正文：

　　隨著在網絡安全和數據保護方面的風險事件和立法日趨增加，當科技企業在上市時，網絡安全、數據保護也越來受到證券監管機構和投資者的重視。我們在投融資業務中，尤其是代表企業參與C輪之后的融資業務，就多次遇到投資者對數據合規進行詳細、嚴格的專項盡調。

　　為了對風險進行類型化，我們搜尋了數十份境內外上市公司招股書、法律意見書、問詢函，總結了其中監管機構要求發行人具體說明的問題或企業根據相關要求披露的風險，并加以整理。我們認為有些問題從法律上來說表述并不準確，但盡量保持了原樣。

　　由于境內外對信息披露的要求差別較大，分為上下兩篇，本篇為境內篇，信息均來自于A股上市公司，下篇則來自于美股和港股上市公司。

　　數據源的合規性

　　獲取用戶數據信息的來源、獲取途徑、授權方式及協議，授權是否明確且合法有效。

　　收集用戶信息獲得用戶同意的具體制度及相關安排，收集用戶信息時是否明確告知收集信息的范圍及使用用途。

　　通過向第三方數據供應商購買用戶數據情況下，第三方數據商是否具有相關數據的所有權，其授權標的公司使用相關數據是否需要經過終端用戶或者其他第三方同意，授權是否合法、合規。

　　通過APP與用戶以《用戶協議》、《隱私政策》等協議約定獲得用戶授權的過程在法律上是否完備，是否對客戶的用戶有明示，相關協議約定內容存在明顯不利于個人用戶的格式條款，是否符合相關法律法規的規定要求。

　　通過 APP 與用戶以《用戶協議》、《隱私政策》等協議約定獲得用戶授權過程中，收集個人用戶信息、向個人用戶推送廣告等有無明確告知用戶收集、使用信息的目的、方式和范圍。

　　數據權屬問題

　　發行人獲得終端用戶數據信息的權屬，其使用是否存在權屬風險。

　　標的公司采購所涉相關數據信息的產權歸屬及其法律依據。

　　數據的使用

　　發行人使用用戶數據是否合法合規。

　　公司取得數據后用來做商業化變現的合規性。

　　是否根據與用戶的約定收集、使用信息，對授權數據的使用（用于互聯網營銷或其他業務）是否超過授權范圍。

　　對數據的使用是否超過必要的限度。

　　業務開展中是否涉及對個人信息的使用，是否留存客戶用戶數據、個人信息。

　　標的公司是否存在對相關信息數據進行存儲、記錄或者使用等情形，如是，相關行為是否符合法律法規、行業規范的要求；如否，標的公司是否能夠被認定為大數據行業公司。

　　標的公司是否對數據的規范使用采取了相應風險控制措施，相關措施是否規范、有效。

　　是否存在非法出售個人信息的行為。

　　數據共享

　　與 APP 開發者《XX使用協議》約定的“延展至XX使其可以獲取實現相關推送功能所必要的合理信息”中“相關推送功能”是否包括利用該APP共享鏈路而向其他APP最終用戶發送通知，APP 最終用戶是否知悉通過鏈路共享而向其發送其他 APP 通知，是否取得 APP 最終用戶同意或授權。

　　抽樣頭部 APP 產品的《用戶協議》、《隱私政策》中部分表述基于提升本 APP 服務之目的而收集用戶數據并向第三方共享該數據，發行人鏈路共享是否屬于“提升本APP 服務之目的”。

　　數據安全保護制度

　　標的公司是否對數據的規范使用采取了相應風險控制措施，相關措施是否規范、有效。請律師、獨立財務顧問核查并發表明確意見。

　　數據獲取、使用、加工處理、存儲及傳輸等過程配套的內部控制制度及執行情況、效果，避免或防止泄露用戶隱私的具體制度及相關安排，是否存在泄密風險。

　　用戶信息保護技術體系，尤其是防止外部惡意軟件、病毒、黑客攻擊和內部人員惡意導致的數據泄露的技術措施。

　　通過公安部門信息系統安全等級保護測評的情況。

　　對數據安全和個人隱私的保護措施與手段及其有效性，是否出現過個人信息、隱私泄露事件，是否存在侵權風險，是否存在糾紛或潛在糾紛，最近三年發生的嚴重泄密事件、重大訴訟、處理結果及有關的整改措施。

　　對提供產品、服務過程中掌握的個人信息、國家安全信息、國家秘密、保密信息所采取的防泄密措施和保障網絡安全的內部管理制度及執行效果，有無泄露國家秘密、保密信息、個人信息的風險，是否發生過相關信息泄露事件，是否因此受到過行政處罰。

　　業務及具體數據服務

　　說明發行人在開展業務、日常運營過程中是否獲取或有可能獲取國家秘密、保密信息、個人信息。

　　結合《網絡安全法》、《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等法規、司法解釋，說明各類業務是否存在侵犯客戶以及客戶用戶、APP具體使用者和其他第三方的商業秘密、個人信息安全、個人隱私的情形，是否存在法律風險或潛在法律風險。

　　與客戶所簽署業務合同中是否存在可能侵犯第三方商業秘密或個人信息安全的條款。

　　與客戶所簽署業務合同的業務內容條款和保密條款是否存在協助或變相協助客戶、第三方開展可能侵犯第三方商業秘密或個人信息安全的行為。

　　DMP（Data ManagementPlatform）服務：

　　DMP服務的一般客戶來源，服務內容，該業務開展具體內部流程及控制措施；

　　報告期各期主要DMP服務項目的具體情況，銷售政策、定價方式、結算方式。

　　技術問題

　　相關大數據技術以及大規模數據存貯技術等的來源、形成過程及合法合規性。

　　列表說明發行人現有各項核心技術的發明人或主要研發人員及其曾任職單位，核心技術的具體來源和形成過程，是否涉及公司董事、監事、高級管理人員或其他核心人員在曾任職單位的職務成果，是否存在權屬糾紛或潛在糾紛風險。請發行人結合其核心人員曾任職于同行業其他公司的有關情況，補充說明其主要產品的研發周期、渠道推廣和用戶積累的過程，是否存在向第三方購買底層數據并在外購數據的基礎上持續開發等情況。

　　數據立法和監管對業務的影響

　　歐盟《通用數據保護法案》（General Data Protection Regulation,GDPR）的頒布實施對于發行人經營業務有什么影響，發行人有什么整改或應對措施，是否存在被處罰的風險，GDPR 對于發行人未來的業務經營是否存在影響。

　　數據監管及個人隱私保護政策變動情況（主管部門對數據隱私保護的標準是否會持續升級）對未來發行人業務的影響及發行人的應對措施。

　　請補充說明標的公司對用戶信息的收集、傳輸、保存及應用的現狀是否符合《信息安全技術 個人信息安全規范》的要求。若否，請充分提示相關風險并說明后續整改措施。

　　請發行人結合和XX的糾紛，補充說明其人才庫所涉個人信息的收集、存儲、使用，是否符合《全國人民代表大會常務委員會關于加強網絡信息保護的決定》、《中華人民共和國網絡安全法》的規定。