中國(guó)上市公司數(shù)據(jù)合規(guī)案例研究報(bào)告2018-2022

2 3 3 3 4 4 5 5 7 13 15 531中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第一章：研究背景與意義企業(yè)安全管理不規(guī)范等痛點(diǎn)、難點(diǎn)問題。自2016年公安部網(wǎng)安局牽頭開展“打擊整治網(wǎng)一系列強(qiáng)監(jiān)管政策，并根據(jù)市場(chǎng)變化對(duì)監(jiān)管政策進(jìn)行了細(xì)化和動(dòng)態(tài)調(diào)整。2中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第二章：研究范圍的界定一、研究所涉及上市公司的范圍二、案例的來源及時(shí)間范圍為保證研究的科學(xué)性、準(zhǔn)確性和嚴(yán)謹(jǐn)性，《報(bào)告》選取的處罰通報(bào)、行政處罰決定文書種類數(shù)據(jù)來源1時(shí)間依據(jù)時(shí)間范圍問詢函和審委會(huì)文書作出數(shù)據(jù)處罰通報(bào)全國(guó)中小企業(yè)股份轉(zhuǎn)讓系統(tǒng)網(wǎng)站網(wǎng)址http://w3中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12行政處罰決定書刑事判決書三、研究范圍的不周延性四、非營(yíng)利性聲明4中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第三章：上市公司數(shù)據(jù)合規(guī)案例數(shù)據(jù)分析及風(fēng)險(xiǎn)防范建議一、案例背景數(shù)據(jù)分析（一）處罰主體數(shù)據(jù)分析移動(dòng)端服務(wù)與應(yīng)用的數(shù)據(jù)合規(guī)問題不容小覷，移動(dòng)互聯(lián)網(wǎng)時(shí)代下App程序上個(gè)人信息5中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12成為了重點(diǎn)打擊APP個(gè)人信息違規(guī)問題的開始，而占50%的APP處罰通報(bào)也凸顯出移（二）文書時(shí)間分布進(jìn)，有關(guān)機(jī)構(gòu)對(duì)上市公司的監(jiān)管要求加強(qiáng)，治理頻率逐年遞增。另由于《數(shù)據(jù)安全法》為未來信息和數(shù)據(jù)安全的監(jiān)管態(tài)勢(shì)仍將進(jìn)一（三）各類處罰依據(jù)的法律法規(guī)息安全技術(shù)個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《規(guī)范》)等文件的重要規(guī)制內(nèi)容。我國(guó)正逐和2021年新修訂的《網(wǎng)絡(luò)安全審查辦法》等規(guī)范的6中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12法律法規(guī)援引頻次2m16654二、處罰對(duì)象數(shù)據(jù)分析（一）地域分布7中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12于資源豐富、市場(chǎng)廣大、政策支持的特點(diǎn)高居8中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12（二）所在行業(yè)分布和企業(yè)招股說明書對(duì)主營(yíng)業(yè)務(wù)的介紹，將涉及的上市公司進(jìn)行了行業(yè)現(xiàn)，涉案的上市公司主要集中在以下幾個(gè)行業(yè)：數(shù)據(jù)分析（31%（10%）。可判定存在數(shù)據(jù)問題的上市公司9中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12三、數(shù)據(jù)合規(guī)之監(jiān)管關(guān)注要點(diǎn)暨風(fēng)險(xiǎn)防范建議立法監(jiān)管、業(yè)務(wù)運(yùn)營(yíng)和跨境合規(guī)。經(jīng)分析得出，在上市申報(bào)過程中證券監(jiān)督部門最關(guān)注的三類問題為數(shù)據(jù)源合規(guī)、數(shù)據(jù)安全及數(shù)據(jù)使用合規(guī)，而這三類問題也是企業(yè)運(yùn)營(yíng)時(shí)最容易產(chǎn)生的問題，它們無疑應(yīng)是擬上市企業(yè)數(shù)據(jù)合規(guī)治理的重中之重：（一）數(shù)據(jù)源合規(guī)之監(jiān)管關(guān)注要點(diǎn)1、數(shù)據(jù)信息：就獲取的個(gè)人數(shù)據(jù)而言，監(jiān)管機(jī)關(guān)較為關(guān)注這些個(gè)人數(shù)據(jù)的具體內(nèi)容，重要數(shù)據(jù)、商業(yè)秘密及其他非公開信息，不同渠道獲取數(shù)據(jù)內(nèi)2、數(shù)據(jù)收集：a、獲取方式：獲取用戶數(shù)據(jù)的來源、獲取途徑及授權(quán)方式，獲得用戶同意的具體制度，是否明確告知收集信息的范圍及使用用途；b、授中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12得用戶授權(quán)方式是否明確且合法有效，授權(quán)許可中使用范圍、主體或期限等方面的采購(gòu)數(shù)據(jù)具體方式，不同形式采購(gòu)數(shù)據(jù)內(nèi)容是否有差異及其體現(xiàn)。還較為關(guān)注數(shù)據(jù)合理性，及采購(gòu)數(shù)據(jù)協(xié)議的合法合規(guī)性。（二）數(shù)據(jù)使用之監(jiān)管關(guān)注要點(diǎn)1、數(shù)據(jù)處理：監(jiān)管機(jī)關(guān)比較關(guān)注數(shù)據(jù)處理的具體操作流程及其合理性、合規(guī)觸、保管和處理行為是否合法合規(guī)并獲得個(gè)人授權(quán)，是否存在獲取國(guó)家秘密、保密信息、個(gè)人信息的可能。數(shù)據(jù)處理操作是否具有商業(yè)合理性，企業(yè)與業(yè)務(wù)經(jīng)營(yíng)之間2、數(shù)據(jù)存儲(chǔ)：重點(diǎn)在于審核數(shù)據(jù)的法定存儲(chǔ)義務(wù)，如主要運(yùn)營(yíng)數(shù)據(jù)的保存內(nèi)容以及保服務(wù)，進(jìn)行商業(yè)化變現(xiàn)的合規(guī)性；b、處理過程：是否制定并公開收集使用規(guī)則，是否向所在地網(wǎng)信部門備案，是否存在違反收集使用規(guī)則使用個(gè)人信息的情況，是（三）數(shù)據(jù)安全之監(jiān)管關(guān)注要點(diǎn)1、數(shù)據(jù)保護(hù)機(jī)制：a、技術(shù)措施和其他必要措施：如是否進(jìn)行必要的信息安全等級(jí)保執(zhí)行有效性如何；b、應(yīng)急方案及糾紛解決機(jī)制：針對(duì)可能發(fā)生的數(shù)據(jù)泄露事件及中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座122、風(fēng)險(xiǎn)披露：包括報(bào)告期內(nèi)已發(fā)生或可能發(fā)生安統(tǒng)計(jì)，處理結(jié)果及有關(guān)的解決措施。是否存在泄露國(guó)家秘密、保密信息、個(gè)人信息的情況或未來風(fēng)險(xiǎn)，潛在或已有的糾紛或爭(zhēng)議情況，公司因受投訴、監(jiān)管處罰、訴（四）其他不可控風(fēng)險(xiǎn)赴美上市公司因涉及“國(guó)家數(shù)據(jù)安全風(fēng)險(xiǎn)”和個(gè)人信息收集合規(guī)問題，出于維護(hù)國(guó)家安全目的而受到網(wǎng)絡(luò)安全審查辦公室的審查，其中滴滴出行因?yàn)樯婕皢栴}嚴(yán)重，根據(jù)網(wǎng)絡(luò)安全審查結(jié)論及發(fā)現(xiàn)的問題和線索，國(guó)家互聯(lián)網(wǎng)信息辦公室依法對(duì)滴滴全球絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的違法違規(guī)行為事實(shí)清楚、證據(jù)確律法規(guī)，對(duì)滴滴全球股份有限公司處人民幣80.26億元罰款2、人員管理：公司內(nèi)控管理制度是數(shù)據(jù)安全系統(tǒng)中不可忽視的重點(diǎn)。