| 问题 | 「以案说法」科技企业IPO过程中数据未符合规定导致上市未通过 |
| 释义 | 互联网用户的个人数据已经已经成为现代企业商业运作的重要环节,近些年某些企业通过人脸识别,用户个人隐私数据采集给广大互联网用户造成巨大的侵害,随后网络安全和数据保护领域的风险事件不断增多,国家对互联网安全和数据保护不断提高要求,将监管活动常态化,特别是针对一些拟上市的额科技企业和互联网企业来说,在运营过程中对业务运作过程所涉及的数据的处理和应用的合规性已经成为上市审核绕不开的重要话题,同时属于证劵监管机构的重点审查对象,若企业数据合规方面存在瑕疵,极有可能导致企业IPO被否,对企业造成巨大的损失。 在2019年证监会第十八届发行审核委员会议召开,对包括某科技等4家公司发行事宜发布审核结果,其中某科技的首发未获得通过。在公告中发审委员会针对某科技提成了数据安全问题,将上市审核中的数据合规问题再度推到了台面上,成为了科技企业上市必要面对的问题。 公告中表示: (1)发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规; (2)发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的某科技上传用户隐私等情况,对照《网络安全法》《侵犯公民个人信息刑事案件解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险; (3)数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷; (4)日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施; (5)发行人针对App专项治理工作组通知指出问题的整改情况及整改效果,是否获得主管部门的认可,是否面临被处罚的风险。 内容源自:中国证监会《第十八届发审委2019年第142次会议审核结果公告》。 事件分析 根据某科技招股书中披露的信息,其为每位用户建立了用户档案,通过大量用户行为和喜好信息,精细化添加标签,其维度已经达到上百项,可以通过该数据进行指向性更强的市场推广活动,例如基于位置和天气变化向用户推送相关信息,换而言之,公司为了做好所谓指向性明确的推广,收集了大量用户数据,同时用户并不知情。具体如下: ( 1)数据收集与使用 根据《网络安全法》第41条明确了数据收集必须遵循合法、正当、必要的原则,并经被收集者同意。《个人信息安全规范》第5.4a)条要求收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。应该说,对于收集行为,无论是法律法规,还是相应的国家标准,都已经建立了相对较为明确的实践规则。 根据《网络安全法》第41条对数据使用提出了必须遵循合法、正当、必要的原则,并经被收集者同意的要求,《个人信息安全规范》除要求企业在使用用户个人信息时获得用户同意外,亦要求企业在使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。 在某科技IPO的过程中,就数据使用问题,涉及到企业商业化的合规性质,同时所收集使用的数据是否对普通用户的个人权益造成了侵犯,又严重影响了商业竞争的公平性,潜在出现数据垄断的问题,这些都属于证监会重点监督范围。证监会亦要求其说明否存在利用相关商户或个人信息进行牟利等违法违规行为也属于IPO的合理范围内的要求。 (2)合规启示 在科技企业刚起步时应建立完善的内部数据治理体系,严格按照《网络安全法》相关法律法规、规范性文件并参照《个人信息安全规范》等国家标准的要求进行数据处理活动;另一方面,要密切关注网络安全和数据安全领域的监管趋势,紧跟监管步伐。对于监管工作中发现的企业相关问题,应及时整改,保障合规安全运营。 |
| 随便看 |
|
法律咨询免费平台收录17839362条法律咨询问答词条,基本涵盖了全部常用法律问题的释义及解答,是法律学习及实务的有利工具。