中国上市公司数据合规案例研究报告2018-2022

2 3 3 3 4 4 5 5 7 13 15 531中国·北京市朝阳区建国门外大街2号银泰中心C座12第一章：研究背景与意义企业安全管理不规范等痛点、难点问题。自2016年公安部网安局牵头开展“打击整治网一系列强监管政策，并根据市场变化对监管政策进行了细化和动态调整。2中国·北京市朝阳区建国门外大街2号银泰中心C座12第二章：研究范围的界定一、研究所涉及上市公司的范围二、案例的来源及时间范围为保证研究的科学性、准确性和严谨性，《报告》选取的处罚通报、行政处罚决定文书种类数据来源1时间依据时间范围问询函和审委会文书作出数据处罚通报全国中小企业股份转让系统网站网址http://w3中国·北京市朝阳区建国门外大街2号银泰中心C座12行政处罚决定书刑事判决书三、研究范围的不周延性四、非营利性声明4中国·北京市朝阳区建国门外大街2号银泰中心C座12第三章：上市公司数据合规案例数据分析及风险防范建议一、案例背景数据分析（一）处罚主体数据分析移动端服务与应用的数据合规问题不容小觑，移动互联网时代下App程序上个人信息5中国·北京市朝阳区建国门外大街2号银泰中心C座12成为了重点打击APP个人信息违规问题的开始，而占50%的APP处罚通报也凸显出移（二）文书时间分布进，有关机构对上市公司的监管要求加强，治理频率逐年递增。另由于《数据安全法》为未来信息和数据安全的监管态势仍将进一（三）各类处罚依据的法律法规息安全技术个人信息安全规范》(以下简称《规范》)等文件的重要规制内容。我国正逐和2021年新修订的《网络安全审查办法》等规范的6中国·北京市朝阳区建国门外大街2号银泰中心C座12法律法规援引频次2m16654二、处罚对象数据分析（一）地域分布7中国·北京市朝阳区建国门外大街2号银泰中心C座12于资源丰富、市场广大、政策支持的特点高居8中国·北京市朝阳区建国门外大街2号银泰中心C座12（二）所在行业分布和企业招股说明书对主营业务的介绍，将涉及的上市公司进行了行业现，涉案的上市公司主要集中在以下几个行业：数据分析（31%（10%）。可判定存在数据问题的上市公司9中国·北京市朝阳区建国门外大街2号银泰中心C座12三、数据合规之监管关注要点暨风险防范建议立法监管、业务运营和跨境合规。经分析得出，在上市申报过程中证券监督部门最关注的三类问题为数据源合规、数据安全及数据使用合规，而这三类问题也是企业运营时最容易产生的问题，它们无疑应是拟上市企业数据合规治理的重中之重：（一）数据源合规之监管关注要点1、数据信息：就获取的个人数据而言，监管机关较为关注这些个人数据的具体内容，重要数据、商业秘密及其他非公开信息，不同渠道获取数据内2、数据收集：a、获取方式：获取用户数据的来源、获取途径及授权方式，获得用户同意的具体制度，是否明确告知收集信息的范围及使用用途；b、授中国·北京市朝阳区建国门外大街2号银泰中心C座12得用户授权方式是否明确且合法有效，授权许可中使用范围、主体或期限等方面的采购数据具体方式，不同形式采购数据内容是否有差异及其体现。还较为关注数据合理性，及采购数据协议的合法合规性。（二）数据使用之监管关注要点1、数据处理：监管机关比较关注数据处理的具体操作流程及其合理性、合规触、保管和处理行为是否合法合规并获得个人授权，是否存在获取国家秘密、保密信息、个人信息的可能。数据处理操作是否具有商业合理性，企业与业务经营之间2、数据存储：重点在于审核数据的法定存储义务，如主要运营数据的保存内容以及保服务，进行商业化变现的合规性；b、处理过程：是否制定并公开收集使用规则，是否向所在地网信部门备案，是否存在违反收集使用规则使用个人信息的情况，是（三）数据安全之监管关注要点1、数据保护机制：a、技术措施和其他必要措施：如是否进行必要的信息安全等级保执行有效性如何；b、应急方案及纠纷解决机制：针对可能发生的数据泄露事件及中国·北京市朝阳区建国门外大街2号银泰中心C座122、风险披露：包括报告期内已发生或可能发生安统计，处理结果及有关的解决措施。是否存在泄露国家秘密、保密信息、个人信息的情况或未来风险，潜在或已有的纠纷或争议情况，公司因受投诉、监管处罚、诉（四）其他不可控风险赴美上市公司因涉及“国家数据安全风险”和个人信息收集合规问题，出于维护国家安全目的而受到网络安全审查办公室的审查，其中滴滴出行因为涉及问题严重，根据网络安全审查结论及发现的问题和线索，国家互联网信息办公室依法对滴滴全球络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确律法规，对滴滴全球股份有限公司处人民币80.26亿元罚款2、人员管理：公司内控管理制度是数据安全系统中不可忽视的重点。