科创板上市审核对企业数据合规的启示(三)——数据使用篇
一
上市审核对数据使用的问询要点
狭义的数据使用是指通过自动或非自动方式对数据进行操作,例如记录、组织、排列、存储、变更、检索、咨询、披露、传播等,通过数据的聚合使用,数据价值得以充分挖掘。在大数据时代,不同业态存在多元化的数据使用场景,但不论在哪种场景下,数据的有效处理和合理使用都以数据安全保护为原则,其合规性也受到发审委的格外关注。
通过案例检索,发审委对企业数据使用环节的问询要点如下:
序号 |
问题描述 |
1 |
数据使用范围是否超出用户授权范围 |
2 |
使用用户数据商业化变现是否合规 |
3 |
数据分析功能实现过程中如何保障数据安全 |
二
数据使用合规的代表性案例
就上述问询要点,我们选取了三个申报上市相关代表性案例分析如下。
据深圳宜搜天下科技股份有限公司(以下简称“宜搜科技”)的招股说明书披露,宜搜科技的主营业务是将智能推荐引擎应用于移动互联网数字内容场景,为终端用户提供阅读、音乐等移动数字内容推荐服务,为广告客户提供精准营销服务。由于宜搜科技在业务运行中需要大量挖掘、计算和使用用户数据,发审委要求宜搜科技说明其是否超出用户授权范围使用数据。
对此,保荐机构和发行人律师对照核查了宜搜科技《隐私保护政策》,以及数据库中保存用户信息系统的截图文件,认为宜搜科技严格按照《隐私保护政策》的规定使用用户数据,符合合法、正当和必要原则。
据北京墨迹风云科技股份有限公司(以下简称“墨迹天气”)招股说明书披露,墨迹天气通过用户基本信息(用户画像),用户使用墨迹天气APP期间发生的行为(包括用户定位、请求频率、浏览内容等),以及用户所在地区的天气数据实施组合研究,从而使墨迹天气能够结合用户使用APP的场景与时间为用户推送可能需要的生活服务,如餐饮、出行、住宿等。
2019年7月16日,墨迹天气收到APP专项治理组发出的《关于APP收集使用个人信息相关问题的通知》,被要求就收集使用个人信息中存在的问题进行整改。对此,发审委十分关注墨迹天气使用用户数据是否合法合规,尤其是商业化变现的合规性,要求墨迹天气对照《网络安全法》《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况。
据北京慧辰资道资讯股份有限公司(以下简称“慧辰资讯”)招股说明书披露,慧辰资讯是一家数据分析服务提供商,数据使用的核心场景是为企业和政府机构提供数据分析与应用服务。
就慧辰资讯的数据使用合规问题,发审委要求慧辰资讯说明其数据分析功能的实现路径,以及保障数据安全的具体措施。
对此,保荐机构和发行人律师回复:慧辰资讯提供的数据分析服务主要通过“数据获取-数据融合-数据分析-数据应用”的步骤实现。为了保证安全性,针对客户传输的数据,实行传输通道和传输文件加密。对于在客户本地服务器端完成的数据分析或建模研发工作,慧辰资讯仅要求客户提供少量脱敏数据进行建模探索开发与测试。
针对慧辰资讯向供应商采集的数据及其自行采集的数据,慧辰资讯按照被采集人授权个人信息的使用目的、方式和范围进行数据使用,同时通过数据脱敏,将无需分析的用户信息字段进行不可逆加密处理。
此外,慧辰资讯实施访问控制,按照不同的数据类型、敏感程度划分处理数据的人员权限。例如,项目经理可以浏览所参与项目中的全部业务数据,但修改增删权限需要根据客户要求确定;项目业务人员可以浏览参加项目中与自身工作相关的业务数据,修改增删权限需要由项目经理确定。
三
企业数据使用的合规指引
参考上述案例经验,结合《个人信息保护法(草案)》以及“信息安全技术”系列国家标准和安全指南的意见,我们对企业在数据使用环节的合规性,建议如下:
在完成数据的合规收集后,数据的使用范围需要控制在合规界限内。
对于通过数据主体授权而获取的数据,正如发审委对宜搜科技的问询内容所示,企业对所收集数据的使用应当符合数据收集时的约定范围,这一范围应当和约定的收集目的具有直接或合理关联。如果企业需要超出约定范围使用数据,则需要再次征得数据主体的明示同意。
对于通过公开渠道获得的个人信息,企业使用该个人信息需要符合个人信息被公开时的用途范围,超范围的使用需要向个人告知并取得其同意。
用户数据的商业化使用是较为敏感的数据使用模式,发审委在科创板上市审核过程中也对此重点关注。我们认为,与其他数据使用模式一致,企业在数据商业化变现的过程中,首先应以取得用户的有效授权为前提。需要注意的是,无授权的商业化变现行为可能导致更为严重的法律风险。除了违约和侵权民事责任外,非法的数据交易或其他变现方式甚至可能导致行政违法或刑事犯罪。
在具体的商业化变现场景下,数据使用则应关注不同场景或不同行业下的合规要求。
对于用户画像使用,企业应区分不同场景下的数据颗粒度需求,尽量消除明确身份指向性,避免精确定位到特定个人。例如,当用于推送商业广告目的时,企业应采用间接用户画像;当用于准确评估个人信用时,可以使用直接用户画像。
对于个性化展示使用,如新闻信息或商业广告,企业需要通过标明“定推”等字样,或通过不同的版块、页面设置,区分个性化展示的内容和非个性化展示内容。同时,应建立用户对个性化展示所依赖的个人信息的自主控制机制,保障用户能够自行调控个性化展示的相关性程度,比如对用户兴趣爱好相关标签的修改。如果使用个性化展示的,企业应提供简单直观的退出或关闭个性化展示模式的选项;当用户选择退出或关闭时,还应向其提供删除或匿名化定向推送活动所基于的个人信息的选项。
对于利用大数据、人工智能等技术自动合成的内容,如新闻、博文、评论、图片、音视频等,企业应以明显方式标明“合成”字样,保障用户的知情权和自主选择权。
在具体行业方面,以电商行业为例,在提供电商服务的过程中,企业根据用户的兴趣爱好、消费习惯等特征向其提供商品或服务搜索结果的个性化展示时,应当同时向其提供不针对其个人特征的选项,例如提供按照商品/服务更新时间、用户点击量、销量或价格等维度对搜索结果进行展示的功能。
具体到数据的使用操作上,建议企业设置数据访问控制措施,减少使用过程中的数据泄露风险。访问控制可以分为人员控制和流程控制两方面。在人员控制方面,企业需要按照员工的工作范围建立最小授权的访问控制权限,以完成岗位职责所必要的数据范围和操作为限;在流程控制方面,修改、拷贝、下载等数据重要操作需要完成内部审批流程,超权限使用数据需要进行审批并记录在册。
本研究下一篇为数据出境篇,我们将总结在数据出境方面的审核问询焦点、代表性案例及合规指引。
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
本文作者
合伙人
冯清清
互联网与数字经济部
-
WANG JING & GH LAW FIRM
-
律师助理
盛宇涵
互联网与数字经济部
-
WANG JING & GH LAW FIRM
-
·END·