2022年企业上市数据合规导引（中篇）

上市审核机构对企业数据收集环节的关注要点集中在三个方面：其一，数据来源及获取方式的合规性；其二，数据收集手段的合规性；其三，第三方数据供应商的合规性。

（一）数据来源及获取方式的合规性

1、上市审核机构常见问题

根据对近年来企业上市时数据合规问题的总结，关于数据来源的合规性问询，主要有以下几类：

第一类是概括性问询：（1）“数据的来源是否合法合规，是否存在数据来源的风险？”（2）“获取用户数据的方式是什么，是否合法合规？”；

第二类则具体关注收集数据的必要性：（3）“是否履行必要的限度原则采集和运用信息？”

第三类聚焦“被收集者或被采集者授权”问题：（4）“获取数据是否经用户授权，该授权在法律上是否完备？是否仅概括性提示收集用户信息？”（5）“是否存在未经其他平台的授权直接收集数据的行为？”（6）“是否超出授权范围和目的收集信息？”（7）“收集用户数据时是否对用户有明示提示，是否明确告知收集信息的范围与使用用途？”

第四类则针对企业运营时出现过的或潜在的违法事项进行问询：（8）“是否存在因自行违规采集信息而受到主管部门处罚、信息主体投诉或诉讼等纠纷事项？”（9）“数据收集过程中是否侵犯他人商业秘密、个人隐私、知识产权或存在其他侵权风险，是否存在潜在纠纷？”（10）“是否存在因侵犯用户隐私或不当收集用户数据导致被主管机构处罚的情况？”

第五类问询企业内部数据收集的制度与规则：（11）“是否制定并公开收集使用规则？”（12）“公司获取数据的内部制度是否健全有效？”（13）“数据是否来源于集团公司，其数据采集是否对集团公司存在重大依赖”等。

2、典型案例

（1）健耕医药：数据的具体来源及其合法合规性

上海健耕医药科技股份有限公司（以下简称“健耕医药”）系器官移植领域医疗器械产品及服务提供商，其旗下全资子公司上海耘翌主要业务为器官移植患者随访及患者教育平台，为移植术后患者提供随访与教育服务。2020年5月健耕医药向上海证券交易所递交招股说明书，申请上市。在第一轮问询中，上海证券交易所即提出：上海耘翌运营中获得器官移植患者信息和数据具体来源，是否合法合规？

对此，中介机构作出回复：上海耘翌获得器官移植患者信息和数据具体来源于患者在注册新耕植微信公众号、微信小程序以及APP（安卓版）时主动提供，相关数据包括患者的姓名、性别、出生日期、手机号码、疾病类型、手术日期、手术医院等信息，上海耘翌收集前述信息目的系为患者提供针对性、个性化的服务。根据《网络安全法》《电信和互联网用户个人信息保护规定》等规定，新耕植平台在注册时需要用户勾选《新耕植用户协议》，《新耕植用户协议》已就新耕植平台收集、使用用户个人信息等事项向用户进行明示，并明确新耕植基于向用户提供服务的目的，并且其在合理范围内使用用户个人信息。用户仅在同意前述《新耕植用户协议》的情况下才会提交个人信息并成为新耕植注册用户。且上海耕羿处于试运行的新耕植 APP（安卓版）不存在《App违法违规收集使用个人信息行为认定方法》规定的6种情形。

（2）零点有数：数据来源及采集情况

北京零点有数数据科技公司（以下简称“零点有数”）是一家数据分析与决策支持服务机构，其在数据采集和分析方法的基础上，运用自主研发的核心技术，为公共事务和商业领域的客户提供数据分析与决策支持服务。

在零点有数2021年上市过程中，深交所对其数据收集合法性展开了详细问询：1）说明通过人脸识别设备为汽车客户提供数据分析和决策支持服务时采集信息的途径，是否取得了被采集信息用户的明确同意；2）是否存在未经授权获取用户数据的情况；3）发行人在提供服务过程中，是否适用《电信和互联网用户个人信息保护规定》等相关法律法规，如适用，请说明是否符合相关法律法规的规定；4）发行人在提供服务过程中，是否存在自身或外购数据供应商侵害用户人身权益等侵权行为，是否出现过个人信息、隐私泄露事件，是否存在相关纠纷或潜在纠纷？