在数据堂、瑞智华胜、蛋壳公寓等上市公司处罚案例中，公司员工利用技术手段或者职务便法获取、提供公民个人信息，其个人行为却对上市公司经济、声誉造成重大不利影3、技术规范：企业业务经营涉及人工智能、大数据、云计算等新型技术时尤为受监管机关关注，关注焦点包括：a、技术伦理规范：公司对人工智能技术可控、符合伦理规范的措施和规划，公司在技术开发和业务开展过程所面临的伦理风险；b、技术说明：技术大数据核心技术（如算法的训练、系统的搭建等）是否涉及大量的数据的应用，主动式数据采集技术和被动式数据采集技术的异同点；c、技术应用：一体化数据处理平台各功能模块的具体构成、具体功能和用途以及与发行人生产经中国·北京市朝阳区建国门外大街2号银泰中心C座12第四章：上市公司及其工作人员处罚特征一、处罚方式二、处罚事由集中而在证监会查处、质询方面，数据来源、数据使用以及数据安全问和产业发展,如何保护数据成为当下亟待解决的三、处罚对象地域、板块集中四、涉及法律法规繁多，《网络安全法》为主要援引依据援引的首要依据。此外当今的立法也在某些特殊行业领域做出了有益尝试，包括“第五中国·北京市朝阳区建国门外大街2号银泰中心C座12《上海市网络预约出租汽车经营服务管理若干规定（沪府令48号）》等。五、处罚对象业务经营与数据强相关营范围和商业模式不同，但其在数据享有上具有共性，这些上市公司都握六、处罚力度不断加大中国·北京市朝阳区建国门外大街2号银泰中心C座12第五章：上市公司数据合规案例精选一、工信部通报案例（一）驴迹科技被指“假冒上海迪士尼App违规收集个人信息”入选原因：上市公司数据治理典型问题与工信部重点查处事项1.案件介绍2.基本事实现霍尔果斯驴迹软件科技有限公司开发的“上海迪士尼乐园本案例体现了上市公司数据治理典型问题与工信部重点查处事项，纵观工信部发布的查处通告，命中率极高的几大查处理由包括：违规收集个人信息、超范围收集个人信息、2提请注意的是，随后，上海迪士尼度假区在官方微信上回应，通报中所提及的上海迪士尼乐园”应用程序（App）是未经上海迪士尼度假区授权、由霍尔果斯驴迹软件科技有限公司开发的“假冒App”，并非上海迪士尼度假区的官方应用程序，与上海迪士尼度假区无中国·北京市朝阳区建国门外大街2号银泰中心C座12（二）通达信APP被工信部曝光所涉及的问题为违规收集、使用个人信息入选原因：工信部重点查处事项1.案件介绍2.基本事实现深圳市财富趋势科技股份有限公司开发的“通达信”App存在违规收集个人信息、违规3.简要分析本案例作为另一有力证明体现了工信部重点查处事项及一贯的简明扼要的查处公示风格。值得注意的是，工信部通报App所涉问题之中合制定的《App违法违规收集使用个人信息行为认定方法》，“未公开收集使用规则”、“未明示收集使用个人信息的目的、方式和范围”、“未经用户同意收集使用个人信息”、“违反必要原则，收集与其提供的服务无关的个人信息”、“未经同意向他人提供个人信中国·北京市朝阳区建国门外大街2号银泰中心C座12违法违规收集使用个人信息行为认定方法》为App运营者提供合规指引，此外，《GB/T2020信息安全技术个人信息安全规范》、《常见类型移动互联网应用程序必要个人信息范围规定》等也是监管查处的重要参考。此外，工信部【2019】337号文3、工信部【2020】164号文4作为工信部分别于2019年与2020年开展的APP侵害用户权益专项整治行动，指明了监管机关的重点关注点，值点仍活跃在处罚理由一列，因此企业仍需要重点关注，重点概2)违规使用用户个人信息方面的“私自共享给第三方”、“强制用户使用定向推送限”服务，或为注销服务设置不合理的障碍3工业和信息化部关于开展APP侵害用户权益专项整治工作的通知工信部信管函[2019]337号4工业和信息化部关于开展纵深推进APP侵害用户权益专项整治行动的通知工信部信管函〔2020〕164号/zhengce/zhengceku/2020-08/02/中国·北京市朝阳区建国门外大街2号银泰中心C座123)欺骗误导用户下载APP。重点整治通过“偷梁换柱”“移花接木”等方式欺骗误导运行所需权限列表及用途，未明示APP收集、使用用户个人信二、证监会查处、质询案例（一）证监会对招商证券采取出具警示函措施入选原因：上市公司券业首单网络安全事件“双罚”案例1.案件介绍2.基本事实更未经充分论证和测试，升级回退方案不完备等问题，反映出公司内部管理存在漏洞、中国·北京市朝阳区建国门外大街2号银泰中心C座12施，同时强调，公司应对相关问题进行全面整改，并对责任人员进行内部八条的规定，证监会决定对上述当事人采取出3.简要分析本案例体现了证监会对券业上市公司信息系统安全的监管要求。