在數(shù)據(jù)堂、瑞智華勝、蛋殼公寓等上市公司處罰案例中，公司員工利用技術(shù)手段或者職務(wù)便法獲取、提供公民個(gè)人信息，其個(gè)人行為卻對(duì)上市公司經(jīng)濟(jì)、聲譽(yù)造成重大不利影3、技術(shù)規(guī)范：企業(yè)業(yè)務(wù)經(jīng)營(yíng)涉及人工智能、大數(shù)據(jù)、云計(jì)算等新型技術(shù)時(shí)尤為受監(jiān)管機(jī)關(guān)關(guān)注，關(guān)注焦點(diǎn)包括：a、技術(shù)倫理規(guī)范：公司對(duì)人工智能技術(shù)可控、符合倫理規(guī)范的措施和規(guī)劃，公司在技術(shù)開發(fā)和業(yè)務(wù)開展過程所面臨的倫理風(fēng)險(xiǎn)；b、技術(shù)說明：技術(shù)大數(shù)據(jù)核心技術(shù)（如算法的訓(xùn)練、系統(tǒng)的搭建等）是否涉及大量的數(shù)據(jù)的應(yīng)用，主動(dòng)式數(shù)據(jù)采集技術(shù)和被動(dòng)式數(shù)據(jù)采集技術(shù)的異同點(diǎn)；c、技術(shù)應(yīng)用：一體化數(shù)據(jù)處理平臺(tái)各功能模塊的具體構(gòu)成、具體功能和用途以及與發(fā)行人生產(chǎn)經(jīng)中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第四章：上市公司及其工作人員處罰特征一、處罰方式二、處罰事由集中而在證監(jiān)會(huì)查處、質(zhì)詢方面，數(shù)據(jù)來源、數(shù)據(jù)使用以及數(shù)據(jù)安全問和產(chǎn)業(yè)發(fā)展,如何保護(hù)數(shù)據(jù)成為當(dāng)下亟待解決的三、處罰對(duì)象地域、板塊集中四、涉及法律法規(guī)繁多，《網(wǎng)絡(luò)安全法》為主要援引依據(jù)援引的首要依據(jù)。此外當(dāng)今的立法也在某些特殊行業(yè)領(lǐng)域做出了有益嘗試，包括“第五中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12《上海市網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理若干規(guī)定（滬府令48號(hào)）》等。五、處罰對(duì)象業(yè)務(wù)經(jīng)營(yíng)與數(shù)據(jù)強(qiáng)相關(guān)營(yíng)范圍和商業(yè)模式不同，但其在數(shù)據(jù)享有上具有共性，這些上市公司都握六、處罰力度不斷加大中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第五章：上市公司數(shù)據(jù)合規(guī)案例精選一、工信部通報(bào)案例（一）驢跡科技被指“假冒上海迪士尼App違規(guī)收集個(gè)人信息”入選原因：上市公司數(shù)據(jù)治理典型問題與工信部重點(diǎn)查處事項(xiàng)1.案件介紹2.基本事實(shí)現(xiàn)霍爾果斯驢跡軟件科技有限公司開發(fā)的“上海迪士尼樂園本案例體現(xiàn)了上市公司數(shù)據(jù)治理典型問題與工信部重點(diǎn)查處事項(xiàng)，縱觀工信部發(fā)布的查處通告，命中率極高的幾大查處理由包括：違規(guī)收集個(gè)人信息、超范圍收集個(gè)人信息、2提請(qǐng)注意的是，隨后，上海迪士尼度假區(qū)在官方微信上回應(yīng)，通報(bào)中所提及的上海迪士尼樂園”應(yīng)用程序（App）是未經(jīng)上海迪士尼度假區(qū)授權(quán)、由霍爾果斯驢跡軟件科技有限公司開發(fā)的“假冒App”，并非上海迪士尼度假區(qū)的官方應(yīng)用程序，與上海迪士尼度假區(qū)無中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12（二）通達(dá)信APP被工信部曝光所涉及的問題為違規(guī)收集、使用個(gè)人信息入選原因：工信部重點(diǎn)查處事項(xiàng)1.案件介紹2.基本事實(shí)現(xiàn)深圳市財(cái)富趨勢(shì)科技股份有限公司開發(fā)的“通達(dá)信”App存在違規(guī)收集個(gè)人信息、違規(guī)3.簡(jiǎn)要分析本案例作為另一有力證明體現(xiàn)了工信部重點(diǎn)查處事項(xiàng)及一貫的簡(jiǎn)明扼要的查處公示風(fēng)格。值得注意的是，工信部通報(bào)App所涉問題之中合制定的《App違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》，“未公開收集使用規(guī)則”、“未明示收集使用個(gè)人信息的目的、方式和范圍”、“未經(jīng)用戶同意收集使用個(gè)人信息”、“違反必要原則，收集與其提供的服務(wù)無關(guān)的個(gè)人信息”、“未經(jīng)同意向他人提供個(gè)人信中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12違法違規(guī)收集使用個(gè)人信息行為認(rèn)定方法》為App運(yùn)營(yíng)者提供合規(guī)指引，此外，《GB/T2020信息安全技術(shù)個(gè)人信息安全規(guī)范》、《常見類型移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序必要個(gè)人信息范圍規(guī)定》等也是監(jiān)管查處的重要參考。此外，工信部【2019】337號(hào)文3、工信部【2020】164號(hào)文4作為工信部分別于2019年與2020年開展的APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)，指明了監(jiān)管機(jī)關(guān)的重點(diǎn)關(guān)注點(diǎn)，值點(diǎn)仍活躍在處罰理由一列，因此企業(yè)仍需要重點(diǎn)關(guān)注，重點(diǎn)概2)違規(guī)使用用戶個(gè)人信息方面的“私自共享給第三方”、“強(qiáng)制用戶使用定向推送限”服務(wù)，或?yàn)樽N服務(wù)設(shè)置不合理的障礙3工業(yè)和信息化部關(guān)于開展APP侵害用戶權(quán)益專項(xiàng)整治工作的通知工信部信管函[2019]337號(hào)4工業(yè)和信息化部關(guān)于開展縱深推進(jìn)APP侵害用戶權(quán)益專項(xiàng)整治行動(dòng)的通知工信部信管函〔2020〕164號(hào)/zhengce/zhengceku/2020-08/02/中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座123)欺騙誤導(dǎo)用戶下載APP。重點(diǎn)整治通過“偷梁換柱”“移花接木”等方式欺騙誤導(dǎo)運(yùn)行所需權(quán)限列表及用途，未明示APP收集、使用用戶個(gè)人信二、證監(jiān)會(huì)查處、質(zhì)詢案例（一）證監(jiān)會(huì)對(duì)招商證券采取出具警示函措施入選原因：上市公司券業(yè)首單網(wǎng)絡(luò)安全事件“雙罰”案例1.案件介紹2.基本事實(shí)更未經(jīng)充分論證和測(cè)試，升級(jí)回退方案不完備等問題，反映出公司內(nèi)部管理存在漏洞、中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12施，同時(shí)強(qiáng)調(diào)，公司應(yīng)對(duì)相關(guān)問題進(jìn)行全面整改，并對(duì)責(zé)任人員進(jìn)行內(nèi)部八條的規(guī)定，證監(jiān)會(huì)決定對(duì)上述當(dāng)事人采取出3.簡(jiǎn)要分析本案例體現(xiàn)了證監(jiān)會(huì)對(duì)券業(yè)上市公司信息系統(tǒng)安全的監(jiān)管要求。切實(shí)提升系統(tǒng)運(yùn)維保障息技術(shù)投入，提升技術(shù)人員業(yè)務(wù)能力，保持核心技術(shù)人員穩(wěn)定，做好應(yīng)易等核心業(yè)務(wù)環(huán)節(jié)的重要信息系統(tǒng)升級(jí)工作。