对此中介机构进行如下回复：1）零点有数在项目中，对销售各环节进行实时数据搜集，具体数据采集方式包括人脸识别、车牌识别、对打开车门、乘坐等人车互动行为感知识别等，公司后终止了该研发项目；2）由于在前述项目中收集人脸数据形成用户代码时人脸识别技术运用尚未有系统法律予以规制，故公司对人脸识别技术运用涉及的个人信息保护未能及时引起充分关注，从而未能在研发试点收集数据时取得个人信息主体的明确授权许可。但所识别数据目的仅为项目研究，且已及时终止收集行为，删除收集的全部个人信息，不存在滥用、泄露人脸识别信息的情形；3）发行人提供互联网信息服务，在此服务过程中涉及收集用户个人信息，因此适用《电信和互联网用户个人信息保护规定》等法律规定。发行人已经参照《网络安全法》、《电信和互联网用户个人信息保护规定》等相关法律、法规的要求制定了《零点有数数据活动专项管理规范》、《零点有数个人信息安全保护专项管理规范》、《零点有数隐私政策》等系列数据安全内控制度。此外，发行人制定了《零点有数机房管理制度》、《数据备份与还原政策》、《数据脱敏政策》等内部管理制度，对网络安全管理、数据保密与数据安全管理、数据备份管理、数据防泄漏等作出了详细规定；4）发行人自行采集或外购包含个人信息的业务数据时，均通过或要求供应商通过《隐私政策》、《问卷授权告知书》或其他隐私声明文本，明确告知个人信息主体其将收集的信息范围及使用用途等情况，并取得被访者合法授权。不存在自身或外购数据供应商侵害用户人身权益等侵权行为，也未出现过个人信息、隐私泄露事件，不存在相关纠纷或潜在纠纷。

（3）格灵深瞳：数据来源及其合规性

北京格灵深瞳信息技术股份有限公司（下称“格灵深瞳”）招股书披露，该公司主要从事计算机视觉技术和大数据分析技术的研发和应用。上海证券交易所在问询函中要求其说明：训练数据的获取方式及其合规性，发行人是否存在超出相关授权许可主体许可使用范围、期限使用数据的情形；公司业务中“技术服务”的具体内容，提供技术服务过程中是否存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形以及国家关于数据安全、个人隐私方面的立法规定，充分披露相关政策对发行人经营发展的影响。

格林深瞳回复表示，其训练数据环节的数据来源包括公开数据集（MS COCO、IMAGENET等）、数据供应商（有数据采购合同要求供应商承诺数据来源合法且已获得授权，约定了用途但未约定授权期限）及部分取得授权的员工采集数据（有授权书），并按照产品分类列出了数据获取环节、数据使用/处理环节的情况；另外，格林深瞳回复称不存在数据安全纠纷或者潜在纠纷，虽然发行人不可避免在前述场景下提供产品或服务时涉及用户个人信息，但随着相关法律制度的健全，国家强化对个人生物可识别信息的管控，增加了相关义务，企业已经加速自身经营发展，提高自身技术水平，完善内控及应急机制建设，开展合理的政策风险评估预测。

3、合规建议

收集数据应当满足合法性、目的明确以及最少够用三大原则。

《个人信息保护法》规定了收集个人信息的合法性基础[1]：（1）或基于个人信息主体的同意。此处的“同意”内涵丰富，各法律法规和规范性文件对“同意”的范围和形式作了详细规定，根据《个人信息保护法》规定[2][3]，“公开收集”和“收集个人敏感信息”应当取得“单独同意”；按照《个人信息告知同意指南（征求意见稿）》规定[4]：“收集个人信息时，需向个人信息主体告知收集、使用个人信息的类型、目的、方式和范围，并征得个人信息主体的明示同意”；（2）或基于订立、履行作为一方当事人的合同所必需。此处的“必需”有待进一步明确，可参考《常见类型移动互联网应用程序必要个人信息范围规定》；（3）或为履行法定职责或者法定义务所必需；（4）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（5）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（6）在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息。