切实提升系统运维保障息技术投入，提升技术人员业务能力，保持核心技术人员稳定，做好应易等核心业务环节的重要信息系统升级工作。三是完善系统测试工作，加强压力测试。严格落实客户信息保护要求，切实维护投资者合法权益。一是完善技术安全保障措（二）旷视科技科创板IPO因数据合规问题获问询中国·北京市朝阳区建国门外大街2号银泰中心C座12入选原因：涉及IOT、人脸识别等科技发展重点监管领域1.案件介绍和重点导读司首次公开发行存托凭证并在科创板上市申请文件的审核问询函》(上证科审(审底层逻辑进行合规性讨论，也向读者抽丝剥茧般地揭l算法训练者与实际使用者在数据控制方面的权责区别；l算法训练数据包括专门模拟场景采集数据集和公开数据l数据全生命周期的合规措施应当从技术维度、制度维度和组2.案情回顾旷视科技创立于2011年，是一家聚焦物联网场景的世界级人工智能公司，公司以物联网作为人工智能技术落地的载体，通过构建完整的AIoT产品体系，面向消费物联网、城市物联网、供应链物联网三大核心场景提供经验证的行业解决方案，实现人工智能的关数据的来源及其合规性;(3)发行人对外提供的产品(或服务)是否涉及数据的采集运用，如是，说明数据的来源及其合法合规性;(4)发行人保证数据采集、清洗、管理、运用等各方面的合规措施;(5)发行人的数据来源中是否包含向供应商采购，如是，请说明是否在相关合同中约定数据合规的条款或措施，并结合《民法典人信息安全规范》《数据安全法(草案)》《个人信息保护法(草案)》等相关规定，说明中国·北京市朝阳区建国门外大街2号银泰中心C座12相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷;(6)结交付及部署模式，说明发行人的产品(或服务)中涉及到用户的个人数据的情形和场景，该等数据的运用、管理及其合规性;(7)发行人产品至今是否面临数据合规方面的诉讼(一)发行人技术、业务及产品(或服务)中涉及到数据采集、清洗、管理、运用的具体环节;不同环节涉及的数据的具体类型，文字、图像、视频等具体情况节数据采集:通过配合式采集、获取公开数据集的方式合法采集敏感信息数据脱敏(以通用代号替换数据中的敏感内容数据运用:将清洗完毕的数据用于算法训练。并无所有权，公司无权也无需进行数据采集2、不同环节涉及的数据的具体类型，文字、图在产品交付给客户后，公司不直接参与客户的运营和使过程中获取的数据并无所有权，公司无权也无需进行数据采集、清(二)发行人自身核心技术(如算法的训练、系统的搭建等)是否涉及大量的数据的应用，如是，相关数据的来源及其合规性中国·北京市朝阳区建国门外大街2号银泰中心C座12配合式采集所取得的图像与视频等数据将按照所取得的授权使用范围，用于公司核心2、公开数据集公开数据集是指互联网上已构、企业等自行制作并公开发布，如COCO5(四)发行人保证数据采集、清洗、管理、运用等各方面的合规措施数据安全问题，如自主研发完成的前端图像脱敏方案实密钥对图像、视频等数据进行加密、使用https等加密通信协议、硬盘文档加密等。(2)数据清洗在数据清洗过程中，公司将通过自动添加水印的方式，将待标注数据进行公司针对数据管理采取了多方面的技术保护措施，具体包括:1)网络隔离措施，公司已区分生产环境、办公环境、测试环境、核心数据环境等网络5COCO数据集概述COCO的全称是CommonObjectsin像识别的数据集。MSCOCO数据集中的图像分为训练、验证和测试集。中国·北京市朝阳区建国门外大街2号银泰中心C座12环境，实现网络环境的隔离，并相应部署网络防火墙与为审计功能;；2)网站防护措施；3)漏洞管理措施；4)数据6)日志和审计措施；7)数据权限管理措施；8)(4)数据运用在技术研发，公司目前的数据运用均在内部网络环境中研发中数据运用安全的技术措施可主要参考上述“(3)数据管理”。公司内部也建立了产品上线前的统一漏洞管理系统，对拟上线的SaaS类服务的调用过程，公司已部署的漏洞扫描工具全面覆盖API接口安全漏洞，提前预警API传输相关数据安全风险。2、制度维度的合规性。(1)整体数据治理基础；(2责协同相关团队，应对、处理内部投诉与举报事件、信息安全事件(含员工信息安全违(五)发行人的数据来源中是否包含向供应商采购，如是，请说明是否在相关合同中约定据安全法(草案)》《个人信息保护法(草案)》等相关规定，说明相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷中国·北京市朝阳区建国门外大街2号银泰中心C座12据采集，并非供应商独立采集数据然后销售给发在协议中供应商承诺确保其向公司提供的服务符合中国法律法规和/或可能涉及的相关国家/地区法律法规要求;涉及个人数据的(六)结合发行人的产品交付及部署模式，说明发行人的产品(或服务)中涉及到用户的个人数据的情形和场景，该等数据的运用、管理及其合规性(七)发行人产品至今是否面临数据合规方面的诉讼或纠纷;并请结合相关公开报道，说明发行人数据的合规性公司在相关事件中的角色，如前文所述，在该等业务场景下，公司仅为产品提供方，公司在数据安全与合规方面，已获得多项国内外权威认证认可。