《段和段律師事務所：2025企業上市數據合規白皮書3.0版（156頁）.pdf》由會員分享，可在線閱讀，更多相關《段和段律師事務所：2025企業上市數據合規白皮書3.0版（156頁）.pdf（156頁珍藏版）》請在三個皮匠報告上搜索。

1、1/156二二二二五五年年一一月月企企業業上上市市數數據據合合規規白白皮皮書書 3.0 版版段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版2/156前言前言從上市審核機構的視角，我們總結梳理上市審核的最新實踐案例，結合一線數據我們總結梳理上市審核的最新實踐案例，結合一線數據合規豐富項目實踐經驗合規豐富項目實踐經驗，撰寫本企業上市數據合規白皮書。機遇難擋：數據資本大時代數據已經被譽為“第四產業”，我們正在迎接數據資本大時代。機遇難擋：數據資本大時代數據已經被譽為“第四產業”，我們正在迎接數據資本大時代。數據作為生產要素，在驅動科研創新、推動數字經濟發展等方面發揮戰略作用，程、引導并規范人

2、工智能發展等方式，打開數據資本化的大門國家通過建立數據基礎制度、實施數據資源入表政策、推動數據要素 X 試點工。重磅發布：數據重磅發布：數據 20 條，構建數據基礎制度，奠定數據資本基調條，構建數據基礎制度，奠定數據資本基調。2022 年 12月 19 日，中共中央 國務院關于構建數據基礎制度更好發揮數據要素作用的意見（以下簡稱“數據二十條”）正式發布，從數據產權、流通交易、收從數據產權、流通交易、收益分配、安全治理等方面構建數據基礎制度益分配、安全治理等方面構建數據基礎制度，提出 20 條政策舉措。數據二十條的出臺，將直接激活數據要素潛能。重大突破：數據資源入表，賦予數據資源金融屬性重大突破

3、：數據資源入表，賦予數據資源金融屬性。為充分實現數據二十條數據要素價值的目標，完善數據資產估值評價體系，2024 年 1 月 1 日，財政部發布的企業數據資源相關會計處理暫行規定正式施行；后根據實操問題于 2024 年 10 月 31 日發布數據資源會計處理實施問答。數據資源入表對企業而言意義非凡，最直觀的影響體現在企業財務報表層面，數據資源在滿足條件的情況下由原來利潤表中的“費用”變成了“資產”進入了資產負債表，這種突破，對數字企業的估值判斷、質押融資、促進數據資源流對數字企業的估值判斷、質押融資、促進數據資源流通等方面產生諸多有利影響，為數據資源賦予了金融屬性通等方面產生諸多有利影響，為數

4、據資源賦予了金融屬性，使得數據要素發揮真正的價值，是實現數據資產創新應用的第一步。全域覆蓋：數據要素全域覆蓋：數據要素 X 試點工程，支持場景化發展和數據產業融資。試點工程，支持場景化發展和數據產業融資。2023年 12 月 31 日，國家數據局等 17 部門發布 “數據要素”三年行動計劃(20242026 年)，旨在通過推動數據在多場景應用，提高資源配置效率，創造新產業新模式，制定了工業制造、現代農業、商貿流通、交通運輸、金融服務、科技創新、文化旅游、醫療健康、應急管理、氣象服務、城市治理、綠色低段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版3/156碳等 12 個行業和領域的重點行

5、動任務，并明確規定“依法合規探索多元化投融資模式，發揮相關引導基金、產業基金作用，引導和鼓勵各類社會資本引導和鼓勵各類社會資本投向數據產業。支持數據商上市融資投向數據產業。支持數據商上市融資”。人工智能：積極引導并規范人工智能發展人工智能：積極引導并規范人工智能發展。人工智能是引領新一輪科技革命和產業變革的關鍵力量，為應對人工智能技術發展給法律秩序帶來的挑戰，我國陸續制定并發布互聯網信息服務算法推薦管理規定 互聯網信息服務深度合成管理規定 生成式人工智能服務管理暫行辦法及征求意見階段的人工智能生成合成內容標識辦法（征求意見稿）等，并輔以實踐指導指南，如 網絡安全標準實踐指南生成式人工智能服務內

6、容標識方法生成式人工智能服務安全基本要求和征求意見階段的網絡安全標準實踐指南生成式人工智能服務安全應急響應指南，旨在構建既能夠鼓勵創新又可以確保安全可控的人工智能發展環境。壓力山大：數據合規的“一票否決”壓力山大：數據合規的“一票否決”數據合規，作為 IPO 審核重點，已成為影響企業能否上市的關鍵因素之一。因數據不合規被一票否決的案例逐漸顯現。標配上市：數據合規專項“如虎添翼”監管機構的數據合規監管能力已基本配置到位，并在不斷增強實戰經驗，以應對標配上市：數據合規專項“如虎添翼”監管機構的數據合規監管能力已基本配置到位，并在不斷增強實戰經驗，以應對紛繁復雜的數據處理場景紛繁復雜的數據處理場景。

7、企業上市的“原配”中介服務機構：券商、會所和律所三家，其專業知識領域已無法覆蓋和勝任數據合規維度上的特殊性要求。因此，企業上市的第四項標配服務IPO 數據合規專項法律服務，應運而生。這種新的變化趨勢，在近期的上市企業中，不僅逐步常態化，更是顯現了巨大的“能效”。為積極應對上市審核機構數據合規專業細致的審查，不少擬上市企業在籌備上市階段，甚至更早期，便開始配置數據合規專業法律服務，甚至是在數據產品的形成和確權過程就開始接受全程合規規劃服務。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版4/156實戰案例：審核視角下的“點睛”之術實戰案例：審核視角下的“點睛”之術從上市審核機構的視角，我們

8、總結梳理上市審核的最新實踐案例，結合一線數據我們總結梳理上市審核的最新實踐案例，結合一線數據合規豐富項目實踐經驗合規豐富項目實踐經驗，撰寫本企業上市數據合規白皮書。本白皮書三大特點：可視可視：所見即所得。采用思維導圖、表格等可視化方式（本文所有思維導圖與表格均為原創），清晰體現合規要點；可查可查：分門別類。以數據處理全生命周期為視角，將審核問詢中的各案例拆解后，貫穿到數據收集、數據使用、數據共享、數據存儲、境外上市/數據出境及數據安全保障的各個環節；可傳可傳：將審核相對應的問題，轉化為共性的問題進行呈現，少走彎路，少踩坑。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版5/156目 錄一

9、、遴選：案例分析說明目 錄一、遴選：案例分析說明.9二、數據合規“打底”問題解析二、數據合規“打底”問題解析.14問題 1：如何界定個人信息？.18問題 2：如何界定敏感個人信息？.20問題 3：處理敏感個人信息需要注意什么？.22問題 4：更新重要數據的定義是什么？.25問題 5：新增如何識別重要數據？.26問題 6：更新處理重要數據需要注意什么？.31問題 7：新增如何界定“關鍵信息基礎設施運營者”？.35問題 8：如何確認數據權屬？.36問題 9：如何界定個人信息處理者與受托人？.39問題 10：提供數據服務是否需要相關資質、許可、認證及備案？.40問題 11：如何正確認知個人信息安全影

10、響評估？.43問題 12：違規處理數據，需要承擔哪些法律責任？.47三、三、IPO 數據合規核心數據合規核心 40 問問.49(一一)數據收集合規數據收集合規 6 問問.50問題 13：更新直接從用戶獲得數據，需要關注什么？.53問題 14：更新爬取第三方企業數據，是否會構成不正當競爭行為？.56問題 15：如何避免爬蟲被認定構成不正當競爭行為？.61問題 16：爬取政府公共數據，需要關注什么？.63段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版6/156問題 17：直接從第三方采購數據，需要關注什么？.65問題 18：如何建立數據收集環節的內控制度？.66(二二)數據使用合規數據使用

11、合規 15 問問.67問題 19：未超范圍使用數據，如何證明？.71問題 20：未侵犯個人隱私或其他合法權益，如何證明？.72問題 21：如何分清不同數據處理身份的責任和義務？.74問題 22：委托他人處理個人信息，應該怎么做？.76問題 23：作為算法服務提供者，需要承擔哪些主體義務與責任？.77問題 24：什么情況下需要進行算法備案？.79問題 25：如何進行算法備案？.80問題 26：使用數據進行個性化推薦，需要注意什么？.82問題 27：什么是互聯網服務深度合成技術？.84問題 28：深度合成服務提供者具有哪些義務？.85問題 29：新增生成式人工智能服務提供者對生成內容承擔何種責任？

12、.87問題 30：新增生成式人工智能服務提供者如何對生成合成內容進行信息標識？.89問題 31：新增如何保障大模型訓練語料的安全性？.92問題 32：哪些企業會被關注科技倫理問題？.96問題 33：如何進行科技倫理治理？.97(三三)數據共享合規數據共享合規 5 問問.100問題 34：共享數據前，需要做些什么？.102問題 35：作為共享數據接收方，需要關注什么？.104段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版7/156問題 36：數據共享場景下，各方的權責如何劃分？.105問題 37：集團數據融合/場景下，如何證明數據資產的獨立性？.106問題 38：APP 運營者如何安全使

13、用 SDK？.107(四四)數據存儲合規數據存儲合規 3 問問.110問題 39：數據存儲，需要關注哪些合規要點？.111問題 40：個人生物識別信息應如何存儲？.114問題 41：數據存儲的盡頭是刪除？.115(五五)境外上市境外上市/數據出境合規數據出境合規 11 問問.116問題 42：更新什么情形下構成數據出境行為？.118問題 43：新增數據過境行為是否被納入約束？.119問題 44：新增數據出境的合規路徑項下有哪些豁免情形？.120問題 45：新增數據出境的合規路徑有哪些？.122問題 46：更新觸發數據出境安全評估的情形有哪些？.124問題 47：新增如何申報數據出境安全評估？.

14、125問題 48：新增數據出境安全評估申報的具體流程與所需時間？.126問題 49：新增簽訂標準合同進行數據出境活動的適用范圍？.127問題 50：新增標準合同備案的具體流程？.128問題 51：更新境外（香港或國外）上市，應申報網絡安全審查嗎？.129問題 52：更新境外上市過程中的數據出境，如何合規？.130(六六)數據安全保障合規數據安全保障合規 8 問問.133問題 53：數據合規的法定義務有哪些？.139段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版8/156問題 54：如何建立數據安全內部管理制度？.141問題 55：什么情況下應當設置數據安全負責人、個人信息保護負責人？.

15、144問題 56：APP/小程序被監管部門責令限期整改，是否會對上市造成影響？.145問題 57：發生個人信息泄露時，個人信息處理者應當怎么辦？.147問題 58：新增網絡數據處理者的應急處置要求有哪些？.149問題 59：數據處理涉刑，是否還有機會？.150問題 60：如何對外證明數據合規實力？.153作者介紹：作者介紹：.155段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版9/156一、遴選：案例分析說明一、遴選：案例分析說明我們精心遴選了從 2019 年至 2024 年 12 月 31 日 62 家具有典型代表性的企業家具有典型代表性的企業1，匯總了這些企業匯總了這些企業在上市過

16、程中被審核機構問詢的相關數據合規問題。其中在深交其中在深交所創業板申請上市的企業數量最多，共有所創業板申請上市的企業數量最多，共有 28 家企業（占比約為家企業（占比約為 45%）、在上交在上交所科創板申請上市的企業數量次之，共有所科創板申請上市的企業數量次之，共有 19 家企業（占比約為家企業（占比約為 31%）；其余，1家企業在深交所主板申請上市、11 家企業在北交所申請主板上市、3 家企業在港交所主板申請上市。在上市行業分類中2，有 31 家企業歸類為軟件和信息技術服務業，數量最多，家企業歸類為軟件和信息技術服務業，數量最多，10家企業為計算機、通信和其他電子設備制造業，家企業為計算機、

17、通信和其他電子設備制造業，5 家企業為互聯網和相關服務家企業為互聯網和相關服務，其他企業零散分布于零售業、商業服務業、電信、廣播電視和衛星傳輸服務等行業。1本企業上市數據合規白皮書摘錄的擬上市公司數據相關問詢問題的案例截止至 2024 年 12 月 30 日2由于港股上市公司行業分類與大陸不同，故在此僅統計上交所、深交所、北交所上市行業數據段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版10/156具體如下表所示：序號序號發行人發行人行業分類行業分類進程進程一一深交所創業板深交所創業板1未來穿戴計算機、通信和其他電子設備制造業終止(撤回)2金智教育軟件和信息技術服務業上市委會議通過3多彩

18、新媒電信、廣播電視和衛星傳輸服務上市委會議通過4衡泰技術軟件和信息技術服務業終止(撤回)5聯眾網絡軟件和信息技術服務業終止(撤回)6麥馳物聯計算機、通信和其他電子設備制造業終止(撤回)7長城信息計算機、通信和其他電子設備制造業終止(撤回)8綠聯科技計算機、通信和其他電子設備制造業注冊生效9睿聯技術計算機、通信和其他電子設備制造業終止注冊10數聚智連零售業終止(撤回)11東富龍科技制藥裝備行業注冊上市段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版11/156序號序號發行人發行人行業分類行業分類進程進程12小影創新軟件和信息技術服務業終止(撤回)13大漢軟件軟件和信息技術服務業中止14木瓜

19、移動互聯網和相關服務終止(撤回)15墨跡天氣科技推廣和應用服務業終止（撤回）16宇谷科技軟件和信息技術服務業終止(撤回)17木倉科技互聯網和相關服務終止(撤回)18熙華檢測研究和試驗發展終止(撤回)19聯眾信息軟件和信息技術服務業終止(撤回)20零點有數商務服務業注冊生效21兆尹科技軟件和信息技術服務業終止(撤回)22新視云軟件和信息技術服務業終止(撤回)23宇谷科技互聯網和相關服務終止(撤回)24黔通智聯軟件和信息技術服務業終止(撤回)25青牛技術軟件和信息技術服務業終止(撤回)26萬事利紡織服裝、服飾業注冊上市27安克創新計算機、通信和其他電子設備制造業注冊上市28美康股份軟件和信息技術服

20、務業終止(撤回)二二上交所科創板上交所科創板29佰聆數據互聯網和相關服務終止30合合信息軟件和信息技術服務業注冊生效段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版12/156序號序號發行人發行人行業分類行業分類進程進程31碧興物聯節能環保行業注冊生效32長光衛星軟件和信息技術服務業終止33格藍若計算機、通信和其他電子設備制造業終止34沃太能源電氣機械和器材制造業終止35中數智匯軟件和信息技術服務業終止36奧比中光計算機、通信和其他電子設備制造業注冊生效37螞蟻集團互聯網和相關服務注冊生效38青云科技軟件和信息技術服務業注冊生效39京東數科軟件和信息技術服務業終止40微眾信科軟件和信息技

21、術服務業終止41海天瑞聲軟件和信息技術服務業注冊生效42曠視科技軟件和信息技術服務業終止43兆訊科技計算機、通信和其他電子設備制造業終止44欣諾通信計算機、通信和其他電子設備制造業終止45節卡股份通用設備制造業中止46四方偉業軟件和信息技術服務業終止47長光衛星軟件和信息技術服務業；鐵路、船舶、航空航天和其他運輸設備制造業終止三三深交所主板深交所主板48瑋言服飾紡織服裝、服飾業終止四四北交所主板北交所主板段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版13/156序號序號發行人發行人行業分類行業分類進程進程49思迅軟件軟件和信息技術服務業終止50華信永道軟件和信息技術服務業注冊51路橋信

22、息軟件和信息技術服務業注冊52并行科技軟件和信息技術服務業注冊53華夏電通軟件和信息技術服務業終止54精創電氣制造業已問詢55美亞科技商務服務業已問詢56天演維真軟件和信息技術服務業終止57兆信股份軟件和信息技術服務業已問詢58佳和電氣軟件和信息技術服務業終止59訊方技術軟件和信息技術服務業已問詢五五港交所主板港交所主板60蔚來已上市61卓越睿新處理中62出門問問已上市段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版14/156二、數據合規“打底”問題解析二、數據合規“打底”問題解析通過分析證監會/證券交易所（合稱“上市審核機構”）披露的各擬上市企業數據相關問詢內容可知，對于以數據為主營

23、業務的擬上市企業，審核機構核心關注以下問題：(1)發行人是否存在處理個人信息、敏感個人信息的情形，處理方式是否合規；(2)發行人對個人信息主體權利保障情況；(3)發行人是否掌握重要數據；(4)發行人是否取得相關的數據權屬；(5)發行人是否取得數據處理相關的資質、許可、認證及備案；(6)數據處理行為是否符合相關法律法規的規定，是否存在被處罰的風險。關注焦點問詢對象關注焦點問詢對象/時間時間3問詢內容問詢內容個人信息華信永道42022 年 10 月公司是否存在收集或使用客戶數據的情形。請發行人結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在

24、收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形。未來穿戴52023 年 7 月說明“未來穿戴”APP 獲取用戶個人信息的具體情況，包括獲取個人信息的范圍、個人信息存儲地、訪問權限、使用權歸屬、發行人對相關個人信息的使用情況及合法合規性，個人用戶是否知情同意?，|言服飾62023 年 8 月說明微商城的注冊用戶數及活躍用戶數，線上銷售（含淘寶/天貓、微商城等所有渠道）過程中是否可以直接或間接獲得用戶的具體數據和個人資料等信息，如是，請說明獲取條件、獲取方式和信息范圍。3時間指發行人或發行人中介機構回復問詢時間4關于華信永道（北京）科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易

25、所上市申請文件的審核問詢函的回復5關于未來穿戴健康科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復6關于深圳市瑋言服飾股份有限公司首次公開發行人民幣普通股股票并在主板上市的補充法律意見書（二）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版15/156關注焦點問詢對象關注焦點問詢對象/時間時間3問詢內容問詢內容金智教育72023 年 9 月說明“今日校園”APP 及各類 SaaS 產品獲取用戶個人信息的具體情況，包括獲取個人信息的范圍、個人信息存儲地、訪問權限、使用權歸屬、發行人對相關個人信息的使用情況及合法合規性，個人用戶是否知情同意。佰聆數據82023

26、年 9 月數據來源、數據內容是否涉及個人隱私或涉密信息。多彩新媒92023 年 9 月業務過程中所涉獲取用戶個人信息及合規性，并在招股說明書風險因素章節補充披露相關風險。衡泰技術102023 年 9 月說明發行人控制和運營的 APP、小程序、公眾號、網站及其運營模式，獲取的個人數據數量及類型。青牛技術112024 年 1 月結合 SaaS 模式交付智慧聯絡平臺產品過程中，用戶個人信息的收集、存儲及使用方式，尤其是相關個人信息在云平臺（或其他能夠保障 SaaS 模式運行的基礎設施）的存儲方式及發行人對云平臺的運營模式，充分說明智慧聯絡平臺業務開展過程中對用戶個人數據的接觸情況，是否符合個人信息保

27、護法等相關法律法規的要求。精創電氣122024 年 12 月說明各期自有網上商城客戶數量、銷售規模，通過自有商城銷售中對個人信息收集、管理、使用等是否符合相關法律法規的規定，是否涉及需相關行業主管部門審批情形。敏感個人信息聯眾網絡132022 年 7 月說明報告期各期發行人倉儲的病案數量及病案中所含信息，是否屬于敏感個人信息，相關病案的存儲方式及保護措施。7關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復8關于佰聆數據股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復9廣東華商律師事務所關于貴州多彩新媒體股份有限公司首次公開發行股票

28、并在創業板上市的補充法律意見書(五)10關于杭州衡泰技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函之回復報告11關于北京青牛技術股份有限公司首次公開發行股票并在創業板上市申請文件審核問詢函的回復12關于江蘇省精創電氣股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件第二輪審核問詢函的回復13關于上海聯眾網絡信息股份有限公司首次公開發行股票并在創業板上市申請文件第二輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版16/156關注焦點問詢對象關注焦點問詢對象/時間時間3問詢內容問詢內容麥馳物聯142023 年 5 月說明使用生物識別

29、技術的具體產品及應用場景，是否存在采集、儲存、使用業主身份證、手機號、人臉圖像等敏感信息的情形，采集、儲存、使用上述敏感信息的具體方式和使用情況，被采集人是否充分知情，發行人及相關主體是否取得被采集人的同意。太川股份152023 年 12 月說明使用生物識別技術的具體產品及應用場景，是否存在采集、儲存、使用業主身份證、手機號、人臉圖像等敏感信息的情形，采集、儲存、使用上述敏感信息的具體方式和使用情況。個人信息主體權利太川股份162023 年 12 月說明被采集人是否充分知情，發行人及相關主體是否取得被采集人的同意；業主是否有權利拒絕發行人及相關主體收集相關數據；業主是否有權利拒絕發行人及相關主

30、體收集相關數據，如拒絕，是否影響業主正常出入小區等合法權益，相關約定是否實際具有強制性。補充披露發行人樓宇對講門禁及智能家居產品相關 APP、小程序等軟件是否持續調用用戶位置、照片、聯系人等信息，如是，說明相關功能的必要性，是否涉嫌侵犯用戶隱私。重要數據長城信息172022 年 9 月結合產品銷售及經營模式，分析說明發行人是否掌握重要數據或掌握重要數據或掌握 100 萬人以上個人信息萬人以上個人信息。綠聯科技182023 年 9 月發行人是否屬于“掌握重要數據，或者掌握 100 萬人以上個人信息的企業機構”。睿聯技術192023 年 9 月請發行人說明是否掌握重要數據或掌握 100 萬人以上個

31、人信息。數據權屬合合信息20發行人各項業務及研發分別獲取、存儲、使用哪些數據，14關于深圳市麥馳物聯股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復15關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復16關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復17關于長城信息股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復18關于深圳市綠聯科技股份有限公司首次公開發行人民幣普通股股票并在創業板上市的補充法律意見書（六）19關于深圳市睿聯

32、技術股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復20關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版17/156關注焦點問詢對象關注焦點問詢對象/時間時間3問詢內容問詢內容2022 年 9 月對應的數據來源、數據權屬，是否存在銷售數據的情形。數聚智連212022 年 10 月說明發行人自電商平臺獲取數據的主要類型（如用戶個人信息、訂單管理信息、平臺運營信息等），是否取得相關數據的所有權。碧興物聯222023 年 4 月發行人各項業務及研發分別獲取、存儲、使用哪些數據，對

33、應的數據來源、數據權屬，是否存在銷售數據的情形；華夏電通232023 年 11 月發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制資質許可并行科技242022 年 9 月結合發行人超算云服務的業務模式和實質，涉及上游超算基礎設施、下游高等院校、科研院所等客戶的法律法規、監管政策對于超算設施管理、超算第三方服務、信息數據安全和保密等方面的要求，說明發行人從事超算領域業務是否已取得相關資質、許可或認證。東富龍科技252022 年 7 月發行人及控股子公司、參股公司是否為客戶提供個人數據存儲及運營的相關服務，是否存在收集、存儲個人數據，對相

34、關數據挖掘及提供增值服務等情況；如是，請說明是否取得相應資質及提供服務的具體情況。佰聆數據262023 年 9 月是否獲得相關權利主體或主管部門的明確授權許可，是否存在適用范圍、主體或期限等方面的限制，發行人是否存在超出前述限制使用數據或其他侵犯個人隱私、第三方合法權益的情形。金智教育27說明圓周網絡運營“今日校園”APP 等相關業務是否需取復21關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復22關于碧興物聯科技（深圳）股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告23關于北京華夏電通科技股份有限公司向不特定合格投資者公

35、開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復24關于北京并行科技股份有限公司公開 發行股票并在北交所上市申請文件的審核問詢函之回復25關于東富龍科技集團股份有限公司申請向特定對象發行股票的審核問詢函之回復報告26關于佰聆數據股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復27關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版18/156關注焦點問詢對象關注焦點問詢對象/時間時間3問詢內容問詢內容2023 年 9 月得增值電信業務經營許可證；發行人及各子公司是否已取得

36、經營所需的全部資質許可，經營業務是否存在超出許可資質或經營范圍的情形。美亞科技282024 年 9 月請發行人補充披露各許可資質的有效期截止日期、域名注冊的續期情況，各 APP 備案情況，說明發行人及子公司是否存在應履行未履行許可備案程序、超越資質、使用過期資質等情形；說明發行人增值電信業務經營許可證對應的具體業務內容、是否為必備資質；發行人利用各線上工具開展業務的合法合規性。萬事利292024 年 10 月發行人數字藏品以及自有平臺服務業務的經營模式、具體內容、客戶類型，是否按照行業主管部門有關規定開展業務，是否為客戶提供個人數據存儲及運營的相關服務，是否存在收集、存儲個人數據、對相關數據挖

37、掘及提供增值服務等情況，是否取得相應資質，是否合法合規。安克創新302024 年 9 月發行人是否從事提供、參與或與客戶共同運營網站、APP等互聯網平臺業務是否為客戶提供個人數據存儲及運營的相關服務，是否存在手機、存儲個人數據、對相關數據挖掘及提供增值服務等情況，是否取得相應資質，是否合法合規。處罰風險小影創新312022 年 4 月對個人信息的處理和使用是否符合個人信息保護法規定的處理規則；是否存在違法違規行為或被行政處罰的風險，是否對發行人構成重大不利影響。大漢軟件322023 年 9 月結合業務流程、合同條款等，說明業務開展中是否符合 數據安全法 網絡安全法 個人信息保護法 電信和互聯網

38、用戶個人信息保護規定等數據安全及信息保護相關法律法規的規定，是否存在糾紛或潛在糾紛。表表 1 數據基礎相關問詢數據基礎相關問詢問題問題 1：如何界定個人信息？：如何界定個人信息？28關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復29關于杭州萬事利絲綢文化股份有限公司創業板向特定對象發行股票之補充法律意見書（四）30關于安克創新科技股份有限公司申請向不特定對象發行可轉換公司債券的審核問詢函的回復31關于杭州小影創新科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復32上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股

39、票并在深圳證券交易所創業板上市的補充法律意見書（六）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版19/156根據個人信息保護法33（下稱“個信法”）的規定，個人信息是以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息，不包括匿名化處理后的信息。即個人信息個人信息=已識別個人信息已識別個人信息+可識別個人信息匿名化信息可識別個人信息匿名化信息。其中“匿名化”是指個人信息經過處理無法識別特定自然人且不能復原的過程，與“去標識化”相對，后者指個人信息經過處理，使其在不借助額外信息的情況下無法識別特定自然人的過程。我們以一個典型案例分析個人信息與非個人信息的區別。在 2022

40、年 5 月，為了維護網絡空間的健康秩序，在用戶在發表評論/發布內容時，各大網絡平臺強制公開用戶 IP 屬地34信息，一時間引發輿論監管與個人信息保護的激烈論戰（具體參見本團隊文章“個人信息”的判定絕非易事IP 屬地遇到攔路虎“再識別技術”）。那么，IP 屬地信息究竟是否構成個人信息？(1)IP 屬地屬地IP 地址地址。IP 地址是指對計算機等上網設備進行唯一標識的一串 32位二進制數，指向具有唯一性，能夠單獨識別到個人，因而屬于個人信息；(2)IP 屬地對應的是寬泛的地理區域，單從境內賬號展示的地域信息維度來看，省級地域內的用戶數量龐大，難以直接通過該信息識別到或關聯到特定的自然人，不構成“單

41、獨識別個人”的信息；然而，若與用戶已于平臺公開的工作單位、工作經歷、頭像等信息相結合，卻有可能構成“與其他信息結合識別個人”的信息，或屬于將 IP 地址進行去標識化（而非匿名化）措施后得到的個人信息。由此可見，IP 屬地是否構成個人信息，需要結合具體場景，評估其對特定自然人的可識別性所起的作用程度；同時，亦有賴于實踐對于“可識別”個人信息認定邊界的把握尺度。33發布機構：全國人大常委會；2021.08.20 發布；2021.11.01 實施34針對境內賬號，僅展示?。ㄗ灾螀^、直轄市）；針對境外賬號，僅展示國家（地區）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版20/156問題問題 2

42、：如何界定敏感個人信息？：如何界定敏感個人信息？與一般的個人信息相比，敏感個人信息一旦被泄露或者濫用，往往會對個人信息主體造成更大的人身或者財產損害，因此敏感個人信息應該受到更為嚴格的保護。根據個信法的規定，只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者才可處理敏感個人信息。敏感個人信息的處理情況也愈加受到上市審核機構的重視。如聯眾網絡35，一家作為為醫療管理部門、醫院等提供無紙化病案、DRGs 績效考核等軟件服務的公司，在其上市審核過程中，被上市審核機構重點關注其業務開展過程中是否涉及病案信息等敏感個人信息的處理以及處理的合規性。因此，如何在個人信息中精準識別

