数据不安全，上市有风险

作者：朱宣烨 曾雯雯 王伟 周泱 王丹阳

近期，证监会发审委在一份审核结果公告中，对企业的数据安全和隐私保护问题连发五问，涵盖数据收集、数据使用、数据安全保护、以及数据及个人隐私保护与业务发展模式的关系等四大方面，再次把隐私保护和个人信息合规的问题开宗明义地摆在了所有企业和投资人面前。

如何收集用户数据？收集数据是否合法合规？

如何使用用户数据？是否存在数据商业化变现的合规问题？使用过程中是否侵犯用户隐私或存在其他法律风险？

数据内部控制制度是否完备？是否存在数据安全事件预案？

数据行业监管及个人隐私保护政策对公司业务的影响及相关应对措施？

针对APP专项治理工作组提出问题的整改情况及效果，是否仍存在被处罚的风险？

一、数据合规从未远离企业融资和公司上市

事实上，数据合规问题在国内外的投融资、IPO等领域一直存在，不仅有公司因为数据合规问题导致IPO未通过，还有不少公司因数据尽调不充分，因存在的数据安全隐患等历史遗留问题或在并购完成后收购标的发生网络安全或数据泄露事件，对公司产生极大的不良影响。可见，数据合规和数据方面的尽调必须引起相关企业的重视。

相关案例总结如下：

二、涉及数据资产的企业，其网络安全和数据合规问题，应成为投并交易或上市前各方合规审查的关注重点

数据被认为是未来企业最重要的资产，许多投资人看中的即是目标公司商业模式中涉网、涉数的巨大经济价值。对于投融资并购交易的双方，以及谋求上市的企业而言，上述案例向我们显示，如果不能充分理解网络安全和数据保护的相应法律义务和风险，投并交易的目标公司或拟上市企业的网络安全和数据保护存在严重的法律风险或技术安全隐患，则不仅不能实现资本溢出和业务协同的效应，还将给各方带来重大风险或造成严重损失。

互联网公司为追求快速抢占市场和扩大发展，往往是“业务先行，合规后补”。然而从证监会发审会关注的问题中可以看到，一些企业，尤其是新经济领域类型的企业，在确保业务合规运营和内控制度上的缺失已经达到构成发行障碍的程度。识别数据领域目标公司的商业模式是否合规及提供整改方案须由业务团队、技术专家以及律师等各方从不同角度审查和提供建议。企业自身更应将法律合规人员的参与前置到产品、业务的策划阶段。

总体而言，我们建议可以从几个维度去进行自查

（一）纵向：以后果考察维度，分析商业模式中可能触发法律责任的风险

刑事责任：

刑事责任是自查过程中必须考虑的第一维度的风险。近年来很多创业公司在走到IPO之前，就已经折戟在了刑事案件中。其中与网络安全和数据合规相关的典型的罪名有：非法获取计算机信息系统数据罪、破坏计算机信息系统罪、非法控制计算机信息系统罪、侵犯公民个人信息罪、拒不履行信息网络安全管理义务罪、非法利用信息网络罪、帮助信息网络犯罪活动罪。

行政责任：

规范网络安全和隐私保护的大部分规范还是行政规范，所以行政责任也是网络安全需要重要关注的一个重点。行政规范涉及的内容，也会是自查的重点，我们在下文中会更多提及。

民事责任：

即便不属于刑事责任范围，且行政执法未触及到的角度，仍需对于可能引发的民事责任给予足够高的认识。我国没有集团诉讼制度，但是即便是小标的额的案件，也可能引发公众极大的关注，成为典型案件，甚至影响到公众、监管者对企业商业模式的关注。

（二）横向：数据生命周期不同阶段和不同的方面来细化具体的问题清单。针对数据领域的企业，我们做了如下简单的列举：

对于数据驱动型的企业，数据合规应贯穿企业运营的始终，包括日常运营中的网络安全和数据全生命周期的合规，企业投资并购中的并购战略、网络安全和数据合规尽职调查、标的公司数据资产估值、合同谈判、交割后的整合等，以及企业上市前的自查自改，均应引起高度重视，否则企业的运营及资本化运作都将面临巨大的合规成本和经济损失。

植德持续关注数据合规最新动态，关于中国企业数字化转型的合规问题，请参见《中国企业数字化转型合规白皮书》。