2022年企业上市数据合规导引（下篇）

刚刚过去的2021年，对于中国的数字相关产业来说是重要的一年。年内先后生效的《数据安全法》和《个人信息保护法》，与2017年生效的《网络安全法》共同构成了数据合规的重要法律基础，呈三足鼎立之势。全年人大、各部委及地方政府数据相关重要立法活动九十余次。数据合规已然成为监管机构的日常关注重点，也成为企业、特别是拟上市企业须关注的重大问题。

综合分析看来，上市审核机构问询到的数据合规问题主要集中在四个方面：数据来源合规、数据处理合规、确保数据安全、数据出境合规。继中篇之后，本篇将继续从另外两个方面，即确保数据安全和数据出境合规，对相关重点问题及典型案例进行梳理分析。

数据安全始终是监管机构关注的重点也是容易出问题的难点。数据安全方面主要涉及两个问题：技术层面保证数据运行的安全；制度层面保证数据整个流程安全及应急处理。在技术层面，要求相应的技术措施安全可靠，保证数据不会被篡改和破坏，还有能力抵御攻击。这其中就涉及具备国家的相关技术认证或资质，以确保企业在数据保护方面具有能够获得国家认可的能力；在制度层面，主要审查企业的应急制度和数据安全保证体系是否完善，要求企业从制度层面对数据安全形成全流程的部署。

1、上市审核机构常见问题

通过案例检索，上市审核机构对数据安全常见的问询如下：（1）发行人内部控制制度及其执行情况；（2）涉及数据供应商时，其内部控制制度如何，是否落地执行？（3）发生网络安全事件时，发行人如何承担责任？

2、典型案例

（1）博睿数据：内部控制制度及其执行情况

博睿数据公司是一家为企业级客户提供应用性能管理服务、销售应用性能监测软件及提供其他相关服务的高新技术企业，主营业务属于IT运维管理领域内的重要分支—应用性能管理行业。

报告期内发行人主营业务收入按业务类型分为监测服务、软件销售和其他，因其业务涉及销售及采购相关数据，上市审核机构要求博睿数据说明以下问题：（a）与发行人业务及财务核算相关的信息系统情况，包括系统名称、系统功能、主要业务数据；（b）关于与系统数据产生、流转、存储相关的关键系统一般控制和应用控制的设计和执行情况；（c）对信息系统的信息管理制度建设、信息岗位职责分离、用户权限管理及授权情况；（d）如何确保信息系统业务数据以及对应的财务数据的真实、准确、完整；如何确保上述信息系统数据不被篡改，报告期内是否出现业务系统数据异常或与财务数据不一致的情形。

对此，中介机构根据发行人信息系统的架构、主要功能、其关键系统一般控制和应用控制的设计和执行情况、信息岗位的设置情况作了回复，认为博睿数据符合数据安全的相关要求。

（2）亚信安全：风险应对机制情况

亚信安全是在云安全、身份安全、终端安全、安全管理、高级威胁治理及5G安全等领域突破核心技术的网络安全公司。

在报告期内，深交所关注其网络安全、数据安全，发出以下问询：根据行业主要法律法规及政策规定，说明终端客户发生数据泄露及网络安全事件时，发行人应当承担的具体责任、表现方式及对其生产经营的影响；发行人开展业务过程中涉及的个人信息收集、使用是否合法合规，发行人防范相关风险的内部控制是否健全？

对此，亚信安全回复：针对相关信息安全，发行人制定了《亚信安全知识产权及商业秘密管理制度》《信息安全管理手册》《信息安全管理体系策略》等内控管理制度并取得了符合“ISO/IEC 27001：2013 标准”的信息安全管理体系认证证书，故已建立并执行网络安全和信息安全方面的相关内控管理制度。根据上述制度文件，当发现网络产品存在安全缺陷、漏洞等风险时，会立即采取补救措施；若客户发生重大网络安全事件或信息科技突发事件时，将会配合客户查找原因并提供对应解决方案；目前开展业务过程中不涉及个人信息的收集和使用，未来在用户体验提升计划中可能会涉及收集或使用客户数据或者个人信息，但收集或使用客户数据或个人信息的前提是客户勾选了相关协议选项，并且发行人获得的是脱敏后的数据。