三是完善系統(tǒng)測(cè)試工作，加強(qiáng)壓力測(cè)試。嚴(yán)格落實(shí)客戶信息保護(hù)要求，切實(shí)維護(hù)投資者合法權(quán)益。一是完善技術(shù)安全保障措（二）曠視科技科創(chuàng)板IPO因數(shù)據(jù)合規(guī)問題獲問詢中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12入選原因：涉及IOT、人臉識(shí)別等科技發(fā)展重點(diǎn)監(jiān)管領(lǐng)域1.案件介紹和重點(diǎn)導(dǎo)讀司首次公開發(fā)行存托憑證并在科創(chuàng)板上市申請(qǐng)文件的審核問詢函》(上證科審(審底層邏輯進(jìn)行合規(guī)性討論，也向讀者抽絲剝繭般地揭l算法訓(xùn)練者與實(shí)際使用者在數(shù)據(jù)控制方面的權(quán)責(zé)區(qū)別；l算法訓(xùn)練數(shù)據(jù)包括專門模擬場(chǎng)景采集數(shù)據(jù)集和公開數(shù)據(jù)l數(shù)據(jù)全生命周期的合規(guī)措施應(yīng)當(dāng)從技術(shù)維度、制度維度和組2.案情回顧曠視科技創(chuàng)立于2011年，是一家聚焦物聯(lián)網(wǎng)場(chǎng)景的世界級(jí)人工智能公司，公司以物聯(lián)網(wǎng)作為人工智能技術(shù)落地的載體，通過構(gòu)建完整的AIoT產(chǎn)品體系，面向消費(fèi)物聯(lián)網(wǎng)、城市物聯(lián)網(wǎng)、供應(yīng)鏈物聯(lián)網(wǎng)三大核心場(chǎng)景提供經(jīng)驗(yàn)證的行業(yè)解決方案，實(shí)現(xiàn)人工智能的關(guān)數(shù)據(jù)的來源及其合規(guī)性;(3)發(fā)行人對(duì)外提供的產(chǎn)品(或服務(wù))是否涉及數(shù)據(jù)的采集運(yùn)用，如是，說明數(shù)據(jù)的來源及其合法合規(guī)性;(4)發(fā)行人保證數(shù)據(jù)采集、清洗、管理、運(yùn)用等各方面的合規(guī)措施;(5)發(fā)行人的數(shù)據(jù)來源中是否包含向供應(yīng)商采購(gòu)，如是，請(qǐng)說明是否在相關(guān)合同中約定數(shù)據(jù)合規(guī)的條款或措施，并結(jié)合《民法典人信息安全規(guī)范》《數(shù)據(jù)安全法(草案)》《個(gè)人信息保護(hù)法(草案)》等相關(guān)規(guī)定，說明中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12相關(guān)措施是否能切實(shí)保證發(fā)行人不出現(xiàn)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)或法律糾紛;(6)結(jié)交付及部署模式，說明發(fā)行人的產(chǎn)品(或服務(wù))中涉及到用戶的個(gè)人數(shù)據(jù)的情形和場(chǎng)景，該等數(shù)據(jù)的運(yùn)用、管理及其合規(guī)性;(7)發(fā)行人產(chǎn)品至今是否面臨數(shù)據(jù)合規(guī)方面的訴訟(一)發(fā)行人技術(shù)、業(yè)務(wù)及產(chǎn)品(或服務(wù))中涉及到數(shù)據(jù)采集、清洗、管理、運(yùn)用的具體環(huán)節(jié);不同環(huán)節(jié)涉及的數(shù)據(jù)的具體類型，文字、圖像、視頻等具體情況節(jié)數(shù)據(jù)采集:通過配合式采集、獲取公開數(shù)據(jù)集的方式合法采集敏感信息數(shù)據(jù)脫敏(以通用代號(hào)替換數(shù)據(jù)中的敏感內(nèi)容數(shù)據(jù)運(yùn)用:將清洗完畢的數(shù)據(jù)用于算法訓(xùn)練。并無所有權(quán)，公司無權(quán)也無需進(jìn)行數(shù)據(jù)采集2、不同環(huán)節(jié)涉及的數(shù)據(jù)的具體類型，文字、圖在產(chǎn)品交付給客戶后，公司不直接參與客戶的運(yùn)營(yíng)和使過程中獲取的數(shù)據(jù)并無所有權(quán)，公司無權(quán)也無需進(jìn)行數(shù)據(jù)采集、清(二)發(fā)行人自身核心技術(shù)(如算法的訓(xùn)練、系統(tǒng)的搭建等)是否涉及大量的數(shù)據(jù)的應(yīng)用，如是，相關(guān)數(shù)據(jù)的來源及其合規(guī)性中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12配合式采集所取得的圖像與視頻等數(shù)據(jù)將按照所取得的授權(quán)使用范圍，用于公司核心2、公開數(shù)據(jù)集公開數(shù)據(jù)集是指互聯(lián)網(wǎng)上已構(gòu)、企業(yè)等自行制作并公開發(fā)布，如COCO5(四)發(fā)行人保證數(shù)據(jù)采集、清洗、管理、運(yùn)用等各方面的合規(guī)措施數(shù)據(jù)安全問題，如自主研發(fā)完成的前端圖像脫敏方案實(shí)密鑰對(duì)圖像、視頻等數(shù)據(jù)進(jìn)行加密、使用https等加密通信協(xié)議、硬盤文檔加密等。(2)數(shù)據(jù)清洗在數(shù)據(jù)清洗過程中，公司將通過自動(dòng)添加水印的方式，將待標(biāo)注數(shù)據(jù)進(jìn)行公司針對(duì)數(shù)據(jù)管理采取了多方面的技術(shù)保護(hù)措施，具體包括:1)網(wǎng)絡(luò)隔離措施，公司已區(qū)分生產(chǎn)環(huán)境、辦公環(huán)境、測(cè)試環(huán)境、核心數(shù)據(jù)環(huán)境等網(wǎng)絡(luò)5COCO數(shù)據(jù)集概述COCO的全稱是CommonObjectsin像識(shí)別的數(shù)據(jù)集。MSCOCO數(shù)據(jù)集中的圖像分為訓(xùn)練、驗(yàn)證和測(cè)試集。中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12環(huán)境，實(shí)現(xiàn)網(wǎng)絡(luò)環(huán)境的隔離，并相應(yīng)部署網(wǎng)絡(luò)防火墻與為審計(jì)功能;；2)網(wǎng)站防護(hù)措施；3)漏洞管理措施；4)數(shù)據(jù)6)日志和審計(jì)措施；7)數(shù)據(jù)權(quán)限管理措施；8)(4)數(shù)據(jù)運(yùn)用在技術(shù)研發(fā)，公司目前的數(shù)據(jù)運(yùn)用均在內(nèi)部網(wǎng)絡(luò)環(huán)境中研發(fā)中數(shù)據(jù)運(yùn)用安全的技術(shù)措施可主要參考上述“(3)數(shù)據(jù)管理”。公司內(nèi)部也建立了產(chǎn)品上線前的統(tǒng)一漏洞管理系統(tǒng)，對(duì)擬上線的SaaS類服務(wù)的調(diào)用過程，公司已部署的漏洞掃描工具全面覆蓋API接口安全漏洞，提前預(yù)警API傳輸相關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)。2、制度維度的合規(guī)性。