《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 企業(yè)上市過程面臨的數(shù)據(jù)合規(guī)問題和相關(guān)風險:境外篇

企業(yè)上市過程面臨的數(shù)據(jù)合規(guī)問題和相關(guān)風險:境外篇

2021-07-26
來源:網(wǎng)安尋路人
關(guān)鍵詞: 數(shù)據(jù)合規(guī)

  正文:

  在【企業(yè)上市過程面臨的數(shù)據(jù)合規(guī)問題和相關(guān)風險:境內(nèi)篇】,,我們梳理了中國公司在境內(nèi)上市時證券監(jiān)管機構(gòu)所提出的相關(guān)問題;在本篇中,,我們主要關(guān)注《網(wǎng)絡(luò)安全法》生效后在境外上市(包含在美國和香港上市)的中國公司在招股書等公開文件中披露的重大風險,,對其進行了翻譯和整合,總結(jié)出在網(wǎng)絡(luò)安全和數(shù)據(jù)保護方面境外上市公司的普遍性合規(guī)風險和相關(guān)行業(yè)的特殊性合規(guī)風險,,供讀者參考,。由于境內(nèi)外上市公司披露的材料有所不同,,所以境內(nèi)篇和境外篇所利用的材料和文章的結(jié)構(gòu)也有較大差別,,但我們認為其中揭示的風險點對于境內(nèi)外上市公司和非上市公司都是相通的,,值得深入研究和系統(tǒng)應(yīng)對。

  普遍性合規(guī)風險

  數(shù)據(jù)安全方面

  任何安全漏洞和數(shù)據(jù)解密,,包括網(wǎng)絡(luò)攻擊,、未經(jīng)授權(quán)的訪問和使用、計算機病毒,、硬件或系統(tǒng)軟件被入侵或類似的破壞或中斷,,都可能導(dǎo)致公司的保密技術(shù)遭受損害或破壞、用戶數(shù)據(jù)和保密信息泄露,、降低用戶體驗,、侵犯用戶隱私等后果,從而導(dǎo)致公司聲譽受損,、合同提前終止、訴訟,、監(jiān)管調(diào)查或公司面臨其他責任的后果,。

  公司自身,、應(yīng)用程序開發(fā)商以及客戶所使用的數(shù)據(jù)安全措施可能因第三方操作失誤、員工工作失誤,、瀆職或其他原因而遭到破壞,,公司技術(shù)基礎(chǔ)設(shè)施中的設(shè)計缺陷可能被暴露和利用,從而可能導(dǎo)致他人未經(jīng)授權(quán)訪問開發(fā)人員,、客戶以及終端用戶的機密信息,。

  未經(jīng)授權(quán)訪問和攻擊系統(tǒng)的技術(shù)正在不斷變化和發(fā)展,并且其在發(fā)起攻擊前通常難以被識別,,公司可能無法預(yù)測這些技術(shù),,難以實施適當?shù)念A(yù)防措施,因而存在安全漏洞,。

  公司無法保證公司的員工將來不會違反保密協(xié)議,。

  如果公司未能保護客戶數(shù)據(jù)和隱私,客戶可能會察覺到公司的第三方渠道泄漏或濫用客戶數(shù)據(jù),。

  如果公司未能遵守隱私政策和數(shù)據(jù)安全措施,,不當使用或披露數(shù)據(jù),則可能導(dǎo)致未經(jīng)授權(quán)發(fā)布或傳輸個人身份信息或?qū)е缕渌脩粜畔⑿孤?,從而可能?dǎo)致訴訟,、監(jiān)管調(diào)查、聲譽受損等不利后果,。

  第三方保險安排未必足以涵蓋因個人信息泄露產(chǎn)生的虧損,。(此處摘自港股招股書原文)

  數(shù)據(jù)立法和監(jiān)管對業(yè)務(wù)的影響

  中國的個人信息保護相關(guān)法律法規(guī)和標準的解釋和適用仍然處于不確定狀態(tài),并在不斷調(diào)整中,。相關(guān)政府部門可能會以對公司不利的方式解釋或?qū)嵤┓煞ㄒ?guī),。公司無法保證根據(jù)中國的《網(wǎng)絡(luò)安全法》及其配套法規(guī),公司已經(jīng)采取或?qū)⒁扇〉拇胧┦峭耆浞值?,中國不斷發(fā)展的隱私保護監(jiān)管框架可能會要求公司改變目前的業(yè)務(wù)實踐,。

