正文：

　　隨著在網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)方面的風(fēng)險(xiǎn)事件和立法日趨增加,，當(dāng)科技企業(yè)在上市時(shí),，網(wǎng)絡(luò)安全,、數(shù)據(jù)保護(hù)也越來(lái)受到證券監(jiān)管機(jī)構(gòu)和投資者的重視,。我們?cè)谕度谫Y業(yè)務(wù)中,，尤其是代表企業(yè)參與C輪之后的融資業(yè)務(wù),，就多次遇到投資者對(duì)數(shù)據(jù)合規(guī)進(jìn)行詳細(xì),、嚴(yán)格的專(zhuān)項(xiàng)盡調(diào),。

　　為了對(duì)風(fēng)險(xiǎn)進(jìn)行類(lèi)型化，我們搜尋了數(shù)十份境內(nèi)外上市公司招股書(shū),、法律意見(jiàn)書(shū),、問(wèn)詢(xún)函，總結(jié)了其中監(jiān)管機(jī)構(gòu)要求發(fā)行人具體說(shuō)明的問(wèn)題或企業(yè)根據(jù)相關(guān)要求披露的風(fēng)險(xiǎn),，并加以整理,。我們認(rèn)為有些問(wèn)題從法律上來(lái)說(shuō)表述并不準(zhǔn)確，但盡量保持了原樣,。

　　由于境內(nèi)外對(duì)信息披露的要求差別較大,，分為上下兩篇，本篇為境內(nèi)篇,，信息均來(lái)自于A股上市公司,，下篇?jiǎng)t來(lái)自于美股和港股上市公司。

　　數(shù)據(jù)源的合規(guī)性

　　獲取用戶(hù)數(shù)據(jù)信息的來(lái)源,、獲取途徑,、授權(quán)方式及協(xié)議，授權(quán)是否明確且合法有效,。

　　收集用戶(hù)信息獲得用戶(hù)同意的具體制度及相關(guān)安排,，收集用戶(hù)信息時(shí)是否明確告知收集信息的范圍及使用用途。

　　通過(guò)向第三方數(shù)據(jù)供應(yīng)商購(gòu)買(mǎi)用戶(hù)數(shù)據(jù)情況下,，第三方數(shù)據(jù)商是否具有相關(guān)數(shù)據(jù)的所有權(quán),，其授權(quán)標(biāo)的公司使用相關(guān)數(shù)據(jù)是否需要經(jīng)過(guò)終端用戶(hù)或者其他第三方同意，授權(quán)是否合法,、合規(guī),。

　　通過(guò)APP與用戶(hù)以《用戶(hù)協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶(hù)授權(quán)的過(guò)程在法律上是否完備,，是否對(duì)客戶(hù)的用戶(hù)有明示,，相關(guān)協(xié)議約定內(nèi)容存在明顯不利于個(gè)人用戶(hù)的格式條款，是否符合相關(guān)法律法規(guī)的規(guī)定要求。

　　通過(guò) APP 與用戶(hù)以《用戶(hù)協(xié)議》,、《隱私政策》等協(xié)議約定獲得用戶(hù)授權(quán)過(guò)程中,，收集個(gè)人用戶(hù)信息、向個(gè)人用戶(hù)推送廣告等有無(wú)明確告知用戶(hù)收集,、使用信息的目的,、方式和范圍。

　　數(shù)據(jù)權(quán)屬問(wèn)題

　　發(fā)行人獲得終端用戶(hù)數(shù)據(jù)信息的權(quán)屬,，其使用是否存在權(quán)屬風(fēng)險(xiǎn)。

　　標(biāo)的公司采購(gòu)所涉相關(guān)數(shù)據(jù)信息的產(chǎn)權(quán)歸屬及其法律依據(jù),。

　　數(shù)據(jù)的使用

　　發(fā)行人使用用戶(hù)數(shù)據(jù)是否合法合規(guī),。

　　公司取得數(shù)據(jù)后用來(lái)做商業(yè)化變現(xiàn)的合規(guī)性。

　　是否根據(jù)與用戶(hù)的約定收集,、使用信息,，對(duì)授權(quán)數(shù)據(jù)的使用（用于互聯(lián)網(wǎng)營(yíng)銷(xiāo)或其他業(yè)務(wù)）是否超過(guò)授權(quán)范圍。

