数据价值生态闭环：IPO数据合规案例解析

数据价值生态闭环：IPO数据合规案例解析

▽

监管罗盘：IPO数据审核“卡脖子”问题

监管机构对上市企业的问询贯穿数据处理全生命周期，充分印证“数据合规不过关，将直接成为上市申请的实质障碍”的监管取向。

通过解析证监会/证券交易所披露的各拟上市企业数据相关问询内容可知，对于以数据为主营业务的拟上市企业，审核机构重点关注以下问题：

1. 发行人对个人信息，特别是敏感个人信息的处理是否合规

华信永道（2022.10）¹上市审核中被要求披露公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形。

联众网络（2022.7）²被要求说明报告期各期发行人仓储的病案数量及病案中所含信息，是否属于敏感个人信息，相关病案的存储方式及保护措施。

太川股份（2023.12）³被要求说明被采集人是否充分知情，发行人及相关主体是否取得被采集人的同意；业主是否有权利拒绝发行人及相关主体收集相关数据，还被要求披露其楼宇对讲门禁及智能家居产品相关APP、小程序等软件是否持续调用用户位置、照片、联系人等信息，如是，说明相关功能的必要性，是否涉嫌侵犯用户隐私。

可见，个人信息的处理方式是数据相关企业上市的必备审查要件，而敏感个人信息的处理合规更是企业顺利上市的“通行证”。

2. 发行人是否取得相关的数据权属

合合信息（2022.9）⁴上市过程中被要求阐明各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形。

数聚智连（2022.10）⁵被问到其自电商平台获取数据的主要类型（如用户个人信息、订单管理信息、平台运营信息等），是否取得相关数据的所有权。

碧兴物联（2023.4）⁶也被关注各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形。

数据权属问题与拟上市企业数据的资源利用合规性以及盈利能力息息相关，因此，明确数据权属的确认规则对于拟上市企业而言至关重要。

3. 发行人是否掌握重要数据

长城信息（2022.9）⁷需结合产品销售及经营模式，分析说明发行人是否掌握重要数据或掌握100 万人以上个人信息。

绿联科技（2023.9）⁸被问询是否属于“掌握重要数据，或者掌握 100 万人以上个人信息的企业机构”。

与一般数据相比，重要数据一旦被泄露或滥用，往往会给国家安全、公共利益造成更大的损害，重要数据的处理也愈加受到上市审核机构的重视。

4. 发行人是否取得数据处理相关的资质、许可、认证及备案

佰聆数据（2023.9）⁹被问询是否获得相关权利主体或主管部门的明确授权许可，是否存在适用范围、主体或期限等方面的限制。

金智教育（2023.9）¹⁰也面临类似问询，包括圆周网络运营“今日校园”APP 等相关业务是否需取得增值电信业务经营许可证；发行人及各子公司是否已取得经营所需的全部资质许可，经营业务是否存在超出许可资质或经营范围的情形。

企业开展数据服务应当依法取得相关资质、许可、认证及备案（常见的包括信息系统安全登记保护备案、ICP证、EDI证、ICP备案、算法备案等），以免对上市审核造成阻碍。

全景合规：数据生命周期实战要点

某人工智能及大数据科技企业在IPO过程中因数据处理合规性问题受到上市审核机构的三轮问询，一路问至数据科技伦理等终极问题。可以说以数据处理为核心价值的企业，如若能在早期关注、规划并构建数据合规体系，将为后续IPO奠定坚实的基础。

对此，我们结合数据处理的全生命周期，梳理、分析上市过程中上市审核机构的问询问题，结合一线项目实战经验凝练、提取合规要点，帮助拟上市企业厘清重点，做到心中有“数”。

1. 数据收集

在数据收集环节，审核机构的核心关注点在于：数据来源的合规性、数据获取方式的合规性以及是否建立相应机制保障第三方数据的合法合规性。

例如，中数智汇（2020.8）¹¹受监管机构问询“是否存在因从互联网违规采集信息受处罚情况”；微众信科（2020.12）¹²被问询其数据供应商事数据服务是否取得特殊资质、许可或备案。

拟上市企业需要特别注意使用爬虫技术收集数据的不正当竞争风险。我们在《场景（3）数据变现——流量“劫持”的反不正当竞争案中，数据“抓取”天平的设计》中系统地讨论了爬虫不正当竞争的判定维度：

(1) 在竞争关系的认定上，法院聚焦爬虫行为所涉及的双方之间的产品或服务是否有替代关系以及该爬取数据并使用的行为导致对其他经营者利益造成损害的可能性。

(2) 在审查爬虫行为是否构成特殊不正当竞争行为时，部分案件从爬取的是否为公开数据、爬取公开/非公开数据的行为是否正当来进行判断；部分案件额外考虑该爬虫行为是否有违诚实信用原则、属于技术创新的公平竞争、是否有违竞争者自由竞争利益、消费者自主决策权利及社会公共利益等。