43、并區分敏感個人信息尤為重要?；A法律定義基礎法律定義根據個信法的規定，敏感個人信息是一旦泄露泄露或者非法使用非法使用，容易導致自然導致自然人的人格尊嚴受到侵害人的人格尊嚴受到侵害或者人身、財產安全受到危害人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。通用性國標通用性國標參考 GB/T352732020信息安全技術 個人信息安全規范36（下稱“個人信息安全規范”），個人敏感信息是指一旦泄露、非法提供或濫用可能危害人身和財產安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息。通常情況下，14

44、 歲以下（含）兒童的個人信息和涉及自然人隱私的信息屬于敏感個人信息。具體如下表所示：352021 年 12 月 29 日，深交所受理聯眾網絡上市申請，經歷 2 輪問詢后，聯眾網絡于 2022 年 8 月 30 日撤回申請并終止審核36發布機構：全國信息安全標準化技術委員會；2020.03.06 發布；2020.10.01 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版21/156要點要點內容內容個人財產信息銀行賬戶、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息

45、。個人健康生理信息個人因生病醫治等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等。個人生物識別信息個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。個人身份信息身份證、軍官證、護照、駕駛證、工作證、社?？?、居住證等。其他信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。表表 2 敏感個人信息列舉敏感個人信息列舉特殊行業定義特殊行業定義針對特殊行業，主管部門可能會結合實際監管需要，出

46、臺細化規定。如以汽車數據為例，對應的敏感個人信息定義如下：根據汽車數據安全管理若干規定（試行）37的規定，敏感個人信息，是指一旦泄露或者非法使用，可能導致車主、駕駛人、乘車人、車外人員等受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征圖像和生物識別特征等信息。37發布機構：網信辦、發展改革委、工信部、公安部、交通運輸部；2021.08.16 發布；2021.10.01 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版22/156問題問題 3：處理敏感個人信息需要注意什么？：處理敏感個人信息需要注意什么？考慮到

47、敏感個人信息的特殊性，我國在一般個人信息的處理規則的基礎上，對敏感個人信息的全生命周期處理流程提出了特殊的保護要求。在組織機構的設置上，根據個人信息安全規范第 11.1 條，處理超過 10 萬人萬人的個人敏感信息的組織即應當設置個人信息保護負責人；而對于處理一般個人信息的，則放寬至 100 萬人萬人。（詳見“問題 55：什么情況下應當設置數據安全負責人、個人信息保護負責人？”）根據個信法與個人信息安全規范，我們從敏感個人信息的處理原則、處理條件、特殊告知與同意要求、傳輸與存儲、使用、注銷賬戶、公開、安全事件、組織機構等維度，獨創獨創梳理敏感個人信息處理要點如下表所示，需要特別關注的內容我們加粗

48、顯示（下表中未涉及的內容應依據一般個人信息處理規則處理）：序號序號要點要點內容內容1處理原則處理原則(1)具有特定的目的和充分的必要性；(2)采取嚴格保護措施。2個人信息保護影響評估個人信息處理者應當在處理敏感個人信息前，進行個人信息保護影響評估，并對處理情況進行記錄（詳見“問題 11：如何正確認知個人信息安全影響評估？”）。3特殊告知要求(1)履行一般告知義務履行一般告知義務（詳見“問題 13：直接從用戶獲得數據，需要關注什么？”）：(a)個人信息處理者的名稱或者姓名和聯系方式；(b)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(c)個人行使個信法規定權利的方式和程序；(d)

49、法律、行政法規規定應當告知的其他事項。(2)履行特殊告知義務履行特殊告知義務：向個人告知處理敏感個人信息的必要性以及對個人權益的影響（依照個信法規定可以不向個人告知的除外38）；38根據個信法第十八條的規定：個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。緊急情況下為保護自然人的生命健康和段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版23/156序號序號要點要點內容內容(3)告知方式告知方式：宜在收集敏感個人信息前，通過交互界面或設計（如彈窗、文字說明、填寫框、提示條、提示音等形式），向個人信息主體履行告知義務。4單

50、獨同意單獨同意(1)單獨同意單獨同意：處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定；(2)同意方式同意方式：宜通過個人信息主體對信息收集主動作出肯定性動作（如勾選、點擊“同意”或“下一步”等）征得其明示同意，而非默認同意；(3)撤回同意撤回同意：所要求的交互界面或設計應方便個人信息主體再次訪問及更改其同意的范圍；(4)未成年人的特殊情形未成年人的特殊情形：(a)應當取得未成年人的父母或者其他監護人的同意；(b)個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。5傳輸與存儲(1)傳輸和存儲個人敏感信息時，應

51、采用加密39等安全措施；(2)個人生物識別信息應與個人身份信息分開存儲；(3)原則上不應存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于：(a)僅存儲個人生物識別信息的摘要信息40；(b)在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；(c)在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像41。6使用訪問權限訪問權限：對個人敏感信息的訪問、修改等操作行為，宜在對角色權限控制的基礎上，按照業務流程的需求觸發操作授權。7注銷賬戶注銷賬戶的過程中需收集敏感個人信息核驗身份時，應明確收集個人敏感信息后的處理措施，如達

52、成目的后立即刪除或匿名財產安全無法及時向個人告知的，個人信息處理者應當在緊急情況消除后及時告知39采用密碼技術時宜遵循密碼管理相關國家標準40摘要信息通常具有不可逆特點，無法回溯到原始信息41個人信息控制者履行法律法規規定的義務相關的情形除外段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版24/156序號序號要點要點內容內容化處理等。8公開(1)進行個人信息保護影響評估；(2)向個人信息主體告知公開的目的、涉及的個人敏感信息的內容；(3)取得個人單獨同意的；(4)不應公開：我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分析結果。9安全事件考慮到敏感個人信息一旦泄露或者非法使用，

53、容易導致自然人的合法權益受到侵害，若發生或者可能發生敏感個人信息泄露、篡改、丟失的，建議按照“問題 57：發生個人信息泄露時，應當怎么辦？”履行法定補救與通知義務，并留存證件，以自證清白。10組織機構組織機構(1)個人信息保護負責人個人信息保護負責人：處理超過 10 萬人的個人敏感信息的，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作（詳見“問題 55：什么情況下應當設置數據安全負責人、個人信息保護負責人？”）；(2)員工管理員工管理：應與從事個人信息處理崗位上的相關人員簽署保密協議，對大量接觸敏感個人信息的人員進行背景審查，以了解其犯罪記錄、誠信狀況等。表表 3

54、敏感個人信息處理規則敏感個人信息處理規則段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版25/156問題問題 4：更新更新重要數據的定義是什么？重要數據的定義是什么？與一般數據相比，重要數據一旦被泄露或濫用，往往會給國家安全、公共利益造成更大的損害，因此，從網絡安全法42（“網安法”）到數據安全法43（下稱“數安法”）以及各類的國家標準，都對重要數據制定了特殊的保護制度。重要數據的處理也愈加受到上市審核機構的重視，如在長城信息44上市審核過程中，上市審核機構就問詢到其是否涉及重要數據的處理。網絡數據安全管理條例45首次在行政法規層面明確“重要數據”定義，即“重重要數據，是指特定領域、特定

55、群體、特定區域或者達到一定精度和規模，一旦遭要數據，是指特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據行、社會穩定、公共健康和安全的數據?！痹摱x與 2024 年 10 月 1 日正式實施的推薦性國家標準 GB/T 43697-2024數據安全技術 數據分類分級規則（下稱“數據分類分級規則”）中對于重要數據的定義46幾乎一致，但網絡數據安全管理條例中未將“僅影響組織自身或公民個體的數據一般不作為重要數據”明確作

56、為重要數據的排除項。42發布機構：全國人大常委會；2016.11.07 發布；2017.06.01 實施43發布機構：全國人大常委會；2021.06.10 發布；2021.09.01 實施44深交所于 2021 年 12 月 29 日受理長城信息上市申請，經兩輪問詢后，于 2022 年 9 月 15 日上市委會議審議通過，于 2023 年 4 月 28 日終止上市審核45發布機構：國務院；2024.09.24 發布；2025.01.01 實施463.2 重要數據 key data：特定領域、特定群體、特定區域或達到一定精度和規模的，一旦被泄露或篡改、毀損，可能直接危害國家安全、經濟運行、社會穩

57、定、公共健康和安全的數據。注：僅影響組織自身或公民個體的數據，一般不作為重要數據段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版26/156問題問題 5：新增新增如何識別重要數據？如何識別重要數據？根據國家標準數據分類分級規則，滿足以下任一條件的數據，識別為重要數據：(1)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對國家安全造成一般危害；(2)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對經濟運行造成嚴重危害；(3)數據一旦遭到泄露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對社會秩序造成嚴重危害（如影響社會穩定）；(4)數據一旦遭到泄

58、露、篡改、損毀或者非法獲取、非法使用、非法共享，直接對公共利益造成嚴重危害（如危害公共健康和安全）；(5)數據直接關系國家安全、經濟運行、社會穩定、公共健康和安全的特定領域、特定群體或特定區域；(6)數據達到一定精度、規模、深度或重要性，直接影響國家安全、經濟運行、社會穩定、公共健康和安全；(7)經行業領域主管（監管）部門評估確定的重要數據。同時，依據數據分類分級規則附錄 G，重要數據識別應在符合上述條款的基礎上，考慮如下因素：(1)直接影響領土安全和國家統一，或反映國家自然資源基礎情況,如術公開的領陸、領水、領空數據；(2)可被其他國家或組織利用發起對我國的軍事打擊，或反映我國戰略儲備、應急

59、動員、作戰等能力，如滿足一定精度指標的地理數據或與戰略物資產能、儲備量有關的數據；(3)直接影響市場經濟秩序，如支撐關鍵信息基礎設施所在行業、領域核心業務運行或重要經濟領域生產的數據；段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版27/156(4)反映我國語言文字、歷史、風俗習慣、民族價值觀念等特質，如記錄歷史文化遺產的數據；(5)反映重點目標、重要場所物理安全保護情況或未公開地理目標的位置，可被恐怖分子、犯罪分子利用實施破壞，如描述重點安保單位、重要生產企業、國家重要資產（如鐵路、輸油管道）的施工圖、內部結構、安防情況的數據;(6)關系我國科技實力、影響我國國際競爭力,或關系出口管制

60、物項，如反映國家科技創新重大成果，或描述我國禁止出口限制出口物項的設計原理、工藝流程,制作方法的數據，以及涉及源代碼、集成電路布圖、技術方案、重要參數、實驗數據、檢測報告的數據；(7)反映關鍵信息基礎設施總體運行、發展和安全保護情況及其核心軟硬件資產信息和供應鏈管理情況，可被利用實施對關鍵信息基礎設施的網絡攻擊，如涉及關鍵信息基礎設施系統配置信息、系統拓撲、應急預案、測評、運行維護、審計日志的數據；(8)涉及未公開的攻擊方法、攻擊工具制作方法或攻擊輔助信息，可被用來對重點目標發起供應鏈攻擊、社會工程學攻擊等網絡攻擊，如政府,軍工單位等敏感客戶清單，以及涉及未公開的產品和服務采購情況、未公開重大

61、漏洞情況的數據；(9)反映自然環境、生產生活環境基礎情況，或可被利用造成環境安全事件，如未公開的與土壤、氣象觀測、環保監測有關的數據；(10)反映水資源、能源資源、土地資源、礦產資源等資源儲備和開發、供給情況，如未公開的描述水文觀測結果、耕地面積或質量變化情況的數據；(11)反映核材料、核設施、核活動情況，或可被利用造成核破壞或其他核安全事件，如涉及核電站設計圖、核電站運行情況的數據；(12)關系海外能源資源安全、海上戰略通道安全、海外公民和法人安全，或可被利用實施對我國參與國際經貿、文化交流活動的破壞或對我國實施歧視性禁止、限制或其他類似措施，如描述國際貿易中特殊物項生產交易以及特殊裝備配備

62、、使用和維修情況的數據；段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版28/156(13)關系我國在太空、深海、極地等戰略新疆域的現實或潛在利益，如未公開的涉及對太空、深海、極地進行科學考察、開發利用的數據，以及影響人員在上述領域安全進出的數據；(14)反映生物技術研究、開發和應用情況,反映族群特征、遺傳信息，關系重大突發傳染病、動植物疫情，關系生物實驗室安全，或可能被利用制造生物武器、實施生物恐怖襲擊，關系外來物種入侵和生物多樣性，如重要生物資源數據、微生物耐藥基礎研究數據；(15)反映全局性或重點領域經濟運行、金融活動狀況，關系產業競爭力，可造成公共安全事故或影響公民生命安全，可引

63、發群體性活動或影響群體情感與認知，如未公開的統計數據、重點企業商業秘密；(16)反映國家或地區群體健康生理狀況。關系疾病傳播與防治,。關系食品藥品安全，如涉及健康醫療資源、批量人口診療與健康管理、疾控防疫、健康救援保障。特定藥品實驗、食品安全溯源的數據；(17)其他可能影響國土、軍事、經濟、文化、社會、科技、電磁空間、網絡、生態、資源、核、海外利益、太空、極地、深海、生物、人工智能等安全的數據；(18)其他可能對經濟運行,社會秩序或公共利益造成嚴重危害的數據。此外，根據數安法等法律法規要求，國家有關部門應制定重要數據目錄，加強對重要數據的保護。目前，我國在汽車行業、工業和信息化行業以及基礎電信

64、汽車行業、工業和信息化行業以及基礎電信行業制定了現行有效的重要數據目錄行業制定了現行有效的重要數據目錄（如下表所示）。鑒于其他行業重要數據目錄尚未出臺，建議擬上市公司及時與主管網信部門作進一步溝通，以明確其所處理的數據性質是否構成重要數據。行業行業重要數據定義重要數據定義重要數據范圍重要數據范圍法律依據法律依據汽車是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個(1)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；汽 車 數 據安 全 管 理 若干 規 定（試行）段和段高亞平律師團隊企業上市數據合規白皮書 3.

65、0 版29/156行業行業重要數據定義重要數據定義重要數據范圍重要數據范圍法律依據法律依據人、組織合法權益的數據(2)車輛流量、物流等反映經濟運行情況的數據；(3)汽車充電網的運行數據；(4)包含人臉信息、車牌信息等的車外視頻、圖像數據；(5)涉及個人信息主體超過 10 萬人的個人信息；(6)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據?；A電信是指企業在運營中收集、產生、控制的不涉及國家秘密，但與國家安全、經濟發展、社會穩定，以及公共利益密切相關的數據，特別是與國家基礎通信網絡安全密切相關的數據(1)基礎

66、電信企業掌握的能夠反映通信行業整體情況的數據，如網絡規劃、建設、關鍵技術信息；(2)基礎電信企業掌握的通信網絡基礎資源信息，一旦被惡意利用，可能會導致國家基礎通信網絡中斷，進而對國家安全和社會穩定造成重大影響；(3)基礎電信企業掌握的能夠導致通信行業發生系統性風險的能夠反映通信網絡總體運行狀況的數據，一旦完整性、保密性、可用性遭破壞可能對國家或社會帶來負面影響的數據，如網絡運行監控數據；(4)基礎電信企業掌握的通信網絡與系統的設計、安全防護計劃和策略方案，及其單元或設備選型、配置、軟件等屬性信息和脆弱性信息等；以及包括密碼技術在內的其它與國家安全相關的單元、裝置、設備、系統或計劃、設計能力和缺

67、陷信息；(5)基礎電信企業掌握的與意識形態、輿情等有關的文化安全相關 基 礎 電 信企 業 重 要 數據識別指南段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版30/156行業行業重要數據定義重要數據定義重要數據范圍重要數據范圍法律依據法律依據信息；(6)YD/T 3813-2020 中四級數據中的用戶相關數據比照重要數據管理；(7)基礎電信企業掌握的其他與國家公共安全、經濟發展、社會穩定，以及公共利益密切相關的數據。工業和信息化危害程度符合下列條件之一的數據為重要數據：(1)對政治、國土、軍事、經濟、文化、社會、科技、電磁、網絡、生態、資源、核安全等構成威脅，影響海外利益、生物、太空、

68、極地、深海、人工智能等與國家安全相關的重點領域；(2)對工業和信息化領域發展、生產、運行和經濟利益等造成嚴重影響；(3)造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；(4)引發的級聯效應明顯，影響范圍涉及多個行業、區域或者行業內多個企業，或者影響持續時間長，對行業發展、技術進步和產業生態等造成嚴重影響；(5)經工業和信息化部評估確定的其他重要數據。工 業 和 信息 化 領 域 數據 安 全 管 理辦法（試行）表表 4 汽車、基礎電信行業及工業和信息化行業制定的現行有效的重要數據目錄汽車、基礎電信行業及工業和信息化行業制定的現行有效的重要數據目

69、錄段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版31/156問題問題 6：更新更新處理重要數據需要注意什么？處理重要數據需要注意什么？考慮到重要數據與國家安全、公共利益息息相關，我國對于處理重要數據制定了特殊的保護要求。根據網絡數據安全管理條例等相關法律法規，我們初步總結出重要數據處理者需要重點關注的要點：序號序號要點要點內容內容1重要數據識別申報重要數據識別申報網絡數據處理者應當按照國家有關規定識別、申報重要數據。2設置負責人和管理機構設置負責人和管理機構重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。網絡數據安全負責人應當具備網絡數據安全專業知識和相關管理工作經歷

70、，由網絡數據處理者管理層成員擔任，有權直接向有關主管部門報告網絡數據安全情況。掌握有關主管部門規定的特定種類、規模的重要數據的網絡數據處理者，應當對網絡數據安全負責人和關鍵崗位的人員進行安全背景審查，加強相關人員培訓。審查時，可以申請公安機關、國家安全機關協助。3網絡數據安全保護責任網絡數據安全保護責任重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。網絡數據安全管理機構應當履行下列網絡數據安全保護責任：(1)制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案；(2)定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網絡數據安全風險

71、和事件；(3)受理并處理網絡數據安全投訴、舉報。4提供、委托處理安全要求提供、委托處理安全要求(1)合同義務約定合同義務約定：網絡數據處理者向其他網絡數據處理者提供、委托處理個人信息和重要數據的，應當通過合同等與網絡數據接收方約定處理目的、方式、范圍以及安全保護義務等(2)監督義務履行監督義務履行：對網絡數據接收方履行義務的情況段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版32/156序號序號要點要點內容內容進行監督(3)記錄保存記錄保存：向其他網絡數據處理者提供、委托處理個人信息和重要數據的處理情況記錄，應當至少保存 3 年。5風險評估提供、委托處理、共同處理前風險評估提供、委托處理

72、、共同處理前重要數據的處理者提供、委托處理、共同處理重要數據前，應當進行風險評估，但是屬于履行法定職責或者法定義務的除外。風險評估應當重點評估下列內容：(1)提供、委托處理、共同處理網絡數據，以及網絡數據接收方處理網絡數據的目的、方式、范圍等是否合法、正當、必要；(2)提供、委托處理、共同處理的網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用的風險，以及對國家安全、公共利益或者個人、組織合法權益帶來的風險；(3)網絡數據接收方的誠信、守法等情況；(4)與網絡數據接收方訂立或者擬訂立的相關合同中關于網絡數據安全的要求能否有效約束網絡數據接收方履行網絡數據安全保護義務；(5)采取或者擬采取的技術

73、和管理措施等能否有效防范網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險；(6)有關主管部門規定的其他評估內容。6風險評估年度評估風險評估年度評估重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告，有關主管部門應當及時通報同級網信部門、公安機關。風險評估報告應當包括下列內容：(1)網絡數據處理者基本信息、網絡數據安全管理機構信息、網絡數據安全負責人姓名和聯系方式等；(2)處理重要數據的目的、種類、數量、方式、范圍、存儲期限、存儲地點等，開展網絡數據處理活動的情況，不包括網絡數據內容本身；(3)網絡數據安全管理制度及實施情況，加密、備份、

74、標簽標識、訪問控制、安全認證等技術措施和其他段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版33/156序號序號要點要點內容內容必要措施及其有效性；(4)發現的網絡數據安全風險，發生的網絡數據安全事件及處置情況；(5)提供、委托處理、共同處理重要數據的風險評估情況；(6)網絡數據出境情況；(7)有關主管部門規定的其他報告內容。處理重要數據的大型網絡平臺服務提供者報送的風險評估報告，除包括前款規定的內容外，還應當充分說明關鍵業務和供應鏈網絡數據安全等情況。重要數據的處理者存在可能危害國家安全的重要數據處理活動的，省級以上有關主管部門應當責令其采取整改或者停止處理重要數據等措施。重要數據的處

75、理者應當按照有關要求立即采取措施。7重要數據出境特別規定重要數據出境特別規定網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。網絡數據處理者按照國家有關規定識別、申報重要數據，但未被相關地區、部門告知或者公開發布為重要數據的，不需要將其作為重要數據申報數據出境安全評估。表表 5 重點數據合規要點重點數據合規要點其中，根據工業和信息化領域數據安全管理辦法（試行）47的規定，針對工業和信息化領域的重要數據處理者，還應當：(1)建立覆蓋本單位相關部門的數據安全工作體系，明確數據安全負責人和管理機構，建立常態化溝通與協作機制。本單

76、位法定代表人或者主要負責人是數據安全第一責任人，領導團隊中分管數據安全的成員是直接責任人；(2)明確數據處理關鍵崗位和崗位職責，并要求關鍵崗位人員簽署數據安全責任書，責任書內容包括但不限于數據安全崗位職責、義務、處罰措施、注意事項等內容；47發布機構：工信部；2022.12.08 發布；2023.01.01 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版34/156(3)建立內部登記、審批等工作機制，對重要數據和核心數據的處理活動進行嚴格管理并留存記錄。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版35/156問題問題 7：新增新增如何界定如何界定“關鍵信息基礎設施運營者關

77、鍵信息基礎設施運營者”？根據關鍵信息基礎設施安全保護條例48，關鍵信息基礎設施（下稱“CIIO”），是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。根據該規定，關鍵信息基礎設施運營者的認定規則由各重要行業和領域的主管部門、監管部門（“保護工作部門”）制定，保護工作部門應及時將認定結果通知關鍵信息基礎設施運營者，并通報國務院公安部門。因此，建議數據處理者及時關注保護工作部門的通知，來判斷自身是否構成關鍵信息基礎設施運營者。48發布機構

78、：國務院；2021.07.30 發布；2021.09.01 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版36/156問題問題 8：如何確認數據權屬？：如何確認數據權屬？數據作為新型生產資料，其權屬關系的界定是解決后續流通利用環節中權利義務關系界定、數據主體合法權益保障、數據秩序維護等核心問題的先決條件，但因其不存在資源枯竭問題，將隨著反復使用與匯聚融合不斷繁榮數據價值，在具有財產屬性的同時，又具有相應的人身權特征，目前尚未在立法與司法層面形成明確規定或共識。然而，由于數據權屬問題與擬上市企業數據的資源利用合規性以及盈利能力息息相關，在上市審核過程中也屢被上市審核機構問詢（如合合信

79、息與數聚智聯，皆被問詢到數據權屬問題）。由此可見，明確數據權屬的確認規則對于擬上市企業而言至關重要。立法層面：立法層面：目前國內立法，涉及數據權屬的規定主要有：根據民法典（2020.05.28 發布，2021.01.01 實施）第 111 條規定：“自然人的個人信息受法律保護。任何組織或者個人需要獲取他人個人信息的，應當依法取得并確保信息安全，不得非法收集、使用、加工、傳輸他人個人信息，不得非法買賣、提供或者公開他人個人信息”；第 127 條規定：“法律對數據、網絡虛擬財法律對數據、網絡虛擬財產的保護有規定的，依照其規定產的保護有規定的，依照其規定”。相較于民法典的框架性規定，我國深圳市頒布的

80、地方性法規深圳經濟特區數據條例（2021.07.06 發布，2022.01.01 實施）則首次提出數據的“個人權益”與“財產權益”的概念：“自然人對個人數據享有法律、行政法規及本條例規定的人格權益”；“自然人、法人和非法人組織對其合法處理數據形成的數據產品和服務享有法律、行政法規及本條例規定的財產權益”，從立法層面做出了有益嘗試。實踐層面：實踐層面：立法存在滯后性，經濟社會發展中面臨的數據權屬問題已成為實踐層面無法回避的對象，近年來也受到上市審核機構的重視，在企業上市過程中屢被問詢。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版37/156除上市問詢外，司法實踐審判中對數據權屬的問題亦

81、有所涉及。在杭州互聯網法院審理的微信群控軟件不正當競爭糾紛一案49中，法院將涉案數據形態分為兩種，一是單一原始數據個體，二是數據資源整體。法院認為：(a)就單一原始數據個體而言，網絡平臺方只能依附于用戶信息權益，依其與用戶的約定享有原始數據的有限使用權。使用他人控制的單一原始數據只要不違反“合法、必要、征得用戶同意”原則，一般不應被認定為侵權行為，網絡平臺方亦無賠償請求權；(b)就數據資源整體而言，因系網絡平臺方經過長期經營積累聚集而成，且能夠給網絡平臺方帶來開發衍生產品獲取增值利潤和競爭優勢的機會，網絡平臺方就此享有競爭權益。如果擅自規?；?、破壞性地使用網絡平臺方數據資源的，網絡平臺方作為數

82、據控制主體有權要求獲得賠償。結合上述實踐，我們依據數據來源、數據類型，初步總結確定以下數據權屬規則50：49（2020）浙 01 民終 5889 號50結合信息安全技術 網絡數據分類分級要求（征求意見稿），我們將衍生數據定義為：在原始數據的基礎上，經過統計、關聯、挖掘、聚合、去標識化等加工活動而產生的數據段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版38/156圖圖 1 數據權屬判斷方式數據權屬判斷方式5151本圖中涉及到個人同意的，含經個人同意或具備其他處理合法性依據兩種情形段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版39/156問題問題 9：如何界定個人信息處理者與受托人

83、？：如何界定個人信息處理者與受托人？根據我國個信法的規定：個人信息處理者，是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人；受托人則是指接受委托處理個人信息的主體。該規定與歐盟 General Data Protection Regulation（簡稱“GDPR”，中文譯名為通用數據保護條例，2018.05.25 發布）中對于數據控制者與數據處理者的界定有異曲同工之處，我們簡要對比如下：圖圖 2 個信法與個信法與GDPR個人信息處理者與受托人界定對比個人信息處理者與受托人界定對比鑒于我國尚未出臺具體的個人信息處理者與受托人的區分標準，建議擬上市企業參照歐盟數據保護委員會（EDPB

84、）發布的 Guidelines 07/2020 on the concepts ofcontroller and processor in the GDPR（中文譯名為GDPR 下數據控制者及數據處理者概念的指南（07/2020），2020.09.02 更新）下數據控制者（即對應我國個數據控制者（即對應我國個人信息處理者）與數據處理者（對應我國受托人）人信息處理者）與數據處理者（對應我國受托人）的區分標準：圖圖 3 數據控制者與數據處理者區分標準數據控制者與數據處理者區分標準段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版40/156問題問題 10：提供數據服務是否需要相關資質、許可、認

85、證及備案？：提供數據服務是否需要相關資質、許可、認證及備案？我們將數據服務涉及的常見的可能需要的資質、許可、認證及備案內容整理如下圖（具體應結合業務內容進行判斷，其中，算法備案相關內容詳見“問題 24：什么情況下需要進行算法備案？”與“問題 25：如何進行算法備案？”）：圖圖 4 常見的數據服務相關資質、許可、認證及備案常見的數據服務相關資質、許可、認證及備案我國相關法律法規對數據服務需要取得相關資質、許可、認證或備案的規定如下：序號序號法律法規法律法規基礎信息基礎信息主要內容主要內容1數安法全國人大常委會2021.06.10 發布2021.09.01 實施第三十四條 法律、行政法規規定提供數

86、據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。2網安法全國人大常委會2016.11.07 發布2017.06.01 實施第二十一條 國家實行網絡安全等級保護制行網絡安全等級保護制度度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版41/15