　　對(duì)數(shù)據(jù)的使用是否超過(guò)必要的限度,。

　　業(yè)務(wù)開(kāi)展中是否涉及對(duì)個(gè)人信息的使用,，是否留存客戶(hù)用戶(hù)數(shù)據(jù)、個(gè)人信息,。

　　標(biāo)的公司是否存在對(duì)相關(guān)信息數(shù)據(jù)進(jìn)行存儲(chǔ),、記錄或者使用等情形，如是,，相關(guān)行為是否符合法律法規(guī),、行業(yè)規(guī)范的要求；如否,，標(biāo)的公司是否能夠被認(rèn)定為大數(shù)據(jù)行業(yè)公司,。

　　標(biāo)的公司是否對(duì)數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施，相關(guān)措施是否規(guī)范,、有效,。

　　是否存在非法出售個(gè)人信息的行為。

　　數(shù)據(jù)共享

　　與 APP 開(kāi)發(fā)者《XX使用協(xié)議》約定的“延展至XX使其可以獲取實(shí)現(xiàn)相關(guān)推送功能所必要的合理信息”中“相關(guān)推送功能”是否包括利用該APP共享鏈路而向其他APP最終用戶(hù)發(fā)送通知,，APP 最終用戶(hù)是否知悉通過(guò)鏈路共享而向其發(fā)送其他 APP 通知,，是否取得 APP 最終用戶(hù)同意或授權(quán)。

　　抽樣頭部 APP 產(chǎn)品的《用戶(hù)協(xié)議》,、《隱私政策》中部分表述基于提升本 APP 服務(wù)之目的而收集用戶(hù)數(shù)據(jù)并向第三方共享該數(shù)據(jù),，發(fā)行人鏈路共享是否屬于“提升本APP 服務(wù)之目的”。

　　數(shù)據(jù)安全保護(hù)制度

　　標(biāo)的公司是否對(duì)數(shù)據(jù)的規(guī)范使用采取了相應(yīng)風(fēng)險(xiǎn)控制措施,，相關(guān)措施是否規(guī)范,、有效。請(qǐng)律師、獨(dú)立財(cái)務(wù)顧問(wèn)核查并發(fā)表明確意見(jiàn),。

　　數(shù)據(jù)獲取,、使用、加工處理,、存儲(chǔ)及傳輸?shù)冗^(guò)程配套的內(nèi)部控制制度及執(zhí)行情況,、效果，避免或防止泄露用戶(hù)隱私的具體制度及相關(guān)安排,，是否存在泄密風(fēng)險(xiǎn),。

　　用戶(hù)信息保護(hù)技術(shù)體系，尤其是防止外部惡意軟件,、病毒,、黑客攻擊和內(nèi)部人員惡意導(dǎo)致的數(shù)據(jù)泄露的技術(shù)措施。

　　通過(guò)公安部門(mén)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的情況,。

　　對(duì)數(shù)據(jù)安全和個(gè)人隱私的保護(hù)措施與手段及其有效性,，是否出現(xiàn)過(guò)個(gè)人信息、隱私泄露事件,，是否存在侵權(quán)風(fēng)險(xiǎn),，是否存在糾紛或潛在糾紛，最近三年發(fā)生的嚴(yán)重泄密事件,、重大訴訟,、處理結(jié)果及有關(guān)的整改措施。

　　對(duì)提供產(chǎn)品,、服務(wù)過(guò)程中掌握的個(gè)人信息,、國(guó)家安全信息、國(guó)家秘密,、保密信息所采取的防泄密措施和保障網(wǎng)絡(luò)安全的內(nèi)部管理制度及執(zhí)行效果,，有無(wú)泄露國(guó)家秘密、保密信息,、個(gè)人信息的風(fēng)險(xiǎn),，是否發(fā)生過(guò)相關(guān)信息泄露事件，是否因此受到過(guò)行政處罰,。

　　業(yè)務(wù)及具體數(shù)據(jù)服務(wù)

　　說(shuō)明發(fā)行人在開(kāi)展業(yè)務(wù),、日常運(yùn)營(yíng)過(guò)程中是否獲取或有可能獲取國(guó)家秘密、保密信息,、個(gè)人信息,。

