本文在上一版的基礎上,結合上文發布至今兩年來中國公司境外上市的相關資料,對相關數據合規風險進行了更新。根據近年參與境外上市的經驗,我們發現無論是上市公司,還是監管機構與交易所,均加強了對數據合規的關注程度,足見數據合規在境外上市中不斷提升的重要性。歡迎大家指正,并一起深入討論。
普遍性合規風險
數據安全方面
·任何安全漏洞和數據解密,包括網絡攻擊、未經授權的訪問和使用、計算機病毒、硬件或系統軟件被入侵或類似的破壞或中斷,都可能導致公司的保密技術遭受損害或破壞、用戶數據和保密信息泄露、降低用戶體驗、侵犯用戶隱私等后果,從而導致公司聲譽受損、合同提前終止、訴訟、監管調查或公司面臨其他責任的后果。
公司自身、應用程序開發商以及客戶所使用的數據安全措施可能因第三方操作失誤、員工工作失誤、瀆職或其他原因而遭到破壞,公司技術基礎設施中的設計缺陷可能被暴露和利用,從而可能導致他人未經授權訪問開發人員、客戶以及終端用戶的機密信息。
未經授權訪問和攻擊系統的技術正在不斷變化和發展,并且其在發起攻擊前通常難以被識別,公司可能無法預測這些技術,難以實施適當的預防措施,因而存在安全漏洞。
公司無法保證公司的員工將來不會違反保密協議或以其他方式泄露公司所掌握的數據及其他信息。
如果公司未能保護客戶數據和隱私,客戶可能會察覺到公司的第三方渠道泄漏或濫用客戶數據。
如果公司未能遵守隱私政策和數據安全措施,不當使用或披露數據,則可能導致未經授權發布或傳輸個人身份信息或導致其他用戶信息泄露,從而可能導致訴訟、監管調查、聲譽受損等不利后果。
第三方保險安排未必足以涵蓋因個人信息泄露產生的虧損。
數據立法和監管對業務的影響
中國的個人信息保護相關法律法規和標準的解釋和適用仍然處于不確定狀態,并在不斷調整中。相關政府部門可能會以對公司不利的方式解釋或實施法律法規。公司無法保證根據中國的《網絡安全法》及其配套法規,公司已經采取或將要采取的措施是完全充分的,中國不斷發展的隱私保護監管框架可能會要求公司改變目前的業務實踐。
《中華人民共和國網絡安全法》要求關鍵信息基礎設施的經營者,包括公共通信和信息服務業和金融業等重要行業和領域,應當將在中國境內經營活動中收集和產生的個人信息和重要數據存儲在中國境內。因商業需求需要向境外傳輸信息和數據的,應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估。但是,對于如何進行此類安全評估,目前還沒有公布詳細的措施。這可能對擁有多個數據中心、可能需要在不同地點之間傳輸某些個人數據的公司造成影響。
除了有關個人隱私和數據安全的法律、法規和其他適用規則外,行業團體或其他私人方也可能提出新的和更嚴格的隱私實踐標準。例如,《個人信息安全規范》要求數據控制者必須提供收集和使用個人信息的目的,要求數據控制者對其核心功能與附加功能進行區分,以確保數據控制者只會根據實際需要來收集個人信息。公司無法確保能夠滿足這些可能不斷出現的新標準。
在全球市場戰略下,公司業務會涉及到不同的司法管轄區,因而公司需受其個人信息保護法律和法規的約束,但公司可能無法及時調整內部政策以同時符合各管轄區的不同要求。例如,如果有歐盟境內的居民安裝了裝有公司SDK的APP,或公司的其他用戶到歐盟境內旅行,則公司可能需要遵守GDPR的相關要求。
世界各地的監管機構近期正在制定或醞釀一系列有關數據保護的立法和監管提案,這些立法和監管提案如獲通過,其解釋和適用除了可能導致公司被罰款外,還可能會要求公司改變目前的數據業務實踐,這可能對公司的業務產生不利影響。
中國監管機構越來越關注數據安全和數據保護領域的監管,公司預計這些領域將受到監管機構的更多關注,并吸引持續的或更多的公眾監督和關注,這可能會增加公司的合規成本,并使公司面臨數據安全和保護相關的更高風險和挑戰。
中國不同監管機構(包括工信部、國家互聯網信息辦公室、公安部及國家市場監管局)執行的數據私隱和保護法律及法規有不同的標準和實施辦法。執行數據私隱和保護法律存在不同標準或使企業難以確保全面遵守,且須耗費時間、動用資源處理各項合規檢查,增加營運成本。
即使公司使用的是匿名化的設備層面的移動信息,該信息也仍然有可能被認定為中國《網絡安全法》下的個人信息,從而需要符合相關規定和要求。中國法律法規中對于個人信息的收集、存儲、使用、處理、披露和轉移都有相關的規范要求,根據這些法律法規,互聯網信息服務提供商在收集用戶的個人信息前必須獲得用戶同意,并且不能收集與其提供的服務無關的個人信息,同時互聯網信息服務提供商也必須就信息收集和使用的目的、方式和范圍告知用戶。