87、6序號序號法律法規法律法規基礎信息基礎信息主要內容主要內容安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。第二十二條 網絡產品、服務應當符合相關國家標準的強制性要求。第二十三條 網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。3個信法全國人大常委會2021.08.20 發布2021.11.01 實施第三十二條 法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。4信息安全等級保護管

88、理辦法公安部，國家保密局，國家密管局，國信辦(已撤銷)2007.06.22 發布2007.06.22 實施第二條 國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理護，對等級保護工作的實施進行監督、管理。5電信業務經營許可管理辦法工信部2017.07.03 發布2017.09.01 實施第四條 經營電信業務，應當依法取得電信管理機構頒發的經營許可證經營許可證。電信業務經營者在電信業務經營活動中，應當遵守經營許可證的規定，接受、配合電信管理機構的監督管理。6互聯網信息服務管理辦法

89、國務院2011.01.08 發布2011.01.08 實施第四條 國家對經營性互聯網信息服務實行國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度備案制度。未取得許可或者未履行備案手續的，不得從事互聯網信息服務。第七條 從事經營性互聯網信息服務，應當向省、自治區、直轄市電信管理機構或者國務院信息產業主管部門申請辦理互聯網信息服務增值電信業務經營許可證。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版42/156序號序號法律法規法律法規基礎信息基礎信息主要內容主要內容第八條 從事非經營性互聯網信息服務，應當向省、自治區、直轄市

90、電信管理機構或者國務院信息產業主管部門辦理備案手續。7互聯網信息服務算法推薦管理規定網信辦，工信部，公安部，市監總局2021.12.31 發布2022.03.01 實施第二十四條 具有輿論屬性或者社會動員能具有輿論屬性或者社會動員能力的算法推薦服務提供者力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息，履行備案手續履行備案手續。8互聯網信息服務深度合成管理規定網信辦，工信部，公安部2022.11.25 發布2023.01.10 實施第十九條具有輿論屬性或者社會動員能力的深度合

91、成服務提供者，應當按照互聯網信息服務算法推薦管理規定履行備案和變更、注銷備案手續。深度合成服務技術支持者應當參照前款規定履行備案和變更、注銷備案手續。完成備案的深度合成服務提供者和技術支持者應當在其對外提供服務的網站、應用程序等的顯著位置標明其備案編號并提供公示信息鏈接。9生成式人工智能服務管理暫行辦法網信辦，工信部，公安部，國家發展和改革委員會，教育部，科學技術部，國家廣電總局2023.07.10 發布2023.08.15 實施第十七條提供具有輿論屬性或者社會動員能力的生成式人工智能服務的，應當按照國家有關規定開展安全評估，并按照互聯網信息服務算法推薦管理規定履行算法備案和變更、注銷備案手續

92、。表表 6 數據許可、資質與備案相關法律法規梳理數據許可、資質與備案相關法律法規梳理段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版43/156問題問題 11：如何正確認知個人信息安全影響評估？：如何正確認知個人信息安全影響評估？根據我國國家市場監督管理總局、國家標準化管理委員出臺的信息安全技術個人信息安全影響評估指南（自 2021 年 6 月 1 日起正式實施），個人信息安全影響評估是指針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。其目的旨在發現、處置和持續監控個人信息處理過程中對個人信息主

93、體合法權益造成不利影響的風險。個人信息安全影響評估的法定情形個人信息安全影響評估的法定情形觸發個人信息安全影響評估的法定情形（含根據國家推薦標準進行評估的情形）目前散見于各個法律法規以及文件中，讓處理數據的企業無所適從。對此，我們分析整理了相關規定，明確以下十種情景需進行個人信息安全評估，其中情景1情景 6、情景 10 為個信法等相關法律法規強制性要求，情景 7情景 9 為有關部門制定的推薦性標準、指南，供個人信息處理者參考借鑒（詳見本團隊文章個人信息安全評估十情景五豁免）：圖圖 5 個人信息保護影響評估要點梳理個人信息保護影響評估要點梳理段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版

94、44/156(1)情景情景 1:處理個人敏感信息處理個人敏感信息敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。個信法第 55 條。(2)情景情景 2:自動化決策自動化決策利用個人信息自動化決策且對個人信息主體權益造成顯著影響的。如某寶獲取用戶位置、消費能力、使用軟件時長等信息，給用戶精準推送產品等，還比如軟件根據個人信息決定個人征信及貸款額度等。個信法第 55 條、個人信息安全規范第 7.7 條。(3)情景情景 3:委托第三方處理

95、委托第三方處理委托他人處理自身收集的個人信息。即滿足授權同意的前提下，自身不具備信息處理能力或與外部第三方進行合作時，委托其他技術團隊等為其處理信息。個信法第 55 條、互聯網個人信息安全保護指南52第 6.5 條、個人信息安全規范第 9.1 條。(4)情景情景 4:向第三方提供向第三方提供向第三方提供個人信息的情形是自身收集信息之后，提供給其他人使用，不論是有償還是無償。個信法第 55 條。(5)情景情景 5:公開個人信息公開個人信息個人信息原則上不得公開，除非經過法律授權或者具備合理事由需要公開個人信息。52發布機構：公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所；2019.04

96、.10 發布段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版45/156個信法第 55 條、互聯網個人信息安全保護指南第 6.7 條。(6)情景情景 6:向境外提供個人信息向境外提供個人信息一般情況下，應當將在境內收集和產生的信息存儲在境內，向境外提供時原則上應當經過國家網信部門組織的安全評估。網安法第 37 條、個信法第 55 條。(7)情景情景 7:數據共享、轉讓數據共享、轉讓數據共享：是指與數據處理企業以外的任何企業、組織和個人分享用戶的個人信息。如某打車軟件，為了提供地圖服務與某導航軟件進行用戶信息共享。數據轉讓：是指數據處理企業將用戶的個人信息以有償或無償的方式轉讓給任何企業、

97、組織和個人。如某征信企業，將其收集到用戶征信信息轉讓給某貸款企業?；ヂ摼W個人信息安全保護指南第 6.6 條、個人信息安全規范第 9.2 條(8)情景情景 8：數據融合：數據融合所謂數據融合：是指將不同來源的數據進行整合來獲得更高質量的信息。如電商平臺公司除了提供傳統的電商平臺服務，還通過平臺向用戶提供金融服務，為了提供更精準的服務，電商平臺公司將兩條產品線的數據庫打通，根據用戶的消費能力和消費習慣來調整貸款額度和利息。個人信息安全規范第 7.6 條。(9)情景情景 9:接入接入 SDK接入第三方產品時的 APP 開發者和第三方產品開發者。接入 SDK（輔助開發某一類應用軟件的相關文檔、范例和工

98、具的集合）收集個人信息前需要對第三方 SDK 進行安全性評估，不僅如此，SDK 提供者在發布上線前，也應進行安全評估。個人信息安全規范第 9.7 條、網絡安全標準實踐指南移動互聯網應用段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版46/156程序（App）使用軟件開發工具包（SDK）安全指引53第 5.2 條、第 5.3 條。(10)情景情景 10:向第三方轉移兒童個人信息向第三方轉移兒童個人信息網絡運營者向第三方轉移兒童個人信息的，應當自行或者委托第三方機構進行安全評估。兒童個人信息網絡保護規定54第 17 條。個人信息安全影響評估的價值個人信息安全影響評估的價值個信法現已將個人信息

99、保護影響評估制度作為一項強制性義務，若觸發個人信息安全影響評估卻未進行，個人信息處理者將面臨最高可達五千萬元以下或者上一年度營業額百分之五以下罰款（詳見“問題 12：違規處理數據，需要承擔哪些法律責任？”）；通過評估，有助于企業規范日常經營管理活動、減少管理和合規成本、樹立企業有助于企業規范日常經營管理活動、減少管理和合規成本、樹立企業形象形象，并且可以在發生個人信息安全事件后，企業“自證清白”。（詳見本團隊文章個人信息安全影響評估“自證清白”第一步（上）個人信息安全影響評估“自證清白”第一步（下）53發布機構：全國信息安全標準化技術委員會；2020.11.27 發布54發布機構：網信辦；20

100、19.08.22 發布；2019.10.01 施行段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版47/156問題問題 12：違規處理數據，需要承擔哪些法律責任？：違規處理數據，需要承擔哪些法律責任？實際上，根據數據違規行為的不同適用場景，企業所面臨的法律責任也不盡相同。在這里，我們根據個信法 數安法及網安法的規定，通過思維導圖的方式，厘清在不同數據違規場景下，將面臨何種法律責任：(1)刑事責任圖圖 6 數據違規行為之刑事責任數據違規行為之刑事責任段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版48/156(2)行政及民事責任圖圖 7 數據違規行為之行政及民事責任數據違規行為之行政

101、及民事責任段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版49/156三、三、IPO 數據合規核心數據合規核心 40 問問數據合規不過關，將直接成為申請上市的實質性障礙。某人工智能及大數據科技企業在 IPO 過程中因數據處理合規性問題受到上市審核機構的三輪問詢，一路問至數據科技倫理等終極問題?？梢哉f以數據處理為核心價值的企業，如若能在早期關注、規劃并構建數據合規體系，將為后續 IPO 奠定堅實的基礎。對此，我們結合數據處理的全生命周期（如下圖所示），梳理、分析上市過程中上市審核機構的問詢問題，總結 IPO 過程中有關數據合規的 40 個核心問題，并結合一線項目實戰經驗凝練、提取合規要點，

102、幫助擬上市企業厘清重點，做到心中有“數”。圖圖 8 數據處理全生命周期圖數據處理全生命周期圖段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版50/156(一一)數據收集合規數據收集合規 6 問問通過分析上市審核機構披露的各擬上市企業接受的數據相關問詢內容可知，在數據收集環節，審核機構的核心關注點在于：(1)數據來源的合規性數據來源的合規性；實踐中數據常見的獲取方式如下圖所示，對應暗藏的數據合規風險點詳見本團隊文章APP 個人信息采集侵權風險要點識別（上篇）基于審判案例的分析APP 個人信息采集侵權風險要點識別（下篇）基于審判案例的分析：圖圖 9 企業數據來源圖企業數據來源圖(2)數據獲取

103、方式的合規性數據獲取方式的合規性（包括第三方數據來源合規）；(3)是否建立相應機制保障第三方數據的合法合規性是否建立相應機制保障第三方數據的合法合規性。關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容數據來源中數智匯552020 年 8 月發行人是否存在因從互聯網違規采集信息從互聯網違規采集信息而受到主管當局處罰、信息主體投訴或訴訟等糾紛事項。木瓜移動562020 年 11 月補充披露發行人業務活動中使用數據及獲取數據的基本情況獲取數據的基本情況，包括但不限于數據來源、途徑、所有權方數據來源、途徑、所有權方、存儲位置、運用環節。55關于北京中數智匯科技股份有限公司首次公開發行股票并在

104、科創板上市申請文件審核問詢函的回復56北京市康達律師事務所關于北京木瓜移動科技股份有限公司首次公開發行股票并在創業板上市的補充法律意見書（一）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版51/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容微眾信科572020 年 12 月發行人及發行人的數據供應商數據供應商從事數據服務是否需要取得特殊資質、許可或備案，當前數據服務行業(提供商)的相關主要監管規定；發行人當前從事數據交易是否要求數據提供方說明數據來源說明數據來源，并留存審核、交易記錄等內控機制。華夏電通582023 年 11 月請發行人說明公司是否存在對外采購原料數據

105、的情形，如是，請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性。天演維真592024 年 4 月結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，如是，請補充披露相關信息或數據來源及使用的合法合規性請補充披露相關信息或數據來源及使用的合法合規性、風險控制制度及執行情況，是否存在因泄露或使用前述信息或數據產生的糾紛或處罰。兆信股份602024 年 6 月結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在收集、存儲

106、、傳輸、處理、使用客戶數據或個人信息的情形，如是，請補充披露相關信息或數據來源及使用的合法合規性、風險控制制度及執行情況，是否存在因泄露或使用前述信息或數據產生的糾紛或處罰。獲取方式微眾信科612020 年 12 月發行人自行采集數據采用的技術，內容是否合法合規，程序是否正當自行采集數據采用的技術，內容是否合法合規，程序是否正當；是否存在采用特殊互聯網手段（或技術）采集法律法規規定不屬于公開的社會信息或需要特殊許可等前置程序方可獲取數據的情形是否存在采用特殊互聯網手段（或技術）采集法律法規規定不屬于公開的社會信息或需要特殊許可等前置程序方可獲取數據的情形；發行人采集需要信息主體授權方能獲取的信

107、息（包括納稅）等獲得授權的具體實現方式發行人采集需要信息主體授權方能獲取的信息（包括納稅）等獲得授權的具體實現方式。合合信息62自動化訪問獲取的企業數據確保來源合法性自動化訪問獲取的企業數據確保來源合法性的具體方式。57關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告58關于北京華夏電通科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復59關于浙江天演維真網絡科技股份有限公司公開發行股票并在北交所上市申報文件的審核問詢函的回復60關于北京兆信信息技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易

108、所上市申請文件的審核問詢函的回復61關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告62關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版52/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容2022 年 9 月麥馳物聯632023 年 5 月說明業主是否有權利拒絕發行人收集相關數據，如拒絕，是否影響業主正常出入小區等合法權益，相關約定是否實際具有強制性。天演維真642024 年 4 月結合公司研發模式、產品功能、大數據和人工智能等技術在公

109、司產品中應用情況等，說明公司是否存在對外采購原料數據的情形，如是，請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性，發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制，發行人及其原料數據采集供應商是否存在超出上述限制使用數據的情形，是否存在數據內容侵犯個人隱私或其他合法權益的風險。兆信股份652024 年 6 月結合公司研發模式、產品功能、大數據和人工智能等技術在公司產品中應用情況等，說明公司是否存在對外采購原料數據的情形，如是，請進一步說明發行人請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性及

110、其原料數據采集供應商相關數據的獲取方式及其合規性，發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制，發行人及其原料數據采集供應商是否存在超出上述限制使用數據的情形，是否存在數據內容侵犯個人隱私或其他合法權益的風險。內部機制中數智匯662020 年 10 月發行人向供應商采購的數據其來源是否合法合規，發行人是否有相應機制保障供應商提供數據的合法合規性是否有相應機制保障供應商提供數據的合法合規性。表表 7 數據收集合規相關問詢數據收集合規相關問詢63關于深圳市麥馳物聯股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復64

111、關于浙江天演維真網絡科技股份有限公司公開發行股票并在北交所上市申報文件的審核問詢函的回復65關于北京兆信信息技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復66關于北京中數智匯科技股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版53/156問題問題 13：更新更新直接從用戶獲得數據，需要關注什么？直接從用戶獲得數據，需要關注什么？處理個人信息，應當具備個信法規定的合法性基礎。根據個信法，除下列情形外，直接從用戶獲得數據，需要以“告知”用戶并取得用戶“同意”為前提（特殊情形下還需

112、要獲得用戶的“單獨同意”，詳見本團隊文章平臺處理個人數據需要取得“單獨同意”的情形）。除下列情形外：(1)為訂立、履行個人作為一方當事人的合同所必需，或者按照依法制定的勞動規章制度和依法簽訂的集體合同實施人力資源管理所必需；(2)為履行法定職責或者法定義務所必需；(3)為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需；(4)為公共利益實施新聞報道、輿論監督等行為，在合理的范圍內處理個人信息；(5)依照個信法規定在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息；(6)法律、行政法規規定的其他情形?？梢?，無需用戶同意的情形在一般業務開展中難以直接適用，“告知

113、告知-同意同意”則成則成為企業直接獲取用戶數據最為常見的合法性基礎為企業直接獲取用戶數據最為常見的合法性基礎。具體而言，應“以顯著方式、以顯著方式、清晰易懂的語言清晰易懂的語言”告知，并取得個人在“充分知情充分知情”、“自愿自愿”、“明確明確”的前提下作出的同意。利用文字和 UI 界面設計誘導用戶作出同意的“黑模式黑模式”（Dark Pattern）67，如利用 APP 界面上的字體顏色、大小，來影響用戶作出知情、自愿給出的同意，并不滿足個信法的要求，將面臨侵犯用戶個人信息權益的法律風險?！案嬷?同意”規則詳細如下圖所示：67根據歐盟數據保護委員會（EDPB）于 2022 年 3 月發布的 G

114、uidelines 3/2022 on Dark patterns in social mediaplatform interfaces:How to recognise and avoid them，黑模式是指一種產品設計模式，其目的是通過軟件界面（interface）及用戶體驗（user experiences）致使用戶對其個人數據作出無意識、非自愿且可能有害的決定段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版54/156圖圖 10“告知告知-同意同意”規則合規要點規則合規要點同時，根據網絡數據安全管理條例第二十二條的規定，網絡數據處理者基于段和段高亞平律師團隊企業上市數據合規白皮

115、書 3.0 版55/156個人同意處理個人信息的，應當遵守下列規定：（一）收集個人信息為提供產品或者服務所必需，不得超范圍收集個人信息，不得通過誤導、欺詐、脅迫等方式取得個人同意；（二）處理生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等敏感個人信息的，應當取得個人的單獨同意；（三）處理不滿十四周歲未成年人個人信息的，應當取得未成年人的父母或者其他監護人的同意；（四）不得超出個人同意的個人信息處理目的、方式、種類、保存期限處理個人信息；（五）不得在個人明確表示不同意處理其個人信息后，頻繁征求同意；（六）個人信息的處理目的、方式、種類發生變更的，應當重新取得個人同意。法律、行政法規規

116、定處理敏感個人信息應當取得書面同意的，從其規定。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版56/156問題問題 14：更新更新爬取第三方企業數據，是否會構成不正當競爭行為？爬取第三方企業數據，是否會構成不正當競爭行為？爬蟲系一種高效數據收集方式，深受青睞。然而，技術中立，法律有界。爬蟲行為若不加以規制，則有可能侵犯第三方的合法權益，或面臨刑事上的侵犯公民個人信息罪、非法侵入計算機系統罪等入罪風險，或面臨民事上的不正當競爭等風險（詳見本團隊文章一文讀懂個人信息爬蟲技術合規風險基于爬蟲相關侵權案件的梳理）。從披露的法院案例數量分析，以爬取第三方企業的數據構成不正當競爭案件數量占大多數。

117、因此，我們就爬取行為是否會面臨不正當競爭的法律風險，梳理如下：法律規制法律規制當前我國關于爬蟲行為的反不正當競爭法規制，具體如下表所示要點法條內容不正當競爭行為類型一般不正當競爭行為反不正當競爭法法條內容不正當競爭行為類型一般不正當競爭行為反不正當競爭法68第二條第二條：本法所稱的不正當競爭行為，是指經營者在生產經營活動中，違反本法規定，擾亂市場競爭秩序，損害其他經營者或者消費者的合法權益的行為。特殊不正當競爭行為反不正當競爭法第十二條：特殊不正當競爭行為反不正當競爭法第十二條：經營者利用網絡從事生產經營活動，應當遵守本法的各項規定。經營者不得利用技術手段，通過影響用戶選擇或者其他方式，實施下

118、列妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為：（一）未經其他經營者同意，在其合法提供的網絡產品或者服務中，插入鏈接、強制進行目標跳轉；（二）誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網絡產品或者服務；（三）惡意對其他經營者合法提供的網絡產品或者服務實施不兼容；（四）其他妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為。68發布機構：全國人大常委會；2019.04.23 發布；2019.04.23 施行段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版57/156要點法條內容網絡反不正當競爭暫行規定法條內容網絡反不正當競爭暫行規定69第十九條第十九

119、條：經營者不得利用技術手段，非法獲取、使用其他經營者合法持有的數據，妨礙、破壞其他經營者合法提供的網絡產品或者服務的正常運行，擾亂市場公平競爭秩序。網絡反不正當競爭暫行規定第二十六條網絡反不正當競爭暫行規定第二十六條：判定構成妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行，可以綜合考慮下列因素：（一）其他經營者合法提供的網絡產品或者服務是否無法正常使用；（二）其他經營者合法提供的網絡產品或者服務是否無法正常下載、安裝、更新或者卸載；（三）其他經營者合法提供的網絡產品或者服務成本是否不合理增加；（四）其他經營者合法提供的網絡產品或者服務的用戶或者訪問量是否不合理減少；（五）用戶合法利益是

120、否遭受損失，或者用戶體驗和滿意度是否下降；（六）行為頻次、持續時間；（七）行為影響的地域范圍、時間范圍等；（八）是否利用其他經營者的網絡產品或者服務牟取不正當利益。法律責任民事責任反不正當競爭法第十七條法律責任民事責任反不正當競爭法第十七條：經營者違反本法規定，給他人造成損害的，應當依法承擔民事責任。經營者的合法權益受到不正當競爭行為損害的，可以向人民法院提起訴訟。因不正當競爭行為受到損害的經營者的賠償數額，按照其因被侵權所受到的實際損失確定；實際損失難以計算的，按照侵權人因侵權所獲得的利益確定。行政責任反不正當競爭法第二十四條行政責任反不正當競爭法第二十四條：經營者違反本法第十二條規定妨礙、

121、破壞其他經營者合法提供的網絡產品或者服務正常運行的，由監督檢查部門責令停止違法行為，處十萬元以上五十萬元以下的罰款；情節嚴重的，處五十萬元以上三百萬元以下的罰款。69發布機構：國家市場監督管理總局；2024.05.06 發布；2024.09.01 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版58/156要點法條內容網絡反不正當競爭暫行規定第三十七條法條內容網絡反不正當競爭暫行規定第三十七條：經營者違反本規定第十二條至第二十三條，妨害、破壞其他經營者合法提供的網絡產品或者服務正常運行的，由市場監督管理部門依照反不正當競爭法第二十四條的規定處罰。表表 8 爬蟲行為反不正當競爭法規制要

122、點爬蟲行為反不正當競爭法規制要點判定維度判定維度我們以“爬蟲”等關鍵詞在中國裁判文書網檢索并篩選出 9 例70涉不正當競爭糾紛案件，經梳理后發現，這類案件的爭議焦點主要集中于以下三個方面：涉案雙方是否構成競爭關系、涉案行為是否構成不正當競爭以及賠償額如何確定。具體分析總結如下圖所示：圖圖 11爬蟲不正當競爭之判定維度爬蟲不正當競爭之判定維度(一一)競爭關系的認定競爭關系的認定法院在判斷爬蟲行為是否構成不正當競爭時，首先會分析涉案雙方之間是否構成競爭關系?，F有司法實踐均未局限于涉案雙方是否構成在整體業務模式上構成同業競爭，而是聚焦于爬蟲行為所涉及的雙方之間的產品或服務是否有替代關系爬蟲行為所涉及

123、的雙方之間的產品或服務是否有替代關系。除此之外，若該爬取數據并使用的行為導致對其他經營者利益造成損害的可能性，70(2020)粵 0104 民初 46873 號；(2021)浙 8601 民初 309 號；(2017)京 0108 民初 24512 號；(2019)京 73民終 2799 號；(2016)京 73 民終 588 號；(2019)京 73 民終 3789 號；(2019)浙 0108 民初 5049 號；(2021)京民終 281 號；(2020)粵 0104 民初 46873 號段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版59/156且其同時會基于該行為獲得現實或潛在

124、的經濟利益，構成構成“此消彼長此消彼長”的關系，亦的關系，亦可能被法院判定為構成可能被法院判定為構成“競爭關系競爭關系”。(二二)不正當競爭行為的認定不正當競爭行為的認定1.反不正當競爭法具體條款的適用在判定具體爬蟲行為是否構成不正當競爭行為前，需要先明確判斷標準：爬蟲行為是屬于反不正當競爭法第十二條規定的特殊不正當競爭行為；還是適用第二條規定的一般兜底條款進行判定。2.爬取行為是否具備不正當性的判定維度(1)特殊不正當競爭行為部分案件在審查爬蟲行為是否構成特殊不正當競爭行為時，會從爬取的是否為公開數據、爬取公開/非公開數據的行為是否正當來進行判斷；部分案件在審查時，還會結合反不正當競爭法第二

125、條進行考慮，即額外考慮該爬蟲行為是否有違誠實信用原則、屬于技術創新的公平競爭、是否有違競爭者自由競爭利益、消費者自主決策權利及社會公共利益等。(2)一般不正當競爭行為當爬蟲行為被認定為可能構成一般不正當競爭行為時，部分法院聚焦于被爬取方是否因不正當競爭行為受到損害；而部分法院則考慮該不正當競爭是否侵害其他經營者的合法權益、違反市場競爭秩序及侵犯消費者的合法權益。(三三)賠償額的認定賠償額的認定一旦爬蟲行為被認定為構成不正當競爭行為，爬取方所應承擔的賠償責任成為案件焦點。賠償額一般包括經濟損失及合理支出，具體數額則往往取決于法院的酌定考量。對于經濟損失，被爬取方需提供證據證明其因此所遭受的實際損

126、失或爬取方的非法獲利，但在絕大多數案件中，涉案雙方很難向法院提交充分證據證明損失或獲段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版60/156利，因此法院往往還會綜合被爬方的公證費、律師費等合理支出，酌情予以確定。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版61/156問題問題 15：如何避免爬蟲被認定構成不正當競爭行為？：如何避免爬蟲被認定構成不正當競爭行為？從“問題 14：爬取第三方企業數據，是否構成不正當競爭行為？”可知，法院認定爬蟲行為是否構成不正當競爭首要條件是判斷雙方是否具有競爭關系，而基于互聯網公司的特性，法院在認定雙方是否構成競爭關系時并不局限于同業競爭，只要

127、在某一范圍內用戶出現重合，法院即傾向于認定雙方存在競爭利益。我們以“爬蟲”、“不正當競爭”為關鍵詞在中國裁判文書網進行檢索，共篩選出近十年（2011-2022）發生的 12 起典型案例71，發現爬取方勝訴的僅 2 起。因此，我們建議，若采用爬蟲方式獲取數據，應注意以下幾點，以避免被認定構成不正當競爭行為：(1)合規評估合規評估：建議建立第三方審查制度，與專業的中立機構（如律師事務所、專業咨詢機構等）合作，在爬取數據前結合爬取目的、性質、方式、頻率等方面進行評估。(2)合法獲取合法獲?。?a)依法申請依法申請：就政府公共數據而言，對于有條件開放的公共數據，應當根據當地公共數據開放的具體流程，依法

128、向有關部門提交申請；(b)協議許可協議許可：遵守被爬取方的 Robots 協議，如若面對不合理的 Robots 協議，可以嘗試走“協商-通知”路徑（詳見本團隊文章爬蟲之責：反不正當競爭案中的勝訴機會在哪里？（上篇）爬蟲之責：反不正當競爭案中的勝訴機會在哪里？（下篇）；(c)三重授權三重授權：如爬取數據涉及用戶的個人信息，建議遵守“用戶授權平臺+平臺授權爬取方+用戶授權爬取方”的三重授權原則進行抓取。(3)合理限度合理限度：抓取數據需要在合理限度內，不能對服務器造成壓力；(4)合法使用合法使用：抓取數據涉及個人信息的，建議遵循個信法規定的公開個人信息處理規則，對于個人明確提出拒絕的，應當及時撤回

129、或刪除相關個人信71（2021）浙 0110 民初 2914 號；（2017）京 0108 民初 24510 號；（2016）滬 73 民終 242 號；（2011）中民終字第 7512 號案例；(2019)京 73 民終 3789 號；(2016)京 73 民終 588 號；(2017)京 0108 民初 24512 號；(2021)浙 8601 民初 309 號；(2013)一中民初字第 2668 號；(2021)浙 8601 民初 309 號；(2019)浙 0108 民初 5049 號；(2015)浦民三(知)初字第 143 號段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版62

130、/156息；若處理已公開的個人信息，對個人權益有重大影響的，還應當取得個人同意。(5)呈現形式呈現形式：在爬取數據的呈現形式上，建議明確顯示數據來源，并考慮設置跳轉鏈接等不影響被爬取方平臺正常經營活動的形式。如在前錦網絡信息技術(上海)有限公司（下稱“前錦公司”，前程無憂網站運營主體）與上海逸橙信息科技有限公司（下稱“逸橙公司”）其他不正當競爭糾紛一案72中，逸橙公司向用戶提供關聯前程無憂網站賬號的功能，并通過該賬號在前程無憂網站下載簡歷，保存在自身服務器中并在日常經營中使用。法院認定，逸橙公司提供的是關聯、并同步企業用戶已獲得的簡歷的功能，企業用戶如需購買簡歷、發布職位信息等，仍需登錄前錦公