(1)整體數(shù)據(jù)治理基礎(chǔ)；(2責(zé)協(xié)同相關(guān)團(tuán)隊(duì)，應(yīng)對(duì)、處理內(nèi)部投訴與舉報(bào)事件、信息安全事件(含員工信息安全違(五)發(fā)行人的數(shù)據(jù)來源中是否包含向供應(yīng)商采購(gòu)，如是，請(qǐng)說明是否在相關(guān)合同中約定據(jù)安全法(草案)》《個(gè)人信息保護(hù)法(草案)》等相關(guān)規(guī)定，說明相關(guān)措施是否能切實(shí)保證發(fā)行人不出現(xiàn)數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)或法律糾紛中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12據(jù)采集，并非供應(yīng)商獨(dú)立采集數(shù)據(jù)然后銷售給發(fā)在協(xié)議中供應(yīng)商承諾確保其向公司提供的服務(wù)符合中國(guó)法律法規(guī)和/或可能涉及的相關(guān)國(guó)家/地區(qū)法律法規(guī)要求;涉及個(gè)人數(shù)據(jù)的(六)結(jié)合發(fā)行人的產(chǎn)品交付及部署模式，說明發(fā)行人的產(chǎn)品(或服務(wù))中涉及到用戶的個(gè)人數(shù)據(jù)的情形和場(chǎng)景，該等數(shù)據(jù)的運(yùn)用、管理及其合規(guī)性(七)發(fā)行人產(chǎn)品至今是否面臨數(shù)據(jù)合規(guī)方面的訴訟或糾紛;并請(qǐng)結(jié)合相關(guān)公開報(bào)道，說明發(fā)行人數(shù)據(jù)的合規(guī)性公司在相關(guān)事件中的角色，如前文所述，在該等業(yè)務(wù)場(chǎng)景下，公司僅為產(chǎn)品提供方，公司在數(shù)據(jù)安全與合規(guī)方面，已獲得多項(xiàng)國(guó)內(nèi)外權(quán)威認(rèn)證認(rèn)可。公司多個(gè)有信息系統(tǒng)ISO/IEC27001:2013信息安全管理體系認(rèn)證及ISO/IEC27701:2019隱私信息管理體系3.簡(jiǎn)要分析和合規(guī)要點(diǎn)提示中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12信息處理者違反法律、行政法規(guī)的規(guī)定或者違反約定處理人臉識(shí)別信息所引起的民事案件。所以上市公司首先應(yīng)當(dāng)判斷自己是否屬于信息處理者，即其對(duì)人臉信息是否進(jìn)行了收集、存儲(chǔ)、適用、加工、傳輸、提供、公開等。的接入或獲取，即曠世科技涉及個(gè)人信息收集、處理的階段僅限于產(chǎn)品研發(fā)階段。這意味著產(chǎn)品研發(fā)階段將成為律師在充分了解曠世科技的產(chǎn)品研發(fā)階段、數(shù)據(jù)收集行為以及數(shù)據(jù)收集類型之后的重點(diǎn)合規(guī)檢查部分。在曠世披露的產(chǎn)品研發(fā)階段的兩種數(shù)據(jù)獲取方學(xué)術(shù)研究機(jī)構(gòu)、企業(yè)等自行制作并公開發(fā)布，如COCO等互聯(lián)網(wǎng)公開配合式采集則涉及到從第三方公司間接獲取、與第三方公司合作獲取個(gè)人信息的除一般的數(shù)據(jù)合規(guī)義務(wù)之外，人臉識(shí)別信息照《最高人民法院關(guān)于審理使用人臉識(shí)別技術(shù)處理個(gè)人信息相關(guān)民事案件適用法律若干2、基于個(gè)人同意處理人臉信息的，是否征得自然人或其監(jiān)護(hù)人的單獨(dú)同意，或者是否3、是否采取了應(yīng)有的技術(shù)措施或者其他必要措施確保其收集、6《GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范》5.6征得授權(quán)同意的例外h)從合法公開披露的信息中收集個(gè)人信息的，如合法的新聞報(bào)道、政府信息公開等渠道；中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座125、在處理人臉信息并非屬于提供產(chǎn)品或者服務(wù)所必須的信息之外，是否要求個(gè)人同意9、是否違反約定處理人臉信息，在違反約定人對(duì)其人臉信息的刪除請(qǐng)求等（三）梅泰諾（現(xiàn)名為北京數(shù)知科技股份有限公司）因未說明標(biāo)的公司對(duì)用戶信息的收集、傳輸、保存及應(yīng)用的現(xiàn)狀是否合規(guī)被問詢?nèi)脒x原因：間接獲取數(shù)據(jù)方合規(guī)義務(wù)的典型案例1.案件介紹和重點(diǎn)導(dǎo)讀已采取的核查措施。將數(shù)據(jù)/標(biāo)簽來源區(qū)分為了一般數(shù)據(jù)標(biāo)簽供應(yīng)商和能夠獲取終端用戶數(shù)據(jù)的數(shù)據(jù)標(biāo)簽供獲取數(shù)據(jù)的一般形式審查意義，體現(xiàn)了證監(jiān)會(huì)穿透式的實(shí)質(zhì)關(guān)注特點(diǎn)。2.基本事實(shí)中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12標(biāo)的公司（華坤道威）數(shù)據(jù)未直接向終端用戶獲取用戶數(shù)據(jù)，其“數(shù)據(jù)來源及途徑為電信運(yùn)營(yíng)商等可獲取終端用戶的機(jī)構(gòu)及第三方數(shù)據(jù)標(biāo)簽供應(yīng)商。各相關(guān)中介機(jī)構(gòu)需核查收集使用終端戶個(gè)人信息的授權(quán)方式及其合規(guī)性。由于電信運(yùn)營(yíng)商等可獲取終端用戶的進(jìn)展情況行補(bǔ)充披露?！泵诽┲Z對(duì)標(biāo)的公司已采取了保護(hù)手段，具體手段有：數(shù)據(jù)加密或脫敏、數(shù)據(jù)存儲(chǔ)安全措施、對(duì)數(shù)據(jù)內(nèi)部流轉(zhuǎn)設(shè)有防火墻措施、制定數(shù)據(jù)安全管理制度、制定信息安全預(yù)案，并就已取得的數(shù)據(jù)安全認(rèn)證情況已經(jīng)了說明。標(biāo)的公司的數(shù)據(jù)來源及途徑為電信運(yùn)營(yíng)商等可獲取終端用戶數(shù)據(jù)的機(jī)構(gòu)及第三方數(shù)據(jù)充說明目前已經(jīng)采取的核查措施、尚需完成的核查工作以及后續(xù)1、獨(dú)立財(cái)務(wù)顧問、律師已經(jīng)對(duì)主要第三方數(shù)據(jù)標(biāo)簽供應(yīng)商北京神州泰岳智能數(shù)據(jù)技術(shù)中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12有限公司、杭州紫水磐科技有限公司進(jìn)行了訪談并取得了雙方簽署的《數(shù)據(jù)服務(wù)合作協(xié)2、獨(dú)立財(cái)務(wù)顧問、律師通過網(wǎng)絡(luò)檢索、網(wǎng)站查詢等公開途徑對(duì)三大電信運(yùn)營(yíng)商（中國(guó)移動(dòng)、中國(guó)聯(lián)通、中國(guó)電信）的入網(wǎng)服務(wù)協(xié)議、網(wǎng)上營(yíng)業(yè)廳注冊(cè)協(xié)議、網(wǎng)站公告的個(gè)人信息保護(hù)政策/條款進(jìn)行了收集，對(duì)相關(guān)協(xié)議、公告中的用戶個(gè)人隱私收集、使用的授1、將對(duì)主要第三方數(shù)據(jù)標(biāo)簽供應(yīng)商北京神州泰岳智能數(shù)據(jù)技術(shù)有限公司、杭州紫水磐科技有限公司進(jìn)行再次訪談，重點(diǎn)了解其向華坤道威提供數(shù)據(jù)的授權(quán)方式及合法性，并將要求其提供與電信運(yùn)營(yíng)商簽署的相關(guān)數(shù)據(jù)合作協(xié)議，對(duì)合作協(xié)議中數(shù)據(jù)授權(quán)方式及合法性進(jìn)行核查。2、將對(duì)其他第三方數(shù)據(jù)標(biāo)簽供應(yīng)商進(jìn)行訪談，了解其向華坤道威提供數(shù)據(jù)的來源、數(shù)據(jù)的授權(quán)方式及合法性。3、將對(duì)電信運(yùn)營(yíng)商等可獲取終端用戶數(shù)據(jù)的機(jī)構(gòu)相關(guān)數(shù)據(jù)產(chǎn)品負(fù)責(zé)人進(jìn)行訪談，了解其數(shù)據(jù)的授權(quán)方式及合法性，并對(duì)其提供的相關(guān)證明材料進(jìn)行書面審查和對(duì)相關(guān)材料的真實(shí)性進(jìn)行實(shí)地調(diào)查。4、將分別按照《上市公司并購(gòu)重組財(cái)務(wù)顧問業(yè)務(wù)管理辦行勤勉盡責(zé)義務(wù)，根據(jù)核查的進(jìn)展情況采取其他充分、合理的核查方式對(duì)華坤道威數(shù)據(jù)來源、數(shù)據(jù)授權(quán)方式及合法性履行審慎核查和驗(yàn)證義務(wù)。3.簡(jiǎn)要分析和合規(guī)要點(diǎn)提示2018年，北京梅泰諾通信技術(shù)股份有限公司擬斥巨資收購(gòu)浙江華坤道威數(shù)據(jù)科技有限兩次《重組問詢》，該兩次問詢逐步深入涵蓋數(shù)據(jù)全生命周期。