公司多个有信息系统ISO/IEC27001:2013信息安全管理体系认证及ISO/IEC27701:2019隐私信息管理体系3.简要分析和合规要点提示中国·北京市朝阳区建国门外大街2号银泰中心C座12信息处理者违反法律、行政法规的规定或者违反约定处理人脸识别信息所引起的民事案件。所以上市公司首先应当判断自己是否属于信息处理者，即其对人脸信息是否进行了收集、存储、适用、加工、传输、提供、公开等。的接入或获取，即旷世科技涉及个人信息收集、处理的阶段仅限于产品研发阶段。这意味着产品研发阶段将成为律师在充分了解旷世科技的产品研发阶段、数据收集行为以及数据收集类型之后的重点合规检查部分。在旷世披露的产品研发阶段的两种数据获取方学术研究机构、企业等自行制作并公开发布，如COCO等互联网公开配合式采集则涉及到从第三方公司间接获取、与第三方公司合作获取个人信息的除一般的数据合规义务之外，人脸识别信息照《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干2、基于个人同意处理人脸信息的，是否征得自然人或其监护人的单独同意，或者是否3、是否采取了应有的技术措施或者其他必要措施确保其收集、6《GB/T35273-2020信息安全技术个人信息安全规范》5.6征得授权同意的例外h)从合法公开披露的信息中收集个人信息的，如合法的新闻报道、政府信息公开等渠道；中国·北京市朝阳区建国门外大街2号银泰中心C座125、在处理人脸信息并非属于提供产品或者服务所必须的信息之外，是否要求个人同意9、是否违反约定处理人脸信息，在违反约定人对其人脸信息的删除请求等（三）梅泰诺（现名为北京数知科技股份有限公司）因未说明标的公司对用户信息的收集、传输、保存及应用的现状是否合规被问询入选原因：间接获取数据方合规义务的典型案例1.案件介绍和重点导读已采取的核查措施。将数据/标签来源区分为了一般数据标签供应商和能够获取终端用户数据的数据标签供获取数据的一般形式审查意义，体现了证监会穿透式的实质关注特点。2.基本事实中国·北京市朝阳区建国门外大街2号银泰中心C座12标的公司（华坤道威）数据未直接向终端用户获取用户数据，其“数据来源及途径为电信运营商等可获取终端用户的机构及第三方数据标签供应商。各相关中介机构需核查收集使用终端户个人信息的授权方式及其合规性。由于电信运营商等可获取终端用户的进展情况行补充披露。”梅泰诺对标的公司已采取了保护手段，具体手段有：数据加密或脱敏、数据存储安全措施、对数据内部流转设有防火墙措施、制定数据安全管理制度、制定信息安全预案，并就已取得的数据安全认证情况已经了说明。标的公司的数据来源及途径为电信运营商等可获取终端用户数据的机构及第三方数据充说明目前已经采取的核查措施、尚需完成的核查工作以及后续1、独立财务顾问、律师已经对主要第三方数据标签供应商北京神州泰岳智能数据技术中国·北京市朝阳区建国门外大街2号银泰中心C座12有限公司、杭州紫水磐科技有限公司进行了访谈并取得了双方签署的《数据服务合作协2、独立财务顾问、律师通过网络检索、网站查询等公开途径对三大电信运营商（中国移动、中国联通、中国电信）的入网服务协议、网上营业厅注册协议、网站公告的个人信息保护政策/条款进行了收集，对相关协议、公告中的用户个人隐私收集、使用的授1、将对主要第三方数据标签供应商北京神州泰岳智能数据技术有限公司、杭州紫水磐科技有限公司进行再次访谈，重点了解其向华坤道威提供数据的授权方式及合法性，并将要求其提供与电信运营商签署的相关数据合作协议，对合作协议中数据授权方式及合法性进行核查。2、将对其他第三方数据标签供应商进行访谈，了解其向华坤道威提供数据的来源、数据的授权方式及合法性。3、将对电信运营商等可获取终端用户数据的机构相关数据产品负责人进行访谈，了解其数据的授权方式及合法性，并对其提供的相关证明材料进行书面审查和对相关材料的真实性进行实地调查。4、将分别按照《上市公司并购重组财务顾问业务管理办行勤勉尽责义务，根据核查的进展情况采取其他充分、合理的核查方式对华坤道威数据来源、数据授权方式及合法性履行审慎核查和验证义务。3.简要分析和合规要点提示2018年，北京梅泰诺通信技术股份有限公司拟斥巨资收购浙江华坤道威数据科技有限两次《重组问询》，该两次问询逐步深入涵盖数据全生命周期。