131、司網站完成，因此該功能給前錦公司流量造成的損失有限，尚未達到需要司法救濟的程度，最終認定不構成不正當競爭。72(2019)滬 73 民終 263 號段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版63/156問題問題 16：爬取政府公共數據，需要關注什么？：爬取政府公共數據，需要關注什么？在“數字政務”的時代下，相關政府部門掌握著大量的公共數據。為了最大限度地釋放公共數據的價值，打破“數據孤島”的困境，上海、浙江、江蘇、深圳等地紛紛出臺專門面向公共數據領域的法律規范，有序開放、共享公共數據，鼓勵第三方深化對公共數據的挖掘利用。但是目前可見的數據利用方式，通常依托政府自身搭建的數據服務中心

132、或服務平臺。因此對于未開放或者有條件開放的公共數據，如果利用爬蟲技術避開或者突破計算機信息系統的安全保護措施，未經授權或者超越授權獲取前述數據的，根據計算機信息系統的類型不同，將可能構成下述刑事犯罪：計算機信息系統類型非法行為適用罪名計算機信息系統類型非法行為適用罪名國家事務、國防建設、尖端科學技術領域以內以內的計算機信息系統違反國家規定侵入。非法侵入計算機信息系統罪國家事務、國防建設、尖端科學技術領域以外以外的計算機信息系統違反國家規定侵入或者采用其他技術手段：(1)獲取系統中存儲、處理或傳輸的數據，情節嚴重的；非法獲取計算機信息系統數據罪(2)對該系統實施非法控制，情節嚴重的。非法控制計算

133、機信息系統罪計算機信息系統(1)提供專門用于侵入、非法控制系統的程序、工具，情節嚴重的，或者；(2)明知他人實施侵入、非法控制系統的犯罪行為而為其提供程序、工具，情節嚴重的。提供侵入、非法控制計算機信息系統程序、工具罪(1)違反國家規定對系統功能進行刪除、修改、增加、干擾，造成其不能正常運行，后果嚴重的；(2)違反國家規定對系統中存儲、處理或者傳輸的數據和破壞計算機信息系統罪段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版64/156計算機信息系統類型非法行為適用罪名計算機信息系統類型非法行為適用罪名應用程序進行刪除、修改、增加的操作，后果嚴重的。表表 9 爬取政府公共數據相關刑事風險爬

134、取政府公共數據相關刑事風險除此之外，即使是依法合規地獲取公開數據，也不意味著可以隨心所欲地使用。建議從下述維度完善合規使用流程和制度：(1)保障個人拒絕權保障個人拒絕權：根據個信法規定，個人信息處理者可以在合理的范圍內處理個人自行公開或者其他已經合法公開的個人信息，但個人明確拒絕的除外但個人明確拒絕的除外。對于公開數據的獲取，應向個人提供便于拒絕的通道，保障個人信息主體的拒絕權。(2)評估影響度評估影響度：根據個信法規定，個人信息處理者處理已公開的個人信息，對個人權益對個人權益有重大影響的，應當取得個人同意有重大影響的，應當取得個人同意。為防止處理的個人信息對個人權益造成重大影響而應當事前取得

135、個人同意，建議在獲取公開數據前評估對于個人權益可能造成的影響，并保存評估記錄。(3)評估與監測正當性評估與監測正當性：為預防前述法律風險，建議事前評估所采取的技術措施是否具有正當性，并重視事中監測，定期進行檢測與復盤，包括但不限于：(a)被采集網站是否具備 Robots 協議或公示條款限制自動化采集；(b)被采集網站是否具備自動化采集限制措施；(c)自動化采集數量及頻率是否影響采集對象網站的正常運行；(d)自身自動化采集技術能否確保不刪除、不篡改、不破壞被采集網站數據，不存在釣魚鏈接、木馬程序、植入后門等可能干擾被采集網站的情形等。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版65/1

136、56問題問題 17：直接從第三方采購數據，需要關注什么？：直接從第三方采購數據，需要關注什么？若從第三方采購數據，上市審核機構會特別關注數據供應商是否具備相關資質、其提供數據行為是否合法等問題。對此，我們建議通過以下方式，針對數據供應商建立審核評價機制以及證據鏈留存機制：(1)資質有效資質有效：確認數據供應商的數據提供行為是否需要具備相應資質（包含數據安全相關資質（如 ISO27001 信息安全體系認證、網絡安全等級保護三級認證等，如涉及征信業務的，還應取得征信資質，詳見“問題 10：提供數據服務是否需要相關資質、許可、認證及備案？”），并要求其承諾在數據供應過程中保證資質持續有效；(2)來源

137、合規來源合規：數據主體的有效授權數據主體的有效授權：通過要求數據供應商出示數據主體的授權許可文件及要求其簽署承諾函等方式，保障數據來源合規采集；特殊數據的保護要求：特殊數據的保護要求：如重要數據處理者應當采購可信的產品或服務，并且交易重要數據時，應盡量取得相關主管部門的許可；采購敏感個人信息、兒童個人信息時，應注意進行個人信息安全影響評估；采購境外數據：采購境外數據：若涉及到采購境外數據，可要求數據供應商出具出售境外數據不違背境外法律法規的承諾函；(3)責任明確責任明確：明確需要數據供應商提供的數據范圍，包括但不限于數據主體范圍、數據類別（如個人信息/敏感個人信息/重要數據等）、采購數量等，并

138、通過協議明確約定數據范圍以及雙方的權利義務。同時，針對可能發生的數據安全糾紛事件，設定好責任承擔及糾紛解決機制；(4)證據留存證據留存：建立證據留存機制，保留數據采購全流程的書面記錄。當后續發生數據泄露等事件時，有助于“自證清白”。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版66/156問題問題 18：如何建立數據收集環節的內控制度？：如何建立數據收集環節的內控制度？數據收集環節為整個數據處理流程的初始階段，建立有效的內控制度是防止防止“出出師不利師不利”的有效手段。實踐中，上市審核機構亦會重點關注擬上市企業在數據收集環節建立的內控制度（擬上市企業整體數據安全內部管理制度的構建，詳見

139、本文“問題 54：如何建立數據安全內部管理制度？”）。對此，我們建議結合數據收集的對象與方式，建立對應風險防范內控制度：(1)數據收集記錄制度數據收集記錄制度；(2)自動化訪問影響度評估制度自動化訪問影響度評估制度；(3)自動化訪問正當性評估制度自動化訪問正當性評估制度；(4)自動化訪問定期檢測制度自動化訪問定期檢測制度；(5)第三方數據供應商準入與篩選制度第三方數據供應商準入與篩選制度；(6)第三方數據供應商評價與追責制度第三方數據供應商評價與追責制度；(7)數據主體權益保障與糾紛解決機制數據主體權益保障與糾紛解決機制等。其中以數據收集記錄制度數據收集記錄制度為例，建立有效的數據收集記錄制度

140、，應涵蓋記錄主體、記錄方式、記錄內容、記錄周期、檢查機制等必要內容。針對數據收集記錄的內容，應包含數據獲取方式、數據來源主體信息（含其數據安全負責人/個人信息保護負責人姓名及聯系方式）、數據收集內容、擬使用目的、采取的安全保障措施等。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版67/156(二二)數據使用合規數據使用合規 15 問問通過分析各擬上市企業披露的問詢函可知，在數據使用合規環節，上市審核機構核心關注以下六點：(1)是否超出相應的授權范圍使用數據？(2)數據使用過程中是否侵犯個人隱私或其他合法權益？(3)使用數據進行商業化變現是否合理？是否存在違規使用數據牟利行為？(4)算法

141、技術的使用是否合規？(5)是否涉及科技倫理等敏感領域？(6)個人信息處理者與受托人的合作機制？關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容數據使用螞蟻集團732020 年 9 月對于業務開展過程中獲取的海量數據如何進行管理和運用，是否存在侵犯其他方數據隱私的情況是否存在侵犯其他方數據隱私的情況，是否履行了與其他方關于數據安全的約定，對于數據的獲取、管理和使用是否合法合規管理和使用是否合法合規。微眾信科742020 年 12 月發行人是否存在超出法律規定、信息主體授權的范圍和目的存在超出法律規定、信息主體授權的范圍和目的收集信息、向客戶提供數據的情形，是否在法律、行政法規規定的范圍

142、內履行必要的限度原則是否在法律、行政法規規定的范圍內履行必要的限度原則采集和運用信息運用信息。墨跡天氣752019 年 10 月發行人通過自主收集及第三方途徑獲取用戶數據及標簽，并利用數據進行商業化變現，發行人于 2019 年 7 月 16 日收到APP 專項治理組發出的關于 APP 收集使用個人信息相關問題的通知，APP 專項治理工作組要求發行人就收集使用個人信息中存在的問題進行整改。請發行人代表說明：（2）發行人使用用戶數據是否合法合規，尤其是商業化變現的合規性發行人使用用戶數據是否合法合規，尤其是商業化變現的合規性，結合相關媒體報道的墨跡天氣上傳用戶隱私等情況，對照網安法 關于辦理侵犯公

143、民個人信息刑事案件適用法律若干問題的解釋等法規和司法解釋，說明報告期發行人是否存在侵犯用戶隱私或數據的的情況，是否存在法律風73上海市方達律師事務所關于螞蟻科技集團股份有限公司首次公開發行人民幣普通股（A 股）股票并在科創板上市的補充法律意見書74關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告75證監會第十八屆發審委 2019 年第 142 次會議審核結果公告段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版68/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容險或潛在法律風險合合信息762023 年 6 月發行人關于獲取、存儲

144、、使用數據的相關制度規范的制定時間、主要內容、執行情況，是否能夠有效保障數據安全及業務合法合規睿聯技術772023 年 9 月是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為，是否存在侵犯個人隱私、商業秘密或其他侵權方面的情形。宇谷科技782023 年 11 月是否存在利用獲取、保管的用戶、客戶數據開展商業用途開展商業用途的情形。思迅軟件792023 年 9 月說明公司支付技術服務業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，如是，請說明是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為，相關信息或數據獲取及使用的合法合規性、

145、風險控制制度及執行情況以及是否存在受到行政處罰的法律風險。兆訊科技802024 年 1 月發行人業務開展過程中，是否涉及相關信息數據的采集、獲取、使用、存儲、管理等環節，是否符合數據安全、信息管理相關法律法規的規定。欣諾通信812024 年 1 月發行人產品研發、生產、銷售及使用過程中涉及到的數據采集、處理、使用等情況及其合規性，數據內容是否涉及個人隱私或涉密信息，是否獲得相關數據主體或主管部門的明確授權許可，是否存在使用范圍、主體或期限等方面的限制，發行人是否存在超出上述限制使用數據的情形。發行人是否存在獲取、使用相關數據時侵犯個人隱私或其他合法權益的情形，發行人為維護數據安全所采取的措施，

146、是否發生過泄密行為或受到相關行政處罰。76關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回復77關于深圳市睿聯技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復78北京市通商律師事務所關于杭州宇谷科技股份有限公司 首次公開發行股票并在創業板上市之補充法律意見書（二）79關于深圳市思迅軟件股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復80關于兆訊恒達科技股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復81北京市君澤君律師事務所關于 上海欣諾通信技術股份有限公司 首次公開發行股票并在科創板上市 之補

147、充法律意見書（一）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版69/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容算法服務杭州小影822022 年 2 月結合關于加強互聯網信息服務算法綜合治理的指導意見的精神分析說明發行人產品所使用算法的發展趨勢，前述指導意見 規定的發展方向安全治理規則等對發行人技術研發、核心技術在產品或服務中的運用擬產生的影響，如有必要，請在招股說明書中細化提示相關產業政策、治理目標對發行人產品方向和業務內容產生影響的風險。木倉科技832022 年 6 月請說明信息推送、交易推薦、提供算法推薦服務、用戶權益保護等內容是否符合互聯網信息服務算法薦管

148、理規定。請說明公司駕考寶典 APP 在 360 手機助手應用上涉及“強制用戶使用定向推送功能”等問題的整改情況。卓越睿新842024 年 12 月我們或第三方無論是實際或被認為、有意或無意造成的任何AI 技術缺陷或濫用，均可能對我們的聲譽、業務、財務狀況、經營業績及前景產生重大不利影響。出門問問852024 年 4 月我們或其他第三方有意或無意地對 AI 技術的任何實際或已知濫用，均可能對我們的業務、經營業績、財務狀況及業務前景造成重大不利影響。我們已實施一系列措施防止我們 AI 技術的潛在濫用，包括在數據隱私及個人信息保護等各個方面實施內部控制機制及政策?？萍紓惱韸W比中光862022 年 4

149、 月結合自身技術特點，產品的應用場景，數據合規和科技倫理方面的法律法規、政策等，說明相關情況是否影響發行人下游行業的發展，進而影響發行人的持續經營能力；充分披露數據合規和科技倫理方面的法律法規、政策對發行人技術商業化帶來的不利影響。合合信息872022 年 9 月發行人是否涉及科技倫理敏感領域。82關于杭州小影創新科技股份有限公司首次公開發行股票并在創業板上市申請文件審核問詢函的回復83關于武漢木倉科技股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復84上海卓越睿新數碼科技股份有限公司招股章程85出門問問有限公司招股章程86關于對奧比中光科技集團股份有限公司首次公開發行股票

150、并在科創板上市發行注冊環節反饋意見落實函的回復87關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版70/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容個人信息處理者與受托人合作機制數聚智連882022 年 10 月進一步說明發行人可獲取、使用的數據具體類型、數量規模，與電商平臺、品牌方之間關于用戶個人數據使用的合作機制、權責劃分機制。數據準確性風險美康股份892024 年 1 月說明報告期內發行人是否存在產品內嵌數據不準確、存在謬誤、產品功能故障或存在應當提示用戶而未提示的情形及

151、相關具體情況，與客戶之間就上述情形下的合同約定情況，發行人可能承擔的法律風險及具體賠償責任。表表 10數據使用合規相關問詢數據使用合規相關問詢88關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復89關于四川美康醫藥軟件研究開發股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版71/156問題問題 19：未超范圍使用數據，如何證明？：未超范圍使用數據，如何證明？證明未超范圍使用數據，可按以下四個步驟走：(1)第一步：謹遵最小必要第一步：謹遵最小必要應謹遵最小必要原則，明確處理個人

152、信息的目的，并在實現處理目的的最小范圍內處理個人信息。最小必要的要求包括最小影響、直接關聯、最小類型、最小頻度、最小數量、最小權限、最短時間等維度（具體詳見本團隊文章 身份信息給不給？當“實名認證”遇到攔路虎：“最小必要原則”互聯網平臺“七步走”，從容應對）。(2)第二步：明示收集內容第二步：明示收集內容在明確最小必要范圍后，應在 隱私政策中明確列示所需收集的個人信息，并清楚告知用戶收集其個人信息后的使用目的是什么。(3)第三步：實現系統留痕第三步：實現系統留痕應嚴格按照隱私政策的規定范圍對用戶個人信息進行使用，并于系統中對用戶同意處理個人信息的記錄（如勾選同意隱私政策、點擊同意按鈕等）進行留

153、痕。(4)第四步：重新取得同意第四步：重新取得同意當個人信息的處理目的、處理方式和處理的個人信息種類發生變更時，應當重新取得個人同意。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版72/156問題問題 20：未侵犯個人隱私或其他合法權益，如何證明？：未侵犯個人隱私或其他合法權益，如何證明？個人信息往往與個人隱私權90、肖像權91等人格權益息息相關，但卻無法完全將其完全歸于個人信息權的范疇，具有獨立的保護路徑。因此，如需使用涉及個人肖像或隱私的個人信息，除了依據個信法要求保障個人信息主體權益外，亦需注意不可侵犯他人隱私權及肖像權。(1)個人隱私權、肖像權等人格權益個人隱私權、肖像權等人格

154、權益第一步：獲取明確授權并留痕記錄第一步：獲取明確授權并留痕記錄如使用的個人信息中包含用戶的肖像權、個人隱私權等相關權益的，應當以獲得其授權同意、主動提供配合并許可使用相關權益為前提，且不得采用欺詐、誘騙或強迫等方式誘導用戶。第二步：采取去標識化等安全措施第二步：采取去標識化等安全措施建議針對這類個人信息采取去標識化處理措施，以保障用戶個人的隱私權、肖像權等權益。(2)個人信息主體權利個人信息主體權利根據個信法的規定，個人對其個人信息處理享有知情決定權、限制處理權、查閱復制權、可攜帶權、更正補充權、刪除權、解釋說明權、拒絕權等權利，個人信息處理者應當建立便捷的個人行使權利的申請受理和處理機制。

155、因此，我們建議擬上市企業通過以下方式，保障個人信息主體權利：第一步：嚴格落實第一步：嚴格落實“告知告知-同意同意”原則原則個人信息處理者應按照“問題 13：直接從用戶獲得數據，需要關注什么？”的建議，通過隱私政策等協議文本或系統提示向用戶告知其擁有的個人信息主體權利，以及具體的行使方式。第二步：系統功能中設置便捷的個人信息主體權利使用方式第二步：系統功能中設置便捷的個人信息主體權利使用方式90民法典第一千零三十二條 自然人享有隱私權。任何組織或者個人不得以刺探、侵擾、泄露、公開等方式侵害他人的隱私權。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息91民法典第一千零一十

156、八條 自然人享有肖像權，有權依法制作、使用、公開或者許可他人使用自己的肖像。肖像是通過影像、雕塑、繪畫等方式在一定載體上所反映的特定自然人可以被識別的外部形象段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版73/156在向用戶告知個人信息主體權利后，系統設置亦應匹配隱私政策等協議中明確的個人信息主體權利行使路徑，而非僅僅停留在“紙面上的合規”，或存在系統設置與隱私政策中告知的路徑不一致等情形。同時，該系統功能設置應足夠便捷，建議從用戶點擊進入平臺至行使相應權利的步驟不大于 4 步。第三步：設置申訴、建議機制第三步：設置申訴、建議機制個人信息處理者可于隱私政策等協議文本以及系統功能設置中明

157、確個人信息權利行使的申訴、建議渠道，并及時反饋用戶需求，保障其權利行使。第四步：實現系統留痕第四步：實現系統留痕個人信息處理者可于平臺系統中對用戶同意處理個人信息的記錄、行使個人信息主體權利的功能及記錄、申訴建議渠道及用戶具體的反饋內容和處理進度等內容進行留痕。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版74/156問題問題 21：如何分清不同數據處理身份的責任和義務？：如何分清不同數據處理身份的責任和義務？數據處理過程中，通常會涉及到個人信息處理者（包含共同處理情形）個人信息處理者（包含共同處理情形）與受托人受托人兩個角色，角色定位不同代表著承擔的法定義務不同。具體如下表所示：序號

158、序號要點要點內容角色一個人信息處理者內容角色一個人信息處理者1-1概念概念指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。1-2核心義務我們根據個信法獨創梳理出核心義務我們根據個信法獨創梳理出“MACTOP”六大核心義務六大核心義務：(1)M（“Management”）：從系統資質、人員崗位設置及管理制度方面“自外而內”進行管理：(a)建立與個人信息保護相關的內部管理制度和管理規程；(b)落實個人信息保護負責人崗位設置；(c)申請獲得 ISO27001 信息安全管理體系認證、網絡安全等級保護等資質。(2)A（“Authorization”&“Assessment”）：(a)確定個

159、人信息處理的操作權限，根據業務流、個人信息流，授權不同部門、人員進行相應的處理；(b)定期進行合規審計，并依法履行個人信息保護影響評估義務，予以記錄與留痕。(3)C（“Category”）：對個人信息進行分類管理，根據不同類別賦予不同數據保護工具。如區分一般個人信息、敏感個人信息等類別給予不同維度的保護層級。(4)T（“Technology”）：采取相應的加密、去標識化等安全技術措施，來保護經分類和授權處理的個人信息。(5)O（“Organization”）：定期對從業人員進行安全教育和培訓。如通過簽署保密協議、進行背景調查、定期安全教育、定期培訓等方式，增強從業人員對于個人信息保護的合規意識

160、，亦可進一步明確內部涉段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版75/156序號序號要點要點內容內容及個人信息處理不同崗位職責和處罰機制。(6)P（“Plan”）：建立個人信息安全事件應急預案并定期組織相關人員進行演練，履行個人信息泄露通知、補救等各項義務與流程，明確各主體責任。角色二受托人角色二受托人2-1概念概念受個人信息處理者的委托處理個人信息的主體。2-2核心義務核心義務(1)應當按照約定處理個人信息，不得超出約定的處理目的、處應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息理方式等處理個人信息；(2)委托合同不生效、無效、被撤銷或者終止的，應當將個

161、人信息返還個人信息處理者或者予以刪除，不得保留；(3)未經個人信息處理者同意，受托人不得轉委托不得轉委托他人處理個人信息；(4)受托人應當采取必要措施保障所處理的個人信息的安全采取必要措施保障所處理的個人信息的安全，并協助個人信息處理者履行個信法規定的義務協助個人信息處理者履行個信法規定的義務。表表 11個人信息處理者與受托人的主要區別個人信息處理者與受托人的主要區別段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版76/156問題問題 22：委托他人處理個人信息，應該怎么做？：委托他人處理個人信息，應該怎么做？在數聚智連上市審核過程中，上市審核機構已經開始關注個人信息處理者與受托人關于個

162、人信息處理合作機制與權責分擔的問題，因此，建議擬上市企業在委托他人處理個人信息時，通過以下步驟92，確保委托處理行為合規：(1)第一步：進行個人信息安全影響評估第一步：進行個人信息安全影響評估根據我國個信法明確要求，委托他人處理個人信息的，屬于個人信息安全影響評估的法定情形（詳見“問題 11：如何正確認知個人信息安全影響評估？”）。(2)第二步：明確具體的約定委托處理內容第二步：明確具體的約定委托處理內容個人信息處理者委托處理個人信息的，應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等內容。個人信息處理者還應注意，委托處理范圍不應超過個人信息主體授

163、權同意的范圍，除非屬于無需獲得同意的情形（詳見“問題 13：直接從用戶獲得數據，需要關注什么？”）。(3)第三步：對受托人處理行為進行監督第三步：對受托人處理行為進行監督個人信息處理者應對受托人的處理行為進行監督，方式包括通過合同等方式規定受托人的責任和義務、對受托人進行審計等。(4)第四步：準確及時記錄委托行為第四步：準確及時記錄委托行為個人信息處理者應準確并及時記錄和存儲委托處理個人信息的情況，包括受托人名稱、聯系方式、資質許可、委托處理目的、范圍、期限、處理方式、簽署的合同文本等內容。(5)第五步：及時采取補救措施第五步：及時采取補救措施若個人信息處理者發現受托人未按照委托要求處理個人信

164、息，或未能有效履行個人信息安全保護責任的，應立即要求受托人停止相關行為并采取有效補救措施，控制或消除個人信息面臨的安全風險。必要時個人信息處理者應終止與受托人的業務關系，并要求受托人及時刪除其獲得的個人信息。92參考個人信息安全規范段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版77/156問題問題 23：作為算法服務提供者，需要承擔哪些主體義務與責任？：作為算法服務提供者，需要承擔哪些主體義務與責任？算法，是為解決某個問題、完成某項任務或達到某種目的而采取的處理規則、運算指令、策略機制，體現為一種輔助人類決策或自主決策機制93。根據互聯網信息服務算法推薦管理規定94，算法服務提供者主體

165、義務及應當承擔的義務及法律責任如下圖所示：93算法治理藍皮書，中國信息通信研究院和新華網大數據中心著，2022 年 1 月出版94發文機構：網信辦；2021.12.31 日 發布；2022.03.01 施行段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版78/156圖圖 12算法服務提供者主體義務及責任要點梳理算法服務提供者主體義務及責任要點梳理段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版79/156問題問題 24：什么情況下需要進行算法備案？：什么情況下需要進行算法備案？根據互聯網信息服務算法推薦管理規定的要求，具有輿論屬性或者社會動員輿論屬性或者社會動員能力能力的算法推薦服

166、務提供者算法推薦服務提供者應當在提供服務之日起十個工作日內履行備案手續。算法推薦技術，是指利用生成合成類、個性化推送類、排序精選類、檢索過濾類、調度決策類等算法技術向用戶提供信息。根據互聯網信息服務深度合成管理規定第十九條，具有輿論屬性或者社會動員能力的深度合成服務提供者，應當按照互聯網信息服務算法推薦管理規定履行備案和變更、注銷備案手續。而根據具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定95，具有輿論屬性或社會動員能力的互聯網信息服務，包括下列情形：（一）開辦論壇、博客、微博客、聊天室、通訊群組、公眾賬號、短視頻、網絡聊天室、通訊群組、公眾賬號、短視頻、網絡直播、信息分享、小程序等

167、信息服務或者附設相應功能直播、信息分享、小程序等信息服務或者附設相應功能；（二）開辦提供公眾輿論表達渠道或者具有發動社會公眾從事特定活動能力的其他互聯網信息服務。符合上述規定的互聯網平臺，均應進行算法備案。95發布機構：網信辦、公安部；發布時間：2018.11.15；生效時間：2018.11.30段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版80/156問題問題 25：如何進行算法備案？：如何進行算法備案？根據 互聯網信息服務算法推薦管理規定 的要求，具體備案程序如下表所示（詳見本團隊文章算法之治：我的信息成了你的生意）：序號序號要點要點內容內容1應備案內容應備案內容應通過互聯網信息服

168、務算法備案系統填報服務提供者的名稱、服服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息。注：根據互聯網信息服務算法備案系統使用手冊，具體備案信息如下：注：根據互聯網信息服務算法備案系統使用手冊，具體備案信息如下：(1)算法基礎屬性信息：算法基礎屬性信息：包括算法類型、算法名稱、上線時間、應用領域、算法安全自評估報告、擬公示內容等；(2)算法詳細屬性信息：算法詳細屬性信息：包括算法簡介、使用場景、算法數據、算法模型、算法策略和算法風險與防范機制等信息；(3)產品及功能信息：產品及功能信息：產品信息：產品名稱、產

169、品的服務形式、訪問地址、服務狀態、服務對象、產品使用是否需要實名認證和前置許可、產品功能訪問路徑等；功能信息：功能名稱、功能介紹。2備案審查機構備案審查機構(1)審查主體審查主體：國家和省、自治區、直轄市網信部門；(2)備 案 方 式備 案 方 式：互 聯 網 信 息 服 務 算 法 備 案 系 統，https:/；(3)審查時間審查時間：收到備案材料后在三十個工作日內。3變更與終止變更與終止(1)備案信息變更備案信息變更：應當在變更之日起十個工作日內辦理變更手續；(2)終止提供服務終止提供服務：應當在終止服務之日起二十個工作日內辦理注銷備案手續，并作出妥善安排。4備案信息公示備案信息公示完成

170、備案的算法推薦服務提供者應當在其對外提供服務的網站、應當在其對外提供服務的網站、應用程序應用程序等的顯著位置顯著位置標明其備案編號并提供公示信息鏈接。5法律責任法律責任(1)應備案未備案應備案未備案法律、行政法規有規定的，依照其規定；法律、行政法規沒有規定的，由網信部門和電信、公安、市場監管等有關部門依據職責給予警告、通報批評，責令限期改正；拒不改正或者情節嚴重的，責令暫停信息更新，并處一萬元以上十萬元段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版81/156序號序號要點要點內容內容以下罰款。構成違反治安管理行為的，依法給予治安管理處罰；構成犯罪的，依法追究刑事責任。(2)備案瑕疵備案

171、瑕疵具有輿論屬性或者社會動員能力的算法推薦服務提供者通過隱瞞有關情況、提供虛假材料等不正當手段取得備案的，由國家和省、自治區、直轄市網信部門予以撤銷備案，給予警告、通報批評；情節嚴重的，責令暫停信息更新，并處一萬元以上十萬元以下罰款。表表 12算法備案流程算法備案流程段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版82/156問題問題 26：使用數據進行個性化推薦，需要注意什么？：使用數據進行個性化推薦，需要注意什么？個性化推薦屬于算法推薦中的一種典型形式，是商業變現場景中最為普遍的一種技術實現路徑。為了向用戶提供個性化的服務，不少擬上市企業會通過對數據進行分析、整理及自動化決策，以求更