第一次圍繞標(biāo)的公司的數(shù)據(jù)來源、數(shù)據(jù)使用、數(shù)據(jù)權(quán)屬和數(shù)據(jù)安全，對(duì)數(shù)據(jù)相關(guān)事項(xiàng)進(jìn)行了全面問詢。經(jīng)梅泰中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12人信息的控制者的其他合規(guī)義務(wù)，包括：1、間接獲取個(gè)人信息的控制者仍有義務(wù)對(duì)數(shù)據(jù)的來源合法性進(jìn)行確認(rèn)；2、對(duì)個(gè)人信息主體權(quán)利的授權(quán)同意范圍進(jìn)行充分了解；以及3、超出授權(quán)范圍處理個(gè)人信息之前應(yīng)得到個(gè)人信息主2)通過現(xiàn)場(chǎng)訪談與公開渠道的查詢多方核查確認(rèn)個(gè)人信息提供方數(shù)據(jù)來源的合法合3)落實(shí)自身的數(shù)據(jù)安全義務(wù)，包括但不4)充分厘清自身的數(shù)據(jù)處理目的、范圍以及最小必（四）值得買因未披露用戶數(shù)據(jù)保護(hù)制度及技術(shù)措施等受到證監(jiān)會(huì)詢問2)應(yīng)了解個(gè)人信息提供方已獲得的個(gè)人信息處理的授權(quán)同意范圍，包括使用目的，個(gè)人信息3)如開展業(yè)務(wù)所需進(jìn)行的個(gè)人信息處理活動(dòng)超出已獲得的授權(quán)同意范圍的，應(yīng)在獲期限內(nèi)或處理個(gè)人信息前，征得個(gè)人信息主體的明示同意，或通過個(gè)人信息提供方征中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12入選原因：數(shù)據(jù)商業(yè)化變現(xiàn)的合規(guī)要求，監(jiān)管要求逐步深入細(xì)化的縮影1.案件介紹和重點(diǎn)導(dǎo)讀《北京安理律師事務(wù)所關(guān)于值得買科技股份有限公司首發(fā)創(chuàng)業(yè)板上市補(bǔ)充法律意見書2.基本事實(shí)關(guān)于數(shù)據(jù)安全及用戶隱私保護(hù)，請(qǐng)發(fā)行人披露并說明1）發(fā)行人獲取用戶數(shù)據(jù)信息的來源、獲取途徑及授權(quán)方式，收集用戶信息獲得用戶同意的具集用戶信息時(shí)是否明確告知收集信息的范圍及使用用途，對(duì)數(shù)據(jù)的使用是否超過必要的限度2）發(fā)行人獲取數(shù)據(jù)進(jìn)行商業(yè)化變現(xiàn)的合規(guī)性3）說明在對(duì)用戶信息進(jìn)行加工、處理存儲(chǔ)及傳輸過程中避免或防止泄露用戶隱私的具體制度及相關(guān)安排；（4）用戶信息保護(hù)技術(shù)體系，尤其是防止外部黑客攻擊和內(nèi)部人員惡意導(dǎo)致的數(shù)據(jù)泄露的技術(shù)措施5）近三年發(fā)生的嚴(yán)重泄密事件、重大訴訟，處理結(jié)果及有關(guān)的整改措施；（6）是否通過了公安部門信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的情況。請(qǐng)保薦機(jī)構(gòu)、發(fā)行人律師說明核查過程，依據(jù)和方法，并明確發(fā)表核查意見。（一）發(fā)行人收集用戶信息時(shí)明確告知收集信息的范圍及使用用途，對(duì)數(shù)據(jù)的使用未超過必要的限度中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12（二）發(fā)行人獲取數(shù)據(jù)進(jìn)行商業(yè)化變現(xiàn)的合規(guī)性發(fā)行人獲取數(shù)據(jù)進(jìn)行商業(yè)化變現(xiàn)的場(chǎng)景是根據(jù)用戶畫像進(jìn)行個(gè)性化展示發(fā)行人利用獲（四）發(fā)行人在對(duì)用戶信息進(jìn)行加工、處理存儲(chǔ)及傳輸過程中避免或防止泄露用戶隱私的具體制度及相關(guān)安排避免或防止泄露用戶隱私的具體制度（信息系統(tǒng)內(nèi)部控制基本規(guī)范、數(shù)據(jù)安全合規(guī)管工作2）對(duì)個(gè)人信息調(diào)取和使用采取分級(jí)授權(quán)管理，減少泄露息調(diào)取、使用實(shí)行登記管理，明確責(zé)任人員4）軟硬件技術(shù)保護(hù)層面，采用傳輸側(cè)安全協(xié)議等加密技術(shù)且對(duì)用戶敏感信息保護(hù)達(dá)到支付行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)5）建立信息安全時(shí)間應(yīng)急預(yù)案。（五）發(fā)行人近三年未發(fā)生嚴(yán)重泄密事件、重大訴訟3.簡(jiǎn)要分析和合規(guī)要點(diǎn)提示中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12防止泄露用戶隱私的具體制度及相關(guān)安排；防止外部黑客攻擊和內(nèi)部人員惡意導(dǎo)致的數(shù)據(jù)泄露的技術(shù)措施；近三年發(fā)生的嚴(yán)重泄密事件、重大訴訟，處理結(jié)果及有關(guān)的整改措施以及是否通過了公安部門信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的情況。證監(jiān)會(huì)對(duì)數(shù)據(jù)安全的問（五）北京慧辰資道資訊關(guān)于數(shù)據(jù)獲取、分析使用合規(guī)問題遭審核問詢?nèi)脒x原因：對(duì)數(shù)據(jù)采集方式、數(shù)據(jù)權(quán)屬問題的初步探討1.案件介紹資道資訊股份有限公司首次公開發(fā)行股票并在科創(chuàng)板上市申請(qǐng)文件的第二輪審核問詢），中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座122.基本事實(shí)提供數(shù)據(jù)分析服務(wù)，并在申請(qǐng)中披露其數(shù)據(jù)獲取途徑為客戶提供信息、公司現(xiàn)供應(yīng)商采集的數(shù)據(jù)以及公司自行收集的數(shù)據(jù)。是否對(duì)數(shù)據(jù)供應(yīng)商存在重大依賴2）上述數(shù)據(jù)的所有權(quán)歸屬情況，相關(guān)數(shù)據(jù)存儲(chǔ)方式及管理、數(shù)據(jù)分析功能實(shí)現(xiàn)的路徑，發(fā)行人保障數(shù)據(jù)安全的具體措施3）發(fā)行人一、相關(guān)法律法規(guī)暫無對(duì)個(gè)人信息所有權(quán)歸屬的具體、明確規(guī)定，企業(yè)可以在獲得個(gè)人信息主體合法授權(quán)的情況下在法律允許的范圍內(nèi)實(shí)現(xiàn)對(duì)所收集個(gè)人信息的控制權(quán)。發(fā)構(gòu)成商業(yè)秘密的情況下，該等數(shù)據(jù)的相關(guān)權(quán)益由發(fā)行人客戶二、對(duì)三種方式獲取的數(shù)據(jù)采取相互獨(dú)立的存儲(chǔ)方式并進(jìn)行單獨(dú)管理，僅于特定客戶形成的沉積數(shù)據(jù)以光盤或其他形式返回客戶備檔；如客戶對(duì)數(shù)據(jù)明確要求公司繼續(xù)保三、數(shù)據(jù)分析功能實(shí)現(xiàn)路徑為——數(shù)據(jù)獲取-數(shù)據(jù)融合-數(shù)據(jù)分析中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12四、發(fā)行人保障數(shù)據(jù)安全的具體措施包括數(shù)據(jù)加密管理（傳輸通道加密、傳輸文件加五、獲取分析使用數(shù)據(jù)的合規(guī)及潛在侵權(quán)風(fēng)險(xiǎn)及糾紛六、內(nèi)控制度公司已建立的數(shù)據(jù)安全管理內(nèi)部控制制度覆蓋了整體信息化安全管理、數(shù)據(jù)及商業(yè)秘保了有關(guān)內(nèi)控制度的有效執(zhí)行。