（3）云天励飞：数据内部控制机制

云天励飞，是一家专注于计算机视觉领域的人工智能企业，主要聚焦AI+安防服务。其在第一轮问询中回复：发行人面向商业用户的产品可能涉及到获取和使用用户隐私数据，如果商业客户未能恰当获得用户数据授权，有可能存在数据安全的风险。故深交所在第二轮问询中进一步提出：针对数据的合规性使用是否建立相应的内部控制机制？

对此，云天励飞回复称：公司高度重视数据安全及数据合规工作，建立了如下内部控制机制：公司内部组建了信息安全委员会和信息安全管理小组，并制定了一整套信息安全管理制度，包含《信息安全管理总则》《信息安全管理体系职责及议事规则》《保密守则》《品牌对外口径管理条例》《信息安全管理制度》《数据安全管理办法》等。

3、合规建议

根据《个人信息保护法》规定:“个人信息处理者应当对其个人信息处理活动负责，并采取必要措施保障所处理的个人信息的安全。”[1]数据活动涉及数据供应商等第三方时，企业应确保第三方也同样符合数据安全要求。

企业可依据《数据安全法》《个人信息保护法》等法律法规，具体从以下几方面入手，进一步确保数据安全。（1）加强建立健全全流程数据安全管理制度——组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全；[2]（2）加强风险监测——发现数据安全缺陷、漏洞等风险时，应当立即采取补救措施；[3]（3）建立安全应急预案[4]——发生数据安全事件时，应当立即采取处置措施，按照规定及时告知用户并向有关主管部门报告。《个人信息保护法》亦规定：“企业应制定并组织实施个人信息安全事件应急预案；发生或者可能发生个人信息泄露、篡改、丢失的，个人信息处理者应当立即采取补救措施，”[5]并通知履行个人信息保护职责的部门和个人；（4)定期开展风险评估。根据《数据安全法》，重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。[6]风险评估报告应当包括处理的重要数据的种类、数量，开展数据处理活动的情况，面临的数据安全风险及其应对措施等；（5）明确发生数据安全事件时可能承担的责任——企业应从法律法规及监管文件、与数据供应商等第三方就发生数据安全事件时相关协议、以及与客户签订的合同中关于数据安全事件的责任约定三个角度，明确可能承担的责任。

数据跨境的合规主要涉及两个问题：符合出境地区的数据合规；符合入境地区的数据合规。监管机构关注到数据出境安全问题和入境地区的数据相关法律对于企业经营的实际影响。

1、上市审核机构常见问题

上市审核机构对于数据出境问题主要有以下几点问询：一是个人信息是否合规出境？二是重要数据（如人类遗传资源信息）是否合规出境？三是数据境外销售是否符合国家数据安全和个人信息保护的法律法规？四是境外数据处理活动是否遵守当地个人信息和数据安全保护的相关规定？

2、典型案例

（1）海天瑞声：数据境外销售的合规性

海天瑞声是一家面向全球的AI训练数据服务商，为境内外AI全产业链中的企业和科研机构提供开发训练所需的数据和服务。其招股说明书披露，2019年其境外收入占主要业务收入的49.6%。就海天瑞声数据产品与定制服务的境外销售，上市审核机构重点关注这一行为是否符合国家数据安全和个人信息保护的法律法规，以及是否符合境外出口限制等相关法规。

对此，中介机构回复：已经采取了保障数据安全出境的合规性措施：在数据出境前，告知被采集人并取得其授权同意；在与境外客户订立合同前，对境外客户的数据安全和个人信息保护能力进行评估；在与境外客户签订的合同中，约定双方就数据安全和个人信息保护的权利和义务，包括约定双方的个人信息处理活动遵守数据安全保护相关法规等内容；在数据内容方面，仅将经技术处理后的训练数据提供给境外客户，不涉及提供被采集对象的个人身份信息；在处理方式方面，海天瑞声研发使用一体化数据处理平台，采用技术措施以减少数据接触范围；制定和公开《个人信息保护政策》，定期开展个人信息安全影响评估，包含评估境外客户履约情况。对于数据出境涉及的境外出口限制问题，核查数据信息境外销售限制的相关法律法规，向境外销售的数据不涉及健康医疗数据和人类遗传资源信息，海天瑞声亦不属于关键信息基础设施的运营者，符合数据境外出口限制的法律要求。