第一次围绕标的公司的数据来源、数据使用、数据权属和数据安全，对数据相关事项进行了全面问询。经梅泰中国·北京市朝阳区建国门外大街2号银泰中心C座12人信息的控制者的其他合规义务，包括：1、间接获取个人信息的控制者仍有义务对数据的来源合法性进行确认；2、对个人信息主体权利的授权同意范围进行充分了解；以及3、超出授权范围处理个人信息之前应得到个人信息主2)通过现场访谈与公开渠道的查询多方核查确认个人信息提供方数据来源的合法合3)落实自身的数据安全义务，包括但不4)充分厘清自身的数据处理目的、范围以及最小必（四）值得买因未披露用户数据保护制度及技术措施等受到证监会询问2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信息3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获期限内或处理个人信息前，征得个人信息主体的明示同意，或通过个人信息提供方征中国·北京市朝阳区建国门外大街2号银泰中心C座12入选原因：数据商业化变现的合规要求，监管要求逐步深入细化的缩影1.案件介绍和重点导读《北京安理律师事务所关于值得买科技股份有限公司首发创业板上市补充法律意见书2.基本事实关于数据安全及用户隐私保护，请发行人披露并说明1）发行人获取用户数据信息的来源、获取途径及授权方式，收集用户信息获得用户同意的具集用户信息时是否明确告知收集信息的范围及使用用途，对数据的使用是否超过必要的限度2）发行人获取数据进行商业化变现的合规性3）说明在对用户信息进行加工、处理存储及传输过程中避免或防止泄露用户隐私的具体制度及相关安排；（4）用户信息保护技术体系，尤其是防止外部黑客攻击和内部人员恶意导致的数据泄露的技术措施5）近三年发生的严重泄密事件、重大诉讼，处理结果及有关的整改措施；（6）是否通过了公安部门信息系统安全等级保护测评的情况。请保荐机构、发行人律师说明核查过程，依据和方法，并明确发表核查意见。（一）发行人收集用户信息时明确告知收集信息的范围及使用用途，对数据的使用未超过必要的限度中国·北京市朝阳区建国门外大街2号银泰中心C座12（二）发行人获取数据进行商业化变现的合规性发行人获取数据进行商业化变现的场景是根据用户画像进行个性化展示发行人利用获（四）发行人在对用户信息进行加工、处理存储及传输过程中避免或防止泄露用户隐私的具体制度及相关安排避免或防止泄露用户隐私的具体制度（信息系统内部控制基本规范、数据安全合规管工作2）对个人信息调取和使用采取分级授权管理，减少泄露息调取、使用实行登记管理，明确责任人员4）软硬件技术保护层面，采用传输侧安全协议等加密技术且对用户敏感信息保护达到支付行业数据安全标准5）建立信息安全时间应急预案。（五）发行人近三年未发生严重泄密事件、重大诉讼3.简要分析和合规要点提示中国·北京市朝阳区建国门外大街2号银泰中心C座12防止泄露用户隐私的具体制度及相关安排；防止外部黑客攻击和内部人员恶意导致的数据泄露的技术措施；近三年发生的严重泄密事件、重大诉讼，处理结果及有关的整改措施以及是否通过了公安部门信息系统安全等级保护测评的情况。证监会对数据安全的问（五）北京慧辰资道资讯关于数据获取、分析使用合规问题遭审核问询入选原因：对数据采集方式、数据权属问题的初步探讨1.案件介绍资道资讯股份有限公司首次公开发行股票并在科创板上市申请文件的第二轮审核问询），中国·北京市朝阳区建国门外大街2号银泰中心C座122.基本事实提供数据分析服务，并在申请中披露其数据获取途径为客户提供信息、公司现供应商采集的数据以及公司自行收集的数据。是否对数据供应商存在重大依赖2）上述数据的所有权归属情况，相关数据存储方式及管理、数据分析功能实现的路径，发行人保障数据安全的具体措施3）发行人一、相关法律法规暂无对个人信息所有权归属的具体、明确规定，企业可以在获得个人信息主体合法授权的情况下在法律允许的范围内实现对所收集个人信息的控制权。发构成商业秘密的情况下，该等数据的相关权益由发行人客户二、对三种方式获取的数据采取相互独立的存储方式并进行单独管理，仅于特定客户形成的沉积数据以光盘或其他形式返回客户备档；如客户对数据明确要求公司继续保三、数据分析功能实现路径为——数据获取-数据融合-数据分析中国·北京市朝阳区建国门外大街2号银泰中心C座12四、发行人保障数据安全的具体措施包括数据加密管理（传输通道加密、传输文件加五、获取分析使用数据的合规及潜在侵权风险及纠纷六、内控制度公司已建立的数据安全管理内部控制制度覆盖了整体信息化安全管理、数据及商业秘保了有关内控制度的有效执行。