中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座126)對(duì)于公司向數(shù)據(jù)供應(yīng)商購(gòu)買數(shù)據(jù)的，請(qǐng)說明供應(yīng)商授權(quán)公司使用相關(guān)數(shù)據(jù)是否經(jīng)人信息主體的明示同意，是否經(jīng)過了充分的脫敏，相關(guān)授權(quán)流程是否完備。8)日益加強(qiáng)的數(shù)據(jù)行業(yè)監(jiān)管及個(gè)人隱私保護(hù)政策對(duì)發(fā)行人業(yè)務(wù)的影響及相關(guān)應(yīng)對(duì)措種運(yùn)營(yíng)模式是否與同行業(yè)可比公司相同或相似，是否對(duì)數(shù)據(jù)供應(yīng)商存在重大依賴1)報(bào)告期內(nèi)，公司上述三類數(shù)據(jù)的具體內(nèi)容、標(biāo)準(zhǔn)及占比取數(shù)據(jù)的主要來源包括客戶提供的數(shù)據(jù)、公司向供應(yīng)商采集的數(shù)據(jù)以及公司自行采集據(jù)來源，在為客戶提供相關(guān)業(yè)務(wù)具有實(shí)際需要時(shí)，公司也向供應(yīng)商采集和/或自行采集中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座122)是否存在數(shù)據(jù)來源的風(fēng)險(xiǎn)，是否對(duì)數(shù)據(jù)供應(yīng)商存在重大依賴（二）上述數(shù)據(jù)的所有權(quán)歸屬情況，公司向供應(yīng)商采集數(shù)據(jù)以及公司自行采集數(shù)據(jù)時(shí)，是否獲得了相關(guān)信息主體（及用戶）的合法授權(quán)，是否明確告知收集信息的范圍及使用用途，是否對(duì)用戶有明示提示，發(fā)行人獲取用戶數(shù)據(jù)的手段及方式是否合法合規(guī)主體合法授權(quán)的情況下在法律允許的范圍內(nèi)實(shí)現(xiàn)對(duì)所收集個(gè)人信息的控制權(quán)。發(fā)行人合法授權(quán)、明確告知收集信息的范圍及使用用途及對(duì)用戶進(jìn)行明示提示的均結(jié)合授權(quán)告知模本和《HCR數(shù)據(jù)與隱私保護(hù)政行明確告知收集信息的范圍及使用用途及進(jìn)行明確提示模本等方式，嚴(yán)格督促供應(yīng)商對(duì)被采集方進(jìn)行明確告知收集信息的范圍及使用用途及進(jìn)行明確提示并取得其合法授權(quán)，確保取得個(gè)人信息主體出具的明確授權(quán)文（三）發(fā)行人收集、整合、處理、使用數(shù)據(jù)是否符合《數(shù)據(jù)安全管理辦法》的規(guī)定，是中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12否制定并公開收集使用規(guī)則，是否向所在地網(wǎng)信部門備案，是否存在違反收集使用規(guī)則使用個(gè)人信息的情況，發(fā)行人相關(guān)內(nèi)部控制措施是否合法合規(guī)并得到有效執(zhí)行1)公司收集、整合、處理、使用數(shù)據(jù)是否符合《數(shù)據(jù)安全管理辦法》的規(guī)定見稿）》的相關(guān)規(guī)定。截至本問詢回復(fù)出具日，公司已制定隱私政策并于慧辰資訊官方網(wǎng)站可用的信息，各級(jí)網(wǎng)信部門尚未正式公布或出臺(tái)上述網(wǎng)絡(luò)運(yùn)營(yíng)者備案流程相關(guān)的具體4)是否存在違反收集使用規(guī)則使用個(gè)人信息的情況截至本問詢函回復(fù)出具日，公司不存在因違反收集使用規(guī)則使用個(gè)人信息而產(chǎn)生的糾5)公司相關(guān)內(nèi)部控制措施是否合法合規(guī)并得到有效執(zhí)行公司已建立的數(shù)據(jù)安全管理內(nèi)部控制制度覆蓋了整體信息化安全管理、數(shù)據(jù)及商業(yè)秘（四）發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī)，請(qǐng)對(duì)照《網(wǎng)絡(luò)安全法》、《關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》等法規(guī)和司法解釋，說明報(bào)告期發(fā)行人是否存在侵犯用戶隱私或數(shù)據(jù)的情況，是否存在法律風(fēng)險(xiǎn)或潛在法律風(fēng)險(xiǎn)中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12查公司已參照《個(gè)人信息安全規(guī)范》的基本要求對(duì)開展業(yè)務(wù)中個(gè)人信息使用方面、通過《HCR數(shù)據(jù)與隱私保護(hù)政策》對(duì)外公開提供了相對(duì)完整的規(guī)范與承諾，鑒于（五）數(shù)據(jù)獲取、使用、處理等過程的內(nèi)部控制制度及執(zhí)行情況，對(duì)數(shù)據(jù)安全和個(gè)人隱私的保護(hù)措施與手段，是否出現(xiàn)過個(gè)人信息、隱私泄露事件，是否存在糾紛或潛在糾紛2、對(duì)數(shù)據(jù)安全和個(gè)人隱私的保護(hù)措施與手段公司不曾亦不會(huì)獲取用戶的隱私數(shù)據(jù)，發(fā)行人對(duì)于保障用戶非隱私數(shù)據(jù)安全的具體措3、是否出現(xiàn)過個(gè)人信息、隱私泄露事件，是否存在（六）對(duì)于公司向數(shù)據(jù)供應(yīng)商購(gòu)買數(shù)據(jù)的，請(qǐng)說明供應(yīng)商授權(quán)公司使用相關(guān)數(shù)據(jù)是否經(jīng)過終端用戶或者其他第三方同意，授權(quán)是否完備合規(guī)，個(gè)人信息獲取是否合法。公司是否建立完善的供應(yīng)商評(píng)價(jià)體系，以及供應(yīng)商甄選、數(shù)據(jù)源核驗(yàn)以及合同合規(guī)性審核的內(nèi)控措施中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12備合規(guī)，個(gè)人信息獲取是否合法等方式，嚴(yán)格督促供應(yīng)商對(duì)被采集方進(jìn)行明確告知收集信息的范圍及使用用途及進(jìn)行明確提示并取得其合法授權(quán)，確保取得個(gè)人信息主體出具的2、公司是否建立完善的供應(yīng)商評(píng)價(jià)體系，以及供應(yīng)商（七）發(fā)行人的數(shù)據(jù)是否存在轉(zhuǎn)授權(quán)或流轉(zhuǎn)給第三方使用的情況，如存在，是否經(jīng)過了個(gè)人信息主體的明示同意，是否經(jīng)過了充分的脫敏，相關(guān)授權(quán)流程是否完備（七）日益加強(qiáng)的數(shù)據(jù)行業(yè)監(jiān)管及個(gè)人隱私保護(hù)政策對(duì)發(fā)行人業(yè)務(wù)的影響及相關(guān)應(yīng)對(duì)措施。必要時(shí)請(qǐng)做風(fēng)險(xiǎn)提示和重大事項(xiàng)提示3.簡(jiǎn)要分析和合規(guī)要點(diǎn)提示據(jù)使用、數(shù)據(jù)安全、數(shù)據(jù)相關(guān)業(yè)務(wù)的運(yùn)營(yíng)進(jìn)行。根據(jù)兩次問詢及回復(fù)可中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12的數(shù)據(jù)產(chǎn)品和服務(wù)享有法律、行政法規(guī)及本條例規(guī)定的財(cái)產(chǎn)權(quán)益，可以依法自主使用，因此，上市公司需要時(shí)刻關(guān)注最新立法動(dòng)態(tài)以不斷明確合（六）觀典防務(wù)申報(bào)精選層被兩次問詢，涉及飛行數(shù)據(jù)合規(guī)問題入選原因：涉軍涉密數(shù)據(jù)的合規(guī)要求，加工數(shù)據(jù)成果的知識(shí)產(chǎn)權(quán)歸屬1.案件介紹和重點(diǎn)導(dǎo)讀），請(qǐng)文件的第二輪審查問詢函》（以下簡(jiǎn)稱“問詢l加工數(shù)據(jù)成果（工程解譯數(shù)據(jù)和飛行控），l在委托關(guān)系中，受托方對(duì)加工成果數(shù)據(jù)中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座122.