企业上市中数据合规的六大关切

——以墨迹IPO被否为例

10月11日，北京墨迹风云科技股份有限公司 （下称“墨迹”）首发申请上会被否，墨迹旗下的墨迹天气app装载于很多人的第一部智能手机中。

早在2016年，墨迹就已经开始冲刺创业板，3年下来，天气类第一股的梦想被按下了暂停键。同期与墨迹一起申请首发的另外三家企业均获得通过，唯独墨迹被否。

根据发审会的审核意见，墨迹被否的原因主要有四点：一、许可资质存在欠缺；二、数据合规性存疑；三、广告收入的持续性存疑；四、与股东存在较多关联交易。

对于第一点问题，资质问题是企业规范经营的第一步，本次审核主要聚焦在《互联网药品信息服务资格证书》、《信息网络传播视听节目许可证》、《网络出版服务许可证》、游戏版号等资质证书上，这与墨迹的主营业务有关，特别是广告发布中涉及医疗、药品广告的。更多关于互联网企业的资质问题可以移步《互联网公司六大核心资质牌照详解》（公号：数据法实务圈）。

而对于审委会反应的第三、四点问题，则是关注墨迹本身的商业能力。如何在「免费+广告」的商业模式下保持持续盈利的可能性，是每一款工具类app必须要面对并迈过的?坎，甚至是生命线。墨迹作为一款经典的工具app，这个问题更加明显，相似的还有美图、迅雷与WiFi万能钥匙等app。手握数量不菲的用户，如何变现，如何可持续发展是这类企业的命脉。但相比后两者，墨迹业务转型扩充的可能性似乎要低很多，毕竟技术壁垒、议价能力与可替代性摆在那。

当然，以上均不是本文的重点。本文关注的核心是，在以墨迹为代表的泛数据企业上市过程中所面临的数据合规问题，也就是发审委提到的第二点。

接下来，我们逐条发审委的询问意见。

1.执法监督

“发行人通过自主收集及第三方途径获取用户数据及标签，并利用数据进行商业化变现，发行人于2019年7月16日收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》，APP专项治理工作组要求发行人就收集使用个人信息中存在的问题进行整改。”

分析：该意见来源于2019年1月25日网信办等4部委联合发布的《关于开展App违法违规收集使用个人信息专项治理的公告》，该公告要求执法单位对于违反个人信息保护的app要采取限期整改、曝光等措施。

2019年7月19日，APP专项治理工作组依据上述公告发布了《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》，被要求整改的名单中，墨迹天气就赫然在列，其他知名app还有扇贝单词、安居客、云集等。整改的主要原因在于个人信息收集使用方面存在问题，且未公开有效联系方式，这与本次发审委的询问存在直接关联。

该询问表明了对于网信办等部门（包括具体执法单位）颁布的有关个人信息保护的办法、公告等，企业已经不能再当作耳边风了，这已不是所谓的加分项，而是实实在在的扣分项。企业平时就应当积极对待，认真整改，否则要是因此被行政处罚，特别是在IPO准备阶段，那代价可就大了。

2.数据采集

“请发行人代表说明：（1）发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规；”

分析：该询问主要关注个人数据的采集阶段，也就是数据来源是否合法。

首先，对于“采集用户数据时是否有明示提示、明确告知收集的范围与使用用途这个问题”，主要从用户授权的形式是否完备、充分进行考量；其次，发审委还关注到墨迹获取用户数据的具体手段及方式，比如是通过用户主动填写获取，还是爬虫、SDK或埋点？不同的收集手段所对应的合规风险是不一样的，比如爬虫技术，会涉及到用户授权是否充分、是否绕开反爬技术等，所附带的风险相对而言较大。

从该询问中不难看出，发审委不仅关注用户数据收集在形式上是否合规，还关注具体的收集手段，应该说是比较严苛的。不过这也不难理解，毕竟数据源头是最为关键的一环，如果源头臭了，那整个链条就毁了。

该询问的依据是《网安法》第四十一条第一款。

3.数据使用

“（2）发行人使用用户数据是否合法合规，尤其是商业化变现的合规性，结合相关媒体报道的墨迹天气上传用户隐私等情况，对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的的情况，是否存在法律风险或潜在法律风险；”