目的明确原则。依据《个人信息保护法》：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式”[5]；“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”[6]；“个人信息的处理目的、处理方式和处理的个人信息种类发生变更的，应当重新取得个人同意”[7]。综上，收集个人信息的目的应当明确、公开且变更后应当重新取得同意（若合法性基础为“个人同意”时）。

最少够用原则。必要性原则合规要求的落实和尺度的把握，是企业收集数据尤其是自行收集的“重灾区”。根据《个人信息保护法》第6条第2款规定：收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息；《移动互联网应用程序（App）收集使用个人信息自评估指南》评估点4对必要性标准予以进一步明确，分别是：是否收集与业务功能无关的个人信息；用户是否可拒绝收集非必要信息或打开非必要权限；是否以非正当方式强迫收集用户个人信息；收集个人信息的频度是否超出业务功能实际需要。

（二）数据收集手段的合规性

1、上市审核机构常见问题

关于数据收集手段的问询，上市审核机构关注的主要是以下几方面。一是收集方式涉及技术的合规性。如数据收集工具是否存在侵权风险，采用的技术是否合法合规？是否存在采用特殊互联网手段(或技术)采集不属于公开的社会信息？当前是否存在使用(采购)盗版软件(或数据库)的情形？是否存在非法侵入计算机、手机或其他移动设备的行为？爬取数据是否涉嫌非法技术、非法收集等情形；二是收集方式涉及程序的合规性，如程序是否存在需要特殊许可、信息主体同意等前置程序方可获取数据的情形？三是企业收集数据制度，如针对数据收集采取的内控措施及相应的纠纷解决机制等。

2、典型案例

（1）合合信息：数据的具体来源及其合法合规性[8]

合合信息在招股书中，将自身归为人工智能及大数据科技企业，基于自主研发的智能文字识别及商业大数据核心技术，提供数字化、智能化的产品及服务，其旗下的拳头产品包括扫描全能王、名片全能王和启信宝等。在合合信息的数据来源中，通过“自动化访问”即使用爬虫软件爬取，也是其获得数据的主要渠道之一。

合合信息申请上市过程中，上海证券交易所在首轮审核问询函中指出，合合信息公司存在数据管理内控制度有待完善，App用户隐私协议未明确约定采集数据使用范围等问题。值得注意的是，上海证券交易所重点询问其如何确保自动化访问中获取数据来源合法性。

合合信息在回复中表示，其数据来源主要包括直接采购，数据与数据互换，广告与数据互换，自动化访问获取数据四种形式，并制定了覆盖数据采集、数据使用、数据访问权限控制、数据导出和数据删除的管理制度。其中，为了确保自动化采集数据合法合规，合合信息采取了事前对被采集对象是否是商业性网站、是否有Robots协议、条款是否限制自动化采集、是否有反爬虫策略进行评估并计算合理访问爬取频率；新增和修改产品、法务、数据采集等技术人员评估和测试数据采集审批流程；定期检查被采集网站的规定是否变化三项措施。

（2）卓创资讯：公开信息收集合规性

山东卓创资讯股份有限公司（下称“卓创资讯）主要提供大宗商品市场数据监测、交易价格评估及行业数据分析服务。据其上市申报材料显示，2020年8月，上海有色网信息科技股份有限公司起诉卓创资讯上海分公司。主要诉讼请求为:判令两被告立即停止不正当竞争行为，包括但不限于立即停止抄袭原告一系列有色金属价格数据;立即停止对外提供上述价格数据；立即永久性删除上述价格数据。

对此，上海证券交易所对卓创资讯的公开信息收集方式展开问询：（1）补充披露诉讼发生的背景、原因；（2）结合发行人公开信息收集的工作机制、流程，披露发行人是否存在大量从网络、报刊、书籍或其他渠道采集信息的情形，相关渠道采集信息的具体数量，采集的信息是否涉及他人已发表或享有著作权的作品；（3）发行人以此种方式采集信息是否存在潜在法律风险？