基本事實(shí)并使用數(shù)據(jù)是否需要并已經(jīng)取得特殊許可或辦理相應(yīng)手續(xù)，相關(guān)業(yè)務(wù)開展是否符合保密等相關(guān)法律法規(guī)的規(guī)定。（2）飛行數(shù)據(jù)的所有權(quán)歸屬，發(fā)行人對(duì)相應(yīng)數(shù)據(jù)的權(quán)利，是否存在期限、范圍、用途等方面的限制。（3）發(fā)行人取收入的合法合規(guī)性，數(shù)據(jù)保密合規(guī)風(fēng)險(xiǎn)和權(quán)利限制對(duì)發(fā)行人業(yè)務(wù)開拓的影響。（4）是否建立、健全數(shù)據(jù)庫的保密措施，是否存在泄露風(fēng)險(xiǎn)以及對(duì)公司持續(xù)經(jīng)營(yíng)的影響。使用數(shù)據(jù)是否需要并已經(jīng)取得特殊許可或辦理相應(yīng)手續(xù)，相關(guān)業(yè)務(wù)開展是否符合保密等相關(guān)法律法規(guī)的規(guī)定發(fā)行人的上述飛行數(shù)據(jù)系發(fā)行人為各級(jí)禁毒部門提供無人機(jī)飛行服務(wù)過程中及為其他2.是否涉及國(guó)家秘密、商業(yè)秘密或個(gè)人隱私發(fā)行人飛行數(shù)據(jù)系通過無人機(jī)飛行服務(wù)采集積累和自主研發(fā)形成，不涉及其他商業(yè)主根據(jù)國(guó)家保密局出具的復(fù)函及發(fā)行人與禁毒部門簽訂的服務(wù)合同，發(fā)行人向禁毒部門提交的工作成果數(shù)據(jù)符合《保密法》第九條第（七）項(xiàng)規(guī)定的情形，因此相關(guān)項(xiàng)目確定為機(jī)密級(jí)國(guó)家秘密項(xiàng)目。中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座123.發(fā)行人獲取并使用數(shù)據(jù)是否需要并已經(jīng)取得特殊許可或發(fā)行人獲取并使用數(shù)據(jù)已經(jīng)取得相關(guān)許可或辦理相應(yīng)手續(xù)。發(fā)行人通過對(duì)原始影像數(shù)據(jù)的采集、整理、加工、編排、制作形成的工程解譯數(shù)據(jù)，以及基于自身產(chǎn)品在飛行過程中采集、整理、編排、修正形成的飛行控制數(shù)據(jù)是發(fā)行人付出大量投資并承擔(dān)相應(yīng)技術(shù)風(fēng)險(xiǎn)的技術(shù)成果和勞動(dòng)所得，發(fā)行人對(duì)其擁有完整所有權(quán)，發(fā)行人使用不受限制。發(fā)行人使用工程解譯數(shù)據(jù)、飛行控制數(shù)據(jù)無需取得相關(guān)許可或辦理相應(yīng)手續(xù)。4.相關(guān)業(yè)務(wù)開展是否符合保密等相關(guān)法律法規(guī)的規(guī)定（二）飛行數(shù)據(jù)的所有權(quán)歸屬，發(fā)行人對(duì)相應(yīng)數(shù)據(jù)的權(quán)利，是否存在期限、范圍、用途等方面的限制付出大量投資并承擔(dān)相應(yīng)技術(shù)風(fēng)險(xiǎn)的技術(shù)成果和勞動(dòng)所得，發(fā)行人對(duì)其擁有所有權(quán)。2.發(fā)行人對(duì)相應(yīng)數(shù)據(jù)的權(quán)利，是否存在期限、范圍、用途方面發(fā)行人接受各級(jí)禁毒部門的委托提供飛行服務(wù)過程中及接受其他公司委托提供數(shù)據(jù)解中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12三、發(fā)行人將該等數(shù)據(jù)進(jìn)行二次處理的具體方式，處理過程是否涉及技術(shù)外協(xié)加工，發(fā)行人使用數(shù)據(jù)以及應(yīng)用于其他領(lǐng)域從而獲取收入的合法合規(guī)性，數(shù)據(jù)保密合規(guī)風(fēng)險(xiǎn)和權(quán)利限制對(duì)發(fā)行人業(yè)務(wù)開拓的影響2.處理過程是否涉及技術(shù)外協(xié)加工3.發(fā)行使用數(shù)據(jù)以及應(yīng)用于其他領(lǐng)域從而獲取收入4.數(shù)據(jù)保密合規(guī)風(fēng)險(xiǎn)和權(quán)利限制對(duì)發(fā)行人業(yè)務(wù)開拓發(fā)行人利用其擁有完整所有權(quán)工程解譯數(shù)據(jù)以及飛行控制數(shù)據(jù)進(jìn)行業(yè)務(wù)開拓，不存在四、是否建立、健全數(shù)據(jù)庫的保密措施，是否存在泄露風(fēng)險(xiǎn)以及對(duì)公司持續(xù)經(jīng)營(yíng)的影響中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12潛在糾紛。（2）結(jié)合飛行數(shù)據(jù)與工作成果數(shù)據(jù)的關(guān)聯(lián)是否存在因前述業(yè)務(wù)被吊銷軍工業(yè)務(wù)資質(zhì)，追究刑事責(zé)任的一、說明禁毒部門和其他公司與發(fā)行人的服務(wù)合同中關(guān)于原始數(shù)據(jù)所有權(quán)、使用權(quán)的約定情況，發(fā)行人對(duì)原始數(shù)據(jù)是否擁有使用權(quán)，使用權(quán)限是否存在期限、范圍、用途等方面的限制，說明使用權(quán)限對(duì)發(fā)行人飛行數(shù)據(jù)商業(yè)推廣業(yè)務(wù)的影響，是否存在糾紛或者潛在糾紛飛行及數(shù)據(jù)處理整體服務(wù)業(yè)務(wù)——根據(jù)發(fā)行人與禁毒部門的服務(wù)合同約定，發(fā)行人接數(shù)據(jù)處理服務(wù)業(yè)務(wù)——根據(jù)發(fā)行人與其他公司的服務(wù)合同約定，發(fā)行人接受委托方委人擁有工程解譯數(shù)據(jù)的完整所有權(quán)，委托方對(duì)工作成果擁有測(cè)試飛行——發(fā)行人在測(cè)試飛行過程中只取得飛行控制數(shù)據(jù)，不存在獲取原始影像數(shù)根據(jù)發(fā)行人與禁毒部門及其他公司的合同約定，發(fā)行人對(duì)在執(zhí)行禁毒工作中取得的原中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座123、對(duì)發(fā)行人飛行數(shù)據(jù)商業(yè)推廣業(yè)務(wù)的影響發(fā)行人以擁有完整的自主知識(shí)產(chǎn)權(quán)的工程解譯數(shù)據(jù)以及飛行控制數(shù)據(jù)進(jìn)行商業(yè)推廣，二、結(jié)合飛行數(shù)據(jù)與工作成果數(shù)據(jù)的關(guān)聯(lián)關(guān)系，說明飛行數(shù)據(jù)商業(yè)推廣業(yè)務(wù)是否會(huì)造成工作成果數(shù)據(jù)的泄露，是否符合涉軍、涉密相關(guān)法律法規(guī)的要求，發(fā)行人是否存在因前述業(yè)務(wù)被吊銷軍工業(yè)務(wù)資質(zhì)，追究刑事責(zé)任的風(fēng)險(xiǎn)2、飛行數(shù)據(jù)商業(yè)推廣業(yè)務(wù)不會(huì)造成工作成果發(fā)行人主要使用擁有自主知識(shí)產(chǎn)權(quán)的工程解譯數(shù)據(jù)及飛行控制數(shù)據(jù)進(jìn)行商業(yè)推廣，并發(fā)行人以擁有完整的自主知識(shí)產(chǎn)權(quán)的工程解譯數(shù)據(jù)以及飛行控制數(shù)據(jù)進(jìn)行商業(yè)推廣，3.簡(jiǎn)要分析和合規(guī)要點(diǎn)提示觀典防務(wù)是一家專業(yè)從事無人駕駛飛機(jī)(以下簡(jiǎn)稱無人機(jī))設(shè)計(jì)、制造、飛行服務(wù)和銷售先以協(xié)議形式固定數(shù)據(jù)權(quán)屬關(guān)系。中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12三、其他行政處罰案例（一）美團(tuán)打車：因相關(guān)信息數(shù)據(jù)未接入上海市行業(yè)監(jiān)管平臺(tái)被處罰入選原因：涉及網(wǎng)約車數(shù)據(jù)的行政監(jiān)管要求1.案件介紹平臺(tái)、向不具備營(yíng)運(yùn)資質(zhì)的駕駛員或者車輛提供服務(wù)、不正“美團(tuán)打車”平臺(tái)所屬的“上海路團(tuán)科技有限公司”開出了“美團(tuán)打車”上線以來的第一張“責(zé)令改正通知書”。