引言

2019年10月11日，北京墨跡風雲科技股份有限公司首發申請未予通過。中國證監會公告詳述了證監會發審委會議針對墨跡科技提出詢問的四大主要問題，其中使用者資料收集及處理合規問題是一大關鍵問題。這並不是證監會首次在IPO稽核過程中就資料合規問題進行反饋詢問。經過我們初步統計，從2016年至今，國內有幾十家企業在申請IPO（含科創板）時，稽核部門就網路安全和資料合規問題提出反饋或問詢函。

一、近年IPO資料合規反饋問詢盤點

▲圖表1IPO企業資料合規問詢摘錄表（截止到2019年11月10日）

▲圖表2IPO企業資料合規反饋問詢柱形圖（截止到2019年11月10日）

根據上述反饋問詢盤點，我們大致可以分析出如下兩個結論：

（一）從反饋問詢的行業來看，大部分集中在計算機通訊、網際網路、軟體和資訊科技服務等新一代資訊科技企業。其次是金融業、應用網際網路+創新商業模式的企業。傳統商務服務業、製造業若涉及資料問題也會被反饋問詢。

（二）從反饋問詢的內容來看，主要集中以下幾個方面：是否經過公安部門的等級保護測評？是否建立了完善的防洩漏和保障網路安全的資料內控體系並有效執行？資料中若含有個人資訊，是否取得授權、是否侵犯個人隱私？是否有資料安全和個人隱私保護的措施？資料獲取、使用、處理、流轉過程是否合法合規？是否涉及網路安全及資料合法合規方面的處罰及訴訟仲裁？以資料作為商業模式環節的穩定性、集中度如何？

二、中國資料立法及監管趨勢

近年來，全球持續的網路安全及資料保護立法浪潮，展現出各國對網路安全及資料保護問題的關注。中國也從立法層面逐步完善了對網路安全及個人資訊的保護。2017年以前，中國的網路安全和個人資訊保護起點較低，立法呈現碎片化和寬鬆化狀態。伴隨著2017年6月1日《網路安全法》正式生效實施，業界稱2017年為中國“資料合規元年”。從這一年開始，中國的網路安全和資料保護進入了新的發展階段，網路安全及資料合規相應成為立法、監管和社會備受關注的焦點。

目前中國在網路安全方面，已經形成以《網路安全法》（簡稱“《網安法》”）為主體相關行政法規、部門規章為配套的網路安全保障架構。個人資訊保護方面，中國目前還未有個人資訊保護的專門法律，有關個人資訊保護的規定散見於《民法總則》、《消費者權益保護法》、《刑法》及有關司法解釋等為總體立法、《徵信業管理條例》、《電信和網際網路使用者個人資訊保護規定》等法律、法規、規章及各行業的規範性檔案裡。形成了多層次、多領域、分散型的網路安全及個人資訊保護法律體系。

▲圖表3網路安全、資料合規、個人資訊保護主要法律法規（截止到2019.11.10）

隨著GDPR的落地實施與影響力的全球化擴張。在中國，以分散型立法模式為主的現狀，在不久的將來，也將走向統一化、體系化的立法模式。《資料安全法》、《個人資訊保護法》兩部重要法律已列入十三屆全國人大常委會立法規劃，切合時代需求和中國國情的網路安全和資料法律體系初具雛形。

近年來，各行政執法部門在網路安全及個人資訊保護方面的執法趨於活躍。隨著《網安法》各配套法規逐步從徵求意見轉為落地實施，網路安全審查、等級保護制度落實、跨境資料監管將成為重點。隨著等保2.0版本的落地，未來，所有中國公司和法律實體都將被要求實行網路安全等級保護制度。行政執法部門會持續加強對個人資訊的保護，不僅關注有沒有隱私政策，還將注重個人資訊的收集和處理過程。網路安全、個人資訊保護相關的各類民事賠償、行政處罰甚至刑事案件數量將會快速上升。