卓创资讯及其中介机构回复：（1）上述诉讼基于卓创资讯在其网站发布的依据价格评估方法所得出的有色金属价格信息与上海有色网的报价类似的背景，主要系基于产品报价的地域属性所致，与其数据采集方式无关；（2）针对公开信息采集，公司制定了《卓创资讯公开信息采集及使用规范》和《卓创资讯信息获取及发布规范》，对信息获取类型、信息获取模式、信息发布规范、信息发布流程、信息保密及安全等内容进行了规定。且公司通过公开信息收集方式获取数据的比例仅占1.41%，收集的渠道主要为政府类网站、行业协会网站、大宗商品企业门户网站、财经类网站、上市公司公开披露的信息等，发行人不存在大量从报刊、书籍或其他公开渠道采集信息的情形，采集的原始数据无法归类于《著作权法》所保护及调整的作品，进而不涉及他人已发表或享有著作权的作品；（3）发行人通过公开信息收集方式收集的信息属于相关主体按其自身意愿公开披露的既往已经存在的市场信息，发行人获取相关原始信息后，将该等信息通过加工、分析等手段进行处理。该采集方式不存在违反相关法律、法规强制性规定的情形，同时符合《反不正当竞争法》、《商标法》等相关法律法规的规定。但由于中国境内尚无具体法律、行政法规对发行人采集原始数据及后续形成单体数据的法律属性进行明确的规定，可能存在相应法律风险。

3、合规建议

由前述问询及案例可知，数据采集方式在数据合规中备受关注，尤其是广泛应用于诸多领域的数据爬虫技术。在判断爬虫技术的合规性时应从以下几方面考虑。一是数据是否是开放数据。数据是否公开不是合法性判断的标准，是否为开放数据才是，公开数据不必然等同于开放数据；二是取得数据的手段是否合法。如爬虫采用的技术是否突破数据访问控制，法律上是否突破网站或APP的Robots协议；三是使用目的是否合法。例如使用目的是否实质性替代被爬虫经营者提供的部分产品内容或服务。如果爬虫的目的是实质性替代被爬虫经营者提供的部分产品内容或服务，则会被认为目的不合法，构成侵犯合法利益；四是是否造成损害。即判断爬虫是否实质上妨碍被爬虫经营者的正常经营，是否不合理增加运营成本，是否破坏系统正常运行；五是是否严格遵守“用户授权平台+平台授权采集方+用户授权采集方”的“三重授权原则”。此处应当注意的是，“三重授权规则”同样适用于通过Open API模式（开放数据平台共享模式）收集数据的主体。

根据前列参考事项，本处给出具体合规建议如下：（1）识别数据是公开数据、半公开数据还是内部系统数据，企业只能爬取公开数据或者其他两类数据中已获得明确授权的数据；（2）如果一般的个人网站或商业网站、APP既未设置反爬技术措施，也未公开反爬声明，一般是可以爬取的。但要注意，可能出现目标网站已经有公开反爬声明，但自己没发现的情形；（3）即便爬取数据，也要说明数据来源。一方面，可以表明非恶意爬取；另一方面，预防数据本身存在问题；（4）如果目标网站有反爬虫协议，应严格遵守网站设置的 robots协议，尽量不予爬取或更换目标网站；（5）爬虫行为不能妨碍目标网站的正常运行。根据《数据安全管理办法》16条“网络运营者采取自动化手段访问收集网站数据，不得妨碍网站正常运行;此类行为严重影响网站运行，如自动化访问收集流量超过网站日均流量三分之一，网站要求停止自动化访问收集时，应当停止”；根据《中华人民共和国刑法》286条规定“违反国家规定，对计算机信息系统功能进行删除、修改、增加、干扰，造成计算机信息系统不能正常运行，后果严重的”，可能构成破坏计算机信息系统罪。故要谨慎评估网站的流量，访问流量不能超过网站日均流量的三分之一，对爬虫代码进行妥善设置，最好设置为网站日均流量的四分之一或以下，如无法预估网站流量，可以设置访问人数较少的时段进行爬取，单日爬取时间不超过2小时；（6）抓取内容的限制策略在设置抓取策略时，应注意编码禁止抓取视频、音乐等可能构成作品的、明确的著作权作品数据，或者针对某些特定网站批量抓取其中的用户生成内容；（7）抓取后应运用关键词审查等方式，审查所抓取的内容，如发现数据属于用户的个人信息、隐私或者涉及他人的商业秘密，应及时停止抓取，并完整删除已经爬取的信息；（8）如双方商业模式相同或近似，爬虫获取对方的信息很可能会对对方造成直接损害或者减损其可期待利益，为避免不正当竞争的法律风险，应不予抓取；（9） 即便目标网站的某类数据属于可爬取数据，如果系对方的核心化、批量式主营业务商业数据，应尽量避免以爬虫方式搜集，以免伤害到其实质性商业利益，违反《反不正当竞争法》相关规定，从而引发法律纠纷。例如：（1）禁止设置比价软件抓取平台数据进行商业比价；（2）设置搜索链接尤其是深度链接。