172、精準地觸達用戶需求，同時能夠實現數據的商業化變現。因此上市審核機構也愈發重視個性化推薦功能的合規性，如木倉科技在上市審核過程中，就被問詢到其主要產品“駕考寶典”使用算法推薦服務是否符合互聯網信息服務算法推薦管理規定、被通報過的“強制用戶使用定向推送功能”整改情況。個人信息保護個人信息保護根據個信法的規定，針對自動化決策，企業可以采取以下兩個路徑：(1)為個人提供不針對個人特征不針對個人特征的選項；(2)為用戶提供便捷便捷的拒絕方式?；诖蟛糠制髽I難以割舍商業化利用用戶信息的資源稟賦，往往會選擇第二種路徑，給予用戶拒絕權，但在保障用戶的拒絕權上，便捷度與徹底度上盡顯“曖昧”態度，存在侵犯個人信息

173、主體權益的法律風險（詳見本團隊文章個性化推薦：頭部平臺割舍不下的“唐僧肉”）：圖圖 13自動化決策違規要點自動化決策違規要點9696截止至 2022 年 4 月段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版83/156對此，建議擬上市企業事先依法進行個人信息安全影響評估并對處理情況予以記錄（使用個人信息進行個性化推薦等自動化決策行為，屬于個信法規定的個人信息安全影響評估的法定觸發要件之一，因此擬上市企業必須進行評估），確?！坝弥卸取?，嵌入保障用戶各項合法權益的功能設計，暢通用戶權利響應通道，及時處理用戶的各項請求。算法推薦管理算法推薦管理同時，由于平臺向用戶提供的個性化推薦服務，屬于

174、以算法推薦技術提供互聯網信息服務，應當受到算法推薦管理規定的制約，承擔算法推薦服務提供者主體責任（詳見“問題 23：作為算法服務提供者，需要承擔哪些主體責任？”），若屬于具有輿論屬性或者社會動員能力的算法推薦服務提供者，還應進行算法備案（詳見“問題 24：什么情況下需要進行算法備案？”）。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版84/156問題問題 27：什么是互聯網服務深度合成技術？：什么是互聯網服務深度合成技術？深度合成技術，是指利用深度學習、虛擬現實等生成合成類算法制作文本、圖像、深度合成技術，是指利用深度學習、虛擬現實等生成合成類算法制作文本、圖像、音頻、視頻、虛擬場景等

175、網絡信息的技術音頻、視頻、虛擬場景等網絡信息的技術。2017 年，一位名叫“Deepfakes”的用戶在美國 Reddit 網站上分享了篡改人臉的色情視頻，將深度合成技術帶到了大眾面前97。隨后，深度合成技術強大的仿真能力引發了公眾對于金融詐騙、色情內容、個人隱私、商業詆毀等方面的擔憂。為加強我國深度合成技術管理，保護國家、社會和個人的合法權益，網信辦、工信部、公安部三部門聯合制定并發布了互聯網信息服務深度合成管理規定98（下稱管理規定），根據該管理規定及相關研究報告，深度合成技術類別及實踐案例包括但不限于：序號序號管理規定定義管理規定定義實踐案例實踐案例991篇章生成、文本風格轉換、問答對話

176、等生成或者編輯文本內容的技術2017 年底，清華大學發布了基于深度學習技術的詩歌寫作系統“九歌”2文本轉語音、語音轉換、語音屬性編輯等生成或者編輯語音內容的技術2019 年央視經典詠流傳，推出了 AI 小工具“讀詩成曲”。用戶僅需朗讀一段詩詞，就能聽到用自己聲音唱誦的經典詩詞唱段3音樂生成、場景聲編輯等生成或者編輯非語音內容的技術詞曲寫作、伴奏生成、歌聲合成4人臉生成、人臉替換、人物屬性編輯、人臉操控、姿態操控等生成或者編輯圖像、視頻內容中生物特征的技術AI 換臉“拯救”被劣跡藝人殃及的影視作品，電視劇長安十二時辰、光榮時代等多部作品均使用了該技術5圖像生成、圖像增強、圖像修復等生成或者編輯圖

177、像、視頻內容中非生物特征的技術繪制像素畫，輔助動畫和游戲設計6三維重建、數字仿真等生成或者編輯數字人物、虛擬場景的技術元宇宙、虛擬偶像洛天依表表 13深度合成技術類別及實踐案例深度合成技術類別及實踐案例97深度合成十大趨勢報告（2022），清華大學人工智能研究院、北京瑞萊智慧科技有限公司、清華大學新傳院智媒研究中心、國家工業信息安全發展研究中心著，2022 年 2 月98發布機關：網信辦、工信部、公安部；2022.11.25 發布；2023.01.10 實施99深度合成十大趨勢報告（2022），清華大學人工智能研究院、北京瑞萊智慧科技有限公司、清華大學新傳院智媒研究中心、國家工業信息安全發展研

178、究中心著，2022 年 2 月段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版85/156問題問題 28：深度合成服務提供者具有哪些義務？：深度合成服務提供者具有哪些義務？根據管理規定，深度合成主體分為深度合成服務提供者100、深度合成服務技術支持者、深度合成服務使用者101三類。對于深度合成服務提供者深度合成服務提供者從落實信息安落實信息安全主體責任、數據和技術管理規范、算法備案與安全評估全主體責任、數據和技術管理規范、算法備案與安全評估等提出應履行以下義務：序號序號要點要點內容一落實信息安全主體責任內容一落實信息安全主體責任1-1平臺管理責任1.健全管理制度健全管理制度：建立健全用戶

179、注冊、算法機制機理審核、科技倫理審查、信息發布審核、數據安全、個人信息保護、反電信網絡詐騙、應急處置等管理制度；2.技術保障措施技術保障措施：具有安全可控的技術保障措施；3.提示信息安全義務提示信息安全義務：以顯著方式提示深度合成服務技術支持者和使用者承擔信息安全義務；4.實名認證實名認證：對深度合成服務使用者進行真實身份信息認證；5.投訴、舉報機制投訴、舉報機制：建立投訴舉報入口并及時受理反饋。1-2內容管理責任1.禁止發布禁止發布：不得發布法律、行政法規禁止的信息及虛假新聞信息；2.審核義務審核義務：應對輸入數據和合成結果進行審核；3.不良信息處理不良信息處理：及時處理不良信息并向有關部門

180、報告。二數據和技術管理規范二數據和技術管理規范2-1加強訓練數據管理1.采取必要措施保障訓練數據安全；2.提供人臉、人聲等生物識別信息編輯功能的，應當提示提示深度合成服務使用者依法告知依法告知被編輯的個人，并取得其單獨單獨同意同意。2-2加強技術管理定期審核、評估、驗證生成合成類算法機制機理。2-3信息標識詳見“問題 30:生成式人工智能服務提供者如何對生成合成內容進行信息標識?”100深度合成服務提供者，是指提供深度合成服務的組織、個人101深度合成服務使用者，是指使用深度合成服務制作、復制、發布、傳播信息的組織、個人段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版86/156序號序號

181、要點要點內容三算法備案與安全評估內容三算法備案與安全評估3-1進行算法備案具有輿論屬性或者社會動員能力的深度合成服務提供者具有輿論屬性或者社會動員能力的深度合成服務提供者，應履行算法備案和變更、注銷備案手續。3-2開展安全評估1.開發上線具有輿論屬性或者社會動員能力的新產品、新應用、新功能的，應當按照國家有關規定開展安全評估；2.以下情形應當依法自行或者委托專業機構開展安全評估：(1)生成或者編輯人臉、人聲等生物識別信息的；(2)生成或者編輯可能涉及國家安全、國家形象、國家利益和社會公共利益的特殊物體、場景等非生物識別信息。表表 14深度合成服務提供者義務要點深度合成服務提供者義務要點段和段高

182、亞平律師團隊企業上市數據合規白皮書 3.0 版87/156問題問題 29：新增新增 生成式人工智能服務提供者對生成內容承擔何種責任？生成式人工智能服務提供者對生成內容承擔何種責任？生成式人工智能服務提供者需承擔網絡信息內容生產者責任，避免制作違法和不良信息，發現違法行為時，應立即停止相關內容的生成與傳輸，采取整改措施，對違規用戶限制服務并向主管部門報告。內容生產者責任內容生產者責任根據生成式人工智能服務管理暫行辦法第九條，提供者應當依法承擔網絡信息內容生產者責任網絡信息內容生產者責任，履行網絡信息安全義務。涉及個人信息的，依法承擔個人信息處理者責任，履行個人信息保護義務。提供者應當與注冊其服務

183、的生成式人工智能服務使用者（以下稱使用者）簽訂服務協議，明確雙方權利義務。主要內容風險主要內容風險根據網絡信息內容生態治理規第六條，網絡信息內容生產者不得制作、復制、發布含有下列內容的違法信息：(1)反對憲法所確定的基本原則的；(2)危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的；(3)損害國家榮譽和利益的；(4)歪曲、丑化、褻瀆、否定英雄烈士事跡和精神，以侮辱、誹謗或者其他方式侵害英雄烈士的姓名、肖像、名譽、榮譽的；(5)宣揚恐怖主義、極端主義或者煽動實施恐怖活動、極端主義活動的；(6)煽動民族仇恨、民族歧視，破壞民族團結的；(7)破壞國家宗教政策，宣揚邪教和封建迷信的；(8)散布

184、謠言，擾亂經濟秩序和社會秩序的；(9)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的；(10)侮辱或者誹謗他人，侵害他人名譽、隱私和其他合法權益的；段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版88/156(2)法律、行政法規禁止的其他內容。第七條網絡信息內容生產者應當采取措施，防范和抵制制作、復制、發布含有下列內容的不良信息：(1)使用夸張標題，內容與標題嚴重不符的；(2)炒作緋聞、丑聞、劣跡等的；(3)不當評述自然災害、重大事故等災難的；(4)帶有性暗示、性挑逗等易使人產生性聯想的；(5)展現血腥、驚悚、殘忍等致人身心不適的；(6)煽動人群歧視、地域歧視等的；(7)宣揚低俗、

185、庸俗、媚俗內容的；(8)可能引發未成年人模仿不安全行為和違反社會公德行為、誘導未成年人不良嗜好等的；(9)其他對網絡生態造成不良影響的內容。發現違法內容處置方式：發現違法內容處置方式：(1)提供者發現違法內容提供者發現違法內容：應當及時采取停止生成、停止傳輸、消除等處置措施，采取模型優化訓練等措施進行整改，并向有關主管部門報告。(2)提供者發現使用者利用生成式人工智能服務從事違法活動提供者發現使用者利用生成式人工智能服務從事違法活動：應當依法依約采取警示、限制功能、暫?；蛘呓K止向其提供服務等處置措施，保存有關記錄，并向有關主管部門報告。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版89

186、/156問題問題 30：新增新增生成式人工智能服務提供者如何對生成合成內容進行信息標識？生成式人工智能服務提供者如何對生成合成內容進行信息標識？國家互聯網信息辦公室于 2024 年 9 月 14 日發布的 人工智能生成合成內容標識辦法（征求意見稿）（本問中簡稱“本辦法”）在結合互聯網信息服務算法推薦管理規定、互聯網信息服務深度合成管理規定與生成式人工智能服務管理暫行辦法的基礎上，就人工智能生成合成內容標志義務進行細化規定，具體如下：誰進行標識誰進行標識：符合互聯網信息服務算法推薦管理規定、互聯網信息服務深度合成管理規定、生成式人工智能服務管理暫行辦法規定情形的網絡信息服務提供者。行業組織、企業

187、、教育和科研機構、公共文化機構、有關專業機構等研發、應用人工智能生成合成技術，未向境內公眾提供服務的，不適用。標識方式：標識方式：人工智能生成合成內容標識包括顯式標識和隱式標識，詳見下表：要點要點顯式標識顯式標識隱式標識概念隱式標識概念顯式標識是指在生成合成內容或者交互場景界面中添加的，以文字、聲音、圖形等方式呈現并可被用戶明顯感知到的標識。隱式標識是指采取技術措施在生成合成內容文件數據中添加的，不易被用戶明顯感知到的標識。觸發條件觸發條件屬于互聯網信息服務深度合成管理規定第十七條第一款情形：深度合成服務提供者提供以下深度合成服務，可能導致公眾混淆或者誤認的，應當在生成或者編輯的信息內容的合理

188、位置、區域進行顯著標識，向公眾提示深度合成情況：(1)智能對話、智能寫作等模擬自然人進行文本的生成或者編輯服務；(2)合成人聲、仿聲等語音生成或者顯著深度合成服務提供者對使用其服務生成或者編輯的信息內容，應當采取技術措施添加不影響用戶使用的標識，并依照法律、行政法規和國家有關規定保存日志信息。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版90/156要點要點顯式標識顯式標識隱式標識隱式標識改變個人身份特征的編輯服務；(3)人臉生成、人臉替換、人臉操控、姿態操控等人物圖像、視頻生成或者顯著改變個人身份特征的編輯服務；(4)沉浸式擬真場景等生成或者編輯服務；(5)其他具有生成或者顯著改變信

189、息內容功能的服務。深度合成服務提供者提供前款規定之外的深度合成服務的，應當提供顯著標識功能，并提示深度合成服務使用者可以進行顯著標識。標識方法標識方法應當按照下列要求對生成合成內容添加顯式標識：(1)在文本的起始、末尾、中間適當位置添加文字提示或通用符號提示等標識，或在交互場景界面或文字周邊添加顯著的提示標識；(2)在音頻的起始、末尾或中間適當位置添加語音提示或音頻節奏提示等標識，或在交互場景界面中添加顯著的提示標識；(3)在圖片的適當位置添加顯著的提示標識；(4)在視頻起始畫面和視頻播放周邊的適當位置添加顯著的提示標識，可在視頻末尾和中間適當位置添加顯著的提示標識；(5)呈現虛擬場景時，應當

190、在起始畫面的適當位置添加顯著的提示標識，可在虛擬場景持續服務過程中的適當位置添加顯著的提示標識；(6)其他生成合成服務場景應當根據自身應用特點添加具有顯著提示效果的顯式標識。在生成合成內容的文件元數據中添加隱式標識，隱式標識包含生成合成內容屬性信息、服務提供者名稱或編碼、內容編號等制作要素信息。鼓勵服務提供者在生成合成內容中添加數字水印等形式的隱式標識。文件元數據是指按照特定編碼格式嵌入到文件頭部的描述性信息，用于記錄文件來源、屬性、用途、版權等信息內容。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版91/156要點要點顯式標識顯式標識隱式標識隱式標識服務提供者提供生成合成內容下載、復

191、制、導出等方式時，應當確保文件中含有滿足要求的顯式標識。表表 15人工智能生成合成內容標識方式人工智能生成合成內容標識方式標識說明：標識說明：服務提供者應當在用戶服務協議中明確說明生成合成內容標識的方法、樣式等規范內容，并提示用戶仔細閱讀并理解相關的標識管理要求。用戶獲取不含顯式標識內容的前提：用戶獲取不含顯式標識內容的前提：如用戶需要服務提供者提供沒有添加顯式標識的生成合成內容，可在通過用戶協議明確用戶的標識義務和使用責任后，提供不含顯式標識的生成合成內容，并留存相關日志不少于六個月。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版92/156問題問題 31：新增新增如何保障大模型訓練

192、語料的安全性？如何保障大模型訓練語料的安全性？生成式人工智能的形成依賴數據、算法和算力，其中語料數據對大模型訓練至關重要，大模型的成熟度及生成內容的質量都與訓練語料高度相關，本階段亦涉及較高的數據收集及使用風險，網絡數據安全管理條例102、生成式人工智能服務管理暫行辦法103等法律法規皆對語料數據出合規要求。為保障大模型訓練語料來源安全性，根據信安標委發布的生成式人工智能服務安全基本要求，建議服務提供者根據下表就語料安全進行管理：序號序號要點要點內容一語料來源安全性內容一語料來源安全性1-1語料來源管理(1)應建立語料來源黑名單，不使用黑名單來源的數據進行訓練；(2)應對各來源語料進行安全評估

193、，單一來源語料內容中含違法不良信息超過 5%的，應將該來源加入黑名單。1-2不同來源語料搭配應提高多樣性，對每一種語言，如中文、英文等，以及每一種語料類型，如文本、圖片、視頻、音頻等，均應有多個語料來源；并應合理搭配境內外來源語料。102網絡數據安全管理條例第十九條，提供生成式人工智能服務的網絡數據處理者應當加強對訓練數據和訓練數據處理活動的安全管理，采取有效措施防范和處置網絡數據安全風險103生成式人工智能服務管理暫行辦法第七條，生成式人工智能服務提供者應當依法開展預訓練、優化訓練等訓練數據處理活動，遵守以下規定：（一）使用具有合法來源的數據和基礎模型；（二）涉及知識產權的，不得侵害他人依法

194、享有的知識產權；（三）涉及個人信息的，應當取得個人同意或者符合法律、行政法規規定的其他情形；（四）采取有效措施提高訓練數據質量，增強訓練數據的真實性、準確性、客觀性、多樣性；（五）中華人民共和國網絡安全法、中華人民共和國數據安全法、中華人民共和國個人信息保護法等法律、行政法規的其他有關規定和有關主管部門的相關監管要求段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版93/156序號序號要點要點內容內容1-3語料可追溯性(1)使用開源語料時，應具有該語料來源的開源授權協議或相關授權文件；*注1：對于匯聚了網絡地址、數據鏈接等能夠指向或生成其他數據的情況，如果需要使用這些被指向或生成的內容作為

195、訓練語料，應將其視同于自采語料。(2)使用自采語料時，應具有采集記錄，不應采集他人已明確聲明不可采集的語料；*注2：自采語料包括自行生產的語料以及從互聯網采集的語料。*注3：聲明不可采集的方式包括但不限于robots協議等。(3)使用商業語料時：應有具備法律效力的交易合同、合作協議等；交易方或合作方不能提供語料合法性證明材料時，不應使用該語料。(4)將使用者輸入信息當作語料時，應具有使用者授權記錄。1-4不作為訓練語料內容按照我國網絡安全相關法律要求阻斷的信息，不應作為訓練語料。注4：相關法律法規要求包括但不限于網絡安全法第五十條（依法負有網絡安全監督管理職責的部門及其工作人員，必須對在履行職

196、責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供）等。二語料內容安全性二語料內容安全性2-1訓練語料內容過濾方面應采取關鍵詞、分類模型、人工抽檢等方式，充分過濾全部語料中違法不良信息。2-2知識產權方面(1)應設置語料以及生成內容的知識產權負責人，并建立知識產權管理策略；(2)語料用于訓練前，知識產權相關負責人等應對語料中的知識產權侵權情況進行識別，提供者不應使用有侵權問題的語料進行訓練；(3)應建立知識產權問題的投訴舉報以及處理渠道；(4)應在用戶服務協議中，向使用者告知生成內容使用時的知識產權相關風險，并與使用者約定關于知識產權問題識別的責任與義務；(5)應及時

197、根據國家政策以及第三方投訴情況更新知識產權相關段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版94/156序號序號要點要點內容內容策略；(6)宜公開訓練語料中涉及知識產權部分的摘要信息、在投訴舉報渠道中支持第三方就語料使用情況以及相關知識產權情況進行查詢。2-3個人信息方面(1)應使用包含個人信息的語料時，獲得對應個人信息主體的授權同意，或滿足其他合法使用該個人信息的條件；(2)應使用包含敏感個人信息的語料時，獲得對應個人信息主體的單獨授權同意，或滿足其他合法使用該敏感個人信息的條件；(3)應使用包含人臉等生物特征信息的語料時，獲得對應個人信息主體的書面授權同意，或滿足其他合法使用該生物

198、特征信息的條件。三語料標注的安全性三語料標注的安全性3-1標注人員方面(1)應自行組織對于標注人員的安全培訓；(2)應自行對標注人員進行考核，給予合格者標注上崗資格，并有定期重新培訓考核以及必要時暫?；蛉∠麡俗⑸蠉徺Y格的機制；(3)將標注人員職能至少劃分為數據標注、數據審核等；在同一標注任務下，同一標注人員不應承擔多項職能；(4)應為標注人員執行每項標注任務預留充足、合理的標注時間。3-2標注規則方面(1)標注規則應至少包括標注目標、數據格式、標注方法、質量指標等內容；(2)應對功能性標注以及安全性標注分別制定標注規則，標注規則應至少覆蓋數據標注以及數據審核等環節；(3)功能性標注規則應能指導

199、標注人員按照特定領域特點生產具備真實性、準確性、客觀性、多樣性的標注語料；(4)安全性標注規則應能指導標注人員圍繞語料及生成內容的主要安全風險進行標注。3-3標注內容準確性方面(1)對功能性標注，應對每一批標注語料進行人工抽檢，發現內容不準確的，應重新標注；發現內容中包含違法不良信息的，該批次標注語料應作廢；段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版95/156序號序號要點要點內容內容(2)對安全性標注，每一條標注語料至少經由一名審核人員審核通過。3-4隔離存儲宜對安全性標注數據進行隔離存儲。表表 16生成式人工智能語料安全管理生成式人工智能語料安全管理段和段高亞平律師團隊企業上市

200、數據合規白皮書 3.0 版96/156問題問題 32：哪些企業會被關注科技倫理問題？：哪些企業會被關注科技倫理問題？科技倫理是開展科學研究、技術開發等科技活動需要遵循的價值理念和行為規范價值理念和行為規范，是促進科技事業健康發展的重要保障。在 2021 年以前，我國主要聚焦于生物醫藥領域的科技倫理問題，通過藥品管理法、基本醫療衛生與健康促進法、醫師法、生物安全法等法律法規，規定了從事藥物、醫療器械臨床試驗、醫學研究、生物技術研究及醫師診療應當遵循倫理規范，通過倫理審查。算法及人工智能技術的廣泛應用在提升生產效率、優化用戶體驗的同時，也帶來算法歧視、大數據殺熟、不正當競爭等科技倫理道德方面的問題

201、，因此，我國對于算法向善、可信人工智能等科技倫理治理的合規要求也在不斷提高?；诖?，在擬上市企業審核過程中，以合合信息為代表的多家科技公司均受到來自上市審核機構關于科技倫理合規的問詢，主要關注是否涉及科技倫理敏感領域，如是，則需論述在科技倫理領域是否符合相關法律法規規定。根據 中共中央辦公廳 國務院辦公廳關于加強科技倫理治理的意見（2022.03.20實施，下稱“科技倫理治理意見”）的規定，擬上市企業同時符合下述兩個條件的，應當設立科技倫理（審查）委員會應當設立科技倫理（審查）委員會：(1)主體：從事生命科學、醫學、人工智能等科技活動的單位，且(2)研究內容：涉及科技倫理敏感領域研究內容：涉及

202、科技倫理敏感領域。當前，有關“科技倫理敏感領域”的具體涵義及范圍尚未明確，有待相關細則文件的進一步出臺。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版97/156問題問題 33：如何進行科技倫理治理？：如何進行科技倫理治理？根據科技倫理治理意見，涉及科技倫理領域的企業，應當做好以下治理工作：圖圖 14科技倫理治理要點梳理科技倫理治理要點梳理其中，針對人工智能領域，在科技倫理治理過程中，還應當關注國家新一代人工智能治理專業委員會所制定的新一代人工智能倫理規范（2021.09.25 實施）所規定的特別要求：序號序號要點要點內容一管理規范內容一管理規范1-1推動敏捷治理尊重人工智能發展規律，

203、充分認識人工智能的潛力與局限，持續優化治理機制和方式，在戰略決策、制度建設、資源配置過程中，不脫離實際、不急功近利，有序推動人工智能健康和可持續發展。1-2積極實踐示范遵守人工智能相關法規、政策和標準，主動將人工智能倫理道德融入管理全過程，率先成為人工智能倫理治理的實踐者和推動者，及時總結推廣人工智能治理經驗，積極回應社會對人工智能的倫段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版98/156序號序號要點要點內容內容理關切。1-3正確行權用權(1)明確人工智能相關管理活動的職責和權力邊界，規范權力運行條件和程序。(2)充分尊重并保障相關主體的隱私、自由、尊嚴、安全等權利及其他合法權益，

204、禁止權力不當行使對自然人、法人和其他組織合法權益造成侵害。1-4加強風險防范增強底線思維和風險意識，加強人工智能發展的潛在風險研判，及時開展系統的風險監測和評估系統的風險監測和評估，建立有效的風險預警機制，提升人工智能倫理風險管控和處置能力。1-5促進包容開放充分重視人工智能各利益相關主體的權益與訴求，鼓勵應用多樣化的人工智能技術解決經濟社會發展實際問題，鼓勵跨學科、跨領域、跨地區、跨國界的交流與合作，推動形成具有廣泛共識的人工智能治理框架和標準規范。二研發規范二研發規范2-1強化自律意識加強人工智能研發相關活動的自我約束，主動將人工智能倫理道德融入技術研發各環節，自覺開展自我審查，加強自我管

205、理，不從事違背倫理道德的人工智能研發。2-2提升數據質提升數據質量在數據收集、存儲、使用、加工、傳輸、提供、公開等環節，嚴量在數據收集、存儲、使用、加工、傳輸、提供、公開等環節，嚴格遵守數據相關法律、標準與規范，提升數據的完整性、及時性、格遵守數據相關法律、標準與規范，提升數據的完整性、及時性、一致性、規范性和準確性等一致性、規范性和準確性等。2-3增強安全透明增強安全透明在算法設計、實現、應用等環節，提升透明性、可解釋性、可理提升透明性、可解釋性、可理解性、可靠性、可控性解性、可靠性、可控性，增強人工智能系統的韌性、自適應性和抗干擾能力，逐步實現可驗證、可審核、可監督、可追溯、可預逐步實現可

206、驗證、可審核、可監督、可追溯、可預測、可信賴測、可信賴。2-4避免偏見歧視避免偏見歧視在數據采集和算法開發中，加強倫理審查，充分考慮差異化訴求，避免可能存在的數據與算法偏見，努力實現人工智能系統的普惠避免可能存在的數據與算法偏見，努力實現人工智能系統的普惠性、公平性和非歧視性性、公平性和非歧視性。三供應規范三供應規范3-1尊重市場規則嚴格遵守市場準入、競爭、交易等活動的各種規章制度，積極維護市場秩序，營造有利于人工智能發展的市場環境，不得以數據壟斷、平臺壟斷等破壞市場有序競爭，禁止以任何手段侵犯其他段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版99/156序號序號要點要點內容內容主體的

207、知識產權。3-2加強質量管控強化人工智能產品與服務的質量監測和使用評估，避免因設計和產品缺陷等問題導致的人身安全、財產安全、用戶隱私等侵害，不得經營、銷售或提供不符合質量標準的產品與服務。3-3保障用戶權益保障用戶權益(1)在產品與服務中使用人工智能技術應明確告知用戶，應標識人工智能產品與服務的功能與局限，保障用戶知情、同意等保障用戶知情、同意等權利權利。(2)為用戶選擇使用或退出人工智能模式提供簡便易懂的解決方案，不得為用戶平等使用人工智能設置障礙。3-4強化應急保障研究制定應急機制和損失補償方案或措施，及時監測人工智能系研究制定應急機制和損失補償方案或措施，及時監測人工智能系統，及時響應和

208、處理用戶的反饋信息統，及時響應和處理用戶的反饋信息，及時防范系統性故障，隨時準備協助相關主體依法依規對人工智能系統進行干預，減少損失，規避風險。四使用規范四使用規范4-1提倡善意使用加強人工智能產品與服務使用前的論證和評估，充分了解人工智能產品與服務帶來的益處，充分考慮各利益相關主體的合法權益，更好促進經濟繁榮、社會進步和可持續發展。4-2避免誤用濫用充分了解人工智能產品與服務的適用范圍和負面影響，切實尊重相關主體不使用人工智能產品或服務的權利，避免不當使用和濫用人工智能產品與服務，避免非故意造成對他人合法權益的損害。4-3禁止違規惡用禁止使用不符合法律法規、倫理道德和標準規范的人工智能產品與

209、服務，禁止使用人工智能產品與服務從事不法活動，嚴禁危害國家安全、公共安全和生產安全，嚴禁損害社會公共利益等。4-4及時主動反饋積極參與人工智能倫理治理實踐，對使用人工智能產品與服務過程中發現的技術安全漏洞、政策法規真空、監管滯后等問題，應及時向相關主體反饋，并協助解決。4-5提高使用能力積極學習人工智能相關知識，主動掌握人工智能產品與服務的運營、維護、應急處置等各使用環節所需技能，確保人工智能產品與服務安全使用和高效利用。表表 17新一代人工智能倫理規范要點梳理新一代人工智能倫理規范要點梳理段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版100/156(三三)數據共享合規數據共享合規 5