三、擬IPO企業資料合規要點及應對措施

通過上文對IPO資料合規反饋問詢盤點和中國資料立法及監管趨勢的分析，擬IPO企業資料合規要點主要集中在網路安全及個人資訊資料保護兩個大方面：

（一）網路安全方面

1.經過網路安全等級保護測評

目前《網安法》第21條已經規定了企業需要進行網路安全等級評定，但與此配套的《等保條例》尚處於徵求意見階段。在《等保條例》正式實施前，擬IPO企業應參照目前已實施的《計算機資訊系統安全保護條例》以及《資訊保安技術網路安全等級保護實施指南》、《資訊保安技術網路安全等級保護基本要求》等國家標準評估自身的網路安全等級，並採取相應的網路安全防護措施。我們建議擬IPO企業可根據國家網路安全等級保護工作協調小組辦公室釋出的《全國網路安全等級保護測評機構推薦目錄》向有關網安測評機構諮詢。

2.網路關鍵裝置、網路安全專用產品取得合規性認證

網信辦已於2017年公佈了《網路關鍵裝置和網路安全專用產品目錄（第一批）》其中載明了部分裝置採購需要取得安全檢測和認證標誌，擬IPO企業除了確保自身採購使用的網路關鍵裝置和網路安全專用產品取得安全檢測和認證標誌外，還需要考慮資料處理、共享方的相關產品也需取得安全檢測和認證標誌。

3.關鍵資訊基礎設施運營者（簡稱“CIIO”）身份的認定

《網安法》第31、34條、《CII安保條例（意見稿）》,都明確了CIIO的行業歸屬和特殊義務。雖然目前相關的識別法規和指南都還處於徵求意見階段，但建議擬IPO企業還是應當根據自身所處的行業、資料持有量、體量規模、行業地位等因素並參考《資訊保安技術資料出境安全評估指南》(徵求意見稿)初步判斷是否會被定性為CIIO。若可能被認定為CIIO，應及早按照CIIO標準建立更加嚴格的網路安全保障及資料合規體系。

4.與所處行業、規模相匹配的網路安全保障措施

擬IPO企業經過上述CIIO身份認定及等保測評後，需要根據身份認定及測評採取相應的安保措施。安保措施分為技術措施和管理措施，技術措施包括加密管理、資料脫敏、Web應用防火牆、隔離區、TLS2.0、SSL等，管理措施包括人員配備、許可權管理、第三方訪問管理，供應鏈資料合規管理等。企業應當以清單方式列明並核查執行情況，需要注意安保措施的完備性和可執行性。

5.制定網路安全事件應急預案

《網安法》第25條規定了網路運營者應當建立網路安全事件應急預案。也有反饋問詢直接提及IPO企業是否建立網路安全事件應急預案。一直以來，包括北京、上海等地的網信部門每年都會發布當地的網路與資訊保安事件應急預案。也有很多企業和機構都已經制定了網路安全事件應急預案。擬IPO企業可以參照這些預案，並結合自身的行業及企業特點，制定符合自身情況的應急預案。應急預案至少應包括成立小組、事件定級、預案啟動、消除影響、系統恢復、善後處理等部分。除有應急預案外，還應當定期（至少每年一次）組織內部相關人員進行應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程。

6.完善的網路安全和資料合規的內控體系並有效執行

鑑於上述網路安全合規要求，擬IPO企業需要具備一整套齊備的網路安全內部控制制度，並有效執行，這也是擬IPO企業內控制度的一部分。網路安全內控制度主要包括網路與資訊系統安全總綱、第三方訪問策略、介質管理、裝置管理、機器環境管理、資料儲存、處理管理、資訊系統操作管理與記錄、資料庫訪問記錄、資料備份、使用者認證等。

（二）個人資訊資料保護方面

1.個人資訊的收集、儲存、使用需合法合規

《網安法》41條、《消費者權益保護法》29條、《個人資訊保安規範》3.2、5.5條等法律法規規範性檔案均明示：獲取客戶個人資訊需被收集者授權同意；個人資訊收集處理規則（合法、正當、必要）；按照法律行政法規以及與使用者之間的約定收集、儲存、使用使用者個人資訊。這三個層面問題，是個人資訊保護的核心要求，也是監管機關重點關注的合規內容。

擬IPO企業只要涉及個人資訊收集，就應當制定並對外公開個人資訊收集處理規則即隱私政策並獲得客戶的同意（個人敏感資訊需獲得明示同意）。隱私政策的內容應當包含對個人資訊資料的全週期處理規定，包括收集、使用、儲存、處理、共享、交換、刪除、自主管理等環節，遵守合法、正當、必要、保密、簡明的原則。Cookie和同類技術使用規則、個人資訊資料保護措施。目前，監管機構對企業收集個人資訊資料越來越嚴苛，單純的概括授權和一攬子授權已經被監管機構很難得到認可，未來的隱私政策將會朝著差異化、細節化、可選擇的方向變化。

