产品介绍

　　尽管企业数据合规的根本作业掩盖了数据的搜集、存储、加工、传输、删去、毁掉等各个处理环节，但企业针对各环节的合规资源投入应当有所偏重。在合规实务中，咱们主张企业应特别注重数据源的合规。为免歧义，本文所称的数据源合规首要包含三个层面的意义：（1）数据搜集前已取得用户授权或依法无需取得授权；（2）数据搜集不违背合法、合理、必要、诚信准则；（3）用户的授权可掩盖拟进行的数据处理活动。依据以下理由，数据源的合规尤为重要：

　　行政监管部分尤为重视个人信息搜集、运用行为的合规性。如APP损害用户权益专项整治举动，要点整治APP、SDK未经用户赞同搜集个人信息、超规划搜集个人信息的行为。经网络检索并初步统计，依据《个人信息维护法》所作出的相关行政处分事例中，大多数的行政处分事由为未经授权搜集个人信息、超出最小必要规划搜集个人信息以及超出授权规划运用个人信息。

　　在“威科先行”渠道行政处分一栏中，以“个人信息”为关键词检索自2022年1月1日至2022年6月27日止的行政处分事例，除掉无关事例后，因个人信息违规处理而予以行政处分的事例合计【145】起，其间“不合法搜集个人信息”的事例占比为【91.77%】。如以处分事由区别，，不合法获取、出售、向别人供给个人信息的事例有【38】例，占比【26】%；运用职务之便不合法搜集或为盈利意图而向别人购买个人信息等共【33】例，占比【23】%。网络运营者、网络产品或服务供给者不合法搜集个人信息共【74】例，占比【51】%。

　　发审委在问询企业的数据合规性时，简直必问询企业数据来历的合法性。偶发性的超规划搜集个人信息等数据搜集违规行为暂不会对企业的IPO形成严重影响。但如企业的首要营收依靠于对不合规的数据源的运用，在个人信息合规监管趋严的态势下，其上市之路将困难重重。

　　2019年10月11日，证监会否决墨迹气候的IPO请求，数据源不合规为首要理由之一。墨迹气候的营收首要来自互联网广告事务，因而需求搜集并处理很多的用户数据。从提高广告投进作用的视点而言，墨迹气候搜集的数据类型、精度、频次、数量都是越大、越高越好。但依据最小必要准则，墨迹气候作为一款东西类APP可搜集的数据规划又适当有限。依据四部分联合印发的《常见类型移动互联网应用程序必要个人信息规划规矩》，根本功用服务为“日历、气候”的实用东西类APP，无须个人信息即可运用根本功用服务。如用户仅运用东西类APP的根本功用，则即使此类APP在隐私方针中宣布了搜集个人信息的规划，但相关信息的搜集行为也难以满意最小必要准则。如数据源合规性存在显着问题，后续运用此类数据供给增值广告服务亦难合规。

　　在司法裁判中，法院在确定企业对数据是否享有合法权益时，也会考虑其数据的搜集、运用是否契合法令规矩。如企业本质性地违背了个人信息维护或其他法令的相关规矩，依据“不干净之手准则”，就不能因而享有受法令维护的竞争性权益[0]。在淘宝诉美景一案中，被告以为淘宝未经商户和顾客赞同，以盈利为意图，私自抓取、搜集和出售商户和顾客享有财产权的相关信息，侵略了商户的运营隐秘和用户的财产权、个人隐私，具有违法性。尽管法院经检查后以为淘宝公司未违背其所宣示的用户信息搜集、运用规矩的行为，其搜集、运用网络用户信息以及涉案数据产品揭露运用网络用户信息的行为契合法令规矩，具有合理性，但从法院的审理思路也不难发现，如企业的数据来历违法，将影响其对原始数据及数据产品所享有的权益的确定。

　　数据范畴的刑事危险多会集在数据的搜集、运用环节。如企业的数据来历不合法，其数据的搜集、运用行为将面对较大的刑事危险。司法实务中与数据处理相关的高频罪名、典型行为以及入罪标准如下：