210、 問問根據我國數安法與個信法104，并未將“共享”作為數據處理行為的正列舉項，僅在個人信息安全規范中將“共享”定義為“個人信息控制者向其他控制者提供提供個人信息，且雙方分別對個人信息擁有獨立控制權的過程?！倍鴼W盟的 GDPR105中，亦未將共享作為數據處理行為的正列舉項。因此，我們認為數據共享（包括數據融合）行為并非標準的法律用語表述，是基于商業數據處理的需求，對于數據提供、共同處理、委托處理數據提供、共同處理、委托處理等行為（相較個人信息安全規范而言，本文的定義較為延展）的概括性表達，各方的責任義務需視具體的處理情況而定。通過分析各擬上市企業披露的問詢信息情況可知，在數據共享環節（此處不包括

211、因合并、分立、解散、破產等原因共享的），上市審核機構核心關注點在于：(1)數據共享是否符合與用戶/客戶的協議約定以及相關的法律法規規定；(2)數據共享可能給公司業務帶來的相關風險，如數據共享的運作機制是否會給公司獨立性以及市場競爭力帶來影響。關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容共享合規螞蟻集團1062020 年 8 月發行人與阿里巴巴集團的數據共享是否符合各自與客戶的協議約定數據共享是否符合各自與客戶的協議約定，是否存在侵害客戶合法利益的情況是否存在侵害客戶合法利益的情況；結合發行人與阿里巴巴等相關主體的數據共享協議，說明該等安排是否違反有關互聯網用戶信息保護的有關法律法

212、規及規范性文件說明該等安排是否違反有關互聯網用戶信息保護的有關法律法規及規范性文件。京東數科1072020 年 10 月數據共享是否符合各自與客戶的協議約定，是否存在侵害客戶合法利益的情況數據共享是否符合各自與客戶的協議約定，是否存在侵害客戶合法利益的情況；結合發行人與相關主體的數據共享協議，說明該等安排是否違反有關互聯網用戶信息保護的有關說明該等安排是否違反有關互聯網用戶信息保護的有關104根據數據安全法“數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等?！备鶕€人信息保護法“個人信息的處理包括個人信息的收集、存儲、使用、加工、傳輸、提供、公開、刪除等?！?05GDPR pro

213、cessingmeans any operation or set of operations which is performed on personal data or on setsof personal data,whether or not by automated means,such as collection,recording,organisation,structuring,storage,adaptation or alteration,retrieval,consultation,use,disclosure by transmission,dissemination

214、or otherwisemaking available,alignment or combination,restriction,erasure or destruction.106上海市方達律師事務所關于螞蟻科技集團股份有限公司首次公開發行股票并在科創板上市的法律意見書107關于京東數字科技控股股份有限公司首次公開發行人民幣普通股并在上海證券交易所科創板上市之補充法律意見書段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版101/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容法律法規及規范性文件時間問詢內容法律法規及規范性文件。數聚智連1082022 年 10 月進一步說明發行人

215、可獲取、使用的數據具體類型、數量規模，與電商平臺、品牌方之間關于用戶個人數據使用用戶個人數據使用的合作機制、權責劃分機制。共享風險螞蟻集團1092020 年 8 月發行人與阿里巴巴集團數據共享的總體運作機制數據共享的總體運作機制，數據平臺管理委員會的人員構成方式與職責定位，上述事項對發行人運營獨立性、數據安全、市場競爭優劣勢的影響，并按重要性原則完善相關風險揭示。京東數科1102020 年 10 月數據共享的總體運作機制數據共享的總體運作機制、對發行人運營獨立性、數據安全、市場競爭優劣勢的影響，是否存在京東集團單方終止數據共享的風險是否存在京東集團單方終止數據共享的風險，按重要性原則完善相關風

216、險揭示。表表 18數據共享合規相關問詢數據共享合規相關問詢108關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復109上海市方達律師事務所關于螞蟻科技集團股份有限公司首次公開發行股票并在科創板上市的法律意見書110關于京東數字科技控股股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版102/156問題問題 34：共享數據前，需要做些什么？：共享數據前，需要做些什么？在進行數據共享前，應當按照以下流程，明確數據共享場景：圖圖 15共享數據合規流程圖共享數據合規流程圖(1)第一步：確

217、定共享目的在決定是否進行數據共享前，首先需要確定共享的目的，知道共享什么以及與誰共享，并形成書面記錄；(2)第二步：明確共享范圍應只共享實現目的所需的最少數據，以便遵循最小必要原則，并明確是否包括敏感個人信息、重要數據等特殊種類的數據，對于特殊種類數據，應當匹配相應的加密傳輸、去標識化等技術安全措施；(3)第三步：界定各方角色作為數據提供方，應當明確共享場景及各自角色（提供、共同處理或委托處理），并基于此明確雙方各自權利、義務及責任承擔問題；角色角色提供方義務提供方義務提供提供(1)應當向個人告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類；(2)取得個人的單獨同意。共同

218、處理共同處理(1)需約定各自的權利和義務，但約定不影響個人向其中任何一個個人信息處理者要求行使權利；(2)侵害個人信息權益造成損害的，雙方應當依法承擔連帶責任。受托處理受托處理(1)應當與受托人約定委托處理的目的、期限、處理方式、個人信息的種類、保護措施以及雙方的權利和義務等；(2)對受托人的個人信息處理活動進行監督。表表 19不同共享場景下提供方義務不同共享場景下提供方義務確定共享目的明確共享范圍界定各方角色適配風控措施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版103/156(4)第四步：適配風控措施基于數據共享場景，明確數據共享可能會給數據主體帶來的風險（如是否侵犯個人信息及隱

219、私權）、是否符合與第三方的約定以及是否會對于公司的獨立性以及數據安全帶來風險，并制定適配相應的風控措施。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版104/156問題問題 35：作為共享數據接收方，需要關注什么？：作為共享數據接收方，需要關注什么？作為數據接收方，應當基于確定的共享場景（提供、共同處理或委托處理），履行相應責任義務。共享場景共享場景接收方義務接收方義務提供提供(1)應當在處理目的、處理方式和個人信息的種類等范圍內，處理個人信息；(2)變更原先的處理目的、處理方式的，應當重新取得個人同意。共同處理共同處理(1)需約定各自的權利和義務，但約定不影響個人向其中任何一個個人信

220、息處理者要求行使權利；(2)侵害個人信息權益造成損害的，雙方應當依法承擔連帶責任。受托處理受托處理(1)應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；(2)委托合同不生效、無效、被撤銷或者終止的，受托人應當將個人信息返還個人信息處理者或者予以刪除，不得保留；(3)未經個人信息處理者同意，受托人不得轉委托他人處理個人信息；(4)應當依照個信法和有關法律、行政法規的規定，采取必要措施保障所處理的個人信息的安全，并協助個人信息處理者履行個信法規定的義務。表表 20不同共享場景下接收方義務不同共享場景下接收方義務段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版105/

221、156問題問題 36：數據共享場景下，各方的權責如何劃分？：數據共享場景下，各方的權責如何劃分？在不同數據共享場景下，各方的權責劃分及責任承擔如下表所示：主體類型共享場景主體類型共享場景共享方共享方接收方接收方提供權責劃分提供權責劃分：作為相互獨立的個人信息處理者，需保障用戶對接收方及處理行為的知情權及同意權（如適用），履行個人信息保護義務，并對各自處理用戶個人信息的行為負責。責任承擔責任承擔：行政處罰：單獨承擔民事責任：單獨承擔責任承擔責任承擔：行政處罰：單獨承擔民事責任：單獨承擔共同處理權責劃分共同處理權責劃分：作為相互獨立的個人信息處理者，履行個人信息保護義務，并對各自處理用戶個人信息的

222、行為負責（含在侵害個人信息權益造成損害的情形下，依法承擔的連帶責任）。責任承擔責任承擔：行政處罰：單獨承擔民事責任：連帶責任責任承擔責任承擔：行政處罰：單獨承擔民事責任：連帶責任委托處理權責劃分委托處理權責劃分：作為個人信息處理者，履行個人信息保護義務，并對接收方受托處理用戶個人信息的行為對外負責。權責劃分權責劃分：按照雙方約定處理個人信息，并就受托處理行為向共享方負責。責任承擔責任承擔：行政處罰：單獨承擔民事責任：單獨承擔責任承擔責任承擔：行政處罰：未明確規定民事責任：原則上不承擔，但若知道/明知處理行為違法的，承擔連帶責任。特別地，若超出受托處理范圍與特別地，若超出受托處理范圍與邊界，構成

223、新的個人信息處理者邊界，構成新的個人信息處理者的，則獨立承擔相應責任的，則獨立承擔相應責任。表表 21數據共享場景下權責劃分及責任承擔數據共享場景下權責劃分及責任承擔段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版106/156問題問題 37：集團數據融合：集團數據融合/場景下，如何證明數據資產的獨立性？場景下，如何證明數據資產的獨立性？對于多業務條線的集團公司而言，集團內部的數據融合（即一個集團內不同業務子公司之間的業務、產品數據進行融合）不可避免。對于單獨上市的業務子公司而言，如何實現數據資產的獨立性，是問詢時會被重點關注的問題。對此，我們建議：(1)獨立部署獨立部署：集團母公司與各

224、業務條線子公司之間應獨立部署數據平臺，對于各自采集的數據進行獨立存儲，不得共用、混用數據池；(2)明確權責明確權責：集團母公司與各業務條線子公司之間應確認關聯公司各自的角色定位，并通過數據共享協議明確各自的權利、義務，并根據個信法及協議約定，履行自身職責。同時，在數據融合場景下，應注意以下合規要點：(1)在不同共享場景下，依法保障用戶的個人信息權益例如在提供場景下，業務子公司需要保障用戶的知情權并獲得其單獨同意；在委托/受托處理場景下，業務子公司需要在隱私政策中明確委托處理的情形；在共同處理場景下，集團母公司與業務子公司均需要向用戶明確主體身份及范圍（即“我們”是誰）、處理目的及處理方式等信息

225、。(2)創新數據處理場景，通過數據中臺能力產品化，實現真正技術賦能其實，無論是在提供、委托/受托處理還是共同處理的場景下，集團母公司及業務子公司都因為或多或少直接碰了用戶數據，因而需要承擔大小不一的義務和責任。但在很多應用場景下，集團母公司只是為業務子公司提供了數據高效、融合、統一處理的技術能力，并非一定要處理用戶的個人信息。在這種情形下，集團母公司可考慮創新數據處理場景，將數據中臺能力產品化，通過提供 SaaS 服務等方式，將個人信息的處理決定權交回給業務子公司，自身不再參與個人信息的處理目的及處理方式。這樣能夠在減輕自身的個人信息合規義務的同時，清晰個人信息的處理主體與邊界。（詳見本團隊文

226、章集團內各業務數據融合場景下，如何應對 5%的頂格罰）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版107/156問題問題 38：APP 運營者如何安全使用運營者如何安全使用 SDK？第三方軟件開發工具包（SDK）被廣泛應用于各類 App 開發中，由第三方 SDK帶來的安全問題已經引起多方關注，從工信部從工信部 2021 年年 11 月月 3 日與日與 2022 年年 2 月月18 日的通報案件對比可以看出，其已經將日的通報案件對比可以看出，其已經將 SDK 作為和作為和 App 同等重要的針對侵同等重要的針對侵害用戶個人信息權益行為的常規檢測項害用戶個人信息權益行為的常規檢測項。圖圖

227、 162021 年年 11 月月 3 日工信部通報存在問題的應用軟件名單日工信部通報存在問題的應用軟件名單段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版108/156圖圖 172022 年年 2 月月 18 日工信部通報存在問題的日工信部通報存在問題的 APP（SDK）名單）名單若 App 運營者（即 SDK 使用者）使用不合規的 SDK，也容易殃及自身，SDK使用者與 SDK 提供者的個人信息保護責任劃分包括以下三種情況111：(1)SDK 提供者獨立處理個人信息的，應自行承擔個人信息保護責任；(2)SDK 提供者受 SDK 使用者委托或與 SDK 使用者共同處理個人信息的，可按照合

228、作協議或共同協商各自承擔的責任；(3)當 SDK 使用者獨立處理個人信息的，應由 SDK 使用者承擔個人信息保護的責任。為減少因第三方 SDK 造成的 App 安全與個人信息安全問題，我們建議 App 運營者112：(1)應遵循合法、正當、必要的原則選擇使用第三方 SDK；(2)涉及個人信息處理時，需履行個人信息處理者義務113：(a)若 SDK 使用者與 SDK 提供者共同處理個人信息，應雙方協商確定如何111參考電信終端產業協會發布的軟件開發包（SDK）個人信息處理規范團體標準112參考全國信息安全標準化技術委員會秘書處發布的網絡安全標準實踐指南移動互聯網應用程序（App）中的第三方軟件開

229、發工具包（SDK）安全指引（征求意見稿）113參考電信終端產業協會發布的軟件開發包（SDK）個人信息處理規范團體標準段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版109/156告知用戶，征得用戶的同意以及提供用戶權利保障功能；(b)若 SDK 提供者，作為受托方，根據 SDK 使用者的要求處理個人信息，應由 SDK 使用者告知用戶征得用戶同意，并提供用戶權利保障功能，SDK 提供者應協助 SDK 使用者完成上述義務；(c)若 SDK 提供者獨立處理個人信息的，應自行告知用戶，征得用戶同意，并提供用戶權利保障功能，SDK 使用者協助 SDK 提供者實現相應功能。(3)建立第三方 SDK

230、接入管理機制和工作流程，必要時應建立安全評估等機制設置接入條件，如(a)來源安全性評估：包括但不限于：SDK 提供者的基本信息、SDK 提供者的溝通反饋渠道、SDK 提供者的安全能力、SDK 的基本功能、SDK 的版本號、SDK 的安全性評估報告等；(b)代碼安全性評估：包括但不限于：是否存在已知的惡意代碼、是否存在已知的安全漏洞、是否申請敏感權限、是否嵌入了其他第三方 SDK 等；(c)行為安全性評估：包括但不限于調用的敏感權限、目的和頻率；收集的個人信息類型、目的和頻率；個人信息回傳服務器域名、IP 地址、所在地域；是否存在熱更新行為及熱更新是否可主動關閉；傳輸數據是否加密；是否存在單獨收

231、集用戶個人信息的界面；是否存在后臺自啟動和關聯啟動后收集個人信息的行為等；(4)與第三方 SDK 提供者通過合同等形式明確雙方的安全責任及應實施的個人信息安全措施，妥善留存與第三方 SDK 提供者有關合同和管理記錄；(5)應監督第三方產品或服務提供者加強個人信息安全管理，發現第三方產品或服務沒有落實安全管理要求和責任的，應及時督促整改，必要時停止接入。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版110/156(四四)數據存儲合規數據存儲合規 3 問問通過分析各擬上市企業披露的問詢信息情況可知，在數據存儲環節，上市審核機構的核心關注點在于：(1)數據存儲的方式、期限是否符合法律規定及合

232、同約定；(2)數據存儲是否存在潛在數據泄露風險。關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容數據存儲金智教育1142021 年 1 月發行人對相關信息的儲存及使用情況發行人對相關信息的儲存及使用情況，是否存在轉授權或流轉給第三方的情況，是否存在相關信息泄露的情況是否存在相關信息泄露的情況，是否存在侵犯用戶隱私及數據的情況，是否存在法律風險、糾紛或潛在糾紛。零點有數1152021 年 3 月針對客戶委托項目中各類采購的原始數據及后續處理完畢數據的保存期限保存期限，是否符合行業慣例及合同約定。是否符合行業慣例及合同約定。合合信息1162022 年 3 月發行人各項業務及研發分別獲取、

233、存儲存儲、使用哪些數據哪些數據，對應的數據來源、數據權屬，是否存在銷售數據的情形。衡泰技術1172023 年 9 月對個人信息的儲存及使用情況是否存在信息泄露、侵犯用戶隱私及數據的情況。表表 22數據存儲合規相關問詢數據存儲合規相關問詢114關于江蘇金智教育信息股份有限公司首次公開發行股票并在科創板上市申請文件的第二輪審核問詢函的回復115關于北京零點有數數據科技股份有限公司申請首次公開發行股票并在創業板上市的審核中心意見落實函的回復116關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回復117關于杭州衡泰技術股份有限公司首次公開發行股票并在創業板上市

234、申請文件的審核問詢函之回復報告段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版111/156問題問題 39：數據存儲，需要關注哪些合規要點？：數據存儲，需要關注哪些合規要點？存儲也屬于處理的行為之一，應當以取得用戶同意為前提，并明確告知其存儲期限及存儲地點（如于隱私政策中明確數據存儲相關規則隱私政策中明確數據存儲相關規則），具體而言：圖圖 18數據存儲合規要點數據存儲合規要點基于最小儲存期限的要求，我們整理部分行業法律法規要求的儲存期限如下表所示：序號序號法律法規法律法規基本信息基本信息主要內容主要內容1個人信息保護法全國人大常委會2021.08.20 發布2021.11.01 實施第十

235、九條 除法律、行政法規另有規定外，個人個人信息的保存期限應當為實現處理目的所必要的信息的保存期限應當為實現處理目的所必要的最短時間最短時間。2中華人民共和國電子商務法全國人大常委會2018.08.31 發布2019.01.01 實施第三十一條 電子商務平臺經營者應當記錄、保記錄、保存平臺上發布的商品和服務信息、交易信息存平臺上發布的商品和服務信息、交易信息，并確保信息的完整性、保密性、可用性。商品和服商品和服務信息、交易信息保存時間自交易完成之日起不務信息、交易信息保存時間自交易完成之日起不少于三年少于三年；法律、行政法規另有規定的，依照其段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版

236、112/156序號序號法律法規法律法規基本信息基本信息主要內容主要內容規定。第五十三條第三款 電子支付服務提供者應當向向用戶免費提供對賬服務以及最近三年的交易記用戶免費提供對賬服務以及最近三年的交易記錄錄。3網絡交易監督管理辦法市監總局2021.03.15 發布2021.05.01 實施第三十一條 網絡交易平臺經營者對平臺內經營平臺內經營者身份信息者身份信息的保存時間自其退出平臺之日起不自其退出平臺之日起不少于三年少于三年；對商品或者服務信息，支付記錄、物流快遞、退換貨以及售后等交易信息的保存時間交易信息的保存時間自交易完成之日起不少于三年自交易完成之日起不少于三年。法律、行政法規另有規定的，

237、依照其規定。4中華人民共和國證券法全國人大常委會2019.12.28 發布2020.03.01 實施第一百三十七條 證券公司應當建立客戶信息查客戶信息查詢制度，確?？蛻裟軌虿樵兤滟~戶信息、委托記詢制度，確?？蛻裟軌虿樵兤滟~戶信息、委托記錄、交易記錄以及其他與接受服務或者購買產品錄、交易記錄以及其他與接受服務或者購買產品有關的重要信息有關的重要信息。證券公司應當妥善保存客戶開戶資料、委托記錄、交易記錄和與內部管理、業務經營有關的各項信息，任何人不得隱匿、偽造、篡改或者毀損。上述信息的保存期限不得少于二十年。上述信息的保存期限不得少于二十年。5中華人民共和國電子簽名法全國人大常委會2019.04.

238、23 發布2019.04.23 實施第二十四條 電子認證服務提供者應當妥善保存與認證相關的信息，信息保存期限至少為電子簽信息保存期限至少為電子簽名認證證書失效后五年名認證證書失效后五年。6征信業管理條例國務院2013.01.21 發布2013.03.15 實施第十六條 征信機構對個人不良信息的保存期征信機構對個人不良信息的保存期限，自不良行為或者事件終止之日起為限，自不良行為或者事件終止之日起為 5 年；超年；超過過 5 年的，應當予以刪除。年的，應當予以刪除。在不良信息保存期限內，信息主體可以對不良信息作出說明，征信機構應當予以記載。7中華人民共和國反洗錢法全國人大常委會2006.10.31

239、 發布2007.01.01 實施第十九條 金融機構應當按照規定建立客戶身份資料和交易記錄保存制度。在業務關系存續期間，客戶身份資料發生變更的，應當及時更新客戶身份資料?？蛻羯矸葙Y料在業務關系結束后、客戶交易信息客戶身份資料在業務關系結束后、客戶交易信息在交易結束后，應當至少保存五年。在交易結束后，應當至少保存五年。金融機構破產和解散時，應當將客戶身份資料和段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版113/156序號序號法律法規法律法規基本信息基本信息主要內容主要內容客戶交易信息移交國務院有關部門指定的機構。8互聯網信息服務管理辦法國務院2011.01.08 發布2011.01.08

240、 實施第十四條第二款 互聯網信息服務提供者和互聯互聯網信息服務提供者和互聯網接入服務提供者的記錄備份應當保存網接入服務提供者的記錄備份應當保存 60 日日，并在國家有關機關依法查詢時，予以提供。9網絡餐飲服務食品安全監督管理辦法市監總局2020.10.23 發布2020.10.23 實施第十五條 網絡餐飲服務第三方平臺提供者和自建網站餐飲服務提供者應當履行記錄義務，如實記錄網絡訂餐的訂單信息，包括食品的名稱、下包括食品的名稱、下單時間、送餐人員、送達時間以及收貨地址，信單時間、送餐人員、送達時間以及收貨地址，信息保存時間不得少于息保存時間不得少于 6 個月個月。10人力資源市場暫行條例國務院2

241、018.06.29 發布2018.10.01 實施第三十三條 人力資源服務機構應當加強內部制度建設，健全財務管理制度，建立服務臺賬，如如實記錄服務對象、服務過程、服務結果等信息實記錄服務對象、服務過程、服務結果等信息。服務臺賬應當保存服務臺賬應當保存 2 年以上。年以上。表表 23部分行業法律法規要求的儲存期限部分行業法律法規要求的儲存期限段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版114/156問題問題 40：個人生物識別信息應如何存儲？：個人生物識別信息應如何存儲？企業業務活動中往往涉及不同類型、不同級別的個人信息，應相應采取分類分級管理制度，配套不同數據存儲策略。而個人生物識別

242、信息屬于敏感個人信息個人生物識別信息屬于敏感個人信息（是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息），應配備更高安全性級別的儲存策略：(1)采用加密等安全措施：存儲個人生物識別信息等敏感個人信息時，應采用加密等安全措施（采用密碼技術時宜遵循密碼管理相關國家標準），保證數據庫用戶權限嚴格分離，并對涉及敏感個人信息數據庫加強權限控制和安全審計；(2)單獨存儲：個人生物識別信息應與個人身份信息分開存儲，原則上不應存儲原始個人生物識別信息（如樣本、

243、圖像等），可采取的措施包括但不限于：(a)僅存儲個人生物識別信息的摘要信息（摘要信息通常具有不可逆特點，無法回溯到原始信息）；(b)在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；(c)在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。(3)及時備份：在符合前述第(2)項的基礎上，對個人生物識別信息等敏感個人信息采取相應備份機制，確保其可用性。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版115/156問題問題 41：數據存儲的盡頭是刪除？：數據存儲的盡頭是刪除？除了刪除，還可以采用匿名化處理的方式?；谧钚”匾瓌t，企

244、業存儲的個人信息，在存儲期限屆滿后，應主動依法對個人信息進行刪除（若刪除個人信息從技術上難以實現的，根據 個信法 的規定，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理）或匿名化處理（匿名化處理后的信息無法識別到個人，不是個人信息，詳見本文“問題1：如何界定個人信息？”）。然而，若企業采取匿名化處理方式，鑒于再識別技術118日益精進（具體參見本團隊文章“個人信息”的判定絕非易事IP 屬地遇到攔路虎“再識別技術”），匿名化已非絕對性概念匿名化已非絕對性概念，企業應加強匿名化處理情形下的風險識別，制定內部匿名化處理“回頭看”制度，定期基于技術發展與識別技術的成本投入程度等因素進定期

245、基于技術發展與識別技術的成本投入程度等因素進行行“再識別評估再識別評估”，以防止已進行匿名化處理的個人信息被再識別，從而違反個人信息保護相關法律要求。118再識別技術指通過使用數據匹配或類似技術將匿名化數據轉換回個人數據的過程段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版116/156(五五)境外上市境外上市/數據出境合規數據出境合規 11 問問針對擬上市企業赴境外上市，或者選擇境內上市但涉及數據出境業務的，審核機構重點關注以下三點：(1)赴境外上市是否應申報網絡安全審查；(2)境外發行證券和上市的數據出境合規；(3)擬境內上市企業是否涉及數據出境業務以及該業務的合規性。關注焦點問詢對

246、象關注焦點問詢對象/時間問詢內容時間問詢內容網絡安全審查蔚來1192022 年 2 月蔚來赴港上市文件披露，其于香港上市是否須接受網絡安全審查仍然存在重大不確定性。數據出境熙華檢測1202023 年 10 月發行人取得的數據內容、使用、存儲、傳輸方式，數據跨境傳輸安全性及是否需要取得許可，發行人是否存在利用相關試驗數據營利情況。海天瑞聲1212023 年 12 月請發行人進一步說明：數據出境安全評估申報審批的具體流程及對發行人未來境外客戶訂單的影響，發行人認為規范和促進數據跨境流動規定（征求意見稿）未來如出臺對發行人開展境外業務的影響將進一步減小的依據是否充分。美亞科技1222024 年 9

247、月說明發行人向境外提供的個人信息是否存在重要數據情形，發行人可豁免申報數據出境安全評估的依據是否充分，是否可一并豁免訂立個人信息出境標準合同、通過個人信息保護認證等義務。涉外業務微眾信科1232020 年 12 月發行人是否從事境外數據的獲取、處理、提供等涉外服務境外數據的獲取、處理、提供等涉外服務，如涉及，請說明是否符合征信相關法律、數據安全相關法律規定的涉外信息、數據安全的要求和程序，該類業務的合法合規性。119蔚來集團以介紹方式在香港聯合交易所有限公司主板上市（上市文件）120北京市君合律師事務所關于上海熙華檢測技術服務股份有限公司首次公開發行股票并在創業板上市的補充法律意見書（一）12

248、1關于北京海天瑞聲科技股份有限公司 2023 年度向特定對象發行 A 股股票申請文件的第二輪審核問詢函的回復122關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復123關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版117/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容海天瑞聲1242020 年 8 月發行人及其子公司為境外客戶提供訓練數據服務或產品，涉及境外銷售，該境外經營是否符合當地規定，是否符合我國出口管制規定。合合信息1252022

249、 年 9 月核查發行人是否從事境外數據業務，是否存在向境外主體提供或銷售數據產品及服務的情形，并就該類業務是否合法合規發表明確核查意見。睿聯技術1262023 年 9 月說明在開展業務過程中是否可以獲取用戶相關個人信息和商業秘密等用戶數據，業務開展是否符合各國數據保護和網絡安全等法律法規的規定。沃太能源1272023 年 12 月相關數據存儲、使用等安排是否符合所在業務地區/國家的數據安全、個人信息保護等法律法規的規定（涉及跨境儲存）。表表 24境外上市境外上市/數據出境合規相關披露數據出境合規相關披露/問詢問詢124關于北京海天瑞聲科技股份有限公司首次公開發行股票并在科創板上市申請文件審核問

250、詢函的回復125關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的第二輪審核問詢函的回復126關于深圳市睿聯技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復127關于沃太能源股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報告段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版118/156問題問題 42：更新更新什么情形下構成數據出境行為？什么情形下構成數據出境行為？根據國家互聯網信息辦公室發布的數據出境安全評估申報指南（第二版）和個人信息出境標準合同備案指南（第二版）“一、適用范圍”規定，數據出境行為包括向境外提供或允許境

251、外訪問境內數據，具體包括以下三種情形：(1)數據處理者將在境內運營中收集和產生的數據傳輸、存儲至境外；(2)數據處理者收集和產生的數據存儲在境內，境外的機構、組織或者個人可以查詢、調取、下載、導出；(3)符合個人信息保護法第三條第二款情形，在境外處理境內自然人個人信息等其他數據處理活動（包含(a)以向境內自然人提供產品或者服務為目的；(b)分析、評估境內自然人的行為；(c)法律、行政法規規定的其他情形。）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版119/156問題問題 43：新增新增數據過境行為是否被納入約束？數據過境行為是否被納入約束？數據過境是指，數據處理者在境外收集和產生的個