　　結(jié)合《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問(wèn)題的解釋》等法規(guī),、司法解釋?zhuān)f(shuō)明各類(lèi)業(yè)務(wù)是否存在侵犯客戶(hù)以及客戶(hù)用戶(hù),、APP具體使用者和其他第三方的商業(yè)秘密,、個(gè)人信息安全、個(gè)人隱私的情形,，是否存在法律風(fēng)險(xiǎn)或潛在法律風(fēng)險(xiǎn),。

　　與客戶(hù)所簽署業(yè)務(wù)合同中是否存在可能侵犯第三方商業(yè)秘密或個(gè)人信息安全的條款。

　　與客戶(hù)所簽署業(yè)務(wù)合同的業(yè)務(wù)內(nèi)容條款和保密條款是否存在協(xié)助或變相協(xié)助客戶(hù),、第三方開(kāi)展可能侵犯第三方商業(yè)秘密或個(gè)人信息安全的行為,。

　　DMP（Data ManagementPlatform）服務(wù)：

　　DMP服務(wù)的一般客戶(hù)來(lái)源，服務(wù)內(nèi)容,，該業(yè)務(wù)開(kāi)展具體內(nèi)部流程及控制措施,；

　　報(bào)告期各期主要DMP服務(wù)項(xiàng)目的具體情況，銷(xiāo)售政策,、定價(jià)方式,、結(jié)算方式。

　　技術(shù)問(wèn)題

　　相關(guān)大數(shù)據(jù)技術(shù)以及大規(guī)模數(shù)據(jù)存貯技術(shù)等的來(lái)源,、形成過(guò)程及合法合規(guī)性。

　　列表說(shuō)明發(fā)行人現(xiàn)有各項(xiàng)核心技術(shù)的發(fā)明人或主要研發(fā)人員及其曾任職單位,，核心技術(shù)的具體來(lái)源和形成過(guò)程,，是否涉及公司董事、監(jiān)事,、高級(jí)管理人員或其他核心人員在曾任職單位的職務(wù)成果,，是否存在權(quán)屬糾紛或潛在糾紛風(fēng)險(xiǎn)。請(qǐng)發(fā)行人結(jié)合其核心人員曾任職于同行業(yè)其他公司的有關(guān)情況,，補(bǔ)充說(shuō)明其主要產(chǎn)品的研發(fā)周期,、渠道推廣和用戶(hù)積累的過(guò)程，是否存在向第三方購(gòu)買(mǎi)底層數(shù)據(jù)并在外購(gòu)數(shù)據(jù)的基礎(chǔ)上持續(xù)開(kāi)發(fā)等情況,。

　　數(shù)據(jù)立法和監(jiān)管對(duì)業(yè)務(wù)的影響

　　歐盟《通用數(shù)據(jù)保護(hù)法案》（General Data Protection Regulation,GDPR）的頒布實(shí)施對(duì)于發(fā)行人經(jīng)營(yíng)業(yè)務(wù)有什么影響,，發(fā)行人有什么整改或應(yīng)對(duì)措施，是否存在被處罰的風(fēng)險(xiǎn),，GDPR 對(duì)于發(fā)行人未來(lái)的業(yè)務(wù)經(jīng)營(yíng)是否存在影響,。

　　數(shù)據(jù)監(jiān)管及個(gè)人隱私保護(hù)政策變動(dòng)情況（主管部門(mén)對(duì)數(shù)據(jù)隱私保護(hù)的標(biāo)準(zhǔn)是否會(huì)持續(xù)升級(jí)）對(duì)未來(lái)發(fā)行人業(yè)務(wù)的影響及發(fā)行人的應(yīng)對(duì)措施。

　　請(qǐng)補(bǔ)充說(shuō)明標(biāo)的公司對(duì)用戶(hù)信息的收集,、傳輸,、保存及應(yīng)用的現(xiàn)狀是否符合《信息安全技術(shù) 個(gè)人信息安全規(guī)范》的要求。若否,，請(qǐng)充分提示相關(guān)風(fēng)險(xiǎn)并說(shuō)明后續(xù)整改措施,。

　　請(qǐng)發(fā)行人結(jié)合和XX的糾紛，補(bǔ)充說(shuō)明其人才庫(kù)所涉?zhèn)€人信息的收集,、存儲(chǔ),、使用,，是否符合《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》、《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的規(guī)定,。