律谈 | 企业数据合规之IPO案例研究

第二轮问询函问题

发行人回复/采取的合规措施

（ 2） 上述数据的所有权归属情况，公司向供应商采集数据以及公司自行采集数据时，是否获得了相关信息主体（及用户）的合法授权，是否明确告知收集信息的范围及使用用途，是否对用户有明示提示，发行人获取用户数据的手段及方式是否合法合规；

1、针对公司自行采集数据的业务场景，公司采集数据，均结合授权告知模本和《HCR 数据与隐私保护政策》，以不同形式对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权。

2、针对供应商以公司名义或代为采集数据的场景，公司均通过要求供应商签署合规经营承诺函、对供应商进行相应业务管理、提供授权告知模本等方式，严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权，确保取得个人信息主体出具的明确授权文件。

（ 3）发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定，是否制定并公开收集使用规则， 是否向所在地网信部门备案，是否存在违反收集使用规则使用个人信息的情况，发行人相关内部控制措施是否合法合规并得到有效执行；

1、公司在通过网站、应用程序等渠道收集使用个人信息时，已分别针对不同的项目情况制定并公开了收集使用规则、目的范围、使用与共享情况、个人信息控制者情况、用户权利与投诉联系渠道等必要内容，并不时更新。

2、公司主要服务企业客户，如收集 14 周岁以下未成年人个人信息的，将确保征得其监护人同意。

3、公司已在内部控制措施中明确了任命数据安全负责人，指导、监督管理部及配合部门切实开展数据安全相关的各项工作，数据安全负责人应由具有相关管理工作经历和数据安全专业知识的人员担任，定期向公司主要负责人报告工作情况，同时对数据安全负责人的职责进行了规定。

4、公司已参照国家有关标准，设计并采用了数据分类、备份、加密等措施。

5、公司严格按照可适用的法律法规要求和收集使用规则中的说明保存个人信息，并在内部控制措施中明确了相关要求。

6、公司已合理公开投诉与联系方式，在收到有关个人信息查询、更正、删除以及用户注销账号请求时及时响应。

7、公司已制定隐私政策并于慧辰资讯官方网站进行公示。

8、公司建立与数据安全相关的内部控制制度，包括《信息安全管理制度（V1.0）》、《信息泄露管理办法（V1.0）》、《数据备份与恢复管理规范（V1. 0）》、《个人数据保护制度（ V2.0）》、《系统运维管理办法（V1.0）》、《机房安全管理办法（V1.0）》

（ 4）发行人使用用户数据是否合法合规，请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的的情况，是否存在法律风险或潜在法律风险；

1、实施了个人信息访问控制措施，包括：1）将个人信息进行去标识化处理，定期审查数据处理的方式，以避免各种未经授权的访问；2）在集团层面统一设置了个人信息处理权限管控制度；只允许为实现处理目的所必要的员工及其他经授权代为处理的人员访问个人信息，并保证其受到严格的合同保密义务；3）实施存储和传输全程安全加密等保障手段；4）在传输和存储个人敏感信息时，会采用加密等安全措施。

2、实施了个人信息的展示限制，公司向客户展示的数据已经经过加密、去标识化处理，不会识别至个人。

实施了个人信息的使用限制，包括：1）承诺处理数据的原则为：特定目的、合法目的、必要时间、对个人影响最小的方式；2）遵循合法、正当、必要、特定、明确的目的共享和披露个人信息；3）具体业务场景下，严格依照法律法规、国家标准，按照项目实际需求。

3、实施了个人信息访问限制，要求先行验证身份才有访问本人的个人信息。

4、实施了个人信息更正、删除、撤回同意等措施。

5、实施了约束信息系统自动决策、响应个人信息主体的请求、申诉管理等措施

（ 5）数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷；

1、针对客户提供的数据实行加密管理，包括：1）传输通道加密，主要数据均使用安全加密的上传通道，不会使用公网渠道（如云服务或者邮件）传输；2）传输文件加密，数据文件有标准格式，按约定密码方式加密；3）保存时加密处理。

2、针对公司向供应商采集的数据及公司自行采集的数据公司按照被采集人授权个人信息的使用目的、方式和范围进行使用和处理数据，包括：1）预处理；2）数据脱敏。

3、公司内部构建了数据安全保障体制，包括：1）获得了 ISO27001 信息安全管理体系认证；2）制定内控制度；3）设置数据安全的责任部门；4）对不同级别的人员设置不同的访问权限；5）与员工签订保密协议、对员工进行培训与考试