（三）第三方数据供应商的合规性

1、上市审核机构常见问题

向第三方数据供应商采购是自行收集外的另一大数据收集途径，也是上市过程中数据合规的关注重点。问询主要聚焦于企业对第三方数据供应商的调查审核义务以及相应的企业纠纷解决、合规保障、供应商管理机制。常见具体方式如下：（1）从事数据服务是否需要取得相应特殊资质、许可或备案，其从事数据提供业务是否合法合规？（2）通过供应商采购数据的来源是否合法合规，是否有相应机制保障供应商提供数据的合法合规性？（3）供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意，授权是否完备合规，个人信息获取是否合法？（4）公司向数据供应商采购数据合同中是否约定相关因数据合规问题产生纠纷的解决机制？（5）公司当前是否按照《数据安全法》的规定，要求数据供应商说明数据来源，并留存审核、交易记录等内控机制?若无，后续跟进合规措施是什么？（6）是否建立完善的供应商评价体系，并制定供应商甄选、数据源核验以及合同合规性审核的内控措施？（7）数据供应商是否与企业存在关联关系或利益安排？

2、典型案例

（1）中数智汇：通过供应商采购数据的合规性

中数智汇业务主要围绕数据获取、数据分析和数据应用开展，其数据获取主要有三种途径：向供应商采购的数据、自动化访问获取的数据以及公司深度挖掘及建模生成的高质量数据。

因涉及向数据供应商采购，上市审核机构对采购数据是否有相应的内控机制十分关注。据此，中介机构就公司采购数据的内控机制回复：中数智汇目前已制定《采购管理制度》与《数据采购管理制度》，并相应落实针对数据采购全流程（包括采购前评估、采购时的协议约定、合作开展过程中的监控管理）的合法合规性的审查机制，具体措施包括：1）《数据采购管理制度》明确禁止采购未公开的个人信息、可能构成特定法人商业秘密的数据、可能落入国家秘密或者特定行业管制的数据；2）采购前审核评估数据供应商数据来源合规性、数据安全管理能力、前期数据交易经验及能力、服务质量等因素，以确保提供采购数据的供应商具备数据安全保障能力；3）商洽过程中，要求数据供应商通过签订协议条款或者出具承诺函等方式，向公司承诺其数据来源的合法合规性、开展业务的合规性；4）建立数据供应商档案管理制度，对供应商合同签订状态、采购数据类型、数据范围、供应商背景资质审查情况等及时记录、更新、管理，确保在日常运营和业务发展中及时监测并管理数据采购情况。

（2）合合信息：通过供应商采购数据的合规性

合合信息作为人工智能及大数据科技企业，其数据来源包括向第三方供应商采购。对此途径，上海证券交易所在其上市过程中要求其进一步说明：发行人向个人供应商采购数据的主要内容、比例及原因，价格公允性，该等个人是否与发行人及其客户、其他供应商存在关联关系或利益安排？发行人调查供应商及数据来源合法性的具体方式及有效性。

对此，合合信息回复：采购数据的主要内容为企业历史工商数据和个体工商户数据，性质为展业相关；通过访谈数据供应商以及公开检索，确认数据供应商与企业以及相关人员不存在任何关联关系；以《安全与合规管理制度》《数据管理规定》《数据采购管理规范》等与数据合规相关内控制度作为依据，企业通过内部内控制度、内部数据采购流程管理、与数据供应商对接合作、数据供应商后续审核等具体方式调查并确保供应商及数据来源合法性。

（3）云天励飞：数据采购合规

云天励飞，是一家专注于计算机视觉领域的人工智能企业，主要聚焦AI+安防服务。由于其在第一轮问询回复中称如果商业客户未能恰当获得用户数据授权，可能存在数据安全风险。深交所第二轮问询中进一步询问其训练数据的来源及其合规性。