中国·北京市朝阳区建国门外大街2号银泰中心C座126)对于公司向数据供应商购买数据的，请说明供应商授权公司使用相关数据是否经人信息主体的明示同意，是否经过了充分的脱敏，相关授权流程是否完备。8)日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措种运营模式是否与同行业可比公司相同或相似，是否对数据供应商存在重大依赖1)报告期内，公司上述三类数据的具体内容、标准及占比取数据的主要来源包括客户提供的数据、公司向供应商采集的数据以及公司自行采集据来源，在为客户提供相关业务具有实际需要时，公司也向供应商采集和/或自行采集中国·北京市朝阳区建国门外大街2号银泰中心C座122)是否存在数据来源的风险，是否对数据供应商存在重大依赖（二）上述数据的所有权归属情况，公司向供应商采集数据以及公司自行采集数据时，是否获得了相关信息主体（及用户）的合法授权，是否明确告知收集信息的范围及使用用途，是否对用户有明示提示，发行人获取用户数据的手段及方式是否合法合规主体合法授权的情况下在法律允许的范围内实现对所收集个人信息的控制权。发行人合法授权、明确告知收集信息的范围及使用用途及对用户进行明示提示的均结合授权告知模本和《HCR数据与隐私保护政行明确告知收集信息的范围及使用用途及进行明确提示模本等方式，严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权，确保取得个人信息主体出具的明确授权文（三）发行人收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定，是中国·北京市朝阳区建国门外大街2号银泰中心C座12否制定并公开收集使用规则，是否向所在地网信部门备案，是否存在违反收集使用规则使用个人信息的情况，发行人相关内部控制措施是否合法合规并得到有效执行1)公司收集、整合、处理、使用数据是否符合《数据安全管理办法》的规定见稿）》的相关规定。截至本问询回复出具日，公司已制定隐私政策并于慧辰资讯官方网站可用的信息，各级网信部门尚未正式公布或出台上述网络运营者备案流程相关的具体4)是否存在违反收集使用规则使用个人信息的情况截至本问询函回复出具日，公司不存在因违反收集使用规则使用个人信息而产生的纠5)公司相关内部控制措施是否合法合规并得到有效执行公司已建立的数据安全管理内部控制制度覆盖了整体信息化安全管理、数据及商业秘（四）发行人使用用户数据是否合法合规，请对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《信息安全技术个人信息安全规范》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的情况，是否存在法律风险或潜在法律风险中国·北京市朝阳区建国门外大街2号银泰中心C座12查公司已参照《个人信息安全规范》的基本要求对开展业务中个人信息使用方面、通过《HCR数据与隐私保护政策》对外公开提供了相对完整的规范与承诺，鉴于（五）数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷2、对数据安全和个人隐私的保护措施与手段公司不曾亦不会获取用户的隐私数据，发行人对于保障用户非隐私数据安全的具体措3、是否出现过个人信息、隐私泄露事件，是否存在（六）对于公司向数据供应商购买数据的，请说明供应商授权公司使用相关数据是否经过终端用户或者其他第三方同意，授权是否完备合规，个人信息获取是否合法。公司是否建立完善的供应商评价体系，以及供应商甄选、数据源核验以及合同合规性审核的内控措施中国·北京市朝阳区建国门外大街2号银泰中心C座12备合规，个人信息获取是否合法等方式，严格督促供应商对被采集方进行明确告知收集信息的范围及使用用途及进行明确提示并取得其合法授权，确保取得个人信息主体出具的2、公司是否建立完善的供应商评价体系，以及供应商（七）发行人的数据是否存在转授权或流转给第三方使用的情况，如存在，是否经过了个人信息主体的明示同意，是否经过了充分的脱敏，相关授权流程是否完备（七）日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施。必要时请做风险提示和重大事项提示3.简要分析和合规要点提示据使用、数据安全、数据相关业务的运营进行。根据两次问询及回复可中国·北京市朝阳区建国门外大街2号银泰中心C座12的数据产品和服务享有法律、行政法规及本条例规定的财产权益，可以依法自主使用，因此，上市公司需要时刻关注最新立法动态以不断明确合（六）观典防务申报精选层被两次问询，涉及飞行数据合规问题入选原因：涉军涉密数据的合规要求，加工数据成果的知识产权归属1.