此外，根據《兒童信保規定》如果涉及兒童個人資訊保護的還需要企業單獨制定保護政策並確定負責人。

根據《網安法》規定，個人資訊的使用應遵循合法性、最小必要、授權同意的原則。合法性原則要求運營者使用個人資訊不得違反法律、行政法規規範性檔案的規定；最小必要原則要求網路運營者不得使用與其提供的服務無關的個人資訊；授權同意則要求使用個人資訊需要獲得被收集者的同意，如果因業務需要，確需超出範圍使用個人資訊的，應再次徵得被收集者的明示同意。如果擬IPO企業違反上述個人資訊的使用要求，將面臨警告、罰款、吊銷相關業務許可證等的行政處罰。

2.涉第三方的個人資訊保護

在資料的商業合作領域，經常會發生資料委託處理、共享、資料融合等互動行為，資料保護的要求也相應傳導給第三方。根據《網安法》、《個人資訊保安規範》等法律法規國家標準及規範性檔案規定，個人資訊經過資料脫敏處理後可以進行共享、傳輸，但是對於未經脫敏處理的個人資訊需滿足下述合規要求：（1）事先開展個人資訊保安影響評估，並依評估結果採取有效的保護個人資訊主體的措施；（2）向個人資訊主體告知共享、轉讓個人資訊的目的、資料接收方的型別，並事先徵得個人資訊主體的授權同意。涉及個人敏感資訊的，還應告知個人敏感資訊的型別、資料接收方的身份和資料安全能力；（3）準確記錄和儲存個人資訊的共享、轉讓的情況，包括共享、轉讓的日期、規模、目的，以及資料接收方基本情況等；（4）幫助個人資訊主體了解資料接收方對個人資訊的儲存、使用等情況，以及個人資訊主體的權利，例如，訪問、更正、刪除、登出賬戶等。

3.個人資訊和資料跨境的合法合規

擬IPO企業如果涉及資料的跨境傳輸，需要遵守中國資料傳輸的法律要求，同時也需要遵守有關國家和地區對於資料跨境要求，例如歐盟的《一般資料保護條例》（“GDPR”）、美國的加州消費者隱私法（“CCPA”）等。目前國內按照網信部門要求，原則上允許資料因業務需要在經安全評估後可以出境。《個人資訊出境安全評估辦法（徵求意見稿）》要求網路運營者向境外提供在中國境內運營中收集的個人資訊應當按照該辦法進行安全評估。目前雖然該辦法尚未生效，建議擬IPO企業參照其規定做好安全評估，並參照《資訊保安技術資料出境安全評估指南》(徵求意見稿)的規定根據類別、傳輸數量、目的範圍、技術處理情況四大要素，向監管部門報備、通知等，並評估接收方網路安全保障能力和政治法律環境。此外如果關於資料出境的行業規定和一般規定不一致的，我們建議應該向監管機構尋求指導。

4.個人資訊內控及保護措施的完備及有效執行

《網安法》第42條提出網路運營者採取技術措施和其他必要措施以確保其收集的個人資訊保安的原則性規定。包括員工接觸使用者資訊、使用、處理使用者資訊的內部管理規程等。若運營者要保證使用者資料安全，需要在組織制度、技術措施上同時發力，這不僅是企業本身資料管理的要求，而且越來越成為監管機構審查的內容。

擬IPO企業除需要制定完備的個人資訊保護制度作為內控制度的重要內容之一外，還需要確保制度有效執行並且做好個人資訊保安事件的應對。

四、結語

隨著新一代資訊科技的發展，網路安全和資料合規已成為證監會重點關注的問題之一，併成為影響企業上市成功與否的重要因素。通過上述盤點和分析，以期為不同型別的擬上市企業開展網路安全與資料合規工作提供借鑑。

*胡承浩實習生亦對本文有所貢獻

宣告：

本文由德恆律師事務所律師原創，僅代表作者本人觀點，不得視為德恆律師事務所或其律師出具的正式法律意見或建議。如需轉載或引用本文的任何內容，請註明出處。