　　不管是按条数核算仍是依照违法所得、经济损失核算，在数据搜集功率极高的大数据年代，上述相关罪名的入罪门槛较低。

　　除此之外，如企业与第三方协作时未对其数据来历做合法性检查（如上游数据系以不合法购买、不合法爬虫、不合法侵略核算机信息系统等方法所获取的数据），则还有构成粉饰、隐秘违法所开罪以及协助信息网络违法活动罪的刑事危险。

　　尽管数据源合规极为重要，但在实操落地时却存在各类难题。依据不同的数据搜集方法，经过整理数据源合规实务中存在的难点，详细总结如下：

　　直接获取方法是指企业作为个人信息处理者在向用户供给产品或服务时直接搜集个人信息的方法。直接获取方法下，企业面对的首要合规难点如下：

　　《个保法》第13条规矩了个人信息处理者无需取得个人赞同即可搜集个人信息的景象，但破例景象的适用规划较窄。在实践中，企业大多数的个人信息处理活动仍需以取得个人赞同作为合法性根底。《个保法》关于授权赞同的取得提出了较高的要求，不只要求“赞同应当由个人在充沛知情的前提下自愿、明晰作出”，还设置了灵敏个人信息独自赞同等规矩。

　　在实务中，企业常常由于各式各样的原因不乐意获取用户授权或难以取得用户授权。如过后奉告用户要求获取赞同的，则企业将有较大或许拿不到授权，直接影响事务收入，因而部分企业并不乐意依照《个保法》的要求获取用户授权赞同。再如部分企业自身并无搜集个人信息的事务场景，而是依靠第三方取得授权赞同，则用户授权的状况简单存在种种瑕疵。以第三方SDK为例，其在APP内并无独立交互界面，而是依靠于APP运营者取得用户的授权赞同。在APP隐私方针中未宣布该SDK的景象下，该SDK处理用户个人信息将缺少合法性根底。再如线下零售门店运用智能摄像头搜集人脸信息、运用物联网设备搜集用户的个人信息等，难以运用opt-in的方法取得用户的明示授权赞同。

　　除取得个人赞同外，企业搜集、运用个人信息还应当契合意图约束、最小化、揭露通明等准则。依据《个保法》第6条，企业搜集、运用个人信息“应当具有明晰、合理的意图，并应当与处理意图直接相关，采纳对个人权益影响最小的方法”、“搜集个人信息，应当限于完成处理意图的最小规划，不得过度搜集个人信息”。

　　以APP专项办理作业为例，法令组织不只仅重视APP是否明示个人信息处理规矩并取得个人赞同，还重视APP是否超规划搜集个人信息、APP搜集个人信息是否契合最小必要准则（搜集的个人信息类型、数量、频次等）。依据《常见类型移动互联网应用程序必要个人信息规划规矩》、《信息安全技能 移动互联网应用程序（App）搜集个人信息根本要求》（GB/T 41391-2022）（以下简称41391）等部分规章、国家标准的规矩，监管部分倾向于依据APP供给的根本功用来判别APP的必要个人信息规划，且41391要求APP不该搜集与APP事务功用无关的信息。

　　最小必要准则与企业充沛运用大数据以发掘用户价值的需求存在必定的严重联系。当时监管部分倾向于参阅《常见类型移动互联网应用程序必要个人信息规划规矩》确定企业可搜集信息的必要规划，并要求企业区别根本功用与扩展功用，以此划定搜集的个人信息规划及搜集方法。在当时监管趋势下，以根本功用招引用户，大规划搜集用户数据后用于附加功用变现的商业方法或许难以为继。

　　直接获取方法是指企业经过同享、转让、搜集揭露信息等直接获取个人信息的方法。直接获取方法下，企业首要面对以下合规难点：

　　不管企业是作为受托方获取个人信息仍是经过同享、转让的方法获取个人信息，企业作为个人信息接收方都应当对上游数据源进行检查，检查的内容包含供给方搜集个人信息是否合法、是否契合最小必要准则，以及企业后续的处理活动是否归于信息主体的授权规划内等。但在大数据年代，个人信息流通链路非常杂乱，企业经过多个中间方所取得的个人信息，需求检查个人信息在多个主体之间流通的授权链路是否完好、授权是否明晰。如在杂乱链条中，其间一方的授权不标准都将导致企业数据来历的瑕疵。大多数商业场景中，企业需求将直接获取的数据与自有或其它数据源进行交融加工处理，而上游数据源的授权规划往往难以掩盖企业后续的处理活动。