分析：该询问集中在用户数据的使用阶段，即是否超目的使用，也就是使用目的与收集目的不一致。

首先，特别关注用户数据商业化变现的合规性，应该说发审委的拿捏又准又狠，因为数据使用阶段最容易出现问题的环节往往在于商业变现环节，毕竟利益驱动下，更容易发生违规使用现象。

其次用户数据的商业变现方式通常有精准营销、数据交易与共享、训练数据模型并提供解决方案，比如风控数据等。而这些行为往往会触犯刑法红线，因为金钱驱动下的数据产业链又往往游走在灰色地带，所以对于红线的询问应该说是必不可少的审核环节。该询问的主要依据是《网安法》第四十一条第二款、上述《司法解释》第三、四条。

4.技术措施

“（3）数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷；”

分析：之前的询问都是围绕“网络信息安全”进行，即用户信息安全；而该询问则以“网络运行安全”切入，着重关注网络安全技术的实施应用情况，从技术层面要求企业做到合规尽责。

很多企业认为是否采取技术安全措施，以及采取何种等级的安全措施是企业的自由，其实不然。如果不按照《网安法》的相关要求进行技术整改，比如贯彻网络安全等级保护制度，一旦发生泄露事故，同样会面临触犯刑法红线的风险，不作为不代表不用承担责任。所以发审委同样看中企业为数据合规与网络安全真正付出了多少实际行动，而不是仅仅在隐私政策等文件上“纸上谈兵”。该询问依据的是《网安法》第三章--网络运行安全。

5.监管政策

“（4）日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施；”

分析：关注数据行业或数据合规的都知道，今年以中央网信办为代表的各部门与国标委，在数据监管领域颁布的办法与规章等如同下饺子一般，一个接着一个，令人目不暇接。数据行业是一个新兴行业，新兴行业必然经历无法可依的野蛮生长阶段到有法可依的规范发展阶段，当前，数据行业正是处在这两个阶段过渡的阵痛期。

应对日益加强的监管的能力是数据行业可持续发展的根本保障，否则随时一抓可能就马上完了。该询问具有前瞻性，也摸清了数据行业的发展现状，即日益加强的监管与脆弱的合规之间的矛盾愈来愈激烈，如何应对多变（整体变强）的监管是数据企业的生存必修课。

6.整改监督

“（5）发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可，是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见。”

分析：该询问印证了我们第一条的分析，即应对执法监管，敷衍了事恐怕行不通了，必须认真、及时、有效对待。其他的与第一条分析相同，不再赘述。 

复盘总结

发审委关于数据合规的这条询问，应该说是非常专业到位的。从用户数据合规中的采集阶段再到使用阶段，从网络运行安全的技术措施再到行业监管的最新动态，均体系化地给予了覆盖。当然，其中也有不够完善的地方，比如用户数据的销毁阶段没有询问到，第三方数据合作方没有询问到等，但整体上重点都已经涵盖到。

因此，针对本次询问，我们可以窥探出泛数据企业在上市准备前应当着重上述六大问题，以便确定整改的优先级以及整改方案。此外，还有一些本次询问未涉及到的也应该及早做好准备，比如拥有海外业务的，应当特别关注GDPR合规问题（如浙江每日互动IPO）；重要数据应当注意境内存储问题；涉及云服务的，应当审查到期数据销毁问题（如优刻得IPO）、数据跨境传输的合规等等。

数据合规是企业合规的重要一环，对于泛数据类企业来讲，数据合规就是其开展合规工作的核心。不管是大企业还是小企业，都可能要应对行政执法监管，或面临刑事控告，或准备IPO，而数据合规这根弦已经从“弦外音”转变为“知音”了，有条件的企业可以开展数据合规体检，识别整条数据供应链的风险，及早进行合规整改或许才是长久之计。

最后，墨迹也对本次IPO被否及时地发出了官方声明，表示愿意积极配合整改，并不会就此放弃上市之梦，我们也祝福这款“古老”的app，希望能够重新给我们惊喜。

作者简介

姜斯勇律师，上海法学会会员，上海市大数据社会应用研究会成员。团队专注数据法领域，擅长数据合规、产品合规、不正当竞争与互联网公司治理；服务ABC[ AI & Big Data & Cloud ]、TMT行业。

作者交流微信：scottlawyer