对此，云天励飞回复：公司的初始训练数据来源包括向专业数据供应商采购、经员工授权同意的前提下向员工采集数据等途径，发行人与相关供应商签订的数据采购合同均约定了供应商须遵守中国法律关于采集人脸面部信息规定的相关条款，须确保采集方式合法合规（应先征得被采集人同意并告知数据用途），因供应商违反法律规定所产生的责任由供应商自行承担。不存在非法获取数据的情形，不存在数据合规性风险。

3、合规建议

（1）针对通过第三方获取数据

根据《数据安全管理办法》14条“网络运营者从其他途径获得个人信息，与直接收集个人信息负有同等的保护责任和义务”可知，通过第三方获取数据同样应承担相应的数据合规义务，可从以下方面入手：（a）对供应商资质进行审核。根据《数据安全法》33条“从事数据交易中介服务的机构提供服务，应当要求数据提供方说明数据来源，审核交易双方的身份，并留存审核、交易记录”，故在向第三方采购数据时，要确保供应商具有合法资质且未受过行政处罚，同时应综合评估供应商数据安全管理能力、前期数据交易经验及能力、服务质量等，留存审核记录；（b）根据《信息安全技术个人信息安全规范》5.4e条对间接收集数据合法性审查的规定，应当注意查看供应商数据来源合法的证明文件，查明供应商与用户签订的协议是否明确授权、授权使用范围、用途等；（c）要求供应商提供并签署数据未侵犯他人隐私、商业秘密及其他权益的协议或承诺函，并约定发生纠纷由供应商承担企业因此遭受的一切损失；（d）建立供应商管理制度，对供应商合同签订状态、采购数据类型、数据范围、供应商背景资质审查情况等及时记录、更新、管理，留存交易记录。

（2）针对人脸识别个人信息合规方面

根据最高人民法院发布的《关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》, 在宾馆、商场、银行、车站、机场、体育场馆、娱乐场所等经营场所、公共场所违反法律、行政法规的规定使用人脸识别技术进行人脸验证、辨识或者分析，应当认定属于侵害自然人人格权益的行为；物业不得强制将人脸识别作为出入小区唯一验证方式；处理未成年人人脸信息，须征得监护人单独同意；应用程序不得强制索取非必要个人信息，信息处理者须就人脸信息处理活动单独取得个人同意。根据全国信息安全标准化技术委员会发布的国家标准《信息安全技术 人脸识别数据安全要求》（征求意见稿）（以下简称《人脸识别数据安全要求》）的规定，人脸图像处理主要有三类场景，包括: （a）人脸验证：将采集的人脸识别数据与存储的特定自然人的人脸识别数据进行比对（1: 1比对），以确认特定自然人是否为其所声明的身份。典型应用包括机场、火车站的人证比对，移动智能终端的人脸解锁功能等；（b）人脸辨识：将采集的人脸识别数据与己存储的指定范围内的人脸识别数据进行比对（1：N比对），以识别特定自然人。典型应用包括公园入园、居民小区门禁等；（c）人脸分析：不开展人脸验证或人脸辨识，仅对采集的人脸图像进行统计、检测或特征分析。典型应用包括公共场所人流量统计、体温检测、图片美化等。

人脸识别个人信息合规方面，我们的建议是：（a）应遵循网络数据活动安全要求和生物特征识别信息保护基本要求；（b）处理人脸识别数据时应遵循最小必要原则；（c）应采取安全措施确保数据主体权利，包括但不限于获取人脸识别数据使用情况、撤回授权、注销账号、投诉、获得及时响应等；（d）不应收集未授权自然人的人脸图像；（e）应具备与其所处理人脸识别数据的数量规模、处理方式等相适应的数据安全防护和个人信息保护能力；（f）开展人脸验证或人脸辨识时，应至少满足以下要求:（i）非人脸识别方式安全性或便捷性应当低于人脸识别方式；（ii）原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别；（iii）应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用；（iv）应提供安全措施保障数据主体的知情同意权；（v）人脸识别数据不应用于除身份识别之外的其他目的，包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。