  除了有關(guān)個人隱私和數(shù)據(jù)安全的法律、法規(guī)和其他適用規(guī)則外,,行業(yè)團體或其他私人方也可能提出新的和更嚴格的隱私實踐標準,。例如,《個人信息安全規(guī)范》要求數(shù)據(jù)控制者必須提供收集和使用個人信息的目的,,要求數(shù)據(jù)控制者對其核心功能與附加功能進行區(qū)分,,以確保數(shù)據(jù)控制者只會根據(jù)實際需要來收集個人信息。公司無法確保能夠滿足這些可能不斷出現(xiàn)的新標準,。

  在全球市場戰(zhàn)略下,,公司業(yè)務(wù)會涉及到不同的司法管轄區(qū),因而公司需受其個人信息保護法律和法規(guī)的約束,,但公司可能無法及時調(diào)整內(nèi)部政策以同時符合各管轄區(qū)的不同要求,。例如,,如果有歐盟境內(nèi)的居民安裝了裝有公司SDK的APP,或公司的其他用戶到歐盟境內(nèi)旅行,,則公司可能需要遵守GDPR的相關(guān)要求,。

  世界各地的監(jiān)管機構(gòu)近期正在制定或醞釀一系列有關(guān)數(shù)據(jù)保護的立法和監(jiān)管提案,這些立法和監(jiān)管提案如獲通過,,其解釋和適用除了可能導(dǎo)致公司被罰款外,,還可能會要求公司改變目前的數(shù)據(jù)業(yè)務(wù)實踐,這可能對公司的業(yè)務(wù)產(chǎn)生不利影響,。

  中國監(jiān)管機構(gòu)越來越關(guān)注數(shù)據(jù)安全和數(shù)據(jù)保護領(lǐng)域的監(jiān)管,,公司預(yù)計這些領(lǐng)域?qū)⑹艿奖O(jiān)管機構(gòu)的更多關(guān)注,并吸引持續(xù)的或更多的公眾監(jiān)督和關(guān)注,,這可能會增加公司的合規(guī)成本,,并使公司面臨數(shù)據(jù)安全和保護相關(guān)的更高風險和挑戰(zhàn)。

  即使公司使用的是匿名化的設(shè)備層面的移動信息,,該信息也仍然有可能被認定為中國《網(wǎng)絡(luò)安全法》下的個人信息,,從而需要符合相關(guān)規(guī)定和要求。中國法律法規(guī)中對于個人信息的收集,、存儲,、使用、處理,、披露和轉(zhuǎn)移都有相關(guān)的規(guī)范要求,,根據(jù)這些法律法規(guī),互聯(lián)網(wǎng)信息服務(wù)提供商在收集用戶的個人信息前必須獲得用戶同意,,并且不能收集與其提供的服務(wù)無關(guān)的個人信息,,同時互聯(lián)網(wǎng)信息服務(wù)提供商也必須就信息收集和使用的目的、方式和范圍告知用戶,。

  輿論風險

  一些對公司收集,、存儲、處理和使用數(shù)據(jù)的做法的擔憂(即使沒有實際根據(jù)),,也可能損害公司的聲譽和業(yè)務(wù)經(jīng)營,。

  對于公司平臺的安全或隱私保護機制和政策的任何負面宣傳,以及對公司提出的任何索賠或監(jiān)管機關(guān)對公司的處罰,,都會有損公司的公眾形象,、聲譽以及業(yè)務(wù)發(fā)展。

  如違反公司的網(wǎng)絡(luò)安全措施,,或公司的平臺受到攻擊而導(dǎo)致用戶的個人信息遭受未經(jīng)授權(quán)的入侵,,公司的服務(wù)可能被視為不安全及不可靠。因此,用戶可能會減少或停止使用公司的服務(wù),,可能有損公司的業(yè)務(wù)及經(jīng)營業(yè)績,。

  第三方對公司的影響

  公司無法保證其應(yīng)用開發(fā)商和業(yè)務(wù)合作伙伴所采取的數(shù)據(jù)保護措施的有效性,其存在的網(wǎng)絡(luò)安全漏洞可能導(dǎo)致公司客戶信息泄露,。

  公司無法控制應(yīng)用開發(fā)商及業(yè)務(wù)合作伙伴等第三方的具體活動,如果其行為違反了中國《網(wǎng)絡(luò)安全法》或與保護個人信息相關(guān)的其他法律法規(guī),,或未能完全遵守與公司達成的服務(wù)協(xié)議,,公司可能也會面臨被處罰的風險。

