科技企业上市之数据合规(上)——审核要点篇
输入“/”快速插入内容
科技企业上市之数据合规(上)——审核要点篇
科技企业上市之数据合规(上)——审核要点篇
⏰ 剪存时间:2022-09-27 22:37:10 (UTC+8)
📋
原创 陈际红、韩璐、王雨婷,《中伦视界》2020-03-19 21:09
前言
数据是现代企业的血液,以大数据或互联网为工具开发新型服务或产品的传统行业企业也依赖数据带来新的业务增长点。随着《中华人民共和国网络安全法》(“ 《网络安全法》 ”)正式生效并逐步深入落实,网络安全执法活动日趋活跃,科技企业的网络安全及数据保护合规状态亦成为监管机关的重点关注内容。
对于科技企业上市而言,数据不仅作为企业资产价值评估的重点,其全流程管理的合规现状也已成为上市审核的核心要素。从数据堂员工涉嫌刑事犯罪到墨迹天气上市申请被否,在《网络安全法》生效的不到三年内,数据合规问题逐渐从幕后走向台前,走入大众的视野,也落入上市审核机关的“射程”范围内。拟上市企业、保荐机构、会计师事务所与律师事务所若只关注企业盈利能力、关联交易、应收账款,而忽视了企业对数据的管理,数据合规问题则可能成为拟上市企业的阿克琉斯之踵。在数据收集、数据融合、数据的二次开发、数据流转、用户推送等环节稍有不慎,数据合规问题可能成为企业上市的“拦路虎”,甚至引发刑事责任:
•
2017年8月11日,数据堂(北京)科技股份有限公司因员工涉嫌侵犯公民个人信息罪而作出公司股票暂停转让的公告。 [1]
•
2018年4月4日,中国证券监督管理委员会(“ 证监会 ”)第十七届发行审核委员会(“ 发审委 ”)2018年第57次发审委会议审核北京博睿宏远数据科技股份有限公司 [2] (创业板)(首发)未通过。
•
2018年11月2日,北京瑞智华胜科技股份有限公司因涉及特大数据泄露案件于新三板终止挂牌。2019年10月28日,越城区人民法院宣判北京瑞智华胜科技股份有限公司犯非法获取计算机信息系统数据罪,判处罚金人民币10,000,000元,公司法定代表人及涉案员工共七人分别被判处2年至3年6个月不等刑期,并处罚金。
•
2019年3月5日,从事互联网数据服务的天聚地合(苏州)数据股份有限公司创业板上市申请终止审查。
•
2019年10月11日,发审委审核北京墨迹风云科技股份有限公司(创业板)(首发)未通过。
为了协助科技企业在申请上市过程落实数据合规工作,妥善回应发审委问询,降低拟上市企业潜在的数据合规风险,我们梳理了自《网络安全法》生效以来审核机关对主板、创业板、科创板上市(或拟上市)企业、新三板挂牌企业及上市重组的审核问询,涉及共27家企业数据收集、数据权属、数据使用和共享、第三方处理、数据安全、数据立法和监管对业务的影响等涵盖企业整个数据生命周期的问题。同时,我们对上市过程中审核机关关注的数据合规风险点的进行了系统梳理并提出了相应合规建议,希望可以对拟上市科技企业开展数据合规工作提供帮助。
一、企业上市面临的数据合规挑战
基于我们对公开材料的梳理,分别有1家主板上市企业、12家创业板上市(或拟上市)企业、9家科创板上市(或拟上市)企业、2家新三板挂牌企业(包括1家已停牌企业)在申请上市或挂牌过程中接受了发审委或交易平台关于数据合规问题的问询。此外,3家创业板上市企业在开展并购重组项目中,也因标的公司的数据相关业务接受了证监会上市公司并购重组审核委员会的问询。我们基于上述27家企业的招股说明书、审查反馈意见、问询函、发审委会议审核公告等文件,汇总整理了发审委重点关注的九类数据合规问题:数据源合规、数据权属、数据使用、数据共享、第三方处理、数据安全、系统与技术、数据立法和监督、数据相关的业务经营。
* 为首发未通过、在审或停止挂牌企业
# 为匿名企业,以其所属行业或核心产品代称
表(一)
* 为首发未通过、在审或停止挂牌企业
# 为匿名企业,以其所属行业或核心产品代称
表(二)
二、企业上市须应对的数据合规重点问题