企业在进行数据收集后，需要进一步履行数据控制者和处理者的责任。对拟上市企业，上市审核机构往往会关注企业的数据处理方式及其合规性。

1、上市审核机构常见问题

针对企业对所收集数据的处理，上市审核机构关注以下几方面：一是数据的存储问题。常见问题如下：说明数据的存储方式及管理情况；业务开展中是否涉及对客户数据、第三方数据、个人信息等进行存储？结合与客户的保密条款约定，说明未保留业务数据的原因及合理性。二是数据的使用问题。常见问题如下：使用用户数据商业化变现是否合规？数据使用范围是否超出用户授权范围？数据分析功能实现过程中如何保障数据安全？是否存在与数据使用相关的争议纠纷、违法违规情形，存在法律风险？三是数据的提供或公开问题。常见问题如下：是否存在将数据提供或出售给客户的情形？数据平台是否独立，是否存在共用混合的数据池？

2、典型案例

（1）墨迹天气：商业化变现的合规性

据北京墨迹风云科技股份有限公司（以下简称“墨迹天气”）招股说明书披露，墨迹天气通过对用户基本信息（用户画像），用户使用墨迹天气APP期间发生的行为（包括用户定位、请求频率、浏览内容等），以及用户所在地区的天气数据实施组合研究，从而使墨迹天气能够结合用户使用APP的场景与时间为用户推送可能需要的生活服务，如餐饮、出行、住宿等。

上市审核机构向墨迹科技提出了四点问题，其中第二点问题引起了广泛关注：获取用户数据的手段及方式是否合法合规？使用用户数据是否合法合规？是否存在侵犯用户隐私或数据的情况？是否出现过个人信息、隐私泄露事件？针对APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可？对于上述问题，证监会及墨迹科技、保荐券商并未公布说明情况。但从墨迹科技首发未能获得通过的情况来看，相关回答并未能解除上市审核机构的担心及疑虑。之前，在公安部网络安全保卫局等多个部门联合主办的“2019年网络安全专题发布会”上墨迹天气再次因涉嫌超范围采集公民个人隐私被点名。

（2）数聚智连：数据使用的合规性

根据申报材料，数聚智连利用如阿里巴巴数据银行、京东数坊等平台工具及定制的 SCRM 系统（社交化客户关系管理系统），整合来自不同渠道的用户资源，实现对目标客群的定位及全流程会员管理，为运营及品效营销业务开展提供解决方案支持。

在其上市过程中，深交所针对数据使用问题提出了以下询问：说明运用电商平台相关数据向客户（主要指品牌商及代理授权商）提供服务的主要模式，对相关数据的运用是否需要经由电商平台、个人消费者或其他相关方授权同意；说明报告期内是否存在与数据使用相关的争议纠纷、违法违规情形，是否存在法律风险。

对此，数聚智连回复：在从事业务过程中自电商平台获取数据的主要类型包括用户个人信息、订单管理信息、平台运营信息，运用相关数据向客户提供服务主要分为三种模式：发货和售后服务、电商平台店铺的营销方案设计和执行、为客户提供营销策划服务，其中提到在为客户提供营销服务中涉及用户画像等使用数据情形，通过详细介绍了三种模式下具体的数据使用机制，表明均已经获得授权；不存在与数据使用相关的争议纠纷，不存在因违反数据保护相关中国法律而受到行政处罚的情形或引发重大诉讼纠纷的风险。

（3）零点有数：数据使用合规

北京零点有数数据科技公司在科学的数据采集和分析方法的基础上，运用自主研发的核心技术，为公共事务和商业领域的客户提供数据分析与决策支持服务。

在其上市过程中，深交所关注到其制定的《零点有数隐私政策》中的信息匿名化处理条款，针对性地展开问询：《零点有数隐私政策》明确告知用户，“调查中获取的直接识别信息进行匿名化处理之后使用。但是，当此类直接识别信息或联系信息必要时，经与您进行适当的沟通（包括预先作出特殊注意通知），零点有数和/或客户可在该项具体调查中收集和使用此类直接识别符或联系信息。”发行人是否存在将授权范围内收集的直接识别信息出售给客户的情形？