  第三方網(wǎng)上支付平臺的運營安全及其收取費用的行為可能會對公司的業(yè)務(wù)產(chǎn)生重大不利影響,。公司無法控制第三方網(wǎng)上支付供應(yīng)商的安全措施,,而公司所用網(wǎng)上支付系統(tǒng)出現(xiàn)安全漏洞或會令公司面臨訴訟,并可能就未能保障客戶保密信息產(chǎn)生負債,。(此處摘自港股招股書原文)

  相關(guān)行業(yè)的特殊性合規(guī)風險

  數(shù)據(jù)服務(wù)類公司

  公司通過為移動應(yīng)用程序開發(fā)者提供服務(wù),,可以訪問用于開發(fā)特定行業(yè)數(shù)據(jù)解決方案的大量移動數(shù)據(jù)?;诠炯惺降膶S袛?shù)據(jù)處理平臺以及人工智能和機器學習,,公司能夠從數(shù)據(jù)中發(fā)掘出有效可行的見解,并開發(fā)各種數(shù)據(jù)解決方案,。但某些應(yīng)用開發(fā)者可能禁止或限制公司訪問或使用公司業(yè)務(wù)所需的數(shù)據(jù),。

  終端用戶所使用的某些計算機軟件或程序可能會限制公司訪問用戶數(shù)據(jù),或者終端用戶可能會對公司使用其數(shù)據(jù)提出異議,。如果公司未來無法繼續(xù)獲取大量移動數(shù)據(jù),,公司將失去競爭優(yōu)勢,公司可能無法有效地提供和改進現(xiàn)有數(shù)據(jù)解決方案以響應(yīng)客戶的需求,。

  用戶對數(shù)據(jù)隱私的態(tài)度在不斷變化,,用戶會擔心其個人信息被公司客戶或其他人訪問、使用或共享,,這可能會對公司獲取數(shù)據(jù)的能力產(chǎn)生不利影響,。

  如果有其他的數(shù)據(jù)解決方案提供商發(fā)生嚴重的安全漏洞事件,公司的客戶和潛在客戶可能會對公司的開發(fā)服務(wù)或數(shù)據(jù)解決方案的安全性失去信任,。

  公司收集匿名的,、設(shè)備層面的無法識別個人身份的數(shù)據(jù),如應(yīng)用程序要求用戶做出相應(yīng)授權(quán),,發(fā)行人是否能接收個人身份信息,,或者收集的數(shù)據(jù)是否可以通過其他方式用于識別個人身份。(此處摘自SEC對發(fā)行人的問詢)

  互聯(lián)網(wǎng)金融公司

  公司通過線上提供金融服務(wù)時會收集借款人的某些個人信息,,并且還需要將該種個人信息與公司的業(yè)務(wù)合作伙伴(如信貸機構(gòu)等)共享,,以便為借款人提供信貸,公司已就該種收集和使用個人信息的行為取得了借款人的同意,并且建立了信息安全系統(tǒng)以保護用戶信息,。但是,,相關(guān)法律對于維護網(wǎng)絡(luò)安全和保護個人信息的要求仍存在不確定性,公司無法保證公司目前的信息安全政策和實踐完全符合現(xiàn)在或?qū)磉m用的任何法律法規(guī),。

  公司會從外部數(shù)據(jù)源收集一些數(shù)據(jù)進行信用評估,,該種外部數(shù)據(jù)源可能違反了中國《網(wǎng)絡(luò)安全法》,公司可能因此無法使用相關(guān)數(shù)據(jù)開展業(yè)務(wù),。

  如果借款人或其他第三方提供的或公司收集的數(shù)據(jù)不準確,、不完整或有欺詐性,則公司的信用評估的準確性可能會受到影響,,可能減弱客戶對公司的信任,。

  公司從用戶處收集、存儲和處理某些個人和其他敏感數(shù)據(jù),,這可能使公司成為網(wǎng)絡(luò)攻擊的目標,。未經(jīng)授權(quán)披露個人敏感信息或機密的客戶數(shù)據(jù),無論是因為系統(tǒng)故障,、員工疏忽,、欺詐還是盜用,都可能導(dǎo)致客戶和投資者的機密信息被盜并用于犯罪目的,,會損害公司的聲譽并導(dǎo)致公司失去客戶,。