　　直接获取方法下企业经过要求数据供给方在事务协议中许诺数据来历合法、签署合规许诺函、合规调研问卷等方法对数据来历合法性做方法检查，有些企业或许还会要求数据供给方供给隐私方针文本及签署日志、系统抽检等方法对数据源进行本质检查。但由于企业获取的个人信息数量非常巨大，也只能要求数据供给方供给部分样例。此类检查方法是否已充沛契合《个保法》的相关要求尚有待商讨。

　　关于触及很多数据处理的企业，数据源合规是证监会的重视要点。且跟着《数据安全法》、《个人信息维护法》等法令法规的施行，证监会关于触及数据处理的企业的数据合规的问询相较以往也愈加详尽深化。从近期发布的《合合信息：8-1-2发行人及保荐组织关于第二轮审阅问询函的回复》、《太美科技：8-1-1 发行人及保荐组织关于浙江太美医疗科技股份有限公司初次揭露发行股票并在科创板上市请求文件的第一轮审阅问询函的回复》、《 数聚智连：8-5 发行人及保荐组织关于第二轮审阅问询函的回复定见》等文件来看，近期证监会关于数据合规的问询以下特色值得重视：

　　相较于以往问询中较为抽象地要求发行人阐明其数据来历是否合法合规，在近期的问询中，证监会要求发行人阐明事务搜集的详细的数据类型，以及对应的数据来历、数据搜集后的运用方法、运用意图，并经过进一步问询数据搜集、运用的场景来判别数据的搜集、运用是否合规。

　　在对合合信息的第二轮审阅问询函中，证监会要求其“以表格方法列示，发行人各项事务中所获取的各类信息数据的详细贮存方法及期限、运用方法及用处，是否存在超出数据获取协议或隐私方针的景象”以及“以表格方法列示，发行人各项事务中所出售或交流的各类信息数据的内容、来历、加工处理方法、交给产品形状、客户类型”。

　　在对太美科技的第一轮审阅问询函中，要求其阐明“首要产品及核心技能触及的数据来历及类型、数据获取方法、存储方法，在数据运用中是否需取得相关方的答应或授权、相关授权是否完好，是否存在侵略患者隐私的景象”。数聚智联在首轮问询函中宣布在事务展开中自电商渠道获取数据的首要类型包含用户个人信息、订单办理信息及渠道运营信息后，在第二轮问询中，证监会进一步要求其阐明“可获取、运用的数据详细类型、数量规划，与电商渠道、品牌方之间关于用户个人数据运用的协作机制、权责区别机制”。在数据的搜集、运用触及多方主体的状况下，发行人需结合事务场景来阐明数据搜集、运用的合法性、必要性及合理性。

　　在近期的问询中，证监会明晰要求发行人阐明是否存在超出数据获取协议或隐私方针的规划运用数据的景象，尤其是是否违规将所获取的数据向用户供给增值服务。如发行人多个事务线触及数据的处理，还重视是否将A事务线获取的数据是否用于B事务线中。

　　在对美亚柏科（主营事务为为司法机关及行政法令部分供给电子数据取证产品及大数据、网络空间安全、才智城市等解决方案。）的问询中，证监会要求其明晰阐明“是否存在搜集、存储个人数据、对相关数据发掘及供给增值服务等状况”。

　　超出用户授权规划对数据进行处理剖析、商用是典型的违规运用数据的行为。如企业触及数据处理的主营事务赢利添加空间有限，则就搜集后的数据是否存在其它超出授权运用的景象会是证监会的重视要点。

