企业上市申报过程中的数据合规问题
活动背景:
随着数据逐渐成为国家战略和企业实践层面推动经济发展的新动能,所涉及到的行业及企业也不断增多。同时数据立法不断向密集化、精细化方向发展,国内相关的监管也呈现出了多头、密集的趋势。
随着政策在资本市场的落实,数据合规便成为了许多企业上市申报的常见问题反馈。数据来源是否合规?如何处理收集的个人信息?是否对用户进行明示告知?等等都是问询中较为常见的问题。除此之外还有相应业务、人员、数据安全等企业内部数据合规问题。因此对于企业而言,进行数据合规风险的分析有利于拟上市公司判断各类数据合规问题的重要性、急迫性,构建自身数据合规体系,应对数据合规风险。
鉴于上述背景,本次活动LCOUNCIL特别邀请到环球律师事务所合伙人孟洁律师、张真真律师针对企业上市申报过程中的数据合规问题,结合自身丰富实践经验,为企业法务同行进行解读,并提供如何构建企业数据合规体系的建议。
分享嘉宾:
孟洁
环球律师事务所合伙人
孟洁律师为环球律师事务所的合伙人,主要执业领域为网络安全、个人信息与隐私保护、互联网、电商合规、反腐败反商业贿赂合规。
孟律师曾在诺基亚等世界五百强跨国公司和知名律师事务所工作超过十余年,也曾在法国知名效果类广告公司担任中国区首席法律顾问,以及知名人工智能独角兽公司担任总法律顾问和数据保护官。孟律师曾服务电子商务、车企、IoT、人工智能、金融、医疗等众多领域的跨国公司及大型企业,协助客户进行境内/境外数据合规体系建设,总结出不少可落地实操的方法论。
孟洁律师曾为或正在为客户提供专业化的数据合规法律服务,协助客户加强数据合规能力建设。孟律师还曾经翻译过美国、欧盟、印度、巴西、俄罗斯等国的数据保护法案,还写过大量数据与隐私保护的专著与文章。多次接受过中央电视台、中国工商报、澎湃时报、南方都市报、财新网等媒体的采访。
张真真
环球律师事务所合伙人
张真真为环球律师事务所合伙人,其主要执业领域为资本市场、收购与兼并、私募股权投资、基金设立以及资产重组。
在公司上市、重组领域,曾参与的项目包括:中科创达境内A股创业板上市、科锐国际红筹回归A股上市等。张律师正在负责两家科技企业的科创板上市辅导、一家软件企业的创业板上市辅导、一家人力资源企业的港股上市辅导及两家SAAS服务企业的美股上市辅导工作。
在公司并购领域,曾参与的项目包括:代表民生教育收购南昌职业技术学院等。
在基金设立领域,曾参与的重要项目包括:国新控股设立央企投资基金项目等
在私募股权投资领域,曾参与的重要项目包括:代表中金科元投资国博电子等。
活动大纲:
一、企业申报上市,为什么需要关注数据合规
(一)立法趋势
(1) 数据是国家战略和企业实践层面推动经济发展的新动能
(2) 数据合规是发行的必要条件
(3) 数据立法呈现密集化、精细化的趋势
(二)监管趋势
(1) 多头、密集
(2) 涉及APP专项治理工作组、工信部、公安部、市场监管总局、国家计算机病毒应急处理中心、证监会、消保委、检察院
二、须重点关注数据合规的企业
(一)App及小程序运营者/SDK提供方
(1) App和SDK存在的六大问题:远程控制、恶意扣费等恶意行为、涉嫌侵犯公民个人隐私、涉嫌超范围采集公民个人隐私、存在高危漏洞、容易被黑客利用对用户造成巨大危害;
(二)小程序运营者
(1) 立法动态
《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》首次将小程序明确以成文形式纳入监管文件内,合规要求比照App。
(2) 监管动态
天津市委网信办第一期疫情防控 App 专项治理通报;7 款违法违规收集使用个人信息的应用程序中 4 款为小程序;工信部因微信小程序合规问题约谈同程艺龙公司;微信小程序存在未公示用户个人信息收集使用规则、默认开通 12306 畅行会员协议等问题。
(三)AI企业/loT企业
(1) 某公司公司SenseNets大规模数据泄露事件
(2) 某公司侵犯公民个人信息案
(四)大数据公司
(1) 某公司侵权事件
(2) 某公司接受发审委调查
(3) 某公司被问询近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响
(4) 某公司被问询历史上是否曾发生过提供不实数据的情形,是否影响发行人产品质量问题或客户纠纷的情形
(5) 某公司被问询请发行人与其他征信行业企业在数据来源、数据加工及处理、提供具体服务内容及方式等方面是否存在重大差异;
(五)IDC/云服务企业
(1) 某公司被证监会明确要求公司说明:数据安全相关制度及措施、数据安全事故历史
(六)互联网金融企业
(1) 支付宝年度账单默认勾选事件
(七)其他科技型公司
(1) 某公司因涉及非法窃取用户个人信息30亿条于新三板终止挂牌
(2) 某公司被证监会发审会就数据安全方面提问
(3) 某公司被问询通过科研合作产生数据集或基于真实医疗业务数据开展技术的,在数据使用中是否需取得相关方的许可或授权、相关授权是否完整,是否存在侵犯患者隐私的情形
(4) 某公司被问询说明数据的获取、使用及保管的内部管理制度及执行情况,有效保障数据安全的具体措施
三、企业应重点关注的数据合规问题
(一)个人信息部分
(1) 个人信息的全生命周期:某公司首发上市未通过事件
(2) 个人信息主体的权利保障:法律法规单独名列个人信息权利,以警示企业合规、落实权利保障
(3) 个人信息安全能力建设:网络等级保护制度、内部权限、数据存储安全
(4) 数据安全事件处理:事前、事中、事后
(5) 内外部政策与协议:隐私政策、用户服务协议、内部制度、与第三方的合作协议等
(二)非个人信息部分
(1) 业务连续性管理
(2) 组织及人员管理
(3) 数据安全管理
(4) 密码及通信安全管理
(5) 风险评估和审计管理
(6) 安全事件与应急管理
(7) 投诉与举报应急管理
四、企业如何构建数据合规体系(1) 设计和审查外部政策与协议
(2) 建设内部数据安全及规划管理制度
(3) 建立数据出境合规体系
(4) 完善网络安全与关键信息基础设施保护
活动议程:
15:00 活动开始
15:00-16:30分享环节
16:30-17:00问答环节
17:00 活动结束