輿論風險
一些對公司收集、存儲、處理和使用數據的做法的擔憂(即使沒有實際根據),也可能損害公司的聲譽和業務經營。
對于公司平臺的安全或隱私保護機制和政策的任何負面宣傳,以及對公司提出的任何索賠或監管機關對公司的處罰,都會有損公司的公眾形象、聲譽以及業務發展。
如違反公司的網絡安全措施,或公司的平臺受到攻擊而導致用戶的個人信息遭受未經授權的入侵,公司的服務可能被視為不安全及不可靠。因此,用戶可能會減少或停止使用公司的服務,可能有損公司的業務及經營業績。
除監管規定外,消費者對數據隱私的態度也在不斷演變,而消費者對公司收集其資料的憂慮可能對公司獲取數據并改進其技術、產品和服務的能力造成不利影響。
第三方對公司的影響
公司無法保證其應用開發商和業務合作伙伴所采取的數據保護措施的有效性,其存在的網絡安全漏洞可能導致公司客戶信息泄露。
公司無法控制應用開發商及業務合作伙伴等第三方的具體活動,如果其行為違反了中國《網絡安全法》或與保護個人信息相關的其他法律法規,或未能完全遵守與公司達成的服務協議,公司可能也會面臨被處罰的風險。
第三方網上支付平臺的運營安全及其收取費用的行為可能會對公司的業務產生重大不利影響。公司無法控制第三方網上支付供應商的安全措施,而公司所用網上支付系統出現安全漏洞或會令公司面臨訴訟,并可能就未能保障客戶保密信息產生負債。
受網絡攻擊愈發復雜、技術改進、黑客的專業水平提升、密碼學或其他領域的新發現、軟件缺陷或其他技術故障、雇員、承包商或供貨商出錯或瀆職等威脅,公司未必能實施充分的預防措施或防止公司的預防措施受到損害或破壞,因此可能因防范或補救網絡攻擊而產生巨額成本。
外部人士可能試圖誘騙雇員、用戶或其他客戶披露敏感信息,以取得公司的數據或公司用戶或其他客戶的數據或賬戶的權限,亦可能通過其他方式取得該等數據或賬戶的權限。
相關行業的特殊性合規風險
數據服務類公司
公司通過為移動應用程序開發者提供服務,可以訪問用于開發特定行業數據解決方案的大量移動數據。基于公司集中式的專有數據處理平臺以及人工智能和機器學習,公司能夠從數據中發掘出有效可行的見解,并開發各種數據解決方案。但某些應用開發者可能禁止或限制公司訪問或使用公司業務所需的數據。
終端用戶所使用的某些計算機軟件或程序可能會限制公司訪問用戶數據,或者終端用戶可能會對公司使用其數據提出異議。如果公司未來無法繼續獲取大量移動數據,公司將失去競爭優勢,公司可能無法有效地提供和改進現有數據解決方案以響應客戶的需求。
用戶對數據隱私的態度在不斷變化,用戶會擔心其個人信息被公司客戶或其他人訪問、使用或共享,這可能會對公司獲取數據的能力產生不利影響。
如果有其他的數據解決方案提供商發生嚴重的安全漏洞事件,公司的客戶和潛在客戶可能會對公司的開發服務或數據解決方案的安全性失去信任。
公司收集匿名的、設備層面的無法識別個人身份的數據,如應用程序要求用戶做出相應授權,發行人是否能接收個人身份信息,或者收集的數據是否可以通過其他方式用于識別個人身份。
數據服務供貨商委托第三方處理個人數據的,應要求第三方按照與個人數據處理者的數據處理協議處理個人數據、退回個人數據處理者的個人數據或刪除相關數據;且未經個人數據處理者同意,不得進一步外包予第三方。
互聯網金融公司
公司通過線上提供金融服務時會收集借款人的某些個人信息,并且還需要將該種個人信息與公司的業務合作伙伴(如信貸機構等)共享,以便為借款人提供信貸,公司已就該種收集和使用個人信息的行為取得了借款人的同意,并且建立了信息安全系統以保護用戶信息。但是,相關法律對于維護網絡安全和保護個人信息的要求仍存在不確定性,公司無法保證公司目前的信息安全政策和實踐完全符合現在或將來適用的任何法律法規。
公司會從外部數據源收集一些數據進行信用評估,該種外部數據源可能違反了中國《網絡安全法》,公司可能因此無法使用相關數據開展業務。
如果借款人或其他第三方提供的或公司收集的數據不準確、不完整或有欺詐性,則公司的信用評估的準確性可能會受到影響,可能減弱客戶對公司的信任。
公司從用戶處收集、存儲和處理某些個人和其他敏感數據,這可能使公司成為網絡攻擊的目標。未經授權披露個人敏感信息或機密的客戶數據,無論是因為系統故障、員工疏忽、欺詐還是盜用,都可能導致客戶和投資者的機密信息被盜并用于犯罪目的,會損害公司的聲譽并導致公司失去客戶。