（2）合合信息：境外数据安全问题

合合信息系提供数字化、智能化的产品和服务的人工智能及大数据科技企业，作为全球性的公司，上海证券交易所对其境外数据安全问题提出问询：请保荐机构、发行人律师核查并说明发行人境外业务开展是否遵守当地个人信息和数据安全保护的相关规定，是否存在被境外主管机构处罚的情况或潜在风险？

对此，中介机构回复：境外业务方面，公司的APP已符合APP平台相关规定，公司海外产品在上线时已与境外APP平台分别签署了App Store开发者协议及Google Play开发者协议，并制定了相关产品海外版的《隐私政策》，在APP中明示《隐私政策》并按照个人信息及数据安全保护的相关规定开展业务。聘请的专业律师事务所基于《通用数据保护条例》（General Data Protection Regulation, (EU)2016/679 号法规，以下简称“GDPR”）的要求，参考国际信息系统审计协会（ISACA）于 2019 年发布的《GDPR 审计矩阵》，针对海外产品隐私合规进行高阶评估，结果表明，根据 GDPR 的相关规定，对公司在2021年3月31日的数据保护及隐私合规没有整改建议。

（3）云从科技：跨境数据保护

云从科技集团股份有限公司（下称“云从科技”），是一家提供高效人机协同操作系统和行业解决方案的人工智能企业。考虑到其涉及境外业务，上海证券交易所在问询时要求：结合境内外法律法规和行业规范，进一步说明公司对客户隐私数据的保护措施。

云从科技回复中称，针对在业务过程中获取的个人信息，其制定了《网络安全保护总则》，从原则上建立了个人信息保护的统领性制度。同时，发行人制定了《数据分类识别规范》《个人信息安全影响自评估规范》《对外数据安全管理制度》《对内数据安全管理制度》《用户个人信息权利保障制度》等制度并说明了各制度主要内容，从个人信息的分类识别、安全评估、权利保障、信息的收集、存储和处理等方面全面保障客户隐私数据的安全。值得一提的是，在《对外数据安全管理制度》中，有单独建立个人信息跨境传输规范，明确个人信息跨境传输的禁止情形和安全评估要求。

3、合规建议

关于境外数据合规，应注意以下要点：一是满足数据出境条件。根据《个人信息保护法》、《网络安全法》和《网络数据安全管理条例》（征求意见稿）相关规定，数据原则上应当境内存储，未获得批准不得出境。除非满足下列条件之一：关键信息基础设施运营者、处理个人信息达到100万人以上的数据处理者和包含重要数据的，应当通过国家网信部门组织的安全评估（法律法规和国家网信部门另行规定的除外）；经专业机构进行个人信息保护认证；按照国家网信部门制定的标准合同与境外接收方订立合同，约定双方的权利和义务。[7][8][9]二是应保障境外接收方数据处理合规。根据《个人信息保护法》规定：个人信息处理者应当采取必要措施，保障境外接收方处理个人信息的活动达到本法规定的个人信息保护标准。[10]如根据《网络数据安全管理条例》（征求意见稿）规定：采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据，履行数据安全保护义务，保证数据安全；接受和处理数据出境所涉及的用户投诉等。[11]三是履行告知义务并取得单独同意。根据《个人信息保护法》规定，向个人告知境外接收方的相关信息并取得个人的单独同意，告知内容包括接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式和程序等事项。[12]四是进行个人信息保护影响评估活动。根据《个人信息保护法》规定，向境外提供个人信息的，应事前进行个人信息保护影响评估。[13]五是定期报告义务。根据《网络数据安全管理条例》（征求意见稿）规定，向境外提供个人信息和重要数据的数据处理者，应当在每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况。[14]六是报批及保密义务。依照《个人信息保护法》规定，非经中华人民共和国主管机关批准，个人信息处理者不得向外国司法或者执法机构提供存储于中华人民共和国境内的个人信息。[15]重要数据出境前应确认是否需要获得国家相关部门批准，如果出境数据涉及国家秘密，除了应获得主管政府部门批准外，企业还应当与接受方签订保密协议。七是建立企业跨境数据管理机制。根据《网络数据安全管理条例》（征求意见稿）：数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求，建立健全相关技术和管理措施。[16]