2.基本事實(shí)打車”網(wǎng)約車平臺(tái)在上海正式上線運(yùn)營(yíng)。鑒于“美團(tuán)打車”已經(jīng)發(fā)布的宣傳用語以及車輛3.所涉法規(guī)《網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理暫行辦法》（二）具備開展網(wǎng)約車經(jīng)營(yíng)的互聯(lián)網(wǎng)平臺(tái)和與擬開展業(yè)務(wù)相適應(yīng)的信息數(shù)據(jù)交互及處數(shù)據(jù)信息的條件，網(wǎng)絡(luò)服務(wù)平臺(tái)數(shù)據(jù)庫接入出租汽車行政主管部門監(jiān)管平臺(tái)，服務(wù)器中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12《上海市網(wǎng)絡(luò)預(yù)約出租汽車經(jīng)營(yíng)服務(wù)管理若干規(guī)定（滬府令48號(hào)）》4.簡(jiǎn)要分析四、刑事案例（一）數(shù)據(jù)堂因員工涉嫌侵犯公民個(gè)人信息罪，在新三板停牌入選原因：個(gè)人信息刑事犯罪典型案例中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座121.案件介紹級(jí)人民法院二審，對(duì)柴銀輝、揭宇飛做出了維持原審判決的《刑事判決書》2018）2.基本事實(shí)給揚(yáng)州金時(shí)公司的數(shù)據(jù)經(jīng)過了清洗和處理(剔除無效信息以手機(jī)號(hào)、地區(qū)和偏好(如房地產(chǎn)相關(guān)等)。金時(shí)公司交付包含公民個(gè)人信息的數(shù)據(jù)60余調(diào)查，公司個(gè)別相關(guān)人員牽連涉案接受調(diào)查，不會(huì)對(duì)公司主營(yíng)業(yè)務(wù)構(gòu)成重大不利影響。中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座123.所涉法規(guī)《刑法》人員，依照各該款的規(guī)定處罰。《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12第十一條非法獲取公民個(gè)人信息后又出售或者提供的，公民個(gè)人信息的條數(shù)不重復(fù)4.簡(jiǎn)要分析了侵犯公民個(gè)人信息的行為。（二）北京瑞智華勝科技股份有限公司因犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，終止掛牌入選原因：非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪典型案例1.案件介紹2019年12月28日，浙江省紹興市越城技股份有限公司犯非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪，判處罰金人民幣一千萬元；被告人中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座122.基本事實(shí)平臺(tái)的加粉、加群、用于互聯(lián)網(wǎng)營(yíng)銷獲利變現(xiàn)。紹興市越城區(qū)人民檢察院以非法獲取計(jì)算機(jī)信息系統(tǒng)數(shù)據(jù)罪對(duì)北京瑞智華勝科技股權(quán)浙江省紹興市越城區(qū)人民法院審理后認(rèn)為，被告單位北京瑞智華勝科技股份有限公司違反國(guó)家規(guī)定，采用技術(shù)手段獲取國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域以外的計(jì)算機(jī)信息系統(tǒng)中存儲(chǔ)、傳輸、處理的數(shù)據(jù)，情節(jié)特別嚴(yán)重，被告人周嘉林、黃健、梁修軍、石炳瑞、襲庚、王岳、王鵬系被告單位直接負(fù)責(zé)上述行為的主管人員或直接責(zé)任人員，人黃健、梁修軍、石炳瑞、襲庚、王岳、王鵬在審查起訴階段已簽字具結(jié)、認(rèn)罪認(rèn)罰，中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座123.所涉法規(guī)《刑法》行為。刑法第285條第2款明確規(guī)定，犯本罪的，處三年以下有期徒刑或者拘役，并處4.簡(jiǎn)要分析本案被告公司北京瑞智華勝科技股份有限公司通過兩個(gè)關(guān)聯(lián)公司與運(yùn)營(yíng)商之間的合作中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12附件：上市公司數(shù)據(jù)合規(guī)問題整合一、數(shù)據(jù)源合規(guī)監(jiān)管要點(diǎn)合規(guī)事項(xiàng)數(shù)據(jù)信息-發(fā)行人在開展業(yè)務(wù)過程中是否可以獲取用戶相關(guān)個(gè)人信息和商業(yè)秘-發(fā)行人使用自動(dòng)化訪問技術(shù)獲取的數(shù)據(jù)和從供應(yīng)商采購(gòu)的數(shù)據(jù)的內(nèi)數(shù)據(jù)收集-發(fā)行人獲取用戶數(shù)據(jù)信息的來源、獲取途徑及授權(quán)方式，授權(quán)方式-收集的數(shù)據(jù)是否限制在必要的范圍內(nèi)、是否僅概括性提示收集用戶信息、是否超出用戶授權(quán)范圍使用數(shù)據(jù)、或存在未經(jīng)其他平臺(tái)的授權(quán)直接收取數(shù)據(jù)的行為-是否存在采用特殊互聯(lián)網(wǎng)手段（或技術(shù)）采集法律法規(guī)規(guī)定不屬于公開的社會(huì)信息或需要特殊許可、信息主體同意等前置程序方可獲取數(shù)據(jù)的情形第三方數(shù)據(jù)源-如存在對(duì)外采購(gòu)數(shù)據(jù)，說明核心數(shù)據(jù)來源，與同行業(yè)可比公司的差-采購(gòu)數(shù)據(jù)的區(qū)別，不同形式采購(gòu)數(shù)據(jù)內(nèi)容是否有差異及其體現(xiàn)，發(fā)行人向上述兩種不同類型供應(yīng)商采購(gòu)數(shù)據(jù)的考量因素，這兩家成為-發(fā)行人向供應(yīng)商采購(gòu)數(shù)據(jù)的具體方式；該等采購(gòu)的數(shù)據(jù)其來源和采中國(guó)·北京市朝陽區(qū)建國(guó)門外大街2號(hào)銀泰中心C座12二、數(shù)據(jù)使用監(jiān)管要點(diǎn)合規(guī)事項(xiàng)數(shù)據(jù)處理-一體化數(shù)據(jù)處理平臺(tái)各功能模塊的具體構(gòu)成、具體功能和用途以及-結(jié)合具體業(yè)務(wù)操作流程，補(bǔ)充披露在清洗、加工及分析的過程中，采集的原始信息或數(shù)據(jù)的流失率、能夠最終形成有價(jià)值數(shù)據(jù)或產(chǎn)品的比例，相關(guān)信息在進(jìn)行清洗、加工及分析前后的可利用性及商業(yè)價(jià)值的主要差異-在開展業(yè)務(wù)、日常運(yùn)營(yíng)過程中是否獲取或有可能獲取國(guó)家秘密、保密信息、個(gè)人信息，是否存在泄露國(guó)家秘密、保密-發(fā)行人是否有權(quán)接觸、保管、處理相關(guān)數(shù)據(jù)，是否需取得最終個(gè)人數(shù)據(jù)存儲(chǔ)-主要運(yùn)營(yíng)數(shù)據(jù)的保存內(nèi)容以及保存方式，報(bào)告期各期前述運(yùn)營(yíng)數(shù)據(jù)范圍限制準(zhǔn)確性-公司對(duì)獲取的數(shù)據(jù)進(jìn)行深度挖掘、建模、分析處理提供的數(shù)據(jù)（信合規(guī)性-發(fā)行人運(yùn)用大數(shù)據(jù)相關(guān)技術(shù)從事精準(zhǔn)推薦和個(gè)性化營(yíng)銷服務(wù)是否涉及侵犯用戶個(gè)人隱私、肖像權(quán)或其他侵權(quán)風(fēng)險(xiǎn)-發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī)，請(qǐng)對(duì)照《網(wǎng)絡(luò)安全法》、《關(guān)息安全技術(shù)個(gè)人信息安全規(guī)范