(3) 当爬虫行为被认定为可能构成一般不正当竞争行为时，部分法院聚焦于被爬取方是否因不正当竞争行为受到损害；部分法院则考虑是否侵害其他经营者的合法权益、违反市场竞争秩序及侵犯消费者的合法权益。

鉴于此，我们建议拟上市企业在数据收集环节落实以下合规要求。

(1) 告知同意：直接从用户获取数据的，无需用户同意的情形在一般业务开展中难以直接适用，“告知同意”则成为企业直接获取用户数据最为常见的合法性基础。

(2) 数据爬取：通过爬虫收集数据的，须注意合规评估、合法获取、合法使用及合理呈现方式，避免不正当竞争风险。应遵循 “用户授权平台+平台授权爬取方+用户授权爬取方”三重授权原则，不对服务器造成压力，不影响被爬取方正常经营活动。

(3) 供应商审核机制：建立第三方数据供应商的准入与评价机制，确保供应商具备相应资质（如ISO 27001等）以及数据来源合规。

(4) 证据链留存机制：保留数据采购全流程的书面记录。当后续发生数据泄露等事件时，有助于 “自证清白”。

2. 数据使用

数据使用环节涉及数据的商业化变现、算法推荐、个性化推送等，审核重点包括是否超出授权范围使用数据、是否侵犯用户隐私、算法技术是否合规等问题。

木仓科技（2022.6）¹³在上市审核过程中，就被问询到其主要产品“驾考宝典”使用算法推荐服务是否符合《互联网信息服务算法推荐管理规定》、被通报过的“强制用户使用定向推送功能”整改情况；奥比中光（2022.4）¹⁴也被要求披露科技伦理方面的法规政策对技术商业化带来的不利影响。

对于生成式人工智能服务提供者，需要特别注意对生成内容承担的网络信息内容生产者责任。2025年3月发布的《人工智能生成合成内容标识办法》也进一步明确了服务提供者应当进行显式标识或隐式标识的要求。

针对数据使用的法律边界，我们建议拟上市企业应重点落实以下合规要点。

(1) 算法备案：根据《互联网信息服务算法推荐管理规定》的要求，具有舆论属性或社会动员能力的算法推荐服务提供者需在提供服务之日起10个工作日内备案。

(2) 生成内容标识：生成式人工智能服务提供者应当在用户服务协议中明确说明生成合成内容标识的方法、样式等规范内容，并提示用户仔细阅读并理解相关的标识管理要求。

(3) 个人信息安全影响评估：使用个人信息进行个性化推荐等自动化决策行为，属于《个信法》规定的个人信息安全影响评估的法定触发要件之一，因此拟上市企业必须进行评估。

3. 数据共享

数据共享涵盖数据的提供、共同处理、委托处理等多元场景，企业上市过程中需回应共享行为是否符合法律法规及合同约定，是否影响企业独立性。

蚂蚁集团（2020.8）¹⁵被问询与阿里巴巴集团的数据共享是否符合各自与客户的协议约定，是否存在侵害客户合法利益的情况；数聚智联（2022.10）¹⁶被要求说明与电商平台、品牌方之间关于用户个人数据使用的合作机制、权责划分机制。

为规避数据共享的合规争议，拟上市企业需明确以下内容。

(1) 权责划分：明确数据共享场景下的角色定位及各方权责，明确数据共享可能会给数据主体带来的风险并制定适配相应的风控措施。

(2) 独立性保障：集团内部数据共享需确保各业务子公司的数据独立性，避免因数据融合导致独立性争议。

此外，APP运营者需要特别注意第三方软件开发工具包（SDK）的安全使用。随着SDK被广泛应用于各类App开发中，由第三方SDK带来的安全问题已经引起多方关注。我们建议APP运营者：

(1) 应遵循合法、正当、必要的原则选择使用第三方SDK；

(2) 涉及个人信息处理时，需履行个人信息处理者义务（参考电信终端产业协会发布的《软件开发包（SDK）个人信息处理规范》团体标准）；

(3) 建立第三方SDK接入管理机制和工作流程，必要时应建立安全评估等机制设置接入条件；

(4) 与第三方SDK提供者通过合同等形式明确双方的安全责任及应实施的个人信息安全措施，妥善留存与第三方SDK提供者有关合同和管理记录；

(5) 应监督第三方产品或服务提供者加强个人信息安全管理，发现第三方产品或服务没有落实安全管理要求和责任的，应及时督促整改，必要时停止接入。

4. 数据存储

数据存储环节涉及数据的加密、存储期限、存储地点等问题，审核机构着重审查是否存在数据泄露风险及存储方式是否符合法律法规要求。

金智教育（2021.1）¹⁷被问询对相关信息的储存及使用情况以及是否存在信息泄漏情况；零点有数（2021.3）¹⁸被问询数据保存期限是否符合行业惯例及合同规定。

作为建设数据合规管理体系的重要环节，数据存储的安全性是企业不容忽视的合规要点。对此，拟上市企业应在数据存储中多种技术要求。

(1) 敏感个人信息加密：存储个人生物识别信息等敏感个人信息时，应采用加密等安全措施。保证数据库用户权限严格分离，并对涉及敏感个人信息数据库加强权限控制和安全审计。