公司收到了客戶關于其個人信息泄露的一些投訴,雖然公司已對此類泄漏進行了調查,但公司無法保證不會發生其他類似的事件和投訴。
根據中國《網絡安全法》,關鍵信息基礎設施的運營商,包括公共通信和信息服務以及金融業和其他重要行業和領域,應將在中國境內運營期間收集和生成的個人信息和重要數據儲存在境內,如需向境外傳輸,則應按相關規定進行安全性評估。公司所使用的數據中心位于海外,可能需要在不同地點之間傳輸某些個人數據,并且由于此類數據被用于金融服務,公司可能會受到中國《網絡安全法》規定的安全性評估要求的約束。公司無法保證,公司目前采用的評估個人數據安全的措施可以滿足相關政府部門現在或未來的要求。
電子商務公司
公司的業務會生成并處理大量數據,因而面臨處理和保護大量數據所固有的風險。電子商務行業面臨的一個重大挑戰是機密信息的安全存儲及其在公共網絡上的安全傳輸。
中國政府機構可能要求公司共享公司所收集的個人信息和數據,以符合中國有關網絡安全的法律。
在海外存在業務的公司須遵守多個司法管轄區關于隱私及數據保護的法律法規,如中國及歐盟。
在公司平臺上進行產品銷售均須通過第三方在線支付服務進行結算。第三方在線支付服務提供商在信息安全措施等方面的漏洞會損害公司客戶的利益,從而對公司的聲譽、公眾形象、業務前景等方面產生不利影響。
公司的客戶使用的付款處理服務或其他第三方服務可能會未經授權入侵公司用戶的數據。
公司與簽約的第三方物流服務提供商共享有關平臺用戶的某些個人信息,例如平臺用戶的姓名、地址、電話號碼和交易記錄,第三方物流服務提供商可能違反其保密義務并非法披露或使用有關平臺用戶的信息。
視頻類公司
公司的業務優勢在于能夠制作極受大眾歡迎、引領潮流的原創內容,但公司面臨著黑客非法訪問和非法分發尚未發布的原始內容的風險。
公司的產品和服務涉及用戶和廣告客戶信息的存儲和傳輸,特別是計費數據以及原始內容,網絡安全漏洞可能使公司丟失此類數據。
可能存在第三方入侵公司的用戶帳戶并將用戶流量導向到其他互聯網平臺的情況,使公司丟失客戶。
公司需依靠第三方(如第三方在線支付處理商)的計費和支付系統來確定付費用戶的消費記錄并收取此類付款。公司無法控制第三方支付服務提供商的網絡安全措施,如果公司使用的在線支付系統存在安全漏洞,可能會使公司面臨訴訟以及承擔未能保護客戶機密信息的責任。
作為移動端直播平臺,公司的業務涉及大量用戶數據及其他相關信息。任何用戶數據泄露或丟失,或用戶制作任何不當內容,均可能對公司聲譽造成不利影響,若屬嚴重情況,公司或須承擔潛在的法律責任。
公司發現未成年人通過網絡發布私密信息的,應當及時提示,并采取必要的保護措施。
教育類公司
未獲授權披露或使用學生、老師及其他個人敏感數據(不論通過破壞網絡安全或以其他方式)可能令公司面臨訴訟或對公司的聲譽造成不利影響。
醫療類公司
與患者醫療保密相關的法律法規在未來可能對信息披露和使用的要求更加嚴格,包括限制轉移醫療保健數據。于2017年生效的《網絡安全法》指定醫療保健為優先保護領域,因為其是關鍵信息基礎設施的一部分,且中國國家互聯網信息辦公室正在試圖最終確定跨境轉移個人信息法規草案。該草案頒布后,可能會規定須在人類健康相關數據轉移出中國前進行安全審查。
《人類遺傳資源管理暫行辦法》等法律法規,限制了企業對人類遺傳資源的收集、使用與傳輸。相關法律法規的闡釋及應用可能導致人類遺傳資源樣本及相關數據被沒收以及行政罰款。此外,有關法律法規的任何變動均可能影響公司使用醫療數據的能力,且使公司對之前已獲批用途的數據使用負責。
針對用戶,公司或提供精準營銷解決方案、醫學知識解決方案及患者管理解決方案,并收集并存儲用戶數據,包括臨床數據、敏感的個人資料,因此公司在處理和保護該等數據方面存在風險,包括:
保護公司系統本身和存放的數據,包括抵抗外界對公司系統的攻擊或我們雇員的不當操作;
解決有關隱私、安全保障和其他方面的疑慮;及
遵守有關個人資料收集、存儲、使用、轉移、披露及安全保障的法律、規則及法規,包括監管當局和政府部門有關數據方面的查詢。針對臨床試驗受試者,公司或接受、收集、產生、儲存、處理、傳輸及保留臨床試驗入組受試者的醫療數據、治療記錄及其他個人資料以及其他個人或敏感信息。其中,患者及臨床試驗受試者的個人信息極具敏感性,須依法進行嚴格保護。
在公司經營所在及開展臨床試驗的不同司法管轄區,須遵從有關適用于收集、使用、保留、保護、披露、轉移及其他處理個人數據的地方、國家及國際數據保護及隱私法律、指令法規及規范以及合約責任。(完)