案件介绍和重点导读），请文件的第二轮审查问询函》（以下简称“问询l加工数据成果（工程解译数据和飞行控），l在委托关系中，受托方对加工成果数据中国·北京市朝阳区建国门外大街2号银泰中心C座122.基本事实并使用数据是否需要并已经取得特殊许可或办理相应手续，相关业务开展是否符合保密等相关法律法规的规定。（2）飞行数据的所有权归属，发行人对相应数据的权利，是否存在期限、范围、用途等方面的限制。（3）发行人取收入的合法合规性，数据保密合规风险和权利限制对发行人业务开拓的影响。（4）是否建立、健全数据库的保密措施，是否存在泄露风险以及对公司持续经营的影响。使用数据是否需要并已经取得特殊许可或办理相应手续，相关业务开展是否符合保密等相关法律法规的规定发行人的上述飞行数据系发行人为各级禁毒部门提供无人机飞行服务过程中及为其他2.是否涉及国家秘密、商业秘密或个人隐私发行人飞行数据系通过无人机飞行服务采集积累和自主研发形成，不涉及其他商业主根据国家保密局出具的复函及发行人与禁毒部门签订的服务合同，发行人向禁毒部门提交的工作成果数据符合《保密法》第九条第（七）项规定的情形，因此相关项目确定为机密级国家秘密项目。中国·北京市朝阳区建国门外大街2号银泰中心C座123.发行人获取并使用数据是否需要并已经取得特殊许可或发行人获取并使用数据已经取得相关许可或办理相应手续。发行人通过对原始影像数据的采集、整理、加工、编排、制作形成的工程解译数据，以及基于自身产品在飞行过程中采集、整理、编排、修正形成的飞行控制数据是发行人付出大量投资并承担相应技术风险的技术成果和劳动所得，发行人对其拥有完整所有权，发行人使用不受限制。发行人使用工程解译数据、飞行控制数据无需取得相关许可或办理相应手续。4.相关业务开展是否符合保密等相关法律法规的规定（二）飞行数据的所有权归属，发行人对相应数据的权利，是否存在期限、范围、用途等方面的限制付出大量投资并承担相应技术风险的技术成果和劳动所得，发行人对其拥有所有权。2.发行人对相应数据的权利，是否存在期限、范围、用途方面发行人接受各级禁毒部门的委托提供飞行服务过程中及接受其他公司委托提供数据解中国·北京市朝阳区建国门外大街2号银泰中心C座12三、发行人将该等数据进行二次处理的具体方式，处理过程是否涉及技术外协加工，发行人使用数据以及应用于其他领域从而获取收入的合法合规性，数据保密合规风险和权利限制对发行人业务开拓的影响2.处理过程是否涉及技术外协加工3.发行使用数据以及应用于其他领域从而获取收入4.数据保密合规风险和权利限制对发行人业务开拓发行人利用其拥有完整所有权工程解译数据以及飞行控制数据进行业务开拓，不存在四、是否建立、健全数据库的保密措施，是否存在泄露风险以及对公司持续经营的影响中国·北京市朝阳区建国门外大街2号银泰中心C座12潜在纠纷。（2）结合飞行数据与工作成果数据的关联是否存在因前述业务被吊销军工业务资质，追究刑事责任的一、说明禁毒部门和其他公司与发行人的服务合同中关于原始数据所有权、使用权的约定情况，发行人对原始数据是否拥有使用权，使用权限是否存在期限、范围、用途等方面的限制，说明使用权限对发行人飞行数据商业推广业务的影响，是否存在纠纷或者潜在纠纷飞行及数据处理整体服务业务——根据发行人与禁毒部门的服务合同约定，发行人接数据处理服务业务——根据发行人与其他公司的服务合同约定，发行人接受委托方委人拥有工程解译数据的完整所有权，委托方对工作成果拥有测试飞行——发行人在测试飞行过程中只取得飞行控制数据，不存在获取原始影像数根据发行人与禁毒部门及其他公司的合同约定，发行人对在执行禁毒工作中取得的原中国·北京市朝阳区建国门外大街2号银泰中心C座123、对发行人飞行数据商业推广业务的影响发行人以拥有完整的自主知识产权的工程解译数据以及飞行控制数据进行商业推广，二、结合飞行数据与工作成果数据的关联关系，说明飞行数据商业推广业务是否会造成工作成果数据的泄露，是否符合涉军、涉密相关法律法规的要求，发行人是否存在因前述业务被吊销军工业务资质，追究刑事责任的风险2、飞行数据商业推广业务不会造成工作成果发行人主要使用拥有自主知识产权的工程解译数据及飞行控制数据进行商业推广，并发行人以拥有完整的自主知识产权的工程解译数据以及飞行控制数据进行商业推广，3.简要分析和合规要点提示观典防务是一家专业从事无人驾驶飞机(以下简称无人机)设计、制造、飞行服务和销售先以协议形式固定数据权属关系。中国·北京市朝阳区建国门外大街2号银泰中心C座12三、其他行政处罚案例（一）美团打车：因相关信息数据未接入上海市行业监管平台被处罚入选原因：涉及网约车数据的行政监管要求1.案件介绍平台、向不具备营运资质的驾驶员或者车辆提供服务、不正“美团打车”平台所属的“上海路团科技有限公司”开出了“美团打车”上线以来的第一张“责令改正通知书”。