　　值得注意的是，在近期的问询中，证监会不止一次要求发行人阐明数据获取方法是否契合职业常规以及同职业对相似用户数据的搜集、运用的合规性。在对数聚智联第2次问询中，发审委要求其阐明同职业对相似用户数据的搜集、运用的合规性。在答复中，数聚智联征引已上市的同职业企业的招股书及由第三方律所出具的关于数据合规性的法令定见书来辅佐证明其数据搜集、运用的合规性。针对合合信息在第一轮问询中宣布的广告换数据、数据换数据的事务方法，发审委然后要求其阐明“广告换数据、数据换数据的事务方法是否契合职业常规”。合合信息经过阐明企查查、天眼查等相似产品揭露文件宣布的与第三方进行战略协作或数据交换状况来辅佐证明其广告换数据、数据换数据的事务方法契合职业常规。发审委要求发行人阐明同行数据搜集、运用的合规性也是在调查触及数据处理的企业商业方法自身的合规性。

　　在直接搜集方法下，发行人一般经过阐明其隐私方针的内容、授权流程等阐明其数据的搜集、运用已取得授权。但关于隐私方针包含哪些的详细条款，以及特定类型的数据（例如灵敏个人信息）以及特定的数据获取方法的授权是否契合《个人信息维护法》的规矩则语焉不详。在直接搜集方法下，发行人经过阐明与协作方签署的关于许诺数据来历合法合规的条款来阐明数据搜集的合规性。保荐人等中介组织的核对现在也停留在检查相关协议、第三方出具的关于数据合规性的法令定见书，以及访谈对应的负责人阶段。不过，在少量文件中，中介组织经过登录相关产品、抽取相关数据库拜访日志、权限调整日志等方法核对数据搜集、运用的合规性。

　　但值得注意的是，在从近期发布的几个拟IPO企业的问询答复来看，发行人关于隐私方针及相关授权文件的合规性作了更为详尽的阐明，包含隐私方针的结构、包含的首要内容，以及产品的技能检测结果与隐私方针声明是否共同等。部分企业乃至延聘第三方组织独自就隐私方针的合规性宣布合规评价定见。

　　发行人在证明其数据搜集、运用的合规性时，会征引第三方出具的关于数据合规的专项评价定见、法令定见书、尽职调查报告等文件来辅佐证明其数据来历的合规性。

　　个人信息监管趋严，企业搜集、运用个人信息应恪守合法、合理、必要和诚信准则。如企业的数据搜集事务场景与数据运用事务场景显着不匹配，则即使经过隐私方针等方法获取用户的授权赞同，其数据源仍难以满意合规要求。因而，为了防止数据源合规的显着瑕疵，企业在搜集信息前即应当考虑其事务方法对应的数据处理活动是否契合合法、合理、必要和诚信准则。如对数据的运用显着超出数据搜集时的必要规划的，主张对事务方法做针对性的调整（如添加场景、改动事务内容等）以使得数据的处理契合必要性准则。

　　《个人信息维护法》、《信息安全技能 个人信息安全标准》、《常见类型移动互联网应用程序必要个人信息规划规矩》等相关法令法令、标准文件等对互联网应用程序搜集个人信息的标准提出了较为全面、详尽的要求，例如搜集灵敏个人信息需取得独自赞同、不得由于用户不赞同供给非必要个人信息而回绝用户运用其根本功用服务等。企业应当参阅相关法令法规、国家标准标准其互联网产品的个人信息搜集行为，区别互联网产品的根本功用与扩展功用，在用户启用不同的功用前要求用户别离授权，向用户供给细粒度的授权方法以保证用户授权的自愿、明晰下，而且防止呈现超规划搜集个人信息、未经用户赞同搜集个人信息等景象。在产品功用发生变化需求更改个人信息处理规矩的，应当及时更新隐私方针等授权文件保证用户授权的有用性。

　　为防止部分职工违规操作给企业以及主管负责人带来刑事危险，主张企业在内部树立相应的内控机制，明晰数据搜集、运用违规红线。在职工呈现违法违法行为时，如企业可有用证明其已树立数据合规系统，将在必定程度上阻隔企业及负责人的刑事危险。

　　如企业取得的数据自身合规性存在瑕疵，主张慎重评价为满意事务可用性所必需的数据，并善用去标识化、匿名化技能，保证对数据最小程度的加工、运用。由此，即使企业难以做到彻底的合规，也能下降违规情节，然后尽量将危险控制在可接受规划之内。