  公司收到了客戶關(guān)于其個人信息泄露的一些投訴,雖然公司已對此類泄漏進行了調(diào)查,,但公司無法保證不會發(fā)生其他類似的事件和投訴,。

  根據(jù)中國《網(wǎng)絡(luò)安全法》,關(guān)鍵信息基礎(chǔ)設(shè)施的運營商,,包括公共通信和信息服務(wù)以及金融業(yè)和其他重要行業(yè)和領(lǐng)域,,應(yīng)將在中國境內(nèi)運營期間收集和生成的個人信息和重要數(shù)據(jù)儲存在境內(nèi),如需向境外傳輸,,則應(yīng)按相關(guān)規(guī)定進行安全性評估,。公司所使用的數(shù)據(jù)中心位于海外,可能需要在不同地點之間傳輸某些個人數(shù)據(jù),,并且由于此類數(shù)據(jù)被用于金融服務(wù),,公司可能會受到中國《網(wǎng)絡(luò)安全法》規(guī)定的安全性評估要求的約束。公司無法保證,,公司目前采用的評估個人數(shù)據(jù)安全的措施可以滿足相關(guān)政府部門現(xiàn)在或未來的要求,。

  電子商務(wù)公司

  公司的業(yè)務(wù)會生成并處理大量數(shù)據(jù),因而面臨處理和保護大量數(shù)據(jù)所固有的風險,。電子商務(wù)行業(yè)面臨的一個重大挑戰(zhàn)是機密信息的安全存儲及其在公共網(wǎng)絡(luò)上的安全傳輸,。

  中國政府機構(gòu)可能要求公司共享公司所收集的個人信息和數(shù)據(jù),,以符合中國有關(guān)網(wǎng)絡(luò)安全的法律。

  在公司平臺上進行產(chǎn)品銷售均須通過第三方在線支付服務(wù)進行結(jié)算,。第三方在線支付服務(wù)提供商在信息安全措施等方面的漏洞會損害公司客戶的利益,,從而對公司的聲譽、公眾形象,、業(yè)務(wù)前景等方面產(chǎn)生不利影響,。

  公司的客戶使用的付款處理服務(wù)或其他第三方服務(wù)可能會未經(jīng)授權(quán)入侵公司用戶的數(shù)據(jù)。

  公司與簽約的第三方物流服務(wù)提供商共享有關(guān)平臺用戶的某些個人信息,,例如平臺用戶的姓名,、地址、電話號碼和交易記錄,,第三方物流服務(wù)提供商可能違反其保密義務(wù)并非法披露或使用有關(guān)平臺用戶的信息。

  視頻類公司

  公司的業(yè)務(wù)優(yōu)勢在于能夠制作極受大眾歡迎,、引領(lǐng)潮流的原創(chuàng)內(nèi)容,,但公司面臨著黑客非法訪問和非法分發(fā)尚未發(fā)布的原始內(nèi)容的風險。

  公司的產(chǎn)品和服務(wù)涉及用戶和廣告客戶信息的存儲和傳輸,,特別是計費數(shù)據(jù)以及原始內(nèi)容,,網(wǎng)絡(luò)安全漏洞可能使公司丟失此類數(shù)據(jù)。

  可能存在第三方入侵公司的用戶帳戶并將用戶流量導(dǎo)向到其他互聯(lián)網(wǎng)平臺的情況,,使公司丟失客戶,。

  公司需依靠第三方(如第三方在線支付處理商)的計費和支付系統(tǒng)來確定付費用戶的消費記錄并收取此類付款。公司無法控制第三方支付服務(wù)提供商的網(wǎng)絡(luò)安全措施,,如果公司使用的在線支付系統(tǒng)存在安全漏洞,,可能會使公司面臨訴訟以及承擔未能保護客戶機密信息的責任。

  作為移動端直播平臺,,公司的業(yè)務(wù)涉及大量用戶數(shù)據(jù)及其他相關(guān)信息,。任何用戶數(shù)據(jù)泄露或丟失,或用戶制作任何不當內(nèi)容,,均可能對公司聲譽造成不利影響,,若屬嚴重情況,公司或須承擔潛在的法律責任,。

  教育類公司

  未獲授權(quán)披露或使用學生,、老師及其他個人敏感數(shù)據(jù)(不論通過破壞網(wǎng)絡(luò)安全或以其他方式)可能令公司面臨訴訟或?qū)镜穆曌u造成不利影響。

  醫(yī)療類公司

  與患者醫(yī)療保密相關(guān)的法律法規(guī)在未來可能對信息披露和使用的要求更加嚴格,,包括限制轉(zhuǎn)移醫(yī)療保健數(shù)據(jù),。于2017年生效的《網(wǎng)絡(luò)安全法》指定醫(yī)療保健為優(yōu)先保護領(lǐng)域,因為其是關(guān)鍵信息基礎(chǔ)設(shè)施的一部分,,且中國國家互聯(lián)網(wǎng)信息辦公室正在試圖最終確定跨境轉(zhuǎn)移個人信息法規(guī)草案,。(此處摘自港股招股書原文)




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]