（ 6）对于公司向数据供应商购买数据的，请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意，授权是否完备合规，个人信息获取是否合法。公司是否建立完善的供应商评价体系，以及供应商甄选、数据源核验以及合同合规性审核的内控措施；

针对供应商以公司名义或代为采集数据的场景，公司均通过要求供应商签署合规经营承诺函、对供应商进行相应业务管理、提供授权告知模本等方式，严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权，确保取得个人信息主体出具的明确授权文件。

（ 7）发行人的数据是否存在转授权或流转给第三方使用的情况，如存在，是否经过了个人信息主体的明示同意，是否经过了充分的脱敏，相关授权流程是否完备。

1、已获得个人信息主体的明确授权；

2、进行数据脱敏 ；

3、针对公司作为数据控制者（即公司以自身名义）委托供应商（包括公司的其他关联公司）采集或处理个人信息的情况，或涉及从其他第三方供应商处获取个人信息时，公司会与该等供应商签署数据处理协议。

（ 8）日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。必要时请做风险提示和重大事项提示。

公司不曾亦不会获取用户的隐私数据；此外，对于用户非隐私数据的安全性，公司采取了多重保护，包括：1）主要业务系统已经完成中国网络安全等级保护测评与备案；2）采取安全防护措施保护个人信息，防止数据遭到未经授权的访问、公开披露、使用、修改、损坏或丢失；3）进行数据脱敏；4）项目结束后删除数据；5）员工严格遵守项目流程，对个人数据泄露事件进行防范；6）公司在相关业务场景下使用的授权告知文本中， 对于被采集方提供了安全保障和承诺

第三轮问询函问题

发行人回复/采取的合规措施

（1）针对不同的数据来源，核查发行人收集收据、采购数据时，是否均取得了信息主体明确的授权或许可文件；

1、针对发行人自行采集数据的业务场景，发行人采集数据，均结合授权告知模本和《HCR 数据与隐私保护政策》，以不同形式对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权。

2、针对供应商以发行人名义或代为采集数据的场景， 发行人均通过要求供应商签署合规经营承诺函、对供应商进行相应业务管理、提供授权告知模本等方式， 严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途，并进行明确提示并取得其合法授权，确保取得个人信息主体出具的明确授权文件。

3、客户提供的部分数据会涉及个人信息的相关内容，但发行人会：1）要求客户事先进行脱敏处理，如以编号代替（如会员卡号）其他可以直接识别具体个人的标识，其他敏感属性数据做省略或简化处理（如详细住址简化为所在城市），以降低数据的敏感程度。2）发行人对客户数据在传送和后续保存中，均采用加密的机制。3）发行人会进一步要求客户对于项目意图和要求的合法性进行承诺，确保向发行人提供的各类信息、资料、数据、文件等不侵犯任何第三方的知识产权及其它权益。

（ 2）报告期内，公司数据获取、使用、处理等内部控制制度的制定时间及执行情况，开展业务中使用个人信息是否存在不符合《信息安全技术个人信息安全规范》的情况，如存在，请说明发行人内部的整改及规范情况；

1、发行人在数据获取、使用、处理等过程中已建立了相关内部控制制度，包括《信息安全管理制度（V1.0）》、《信息泄露管理办法（V1.0）》、《数据备份与恢复管理规范（V1.0）》、《个人数据保护制度（V2.0）》、《系统运维管理办法（V1.0）》《机房安全管理办法（V1.0）》。

2、发行人已参照《个人信息安全规范》的基本要求对开展业务中个人信息使用方面、通过《HCR 数据与隐私保护政策》对外公开提供了相对完整的规范与承诺，

（ 3）公司业务中是否涉及用户的隐私数据，问询回复中认定“不曾亦不会获取用户的隐私数据”的依据是否充分合理。

发行人业务中收集和使用用户个人信息均会确保获得相关信息主体（及用户）的合法授权，且在对客户披露的成果中涉及的用户数据均不会识别至特定个人，保荐机构、发行人律师认为，结合发行人收集和使用用户个人信息的方式及目的，发行人业务中获取的用户个人信息与司法解释所列举的个人隐私相关信息存在一定的差异。在获得被采集者授权同意的前提下，发行人对所其采集的个人信息的使用不会不合理地侵犯被采集者的个人隐私相关权益。