数字合规,企业IPO必须重视的“绊脚石”

2023-08-18
近年来,拟上市公司尤其是数字企业在IPO过程中,于招股说明书或证券交易所问询函回复中,就数据安全等合规问题进行披露已是必不可少的过程。

编者按:本文来自微信公众号“索骥合规”(ID:gh_2c7979aa193d),索骥合规网授权发布。

随着网络安全及数据合规相关立法进程的加速与完善,“索骥合规”梳理发现,近两年在数字企业IPO过程中,合规是监管层关注的重点。

国内各大证券交易所对于涉及数据的IPO公司审查,从初期的普通问询关注,到近期的全面充分问询,这给此类公司审核上市提出了更高的要求和挑战。

如何有效合规并顺利通过上市审核部门的审查,也成为该类IPO公司亟待解决的新问题。

被数据合规绊住脚的IPO

近年来,拟上市公司尤其是数字企业在IPO过程中,于招股说明书或证券交易所问询函回复中,就数据安全等合规问题进行披露已是必不可少的过程。

此前,Keep冲刺IPO时专门聘请了有关中国数据合规法律的中国法律顾问,在招股书中多处体现了该顾问的意见。

“AI四小龙”之一的旷视科技,也在科创板上市过程中披露了首轮共计560页的问询答复,数据合规及科技伦理方面的问题,也一一进行了回复。

640?wx_fmt=png

旷视科技答复内容截图

近日,拥有“扫描全能王”、“名片全能王”“启信宝”等多款APP的上海合合信息科技股份有限公司,在上交所成功过会,迎来IPO的曙光。

然而在上市这条路上,合合信息可谓是一波三折,历经三轮问询,两次中止。

公司的经营资质及合规经营、数据安全与个人隐私保护等问题受到外界广泛关注,相关问题一定程度上成为公司IPO的绊脚石。

合合信息面临的三次问询中都涉及到了数据合规相关问题,索骥合规通过梳理上交所对合合信息就数据合规方面的审核问询,整理了以下几个监管部门的关注要点,给准备上市的数字企业作为参考。

关注要点一:数据来源

在上交所的首轮问询函中,除了要求合合信息就自动化获取的企业数据如何确保来源合法性进行回应,还要求其就发行人调查供应商及数据来源合法性的具体方式及有效性进行进一步披露。

640?wx_fmt=png

合合信息答复内容截图

合合信息在回复中表示,在数据采集方面,对于用户自主输入的数据采集,公司获取用户勾选并授权同意隐私政策后,方可主动采集用户的数据。

对于自动化访问获取的数据,公司设计了外部数据的采集管理流程,使用监控平台对自动化访问的运行进行监测和告警,并定期检查自动化访问目标网站的 Robots 协议、网站声明和内容安全。同时,与数据供应商补充签署了《数据信息使用确认书》,确认数据来源合法合规性。

对合合信息关于数据来源的问询也体现了保证多渠道数据来源合规的重要性。2019年9月,“爬虫业务调查风暴”席卷大数据风控行业,多家互联网大数据服务公司被曝关停爬虫业务并遭到监管调查。

关注点二:数据安全、个人信息保护

在上交所的首轮问询函以及第三轮问询函中均涉及数据安全、个人信息保护相关问题。

合合信息在回复函中表示,在业务开展过程中获取的数据依据适用的法律法规及监管规定进行管理和运用。发行人制定了《安全与合规管理制度》《用户个人信息安全管理规定》《隐私政策管理规范》《数据采购管理规范》等贯穿业务全流程的信息安全管理制度,覆盖数据全生命周期的各项合规要求。

2021年11月3日,工信部信息通信管理局通报38款APP超范围索取权限、过度收集用户个人信息等问题,启信宝APP在华为应用市场的8.1.1.0版本被指超范围收集个人信息。

目前合合信息已完成启信宝APP相关版本的整改工作,并于2021年12月10日在工信部工作部署而建立的官方检测平台全国APP技术检测平台上通过复测、完成整改,符合工信部信息通信管理局的整改要求。

个人信息保护、数据安全是当前全球的监管热点领域,也是易产生天价罚单的领域。前车之鉴滴滴,为此付出惨痛的代价。2022年7月21日,网信办依据《网络安全法》《数据安全法》《个人信息保护法》等法律法规,对滴滴处以人民币80.26亿元罚款。

关注点三:海外运营数据

海外运营数据合规是涉及跨国业务公司共同面临的难题。根据招股说明书,美国政府对扫描全能王,印度政府对扫描全能王及名片全能王均曾采取封禁措施。

在首轮问询回复函中,合合信息对海外运营数据合规措施进行了披露,其委托第三方律所基于GDPR的要求,参考国际信息系统审计协会(ISACA)于2019年发布的《GDPR审计矩阵》,针对海外产品扫描全能王(海外版)、名片全能王(海外版)隐私合规进行高阶评估,并出具尽职调查报告。

由于不同国家和地区在制度上可能存在差异,出海应用厂商在经营过程中可能存在的双重合规的潜在冲突,此外,相关政策文件的变动也可能产生不确定性影响。极兔也在招股书中指出,“发布的安全评估办法在释义及应用方面存在不确定性,假设监管机构将我们的若干活动视为跨境数据传输,我们将遵守相关规定”。

随着各方对数据合规重视程度愈来愈高,国家对相关法律制度体系的建设愈加完善,数据合规成为不少公司IPO路上的“重量级”绊脚石。

如何明确数据合规边界,完善企业合规建设工作?请点击“阅读原文”,关注企业合规师专业人才培养工作,快速提升合规管理实务操作能力。

(本文仅代表作者观点,不代表索骥合规立场)

+1
0

好文章,需要你的鼓励

下一篇

只有解决了合规这一痛点,虚拟主播行业才可能乘风破浪,否则或许又是一个虚拟经济的泡沫。

2023-08-16