252、人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據。對于數據過境行為，免予適用申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證。128數據過境行為要求，一是個人信息收集和產生于境外，且經過境內處理后，最終向境外提供，即“兩端在外兩端在外”；二是在境內數據處理過程中沒有引入境內個人信息或重要數據，即“無添加無添加”。典型情形是“來數加工”類業務，只有符合上述兩個要件的，才屬于“數據過境”，免于適用前文所述 3 條數據出境合規路徑，可以直接傳輸出境。128促進和規范數據跨境流動規定（國家互聯網信息辦公室，國家互聯網信息辦公室令第 16 號，2024.0

253、3.22發布并實施）第 4 條規定段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版120/156問題問題 44：新增新增數據出境的合規路徑項下有哪些豁免情形？數據出境的合規路徑項下有哪些豁免情形？整合促進和規范數據跨境流動規定 網絡數據安全管理條例的規定，具備以下情形之一時，可以豁免適用數據出境合規路徑（即免于適用申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證）129：情形一：數據過境行為（情形一：數據過境行為（詳見“問題 43：新增數據過境行為是否被納入約束？”）；情形二：特殊場景下出境一般數據的情形二：特殊場景下出境一般數據的國際貿易、跨境運輸、學術合作、跨國生

254、產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的；情形三：訂立、履行合同確需的情形三：訂立、履行合同確需的為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的（不含重要數據）；情形四：人力資源管理下確需出境員工個人信息的情形四：人力資源管理下確需出境員工個人信息的按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的（不含重要數據）；情形五：緊急情況確需的情形五：緊急情況確需的緊急情況下為保護自然人的生命健康和財產安全，確需

255、向境外提供個人信息的（不含重要數據）；場景六：不滿場景六：不滿 10 萬人一般個人信息的（萬人一般個人信息的（CIIO 除外）除外）關鍵信息基礎設施運營者（CIIO）以外的數據處理者自當年 1 月 1 日起累計向境外提供不滿 10 萬人個人信息（不含敏感個人信息）的（不含重要數據）；情形七：法定職責或者法定義務確需的情形七：法定職責或者法定義務確需的為履行法定職責或者法定義務，確需向境外提供個人信息的；129促進和規范數據跨境流動規定（國家互聯網信息辦公室，國家互聯網信息辦公室令第 16 號，2024.03.22發布并實施）第 3 條、第 4 條、第 5 條規定，網絡數據安全管理條例（國務院，

256、國務院令第七百九十號，2024.09.24 發布，2025.01.01 實施）第 35 條規定段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版121/156場景八：自貿區負面清單外的數據場景八：自貿區負面清單外的數據自由貿易試驗區內數據處理者向境外提供負面清單外的數據；自由貿易試驗區在國家數據分類分級保護制度框架下，可以自行制定區內需要納入數據出境安全評估、個人信息出境標準合同、個人信息保護認證管理范圍的數據清單（下稱“負面清單”），經省級網絡安全和信息化委員會批準后，報國家網信部門、國家數據管理部門備案；自由貿易試驗區內數據處理者向境外提供負面清單外的數據，可以免予申報數據出境安全評估

257、、訂立個人信息出境標準合同、通過個人信息保護認證；場景九：其他場景九：其他法律、行政法規或者國家網信部門規定的其他條件。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版122/156問題問題 45：新增新增數據出境的合規路徑有哪些？數據出境的合規路徑有哪些？除豁免情形（詳見“問題 44：新增數據出境的合規路徑項下有哪些豁免情形？”）外，我國目前法律就數據出境提供了三條通路，即：數據出境安全評估、個人信息出境標準合同備案（或稱“標準合同備案”）、個人信息跨境處理活動安全認證（或稱“安全認證”“個人信息保護認證”）。三者直接來源于個人信息保護法第 38 條第 1 款的規定，個人信息處理者因業

258、務等需要，確需向境外提供個人信息的，應當具備下列條件之一：（一）依照本法第四十條的規定通過國家網信部門組織的安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）按照國家網信部門制定的標準合同與境外接收方訂立合同，約定雙方的權利和義務；（四）法律、行政法規或者國家網信部門規定的其他條件。圖圖 19個人信息跨境提供規則個人信息跨境提供規則經過三年實踐，2025 年 1 月 1 日正式生效的網絡數據安全管理條例吸納了促進和規范數據跨境流動規定中的豁免情形，于第 35 條進行了完善規定：符合下列條件之一的，網絡數據處理者可以向境外提供個人信息：（一）通過國家網信部門組織的數據出

259、境安全評估；（二）按照國家網信部門的規定經專業機構進行個人信息保護認證；（三）符合國家網信部門制定的關于個人信息出境標段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版123/156準合同的規定；（四）為訂立、履行個人作為一方當事人的合同，確需向境外提供個人信息；（五）按照依法制定的勞動規章制度和依法簽訂的集體合同實施跨境人力資源管理，確需向境外提供員工個人信息；（六）為履行法定職責或者法定義務，確需向境外提供個人信息；（七）緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息；（八）法律、行政法規或者國家網信部門規定的其他條件。至此，形成了我國法律框架下數據出境的完整合規路

260、徑。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版124/156問題問題 46：更新更新觸發數據出境安全評估的情形有哪些？觸發數據出境安全評估的情形有哪些？促進和規范數據跨境流動規定對數據出境安全評估辦法明確的應當申報數據出境安全評估的條件作了優化調整。具備以下情形之一時，應當通過所在地省級網信部門向國家網信部門申報數據出境安全評估：(1)CIIO 向境外提供個人信息或者重要數據；(2)CIIO 以外的數據處理者向境外提供重要數據；(3)CIIO 以外的數據處理者自當年自當年 1 月月 1 日起日起累計向境外提供 100 萬人以上個人信息（不含敏感個人信息）或者 1 萬人以上敏感個人信

261、息。130特別地，該境外包含香港特別行政區、澳門特別行政區以及臺灣地區該境外包含香港特別行政區、澳門特別行政區以及臺灣地區。130促進和規范數據跨境流動規定（國家互聯網信息辦公室，國家互聯網信息辦公室令第 16 號，2024.03.22發布并實施）第 7 條規定段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版125/156問題問題 47：新增新增如何申報數據出境安全評估？如何申報數據出境安全評估？數據出境安全評估申報分為線上申報與線下申報兩種方式：其一，線上申報：數據處理者申報數據出境安全評估可以登錄數據出境申報系統提交申報材料，網址：https:/（已經通過線下方式提交安全評估申報的，

262、不需要通過數據出境申報系統進行重新提交）。其二，線下申報：關鍵信息基礎設施運營者或者其他不適合通過數據出境申報系統申報數據出境安全評估的，采用線下方式通過所在地省級網信部門向國家網信部門申報數據出境安全評估，申報方式為送達書面申報材料并附帶材料電子版，書面申報材料需裝訂成冊。上述申報材料（數據處理者對所提交材料的真實性負責，提交虛假材料的，按照評估不通過處理，并依法追究相應法律責任）包含下述內容：(1)統一社會信用代碼證件影印件（影印件加蓋公章）；(2)法定代表人身份證件影印件（影印件加蓋公章）；(3)經辦人身份證件影印件（影印件加蓋公章）；(4)經辦人授權委托書；(5)數據出境安全評估申報書

263、（承諾書+數據出境安全評估申報表（使用中文填寫）；(6)與境外接收方擬訂立的數據出境相關合同或其他具有法律效力的文件（對數據出境相關約定條款作高亮、線框等顯著標識。法律文件以中文版本為準，若僅有非中文版本，須同步提交準確的中文譯本）；(7)數據出境風險自評估報告（使用中文撰寫）；(8)其他相關證明材料。特別地，采用線下方式提交申報材料的數據處理者，需同步通過光盤提交相應電子版材料。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版126/156問題問題 48：新增新增數據出境安全評估申報的具體流程與所需時間？數據出境安全評估申報的具體流程與所需時間？考慮到數據出境安全評估申報前期準備工作的

264、復雜性，企業應預留充足的內部時間用于組織申報相關材料和提交申報（含自評估時間）。正式提交申報材料后，法規規定的申報流程總共約為總共約為 57+N 個工作日個工作日（N 指補充材料及其審核的時間），若涉及對評估結果有異議申請復評的，時長將相應延長15+N 個工作日（收到評估結果 15 個工作日內申請復評，N 為復評時間）。具體如下：(1)其一，省級網信辦完備性查驗其一，省級網信辦完備性查驗：省級網信辦在數據處理者提交申報材料之日起5個工作日內完成申報材料的完備性查驗，并向數據處理者告知查驗結果。通過完備性查驗的，省級網信辦將申報材料提請國家網信辦受理；未通過完備性查驗的，省級網信辦向數據處理者告

265、知未通過完備性查驗原因。(2)其二，國家網信辦受理其二，國家網信辦受理：國家網信辦自收到省級網信辦提交的申報材料之日起 7 個工作日內，確定是否受理并書面通知數據處理者。(3)其三，國家網信辦安全評估其三，國家網信辦安全評估：國家網信部門自向數據處理者發出書面受理通知書之日起 45 個工作日內完成數據出境安全評估；需要補充或者更正申報材料的，數據處理者應當按照告知要求及時補充或者更正材料。無正當理由不補充或者更正申報材料的，國家網信辦可以終止安全評估。情況復雜或者需要補充、更正材料的，國家網信辦可以適當延長評估時間，并告知數據處理者預計延長的時間。(4)其四：出具評估結果通知書其四：出具評估結

266、果通知書：評估完成后，國家網信辦向數據處理者出具評估結果通知書。數據處理者應當按照數據出境安全管理相關法律法規和評估結果通知書的有關要求，規范相關數據出境活動。數據處理者對評估結果有異議的，可以在收到評估結果通知書 15 個工作日內向國家網信辦申請復評，復評結果為最終結論。若出現疑難事項的，可以事先咨詢所在地省級網信部門。建議有數據出境安全申報需求的企業應提前規劃數據出境安全評估申報工作，為后續網信辦的審核流程留足時間。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版127/156問題問題 49：新增新增簽訂標準合同進行數據出境活動的適用范圍？簽訂標準合同進行數據出境活動的適用范圍？通常

267、而言，除滿足數據出境合規路徑的豁免情形（詳見“問題 44：新增數據出境的合規路徑項下有哪些豁免情形？”），通過訂立標準合同并向所在地省級網信部門備案的方式向境外提供個人信息的企業，應當同時同時符合下列情形：(1)CIIO 以外的數據處理者；(2)自當年 1 月 1 日起，累計向境外提供 10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）的；(3)自當年 1 月 1 日起，累計向境外提供不滿 1 萬人敏感個人信息的。131特別地，為促進粵港澳大灣區個人信息跨境安全有序流動，推動粵港澳大灣區高質量發展，粵港澳大灣區個人信息跨境流動享有如下便利措施：其一，內地與香港其一，內地與香港：根據

268、粵港澳大灣區（內地、香港）個人信息跨境流動標準合同實施指引 的規定，注冊于或位于粵港澳大灣區內地部分（即廣東省廣州市、深圳市、珠海市、佛山市、惠州市、東莞市、中山市、江門市、肇慶市，下稱“粵港澳大灣區內地部分”）或香港特別行政區的個人信息處理者及接收方可以通過訂立標準合同的方式進行粵港澳大灣區內內地和香港之間的個人信息跨境流動，構成重要數據的個人信息除外。其二，內地與澳門其二，內地與澳門：根據粵港澳大灣區（內地、澳門）個人信息跨境流動標準合同實施指引的規定，粵港澳大灣區個人信息處理者及接收方（應注冊于（適用于組織）/位于（適用于個人）粵港澳大灣區內地部分，即廣東省廣州市、深圳市、珠海市、佛山市

269、、惠州市、東莞市、中山市、江門市、肇慶市，或者澳門特別行政區）可以按照該實施指引要求，通過訂立標準合同的方式進行粵港澳大灣區內內地和澳門之間的個人信息跨境流動。被相關部門、地區告知或者公開發布為重要數據的個人信息除外。131個人信息出境標準合同備案指南（第二版）（國家互聯網信息辦公室，2024.03.22 發布，2024.03.22實施）第 1 條規定段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版128/156問題問題 50：新增新增標準合同備案的具體流程？標準合同備案的具體流程？不同于數據出境安全評估的事前申報，通過簽訂標準合同并辦理備案路徑進行數據出境的，應當依法在標準合同生效之日

270、起 10 個工作日內通過數據出境申報系統（系統網址為 https:/）進行備案，結合上文所述備案所需提交的申報材料，具體流程總結如下：第一步：開展個人信息保護影響評估第一步：開展個人信息保護影響評估。個人信息處理者向境外提供個人信息的，應當事前開展個人信息保護影響評估，并使用中文按照個人信息出境標準合同備案指南（第二版）撰寫個人信息保護影響評估報告（模板）（出境版出境版）。第二步：訂立標準合同第二步：訂立標準合同。個人信息處理者與境外接收方按照國家網信辦公布的標準合同模板訂立標準合同。第三步：遞交申報材料第三步：遞交申報材料。個人信息處理者備案標準合同，應當提交相關申報材料；第四步：反饋備案結

271、果第四步：反饋備案結果。省級網信辦應當自個人信息處理者提交備案材料之日起15 個工作日內完成材料查驗，并向符合備案要求的個人信息處理者發放備案編號。需要補充完善材料的，個人信息處理者應當在 10 個工作日內提交補充完善材料；逾期未補充完善材料的，可以終止本次備案程序。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版129/156問題問題 51：更新更新境外（香港或國外）上市，應申報網絡安全審查嗎？境外（香港或國外）上市，應申報網絡安全審查嗎？數據作為除土地、資本、技術等傳統生產要素外的新興重要生產要素，已成為各國國際競爭中，國家安全與發展的重要考量因素。對此，我國專門出臺網絡安全審查辦法

272、132，其中，針對企業赴境外（香港或國外）上市可能涉及的網絡安全審查作出了詳細規定。(1)主動申報情形主動申報情形根據網絡安全審查辦法的規定，掌握掌握超過 100 萬用戶個人信息萬用戶個人信息的網絡平臺運營者赴國外國外上市（注意，這里用語非“境外境外”），必須向網絡安全審查辦公室主動主動申報申報網絡安全審查。這個體量對于擬上市企業而言，顯然很容易達到這個體量對于擬上市企業而言，顯然很容易達到。這里有個難點，在于“掌握掌握”的涵義。我們認為，應從實質角度進行判斷，即是否是否實際控制個人信息或對個人信息存在重大影響實際控制個人信息或對個人信息存在重大影響。比如，受個人信息處理者委托處理個人信息，對

273、個人信息處理的目的與方式不存在任何決定權的情形，即可能不構成該條所述的“掌握”。但若受托人超出授權委托的處理范圍與權限，而能夠決定處理的目的與方式的，則可能構成“掌握”。(2)被動審查情形被動審查情形網絡安全審查辦公室對于其認為影響或者可能影響國家安全影響或者可能影響國家安全的網絡產品和服務以及數據處理活動，有權依職責進行審查依職責進行審查（注意，這里未區分境外還是國外上市）?？偨Y而言總結而言，對于掌握超過 100 萬用戶個人信息的網絡平臺運營者：(1)赴香港上市赴香港上市：不適用該主動申報規則，存在適用被動審查的可能。雖暫無明確法律依據約束赴香港上市應主動申報網絡完全審查，但正如赴港上市的蔚

274、來集團所披露的信息，于香港上市是否須接受網絡安全審查仍然存在重大不確定性，建議擬上市企業實時關注立法動態。(2)赴國外上市赴國外上市：應適用主動申報規則，亦存在適用被動審查的可能。132發布機構：國家互聯網信息辦公室、中華人民共和國國家發展和改革委員會、中華人民共和國工業和信息化部、中華人民共和國公安部、中華人民共和國國家安全部、中華人民共和國財政部、中華人民共和國商務部、中國人民銀行、國家市場監督管理總局、國家廣播電視總局、中國證券監督管理委員會、國家保密局、國家密碼管理局；2021.12.28 發布；2022.02.15 施行段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版130/1

275、56問題問題 52：更新更新境外上市過程中的數據出境，如何合規？境外上市過程中的數據出境，如何合規？美國國會眾議院于當地時間 2020 年 12 月 2 日通過控股外國公司問責法案（Holding Foreign Companies Accountable Act,HFCAA），要求在美上市外國公司需向美國公眾公司會計監督委員會（以下簡稱“PCAOB”）提交可供檢查的會計師事務所出具的審計報告；若連續三次出現無法檢查年度，則其將被禁止在美國相關證券交易所進行證券交易。這意味著中美證券監管合作爭議再度升級，擬于境外上市企業需要更加重視境外發行證券和上市的數據出境合規問題。根據證監會先后出臺的境內

276、企業境外發行證券和上市管理試行辦法133（下稱“境外上市辦法”）、關于加強境內企業境外發行證券和上市相關保密和檔案管理工作的規定134（下稱“境外上市保密新規”）的規定，擬境外上市企業在境外上市過程中，主要需要重點關注數據出境、保密及檔案管理合規：數據出境合規數據出境合規2023 年 3 月 31 日，證監會等部門發布的境外上市辦法正式生效，其中明確了擬境外上市企業在上市過程中的數據出境合規數據出境合規要求：(1)約束對象：境內企業(a)境內企業直接境外發行上市，是指在境內登記設立的股份有限公司境外發行上市（如 H 股上市企業）。(b)境內企業間接境外發行上市，是指主要經營活動在境內的企業，以

277、在境外注冊的企業的名義，基于境內企業的股權、資產、收益或其他類似權益境外發行上（如 WOFE、VIE 結構下的運營實體）。(2)數據出境合規：境外發行上市的境內企業應當遵守國家保密法律制度，采取必要措施落實保密責任，不得泄露國家秘密和國家機關工作秘密。境內企業境外發行上市涉及向境外提供個人信息和重要數據等的，應當符合法律、行政法規和國家有關規定。133發布機構：證監會；2023.02.17 發布；2023.03.31 實施134發布機構：證監會，財政部，國家保密局，國家檔案局；2023.02.24 發布2023.03.31 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版131/15

278、6境內企業境外發行上市活動，應當嚴格遵守外商投資、網絡安全、數據安全等國家安全法律、行政法規和有關規定，切實履行維護國家安全的義務。涉及安全審查的，應當在向境外證券監督管理機構、交易場所等提交發行上市申請前依法履行相關安全審查程序。保密及檔案管理合規在境外上市辦法相關規定的基礎上，證監會發布的境外上市保密新規于2023 年 3 月 31 日同步生效，對境內企業境外發行證券和上市的保密和檔案管理提出明確要求：(1)約束對象：(a)境內企業（范圍與境外上市辦法同）；(b)從事境內企業境外發行上市業務的境內外證券公司、證券服務機構。(2)嚴格履行程序：(a)提供、公開披露涉及國家秘密、國家機關工作秘

279、密的文件、資料的涉及國家秘密、國家機關工作秘密的文件、資料的，應當依法報有審批權限的主管部門批準，并報同級保密行政管理部門備案；(b)提供、公開披露其他泄露后會對國家安全或者公共利益造成不利影響的對國家安全或者公共利益造成不利影響的文件、資料的文件、資料的，應當按照國家有關規定，嚴格履行相應程序；(c)提供會計檔案或會計檔案復制件的，應當按照國家有關規定履行相應程序。(3)底稿存放：(a)工作底稿等檔案應當存放在境內。需要出境的，按照國家有關規定辦理審批手續；(b)遵守我國保密及檔案管理的要求，妥善保管獲取的上述文件、資料。存儲、處理、傳輸上述文件、資料的信息系統、信息設備應當符合國家有關規定

280、。(4)泄露補救：段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版132/156發現國家秘密、國家機關工作秘密或者其他泄露后會對國家安全或者公共利益造成不利影響的文件、資料已經泄露或者可能泄露的，應當立即采取補救措施并及時向有關機關、單位報告。此外，境外上市應關注網絡安全審查，具體詳見本文“問題 51：境外（香港或國外）上市，應申報網絡安全審查嗎？”。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版133/156(六六)數據安全保障合規數據安全保障合規 8 問問通過分析各擬上市企業披露的問詢信息情況可知，在數據安全保障方面，審核機構的核心關注點在于：(1)是否符合數據合規的法定義務

281、；(2)是否發生過數據安全事件及對應有效解決措施；(3)是否已建立完善的數據安全保障內控制度；(4)是否存在涉及數據合規與數據安全的訴訟爭議或受處罰的情形；(5)是否存在被數據合規相關監管部門要求整改的情形以及具體整改措施、是否會對上市造成實質性阻礙。關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容數據合規法定義務聯眾信息1352022 年 7 月充分論證“業務開展過程中不涉及對個人信息的收集、存儲、傳輸、處理、使用”是否符合業務實質，逐條對照個人信息保護法 數據安全法等相關法律法規，說明發行人相關業務開展的合規性。木倉科技1362022 年 6 月發行人的經營活動、個人信息的處理（

282、含收集、存儲、使用、加工、傳輸、提供、公開、刪除等）、發行人履行的義務是否符合個人信息保護法的相關要求及合規性，進行必要的風險揭示。長光衛星1372023 年 1 月發行人核心業務與衛星遙感數據相關，請說明發行人遙感數據收集、使用、存儲、運輸、銷售、管理等各個環節的合規性；發行人是否符合數據安全相關的法律法規，保障數據安全的相關措施黔通智聯1382023 年 6 月結合個人信息保護法 數據安全法等相關法律法規，說明在業務開展過程中相關個人或用戶信息和數據安全方面的合規性。135關于上海聯眾網絡信息股份有限公司 首次公開發行股票并在創業板上市申請文件第二輪審核問詢函的回復136關于武漢木倉科技股

283、份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復137關于長光衛星技術股份有限公司首次公開發行股票并在科創板上市審核問詢函的回復138關于貴州黔通智聯科技股份有限公司首次公開發行股票并在創業板上市申請文件第二輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版134/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容佰聆數據1392023 年 9 月發行人產品/服務研發、生產、銷售及使用過程中涉及到的數據采集、處理、存儲、分析挖掘、應用等情況及其合規性。熙華檢測1402023 年 10 月結合數據安全法等數據信息相關法律法規，以及行業內關于臨

284、床試驗數據管理的相關要求，說明發行人數據管理的合規性。太川股份1412023 年 11 月發行人的產品屬于安防產品,平臺采集和儲存的數據（指的是樓宇對講門禁模塊的數據）為公安機關所關注,對照網絡安全法 個人信息保護法 APP 違法違規收集使用個人信息行為認定方法等相關法律法規，說明發行人采集、儲存、使用個人信息的行為是否合法合規。格藍若1422023 年 12 月請發行人說明：發行人業務開展過程中，是否涉及相關信息數據的采集、獲取、使用、存儲、管理等環節，是否符合數據安全、信息管理相關法律法規的規定。佳和電氣1432024 年 4 月說明公司所研發軟件及應用關于采集、使用客戶信息等數據的功能設

285、置是否符合法律法規規定。節卡股份1442024 年 6 月發行人業務開展過程中，是否涉及相關信息數據的采集、獲取、使用、存儲、管理等環節，是否符合數據安全、信息管理相關法律法規的規定。美亞科技1452024 年 9 月發行人網絡和信息安全體系是否符合國家標準，是否符合個人信息保護法數據安全法網絡安全法等相關法律法規規定。合規措施零點有數146發行人針對數據使用、隱私及安全方面的內部控制措施及其安全方面的內部控制措施及其139關于佰聆數據股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復140北京市君合律師事務所關于上海熙華檢測技術服務股份有限公司首次公開發行股票并在創業板上市的

286、補充法律意見書（一）141關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文件的審核問詢函的回復142關于武漢格藍若智能技術股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函的回復143關于杭州佳和電氣股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復144關于節卡機器人股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復145關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復146關于北京零點有數數據科技股份有限公司申請首次公開發行股票并在創業板上市的審核中心意見落實段和段

287、高亞平律師團隊企業上市數據合規白皮書 3.0 版135/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容及有效性2021 年 3 月有效性有效性，是否存在泄密及其他數據使用風險。是否存在泄密及其他數據使用風險。發行人是否存在數據或信息被竊取、篡改、假冒、惡意破壞或攻擊等網絡安全事件風險及法律風險。是否存在數據或信息被竊取、篡改、假冒、惡意破壞或攻擊等網絡安全事件風險及法律風險。曠視科技1472021 年 6 月發行人保證數據采集、清洗、管理、運用等各方面的合規措施。保證數據采集、清洗、管理、運用等各方面的合規措施。金智教育1482023 年 9 月說明關于信息安全與數據保護的相

288、關內部控制制度及執行情況。麥馳物聯1492023 年 9 月結合加密傳輸協議、云平臺訪問權限、與客戶的終端數據安全條款等，說明對用戶信息的保護措施及其有效性，是否符合網絡安全法 個人信息保護法 APP 違法違規收集使用個人信息行為認定方法等相關法律法規的規定。長光衛星1502023 年 12 月就發行人接觸核心數據、核心技術秘密的關鍵崗位人員，如何防范泄密風險，發行人關于核心數據、核心技術秘密、核心知識產權保護的相關內控措施。四方偉業1512024 年 1 月結合軟件產品及服務形態下，發行人提供單獨計價的數據治理、運維的具體內容及實現方式等，充分說明發行人業務開展過程是否涉及數據的獲取、管理、

289、存儲和使用，是否符合數據安全法網絡安全法等法律法規要求，相關內部管理控制措施是否健全且有效執行。佳和電氣1522024 年 4 月結合發行人及其子公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析并補充披露公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，請補充披露相關信息或數據獲取及使用的合法合規性、風險控制制度及執行情況。函的回復147關于曠視科技有限公司首次公開發行存托憑證并在科創板上市申請文件的審核問詢函之回復148關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復149關于深圳市麥馳物聯股份有限

290、公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復（2023 年半年報財務數據更新版）150關于長光衛星技術股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函的回復151關于成都四方偉業軟件股份有限公司首次公開發行股票并在科創板上市申請文件的第二輪審核問詢函的回復152關于杭州佳和電氣股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版136/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容長光衛星1532024 年 6 月就發行人接觸核心數據、核心技術秘密的關鍵崗位人員，如何防范泄密

291、風險，發行人關于核心數據、核心技術秘密、核心知識產權保護的相關內控措施。訊方技術1542024 年 7 月說明數據的獲取、使用、存管、處置等過程的內部控制制度及執行情況，對數據安全和個人隱私的保護措施與手段。美亞科技1552024 年 9 月說明關于個人信息、客戶數據、商業秘密等安全保密的相關內控制度、技術保障措施及執行情況。爭議糾紛情況青云科技1562020 年 6 月發行人關于數據安全與網絡安全保護的相關制度及措施關于數據安全與網絡安全保護的相關制度及措施，與客戶簽訂的服務協議中關于安全責任約定與免責條款情況。關于安全責任約定與免責條款情況。報告期內安全事故的發生類型、原因及發生概率統計，

292、是否存在涉及數據安全與網絡安全的訴訟和仲裁糾紛或其他爭議情況。存在涉及數據安全與網絡安全的訴訟和仲裁糾紛或其他爭議情況。微眾信科1572020 年 12 月發行人報告期內是否存在因數據合規問題而受到處罰、監管等情形。因數據合規問題而受到處罰、監管等情形。衡泰技術1582023 年 9 月對個人信息的儲存及使用情況是否存在信息泄露、侵犯用戶隱私及數據的情況，是否存在法律風險、糾紛或潛在糾紛，關于信息安全與數據保護的相關內部控制制度及執行情況佳和電氣1592024 年 4 月說明是否存在因泄露或使用前述信息或數據產生的糾紛或處罰。天演維真1602024 年 4 月是否存在因泄露或使用前述信息或數據

293、產生的糾紛或處罰。153關于長光衛星技術股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函的回復154關于深圳市訊方技術股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函之回復155關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復156關于北京青云科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函的回復157關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復158關于杭州衡泰技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函之回復報告159關于杭州佳和電氣股份有限公

294、司公開發行股票并在北交所上市申請文件的審核問詢函的回復160關于浙江天演維真網絡科技股份有限公司公開發行股票并在北交所上市申報文件的審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版137/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容訊方技術2024 年 7 月說明是否出現過個人信息相關的糾紛或潛在糾紛，包括但不限于隱私泄露、買賣個人信息等。美亞科技1612024 年 9 月說明是否存在隨意收集、違法獲取、信息泄露、侵犯隱私、系統遭到攻擊等情形，是否發生相關糾紛。風險責任兆尹科技1622023 年 12 月結合相關法規規定和軟件產品的功能及所處業務環節，