(2) 单独存储：个人生物识别信息应与个人身份信息分开存储，原则上不应存储原始个人生物识别信息。

(3) 匿名化处理：基于最小必要原则，企业存储的个人信息，在存储期限届满后，应删除或匿名化处理。企业应加强匿名化处理情形下的风险识别，定期基于技术发展与识别技术的成本投入程度等因素进行“再识别评估”，防止已匿名化处理的个人信息被再识别。

5. 境外上市/数据出境合规

对于境外上市或涉及数据出境的企业，审核机构可能问询数据出境的合法性以及是否影响国家安全。

蔚来（2022.2）¹⁹赴港上市文件披露，其于香港上市是否须接受网络安全审查仍然存在重大不确定性；美亚科技（2024.9）²⁰被问询发行人可豁免申报数据出境安全评估的依据是否充分，是否可一并豁免订立个人信息出境标准合同、通过个人信息保护认证等义务。

对此，拟上市企业需严格遵守以下监管框架。

(1) 数据出境合规路径：即除豁免情形外，申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。

(2) 网络安全审查：掌握超过100万用户个人信息的网络平台运营者赴国外上市（注意，这里用语非“境外”），必须向网络安全审查办公室主动申报网络安全审查；掌握超过100万用户个人信息的网络平台运营者赴香港上市，存在使用被动审查的可能。

(3) 保密及档案管理：遵守国家保密法律制度。提供、公开披露涉及国家秘密、国家机关工作秘密的文件、资料的，应当依法报有审批权限的主管部门批准，并报同级保密行政管理部门备案。工作底稿等档案应当存放在境内。需要出境的，按照国家有关规定办理审批手续。

其中，如何选择适当的数据出境合规路径是境外上市或涉及数据出境的企业普遍面临的问题，我们将在《外循环：企业出海数据合规的症结及解决方案》一节为数据出境路径选择提供具体指导。

6. 数据安全保障

数据安全保障是企业数据合规的底线。审核机构关注点包括是否建立数据安全管理制度、是否设置数据安全负责人及是否具备应急响应能力。

例如，青云科技（2020.6）²¹被要求披露关于数据安全与网络安全保护的相关制度及措施，与客户签订的服务协议中关于安全责任约定与免责条款情况，涉及数据安全与网络安全的诉讼和仲裁纠纷或其他争议情况；路桥信息（2022.7）²²被问询2021 年连续两次收到整改通知的合理性。

根据《数安法》，重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。根据《个信法》，处理个人信息达到国家网信部门规定数量的个人信息处理者应当指定个人信息保护负责人，负责对个人信息处理活动以及采取的保护措施等进行监督。若涉及到处理不满十四周岁的儿童个人信息，根据《儿童个人信息网络保护规定》，应当指定专人负责儿童个人信息保护。

除此之外，企业还需注意以下数据安全保障监管要点。

(1) 数据安全内部管理制度：参照《ISO/IEC 27001:2022信息安全、网络安全和隐私保护—信息安全管理体系—要求》，在组织架构、制度文件、人员管理、技术支持等层面建设管理制度。

(2) APP整改：虽然“责令限期整改”不属于行政处罚，仅被责令限期整改并不会对上市造成直接的实质性障碍，但拟上市企业仍应以此警醒，按时保质地在期限之内完成整改，避免从“限期整改”演变为“下架处理”，否则很可能对上市造成阻碍。

(3) 信息泄漏补救：发生个人泄露时，个人信息处理者需要及时采取补救措施，并履行通知报告义务，并留存记录，准备“自证清白”。但是，个人信息处理者能够有效避免信息泄露、篡改、丢失造成危害的可以不履行通知义务。

标配上市，数据合规专项如虎添翼

从上述企业的审核案例可见，监管机构的数据合规监管能力已基本配置到位，并在不断增强实战经验，以应对纷繁复杂的数据处理场景。

企业上市的“原配”中介服务机构：券商、会所和律所三家，其专业知识领域已无法覆盖和胜任数据合规维度上的特殊性要求。因此，企业上市的第四项标配服务——IPO数据合规专项法律服务，应运而生。通过可视化拆解合规要点、预判审核问询焦点，IPO数据合规法律服务可帮助企业将合规压力转化为竞争优势。

在数据要素资本化的浪潮下，IPO数据合规已从被动防御工具演化为主动价值引擎，驱动企业挖掘数据资源厚度、释放数据资产价值、构建数据资本优势。

本文以点带面，罗盘视角，用具体“卡脖子”问题的案例分析，延展到数据合规处理生命周期的提要。结合上文的IPO数据合规白皮书的整体分析，助力企业IPO通关。

END.