2.基本事实打车”网约车平台在上海正式上线运营。鉴于“美团打车”已经发布的宣传用语以及车辆3.所涉法规《网络预约出租汽车经营服务管理暂行办法》（二）具备开展网约车经营的互联网平台和与拟开展业务相适应的信息数据交互及处数据信息的条件，网络服务平台数据库接入出租汽车行政主管部门监管平台，服务器中国·北京市朝阳区建国门外大街2号银泰中心C座12《上海市网络预约出租汽车经营服务管理若干规定（沪府令48号）》4.简要分析四、刑事案例（一）数据堂因员工涉嫌侵犯公民个人信息罪，在新三板停牌入选原因：个人信息刑事犯罪典型案例中国·北京市朝阳区建国门外大街2号银泰中心C座121.案件介绍级人民法院二审，对柴银辉、揭宇飞做出了维持原审判决的《刑事判决书》2018）2.基本事实给扬州金时公司的数据经过了清洗和处理(剔除无效信息以手机号、地区和偏好(如房地产相关等)。金时公司交付包含公民个人信息的数据60余调查，公司个别相关人员牵连涉案接受调查，不会对公司主营业务构成重大不利影响。中国·北京市朝阳区建国门外大街2号银泰中心C座123.所涉法规《刑法》人员，依照各该款的规定处罚。《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》中国·北京市朝阳区建国门外大街2号银泰中心C座12第十一条非法获取公民个人信息后又出售或者提供的，公民个人信息的条数不重复4.简要分析了侵犯公民个人信息的行为。（二）北京瑞智华胜科技股份有限公司因犯非法获取计算机信息系统数据罪，终止挂牌入选原因：非法获取计算机信息系统数据罪典型案例1.案件介绍2019年12月28日，浙江省绍兴市越城技股份有限公司犯非法获取计算机信息系统数据罪，判处罚金人民币一千万元；被告人中国·北京市朝阳区建国门外大街2号银泰中心C座122.基本事实平台的加粉、加群、用于互联网营销获利变现。绍兴市越城区人民检察院以非法获取计算机信息系统数据罪对北京瑞智华胜科技股权浙江省绍兴市越城区人民法院审理后认为，被告单位北京瑞智华胜科技股份有限公司违反国家规定，采用技术手段获取国家事务、国防建设、尖端科学技术领域以外的计算机信息系统中存储、传输、处理的数据，情节特别严重，被告人周嘉林、黄健、梁修军、石炳瑞、袭庚、王岳、王鹏系被告单位直接负责上述行为的主管人员或直接责任人员，人黄健、梁修军、石炳瑞、袭庚、王岳、王鹏在审查起诉阶段已签字具结、认罪认罚，中国·北京市朝阳区建国门外大街2号银泰中心C座123.所涉法规《刑法》行为。刑法第285条第2款明确规定，犯本罪的，处三年以下有期徒刑或者拘役，并处4.简要分析本案被告公司北京瑞智华胜科技股份有限公司通过两个关联公司与运营商之间的合作中国·北京市朝阳区建国门外大街2号银泰中心C座12附件：上市公司数据合规问题整合一、数据源合规监管要点合规事项数据信息-发行人在开展业务过程中是否可以获取用户相关个人信息和商业秘-发行人使用自动化访问技术获取的数据和从供应商采购的数据的内数据收集-发行人获取用户数据信息的来源、获取途径及授权方式，授权方式-收集的数据是否限制在必要的范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为-是否存在采用特殊互联网手段（或技术）采集法律法规规定不属于公开的社会信息或需要特殊许可、信息主体同意等前置程序方可获取数据的情形第三方数据源-如存在对外采购数据，说明核心数据来源，与同行业可比公司的差-采购数据的区别，不同形式采购数据内容是否有差异及其体现，发行人向上述两种不同类型供应商采购数据的考量因素，这两家成为-发行人向供应商采购数据的具体方式；该等采购的数据其来源和采中国·北京市朝阳区建国门外大街2号银泰中心C座12二、数据使用监管要点合规事项数据处理-一体化数据处理平台各功能模块的具体构成、具体功能和用途以及-结合具体业务操作流程，补充披露在清洗、加工及分析的过程中，采集的原始信息或数据的流失率、能够最终形成有价值数据或产品的比例，相关信息在进行清洗、加工及分析前后的可利用性及商业价值的主要差异-在开展业务、日常运营过程中是否获取或有可能获取国家秘密、保密信息、个人信息，是否存在泄露国家秘密、保密-发行人是否有权接触、保管、处理相关数据，是否需取得最终个人数据存储-主要运营数据的保存内容以及保存方式，报告期各期前述运营数据范围限制准确性-公司对获取的数据进行深度挖掘、建模、分析处理提供的数据（信合规性-发行人运用大数据相关技术从事精准推荐和个性化营销服务是否涉及侵犯用户个人隐私、肖像权或其他侵权风险-发行人使用用户数据是否合法合规，请对照《网络安全法》、《关息安全技术个人信息安全规范