对此，零点有数回复：公司在提供决策支持服务时，原则上公司仅向客户提供经过匿名化处理后的数据，该等数据不包含直接识别符或联系信息；若个别客户存在特殊要求，需要提供包含直接识别符或联系信息的相关数据，则公司会在个人信息主体授权许可范围内向客户提供。此外，公司对直接识别信息严加保密，且不作为业务数据使用，故不存在将授权范围内收集的直接识别信息作为业务数据直接出售给客户的情况。且公司采取了设置数据安全管理权限、使用加密技术/去标识化处理/匿名化处理等技术手段、建立数据下载日志、严格限制访问信息的人员范围、对数据安全规范履行情况进行抽查监管等系列数据安全保护措施，防止个人信息发生泄露、丢失、毁损、不当使用、未经授权访问或披露等情形，最大程度保障个人信息的安全。

3、合规建议

在处理数据时，应遵守以下几大原则：一是公开透明原则。根据《个人信息保护法》第7条：“处理个人信息应当遵循公开、透明原则，公开个人信息处理规则，明示处理的目的、方式和范围”；以及《个人信息保护法》第17条规定，向个人告知个人信息处理者的名称或者姓名和联系方式，保存期限，个人行使法定权利的方式和程序等内容；并根据《个人信息保护法》第50条规定，建立便捷的个人行使权利的申请受理和处理机制。二是保障质量原则。根据《个人信息保护法》第8条规定：“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”三是确保安全原则。根据《个人信息保护法》第9条规定“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。”

数据存储合规。（1）数据存储方式。（a）去标识化处理。根据《信息安全技术 个人信息安全规范》6.2条：在收集个人信息后，立即进行去标识化处理，并采取技术和管理方面的措施，将去标识化后的数据与可用于恢复识别个人的信息分开存储，加强访问和使用的权限管理；（b）使用加密存储方式。根据《信息安全技术 个人信息安全规范》6.3a规定：对个人敏感信息采用加密措施（个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下（含）儿童的个人信息等）；（c）建立备份措施。根据《互联网个人信息安全保护指南》6.2e规定：企业保存信息的主要设备，应对个人信息数据提供备份和恢复功能，确保数据备份的频率和时间间隔，并使用不少于以下一种的备份手段：（i）具有本地数据备份功能；（ii）将备份介质进行场外存放；（iii）具有异地数据备份功能。（2）数据存储期限。根据《个人信息保护法》19条规定，应满足“个人信息存储时间最小化”原则，即“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间”，同时在“超出上述个人信息保存期限后，应对个人信息进行删除或匿名化处理”。（3）数据存储地点。应根据《个人信息保护法》36条，遵循数据境内存储的规定，如确有境外存储需要的，应履行相应的安全评估手续。（4）个人生物识别信息存储的特别规定。根据《信息安全技术个人信息安全规范》6.3c规定：原则上企业不应存储原始个人生物识别信息，具体可采取以下合规措施：（a）仅存储个人生物识别信息的摘要信息；（b）在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；（c）在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。

数据使用合规。（1）注意数据使用的范围界限。数据的使用范围需要控制在合规界限内。根据《信息安全技术 个人信息安全规范》7.3a规定：“使用个人信息时，不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要，确需超出上述范围使用个人信息的，应再次征得个人信息主体明示同意”，对于通过公开渠道获得的个人信息，企业使用该个人信息需要符合个人信息被公开时的用途范围；（2）注意商业变现的合法合规边界---应以取得用户的有效授权为前提。例如对于用户画像，《信息安全技术 个人信息告知同意指南》8.1.1b第4条规定：“针对用户画像、广告目的应与其他目的区分进行告知”；对于自动化决策，《个人信息保护法》55条规定，在利用个人信息自动化决策前，应事前进行个人信息保护影响评估，并对处理情况进行记录；（3）采取数据访问控制措施---访问控制可以分为人员控制和流程控制两方面。根据《信息安全技术 个人信息安全规范》7.1条规定：对被授权访问个人信息的人员，应建立最小授权的访问控制策略，使其只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限；对个人信息的重要操作设置内部审批流程，如进行批量修改、拷贝、下载等重要操作；对安全管理人员、数据操作人员、审计人员的角色进行分离设置；确因工作需要，需授权特定人员超权限处理个人信息的，应经个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需求触发操作授权，如当收到客户投诉，投诉处理人员才可访问该个人信息主体的相关信息。