295、說明發行人面對銀行等金融機構開展業務時，若軟件產品發生故障導致市場風險時，發行人面臨的合同責任，行政法律責任或刑事法律責任，并在招股說明書中補充披露上述法律風險。通報、處罰、問詢、整改路橋信息1632022 年 7 月說明上述網絡與信息安全限期整改通知書下發的原因、具體認定情況及整改情況，2021 年連續兩次收到整改通知的合理性，該 APP 是否存在下架的風險。上述違法行為是否存在訴訟糾紛，以及對發行人業務的影響，上述違法行為是否構成本次發行的障礙。合合信息1642022 年 9 月近期發行人接受上海市市場監督管理局調查核實的具體情況、進展及影響，該事項是否構成本次發行上市的實質障礙。金智教育

296、1652023 年 9 月說明收到相關部門核查整改通知的具體情況，包括違規時間、事實、造成影響、整改情況，是否構成重大違法違規行為；除上述事項外，報告期內發行人還有無其他違規收集個人信息被相關部門要求整改、核查或行政處罰的情形。金智教育1662023 年 9 月相關部門對發行人通報及責令整改的內容，發行人的整改情況，包括整改措施、效果、是否經有權機關驗收通過等；在招股說明書中就“今日校園”APP 被通報及責令整改對發行人持續經營能力的相關風險進行提示。161關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復162關于安徽兆尹信息科技股份有限公司首次公開發行

297、股票并在創業板上市申請文件的審核問詢函的回復報告163關于廈門路橋信息股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復164關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的第三輪審核問詢函的回復165關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復166關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版138/156關注焦點問詢對象關注焦點問詢對象/時間問詢內容時間問詢內容大漢軟件1672023 年 9 月說明“愛山東

298、”APP 涉及違規信息收集的具體情況，發行人在項目承建中承擔的義務，是否存在因相關問題面臨行政處罰的風險，是否屬于重大違法違規行為。新視云1682023 年 10 月未經許可轉載互聯網新聞信息的整改措施及其有效性、整改驗收情況，相關違規情形是否屬于重大違法違規行為及判斷依據。宇谷科技1692023 年 11 月發行人 APP 曾違規收集個人信息、超范圍收集個人信息，被浙江省通信管理局通報、要求落實整改。請發行人說明前述事項的具體情況，發行人違規超范圍收集個人信息是否構成重大違法行為，落實整改情況，是否整改完畢并獲得主管部門認可及其依據。美亞科技1702024 年 9 月報告期內，發行人曾存在未

299、按照個人信息保護法的規定以線下形式與客戶簽署相關個人信息保護條款或隱私協議，未就受托處理個人信息事宜的權利義務分配作出書面約定，未就向境外主體提供用戶個人信息事項取得用戶單獨同意，未完成數據出境安全評估等規范性瑕疵情形。說明前述各項個人信息保護瑕疵事項的整改規范情況，是否全部整改完畢，如否，是否存在重大違法情形。媒體質疑大漢軟件1712023 年 9 月說明是否存在其他涉及數據安全、違規信息收集等方面的媒體質疑，若是，請說明具體情況及對本次發行上市的影響。表表 25數據安全保障合規相關問詢數據安全保障合規相關問詢167上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股票并在深圳證券交

300、易所創業板上市的補充法律意見書（六）168關于江蘇新視云科技股份有限公司首次公開發行股票并在創業板上市補充法律意見書（二）169北京市通商律師事務所關于杭州宇谷科技股份有限公司 首次公開發行股票并在創業板上市之補充法律意見書（二）170關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請文件的審核問詢函的回復171上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股票并在深圳證券交易所創業板上市的補充法律意見書（六）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版139/156問題問題 53：數據合規的法定義務有哪些？：數據合規的法定義務有哪些？在聯眾網絡、木倉科技

301、的上市審核過程中，上市審核機構均要求發行人對于符合個信法 數安法等法定義務進行合規性說明，因此，擬上市企業首先需要明確數據合規的法定義務有哪些，以便于對照實施、免于處罰并通過監督問詢，對此，我們總結個信法、數安法、網安法的數據合規法定義務如下：(1)個信法項下法定義務個信法項下法定義務根據個信法，針對一般個人信息處理者與特殊個人信息處理者（即提供重要互聯網平臺服務、用戶數量巨大、業務類型復雜的個人信息處理者，下稱“特殊個人信息處理者”），法定義務不盡相同。對于擬上市企業而言，往往會構成“特殊個人信息處理者”，所需履行的義務具體如下圖所示（詳見本團隊文章互聯網平臺“七步走”，從容應對）：圖圖 2

302、0個人信息處理者義務要點梳理(2)數安法項下法定義務數安法項下法定義務根據數安法，數據處理者應當合法合規獲取數據，依法合規開展相應數據處理業務；同時應當建立數據安全制度，并加強風險監測、開展風險評估。其中，對于數據中介而言，還需額外就數據交易履行審核存證義務。具體如下圖所示：段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版140/156圖圖 21數據處理者義務要點梳理數據處理者義務要點梳理(3)網安法項下法定義務網安法項下法定義務根據網安法，網絡運營者（指網絡的所有者、管理者和網絡服務提供者），在網絡安全方面主要需要履行網絡安全保護義務、監測預警及應急處置義務。具體如下圖所示：圖圖 22

303、網安法主要義務梳理網安法主要義務梳理段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版141/156問題問題 54：如何建立數據安全內部管理制度？：如何建立數據安全內部管理制度？上醫治未病。為有效保障數據安全，上市審核機構會十分關注企業的數據安全內部管理制度，以期防患于未然。如在零點有數上市過程中，被問詢到“發行人針對數據使用、隱私及安全方面的內部控制措施及其有效性，是否存在泄密及其他數據使用風險?！?；曠世科技被問詢到“發行人保證數據采集、清洗、管理、運用等各方面的合規措施?！?；青云科技被問詢到“發行人關于數據安全與網絡安全保護的相關制度及措施，與客戶簽訂的服務協議中關于安全責任約定與免責

304、條款情況?！苯Y合問詢答復，擬上市企業可以參照以下維度，并參照ISO/IEC 27001:2022 信息安全、網絡安全和隱私保護信息安全管理體系要求172，結合自身實際情況，建立數據安全內部管理制度：數據安全內部管理制度體系建立數據安全內部管理制度體系建立(1)組織架構組織架構：設置設立數據安全委員會/數據安全管理小組，并由個人信息保護負責人/數據安全負責人擔任最高領導，主要負責公司個人信息保護及數據安全相關制度的制定和執行（詳見本團隊文章互聯網平臺如何打造數據安全合規體系之 數據安全應當責任到人）；(2)制度文件制度文件：制訂并貫徹執行企業數據管理相關制度、管理規定等，如：(a)制度大綱層面：

305、通過制定數據安全合規管理制度體系，明確數據安全合規管理目標、方針、組織架構及職責、管理重點、管理運行機制、管理安全保障等內容；(b)管理規定層面：如通過制定數據管理規定明確數據分級分類規則與數據采集、使用、共享、傳輸、存儲、刪除等全生命周期管理與保護規范；通過制定個人信息安全管理規定明確個人信息保護負責人任職及職責安排、個人172該 ISO27001 新版標準已于 2022 年 10 月 25 日正式發布，與舊版相比，新版所列的控制項從 114 項減少到 93 項，轉版時間為 3 年，現有證書需要在 2025 年 11 月前轉版到新版本段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版14

306、2/156信息處理規范、個人信息保護規程等、個人信息安全事件的應急響應機制等；通過信息安全管理規定明確數據風控管理機制、投訴舉報機制等內容；(c)具體操作層面：如通過制定數據采購管理規范明確對于數據采購行為的供應商準入、審批、數據源的合規管理；通過制定網絡安全事件應急預案明確在發生數據泄露、篡改、丟失等安全事件時的應急響應制度；通過制定 隱私政策管理規范明確隱私政策的制定、修訂、上線流程及規范，保護用戶個人信息權利。(3)人員管理：(a)入職審查與責任約定：可在員工入職前進行背景審核，考察其的數據風險感知能力與職業道德，并通過勞動合同 保密協議等內容明確員工在信息安全方面的責任義務；(b)教育

307、與培訓：積極進行員工數據安全相關的教育與培訓，增強其信息安全意識、能力；(c)建立舉報機制：可要求員工通過適當的渠道及時報告已發現或懷疑的信息安全事件，并采取匿名舉報等措施保護員工任職安全，或給予適當的激勵機制；(d)違規處理懲處：對違反企業相關信息安全管理制度的人員采取相應的懲處措施；(e)離職數據處理：在與員工勞動關系解除或終止時，應要求員工返還其掌握的數據并繼續承擔保密義務。(4)技術支持：段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版143/156(a)加密存儲：對敏感個人信息及重要數據采取相應備份機制及同時進行加密和脫敏處理，保證數據庫用戶權限嚴格分離，并采用一整套數據庫密碼

308、輪換制度和加密存儲機制；(b)權限管理：設置用戶權限管理系統，按特權分散原則和最小授權原則對不同等級的使用者設置不同的信息查看、管理、修改配置等權限。本團隊提示，不同類型的企業在管理制度建設過程中應各有側重，如采用爬蟲技術獲取數據的企業應額外建立數據自動化采集制度等規范文件，建議擬上市企業依據自身主營業務內容及數據處理獨特因素，個性化定制合適的管理制度。數據安全內部管理制度體系運行及完善數據安全內部管理制度體系運行及完善通過“數據安全內部管理制度體系建立”的實施，企業內部已經建立起一套比較完善的制度體系，然而，僅僅依靠紙面上的制度規范是不夠的，企業需要建立一個持續循環的長效管理機制，確保管理制

309、度的落地、實施、運行、檢查、保持以及改進，如此才能保障管理制度發揮最大的價值，具有生命力。因此，建議企業依據“PDCA（PLAN、DO、CHECK、ACT）”管理思想，不斷運行及完善上述管理制度。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版144/156問題問題 55：什么情況下應當設置數據安全負責人、個人信息保護負責人？：什么情況下應當設置數據安全負責人、個人信息保護負責人？根據我國現行法律法規及相關的國家標準，當擬上市企業處理數據滿足一定情形時，應當分別設立數據安全負責人、個人信息保護負責人以及兒童個人信息保護負責人：(1)數據安全負責人：數據安全負責人：根據數安法，重要數據的處

310、理者重要數據的處理者應當明確數據安全負責人明確數據安全負責人和管理機構，落實數據安全保護責任。關于“重要數據”的認定，詳見本文“問題 4：重要數據的定義是什么？”。(2)個人信息保護負責人個人信息保護負責人：根據個信法，處理個人信息達到國家網信部門規定數量達到國家網信部門規定數量的個人信息處理者應當指定個人信息保護負責人，負責對個人信息處理活動以及采取的保護措施等進行監督。對于上述“規定數量”，有待國家網信部門進一步出臺細則予以明確。目前可參考國家推薦性標準個人信息安全規范：滿足以下條件之一的組織滿足以下條件之一的組織，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作

311、：(a)主要業務涉及個人信息處理，且從業人員規模大于且從業人員規模大于 200 人人；(b)處理超過 100 萬人萬人的個人信息，或預計在 12 個月內處理超過 100 萬人萬人的個人信息；(c)處理超過 10 萬人萬人的個人敏感信息的。(3)兒童個人信息保護負責人：若涉及到處理不滿十四周歲的兒童個人信息若涉及到處理不滿十四周歲的兒童個人信息，根據兒童個人信息網絡保護規定，應當指定專人負責兒童個人信息保護應當指定專人負責兒童個人信息保護。（詳見本團隊文章安全 1 號位：Are You Ready?個人信息保護負責人的機遇與挑戰）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版145/15

312、6問題問題 56：APP/小程序被監管部門責令限期整改，是否會對上市造成影響？小程序被監管部門責令限期整改，是否會對上市造成影響？路橋信息就曾受到上市審核機構的問詢，要求其說明網絡與信息安全限期整改通知書下發的原因、具體認定情況及整改情況，2021 年連續兩次收到整改通知的合理性，該 APP 是否存在下架的風險上述違法行為是否構成本次發行的障礙。根據首次公開發行股票并上市管理辦法的規定，發行人不得有下列情形：（二）最近 36 個月內違反工商、稅收、土地、環保、海關以及其他法律、行政法規，受到行政處罰受到行政處罰，且情節嚴重且情節嚴重。即若擬上市公司在報告期內受到行政處罰且情節嚴重的，則將無緣上

313、市。因此，在判斷因此，在判斷 APP/小程序被監管部門責令限期整改是否會對上市造成影響時，小程序被監管部門責令限期整改是否會對上市造成影響時，需要先判斷是否構成行政處罰。需要先判斷是否構成行政處罰。根據行政處罰法的規定，行政處罰的種類包括（1）警告、通報批評；（2）罰款、沒收違法所得、沒收非法財物；（3）暫扣許可證件、降低資質等級、吊銷許可證件；（4）限制開展生產經營活動、責令停產停業、責令關閉、限制從業；（5）行政拘留；（6）法律、行政法規規定的其他行政處罰。其中并不包括“責令限期整改”，即“責令限期整改”不屬于行政處罰。最高院在王元和訴山東省淄博市政府行政復議一案173中亦有論述，最高院從

314、二者的概念辨析、概念辨析、性質內容、規制角度、具體形式性質內容、規制角度、具體形式四方面論證了責令（限期）改正不屬于行政處罰174。因此，僅被責令限期整改并不會對上市造成直接的實質性阻礙。但擬上市企業仍應以此警醒，按時保質地在期限之內完成整改，避免從“限期整173(2018)最高法行申 4718 號174首先，責令改正（或者限期改正）與行政處罰概念有別。行政處罰是行政主體對違反行政管理秩序的行為依法定程序所給予的法律制裁；而責令改正或限期改正違法行為是指行政機關在實施行政處罰的過程中對違法行為人發出的一種作為命令。其次，兩者性質、內容不同。行政處罰是法律制裁，是對違法行為人的人身自由、財產權利

315、的限制和剝奪，是對違法行為人精神和聲譽造成損害的懲戒；而責令改正或者限期改正違法行為，其本身并不是制裁，只是要求違法行為人履行法定義務，停止違法行為，消除不良后果，恢復原狀。第三，兩者的規制角度不同。行政處罰是從懲戒的角度，對行政相對人科處新的義務，以告誡違法行為人不得再違法，否則將受罰；而責令改正或者限期改正則是命令違法行為人履行既有的法定義務，糾正違法，恢復原狀。第四，兩者形式不同。行政處罰法第八條規定了行政處罰的具體種類，具體有：警告，罰款，沒收違法所得、非法財物，責令停產停業，暫扣或者吊銷許可證、執照和行政拘留等；而責令改正或者限期改正違法行為，因各種具體違法行為不同而分別表現為停止違

316、法行為、責令退還、責令賠償、責令改正、限期拆除等形式。綜上，責令改正或限期改正違法行為是與行政處罰相不同的一種行政行為。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版146/156改”演變為“下架處理”，若由此導致旗下運營的 APP 直接無法使用的，將會對業務持續運營造成不利影響，此時，將很大可能對上市造成阻礙。更重要的是，應當在事前做好 APP 合規工作，定期或不定期（如 APP 業務功能等發生重大變更等情形）自行或委托第三方進行 APP 個人信息保護合規檢測，及時發現違規情形并進行合規整改，降低后續由此被處以行政處罰的可能性。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版1

317、47/156問題問題 57：發生個人信息泄露時，個人信息處理者應當怎么辦？：發生個人信息泄露時，個人信息處理者應當怎么辦？根據安全公司 Proofpoint 對全球 1400 位 CISO（即 Chief Information SecurityOfficer，首席信息安全官）對當前網絡安全形勢的看法的最新調查2022 VOICEOF THECISO REPORT175顯示，約 48%的受訪 CISO 表示，其所在公司有可能在未來 12 個月里遭受實質性網絡攻擊。網絡安全風險可謂是防不勝防，若一旦發生網絡安全事件導致個人信息泄露，建議個人信息處理者立即采取法定的補救與通知義務，以盡可能的降低損

318、害，維護個人信息主體權益；同時也要注意留存證據，以“自證清白”。法定補救與通知義務法定補救與通知義務根據個信法，發生個人信息泄露事件后，個人信息處理者需要及時采取補救措施，并履行通知報告義務。需要特別說明的是：若個人信息處理者能夠有效避免信息泄露、篡改、丟失造成危害的，可以不履行通知義務可以不履行通知義務。具體而言：圖圖 23個人信息泄露處置合規要點梳理個人信息泄露處置合規要點梳理留存記錄、準備留存記錄、準備“自證清白自證清白”個信法第六十九條規定，“處理個人信息侵害個人信息權益造成損害，個人信息處理者不能證明自己沒有過錯的，應當承擔損害賠償等侵權責任?！币簿褪钦f，個人信息權益遭受損害的情形下

319、：個人信息處理者承擔侵權責任個人信息處理者承擔侵權責任=推定具有過錯推定具有過錯+不能證明自身沒有過錯的不能證明自身沒有過錯的。175Proofpoint2022 年 CISO 之聲白皮書：https:/ 年 12 月 17 日第一次訪問段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版148/156該條款確定的過錯推定原則，直接加重了個人信息處理者的舉證責任，若無法證明自己無過錯的，需承擔相應侵權責任。因此，在發生個人信息泄露事件時，應對該泄露事件發生的原因、造成的影響、對應采取的各類補救措施、履行的通知報告義務等事宜，留存完善記錄，以在可能存在的訴訟爭議環節進行“自證清白”。（詳見本文

320、“問題 60：如何對外證明數據合規實力？”）段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版149/156問題問題 58：新增新增網絡數據處理者的應急處置要求有哪些？網絡數據處理者的應急處置要求有哪些？根據 Verizon 發布的2024 年數據泄露調查報告，在 2022 年 11 月 1 日至 2023年 10 月 31 日期間，共記錄了 30,458 起安全事件，其中 10,626 起被確認為數據泄露事件，覆蓋了 94 個國家或地區，報告指出，利用漏洞發起的攻擊顯著增加，較前一年增長了 180%。數據泄露風險不容小覷，為保障網絡數據安全，網絡數據安全管理條例對網絡數據處理者提出相關要

321、求：(1)質量要求質量要求：網絡數據處理者提供的網絡產品、服務應當符合相關國家標準的強制性要求；(2)補救及報告要求補救及報告要求：發現網絡產品、服務存在安全缺陷、漏洞等風險時，應當立即采取補救措施，按照規定及時告知用戶并向有關主管部門報告；涉及危害國家安全、公共利益的，網絡數據處理者還應當在 24 小時內向有關主管部門報告。(3)應急預案要求應急預案要求：網絡數據處理者應當建立健全網絡數據安全事件應急預案，發生網絡數據安全事件時，應當立即啟動預案，采取措施防止危害擴大，消除安全隱患，并按照規定向有關主管部門報告。(4)個人權益保障要求個人權益保障要求：網絡數據安全事件對個人、組織合法權益造成

322、危害的，網絡數據處理者應當及時將安全事件和風險情況、危害后果、已經采取的補救措施等，以電話、短信、即時通信工具、電子郵件或者公告等方式通知利害關系人；法律、行政法規規定可以不通知的，從其規定。(5)違法犯罪線索提供要求違法犯罪線索提供要求：網絡數據處理者在處置網絡數據安全事件過程中發現涉嫌違法犯罪線索的，應當按照規定向公安機關、國家安全機關報案，并配合開展偵查、調查和處置工作。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版150/156問題問題 59：數據處理涉刑，是否還有機會？：數據處理涉刑，是否還有機會？在數據處理過程中，刑事責任風險不容忽視。一旦被提起刑事訴訟，上市之路也幾乎斷送

323、176。機遇是，“合規不起訴”制度，給了企業一線生機。如 2022 年 8 月，最高檢發布了第三批涉案企業合規典型案例177。其中，上海市普陀區檢察院辦理的首例數據首例數據合規不起訴案例合規不起訴案例，讓因數據處理涉刑的擬上市企業看到了起死回生的希望。該案中，涉案 Z 公司未經 E 公司授權許可，通過爬蟲程序非法獲取其運營的 E 公司外賣平臺數據，Z 公司及其涉案員工因涉嫌非法獲取計算機信息系統數據罪被移送檢察院。經檢察機關與 Z 公司協力履行合規不起訴流程，最終作出不起訴決定最終作出不起訴決定。因此，合規不起訴制度可謂是數據處理涉刑中實控人和企業的“救命稻草”。所謂“合規不起訴”，是指由檢察

324、機關主導，對于符合一定條件的單位犯罪案件，督促涉刑企業建立健全合規管理體系。如其能在一定期限后經監督考察合格，則對該涉刑企業不予起訴的制度。該制度由最高人民檢察院自 2020 年推行，現已在全國檢察機關全面推開。全國工商聯、最高檢、財政部、國稅總局等九部門已聯合發布了 涉案企業合規建設、評估和審查辦法178（下稱“辦法”），以規范促進合規不起訴相關試點工作有序開展。具體適用流程如下圖所示：176根據首次公開發行股票并上市管理辦法的規定，發行人不得有下列情形：（二）最近 36 個月內違反工商、稅收、土地、環保、海關以及其他法律、行政法規，受到行政處罰，且情節嚴重177最高人民檢察院官網，http

325、s:/ 2022 年 12 月 18 日178發布機構：中華全國工商業聯合會、最高人民檢察院、司法部、財政部、生態環境部、國務院國有資產監督管理委員會、國家稅務總局、國家市場監督管理總局、中國國際貿易促進委員會；2022.04.19 發布；2022.04.19 實施段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版151/156圖圖 24涉案企業合規整改流程涉案企業合規整改流程在上述涉案企業合規整改流程中，合規計劃執行與考察為核心環節，其中：(1)合規考察期如何確定？根據關于建立涉案企業合規第三方監督評估機制的指導意見（試行）179（下稱“指導意見”）的規定，合規考察期由第三方組織（即由第

326、三方監督評估機制管理委員會選任組成的第三方監督評估組織，下稱“第三方組織”）基于其對涉案企業合規計劃的可行性、有效性與全面性進行的審查，根據案件具體情況和涉案企業承諾履行的期限予以確定。實踐中，各地檢察機關根據各自適用的政策文件，合規考察期少則合規考察期少則 1 個個179發布機構：最高人民檢察院、司法部、財政部、生態環境部、國務院國有資產監督管理委員會、國家稅務總局、國家市場監督管理總局、中華全國工商業聯合會、中國國際貿易促進委員會；2021.06.03 發布；2021.06.03 施行段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版152/156月月3 個月，多則個月，多則 6 個月

327、以上個月以上。如根據遼寧省人民檢察院等十機關于建立涉罪企業合規考察制度的意見的規定，合規考察期為 3 個月到 5 個月；根據蘇州檢察機關優化營商環境八條措施的規定，合規考察期為 1 個月到 3 個月；根據寧波市檢察院關于建立涉罪企業合規考制度的意見的規定，合規考察期為 6 個月到 12 個月。(2)合規考察什么內容？根據指導意見的規定，在合規考察期內，第三方組織可以定期或者定期或者不定期對涉案企業合規計劃履行情況進行檢查和評估不定期對涉案企業合規計劃履行情況進行檢查和評估，可以要求涉案企業定期書面報告合規計劃的執行情況定期書面報告合規計劃的執行情況，同時抄送負責辦理案件的人民檢察院。結合第三方

328、組織對涉案企業專項合規整改計劃和相關合規管理體系有效性的評估內容，合規考察期內，涉案企業須能滿足下述幾個方面：(a)對涉案合規風險的有效識別、控制；(b)對違規違法行為的及時處置；(c)合規管理機構或者管理人員的合理配置；(d)合規管理制度機制建立以及人力物力的充分保障；(e)監測、舉報、調查、處理機制及合規績效評價機制的正常運行；(f)持續整改機制和合規文化已經基本形成?？梢?，涉案企業在合規考察環節，“時間緊、任務重時間緊、任務重”。對于擬上市企業而言，不妨“未雨綢繆”，針對高危風險，事前利用 ISO37301 等為代表的標準認證工具，建立成體系、全流程、全覆蓋的刑事合規體系，將合規融入組織

329、的治理、管理、業務過程以及人員的行為和意識之中，建立并維護企業合規文化。一方面能夠有效預防與降低自身刑事犯罪風險，另一方面，一旦“失足”，亦能證明主觀合規意愿，并為事后合規整改打下基礎，降低通過合規審查的難度。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版153/156問題問題 60：如何對外證明數據合規實力？：如何對外證明數據合規實力？擬上市企業在數據領域展現的合規狀態，需通過設計“個人信息保護合規環”，由內而外地貫徹個人信息保護措施，實現“自證清白”（詳見本團隊文章 個人數據“丟失”，平臺如何“自證清白”），同時充分彰顯數據合規的意愿、能力和實力：圖圖 25個人信息保護合規環個人信

330、息保護合規環(1)內核層：建立內部數據合規內核層：建立內部數據合規/個人信息保護管理制度個人信息保護管理制度+設置數據安全及設置數據安全及/或個人信息保護負責人或個人信息保護負責人+具備對應認證具備對應認證資質擬上市企業可考慮根據自己的業務模式及技術特點，申請獲得數據安全合規管理相應認證資質（如 ISO27001 信息安全管理體系認證、網絡安全等級保護等資質，詳見本團隊文章互聯網平臺如何打造數據安全合規體系之風險評估與數據安全管理制度），以此來證明其已建立起一整套個人信息安全合規管理體系。除數據合規相關資質外，擬上市企業也可以考慮獲得 ISO37301 合規管理體系認證，通過建設整體的合規管理

331、體系，對外彰顯自身具備的完善管理能力。段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版154/156(2)中間層：與中立專業第三方機構建立集合規合作、安全評估及合規審計于一體的全方位合作中間層：與中立專業第三方機構建立集合規合作、安全評估及合規審計于一體的全方位合作在既往的問詢答復中，不少企業會通過委托律師事務所等第三方專業合規機構出具相應報告或證明（如數據安全管理盡職調查報告）或委托專業第三方機構進行數據合規審計等，作為自身數據合規的輔助證明材料。因此，若擬上市企業能夠提交證據證明其已與中立專業第三方機構開展個人信息安全合規合作，提供對應專項報告、安全評估記錄、合規審計文件等證明材料，

332、則能從側面彰顯其對于個人信息安全合規義務的重視程度。(3)外部層：制定完備的隱私政策外部層：制定完備的隱私政策+嵌入系統功能設置嵌入系統功能設置+制定并組織實施應急預案制定并組織實施應急預案基于內核層及中間層并未完全對外，對于用戶而言，其無法直接知曉擬上市企業內部對于數據安全保護以及對用戶個人信息權益保護的安排，因此法定應當制備的隱私政策就是天然的對外高效傳達的通道。當然，僅僅提供一份“完美的隱私政策文本”并不足夠，更重要的是隱私政策的內容能夠真正匹配對應到相應系統設置，從個人信息的收集、共享、傳輸、轉讓、存儲、刪除等環節，將個人信息保護規則一一落到實處，并為個人信息主體依法設置高友好度的權利

333、（如刪除權、查閱權、復制權、攜帶權、更正權、補充權等）實現路徑，切忌將隱私政策落成一紙空文。除此之外，制定并組織實施個人信息安全事件應急預案，亦能夠彰顯擬上市企業對于個人信息安全事件的高度重視。通過應急響應培訓和應急演練，使得內部相關人員在應急情形發生時更好地處理個人信息安全問題，這也是擬上市企業對外展示的重要窗口之一。以下無正文段和段高亞平律師團隊企業上市數據合規白皮書 3.0 版155/156作者介紹：作者介紹：上海段和段律師事務所：上海段和段律師事務所：段和段律師事務所 1993 年在上海成立，是一家擁有 30 多家境內外分所/辦公室的綜合性和國際化律所。段和段秉承法律至上、依法治國和客戶為先、回饋社會的基本準則，走出了中國律所國際化、專業化、規?；某晒Πl展之路。主要編寫成員：段和段高亞平律師團隊主要編寫成員：段和段高亞平律師團隊：上海段和段律師事務所數據合規專業委員會主任高亞平律