法律法规规定；开展相关业务是否需要并已经取得相应资质、许可、认证。（2）公司是否存在对外采购原料数据的情形。请发行人结合公司研发模式、测试模式、产品功能、大数据和人工智能等技术在公司产品中应用情况等，说明公司是否存在对外采购或获取原料数据的情形，如是，请进一步说明发行人及其原料数据采集供应商（或数据提供者）相关数据的获取方式及其合规性，发行人是否享有数据的所有权或获得相关数据主体的授权许可，相关授权许可是否存在使用范围、主体或期限等方面的限制，发行人及其原料数据采集供应商（或数据提供者）是否存在超出上述限制使用数据的情形，是否存在数据采集或使用侵犯个人隐私或其他合法权益的风险。（3）数据安全监管政策变动趋势对发行人的影响。请发行人结合前述情况，分析并补充披露《个人信息安全规范》《数据安全法》等法律法规的出台对发行人业务开展或研发模式的具体影响，发行人及其原料数据采集供应商（如有） 是否存在违反上述规定的情形，发行人主要客户在使用发行人产品过程中是否存在违反上述规定的情形及对发行人的影响，并视情况进行风险揭示、做重大事项提示。

除此之外，笔者汇总了三大交易所对上市公司以及拟上市公司关于数据安全及合规之问询内容，主要包括以下几大方面：

? 发行人使用用户数据是否合法合规，是否符合《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《信息安全技术个人信息安全规范》等法规和司法解释，是否存在侵犯用户隐私或数据的情况，是否存在法律风险或潜在法律风险。

? 是否存在对外采购原料数据的情形，请说明发行人采集数据（包括自行采集，也包括向供应商采集）时，是否获得了相关信息主体（及用户）的合法授权，获取用户数据的手段及方式是否合法合规。

? 获取用户数据信息的来源、获取途径及授权方式，收集用户信息获得用户同意的具体制度及相关安排，收集用户信息时是否明确告知收集信息的范围及使用用途，对数据的使用是否超过必要的限度。

? 在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息，是否存在泄露国家秘密、保密信息、个人信息的情况或未来风险，是否已建立完善的防泄密和保障网络安全的内部管理制度，该等制度的执行是否有效；

? 是否出现过安全事件是否存在纠纷或潜在纠纷；是否受到主管部门调查，发行人若发生安全事故，应承担何种具体责任表现方式及对生产经营的影响，有针对性地揭示可能存在的风险。

三.企业数据安全与合规建设要点

笔者结合众多拟上市公司问询回复函以及相关法律规定，就企业数据安全与合规建设提出以下建议，供拟上市企业予以参考：

★ 关于数据来源的合法合规性

1、若企业涉及获取个人信息，且为自行收集个人信息的，企业应当确保其自行收集个人信息时已经征得个人信息主体对包括但不限于收集以及使用的目的、收集方式与收集范围的充分授权同意，且按照个人信息主体的授权内容进行收集，同时，企业应保证自行收集个人信息的途径的合法性。

2、若企业系从数据提供商等第三方间接获取个人信息的，企业还应确保数据提供商的数据来源合法性，并充分核查个人信息提供商就个人信息的有效授权，避免出现数据提供商对相关个人信息主体侵权情形。

★ 关于数据使用的合法合规性

1、严格按照个人信息主体的授权使用，保证其使用范围不超出个人信息主体的授权范围。

2、通过多种技术保障信息系统的安全和数据安全，如选用多个服务提供商等、设立防火墙、系统访问权限控制、数据加密、数据操作权限管理、数据备份、安全事件预警等，制定数据安全相关措施，并有效实施。

3、将数据展示进行脱敏化处理，保证数据不会识别到个人，确保该等数据经过加密、去标识化处理，只允许必要的员工及其他经授权代为处理的人员访问个人信息，保证其遵守严格的合同保密义务。

4、在公司层面统一设置个人信息处理权限管控制度，并切实推行至各部门与业务团队，并只允许那些为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息，保证其遵守严格的合同保密义务。

结语：《中共中央关于坚持和完善中国特色社会主义制度、推进国家治理体系和治理能力现代化若干重大问题的决定》提出“健全劳动、资本、土地、知识、技术、管理、数据等生产要素由市场评价贡献、按贡献决定报酬的机制”，首次将“数据”增列为生产要素，数据作为国家基础性、战略性的资源以及企业的竞争资产，已经受到各界的认可和接受，因此企业数据安全与合规不仅是应对监管部门问询的重要内容之一，同时也是企业自身合规体系建设的重要内容，无论是拟上市公司亦或是上市公司，都应当重视数据安全与合规体系建设，为企业合规经营保驾护航。