10月11日,中国证券监督管理委员会发布公告称,北京墨迹风云科技股份有限企业(下称“墨迹天气”)首发申请被否。隐私护卫队注意到,证监会提出的询问问题之一与墨迹天气收集使用用户个人信息有关。

值得注意的是,这并不是证监会针对企业IPO申请、首次就收集使用个人信息相关问题进行询问。

北京安理律师事务所合伙人、律师罗为表示,未来,证监会在收集使用个人信息等数据合规问题上的监管会越来越严。

墨迹天气IPO首发被否,数据合规是发审委关注的焦点

在证监会对墨迹天气提出的询问问题中指出,墨迹天气通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现,其于2019年7月16日收到App专项治理组发出的《关于App收集使用个人信息相关问题的通知》,要求其就收集使用个人信息中存在的问题进行整改。

公开资料显示,7月16日,App专项治理工作组发布《关于督促40款存在收集使用个人信息问题的App运营者尽快整改的通知》(下称《通知》)。

《通知》公布了 40款在个人信息收集使用方面存在问题且未公开有效联系方式的App,墨迹天气(版本号7.0803.02)就在其中。其他知名App还包括安居客、Wi-Fi万能钥匙、悟空理财等。

对此,证监会要求墨迹天气做出五点说明,包括获取用户数据及标签的过程和方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,获取用户数据的手段及方式是否合法合规。

在数据使用方面,证监会还要求墨迹天气重点说明商业化变现的合规性,以及报告期发行人是否存在侵犯用户隐私或数据的的情况,是否存在法律风险或潜在法律风险。

证监会还提及,墨迹天气需说明数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。

此外,证监会还要求墨迹天气说明针对App治理工作组提出问题的整改情况和整改效果,是否获得主管部门的认可或面临被处罚的风险。

除了收集使用个人信息的问题,证监会提出的其他询问问题还涉及:墨迹天气运营的网站和App存在未经其许可违规发布互联网新闻信息、未取得《互联网药品信息服务资格证书》,发布药品广告的情形;墨迹天气互联网广告信息服务收入占比超过过大的问题以及存在直接或间接股权关系的客户直接或间接贡献收入金额及占比较大。

据了解,公司向证监会提交发行申请后,在证监会审核过程中,会经过受理、见面会、预披露、初审、发审会等环节,最终由发审委7名委员表决,必须获得5名以上委员的同意方能通过。期间,发审委会可就其关注的问题、对公司进行询问。

罗为表示,从发审委披露的询问问题来看,墨迹天气在合规运营、商业变现、关联交易等方面存在问题,其中,数据合规是发审委关注的焦点,但很难说仅因数据合规问题导致发行被否,商业模式和利润可持续性的因素同样极为关键。

北京观韬中茂(上海)律师事务所合伙人王渝伟也表示,尽管难以得出个人信息保护问题是墨迹天气发行被否的原因,但至少说明,证监会对此问题的关注度越来越高,且询问的问题也越来越细致,甚至将成为“例行询问问题”。

未来数据合规监管会更加严格

隐私护卫队注意到,首发申请被否、证监会提出的询问问题中涉及收集使用个人信息问题,墨迹天气并不是首家。

2018年4月4日,证监会第十七届发行审核委员会审核北京博睿宏远数据科技股份有限企业(简称博睿宏远)(首发)未通过。在提出的询问问题中,证监会指出博睿宏远开展应用性能管理等业务,部分业务需要在APP或服务器安装SDK及探针。

对此,证监会要求博睿宏远说明与客户所签署业务合同、所开展业务中是否存在可能侵犯第三方商业秘密或个人信息安全的条款、情况;与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。

据博睿宏远官网显示,其专注用数据赋能IT运维,帮助企业优化应用性能。比如旗下产品“Bonree SDK”可帮助企业提升应用业务质量等,通过在App中嵌入SDK的方式,获取终端用户访问感知数据,快速发现、定位应用的本地代码和网络质量问题产生的原因,帮助企业建立App使用体验健康体系。

值得注意的是,有的企业IPO(首发)通过,在证监会的询问问题中,也包含与个人信息保护、网络安全相关的问题。

比如,与博瑞宏远同期、IPO(首发)审核通过的深信服科技股份(简称深信服)有限企业,在询问问题中,证监会要求深信服说明其开展业务、日常运营过程中是否获取或有可能获取国家秘密、个人信息,是否存在泄露的情况,是否已建立完善的防泄密和保障网络安全的内部管理制度,该等制度的执行是否有效。

2017年4月25日,证监会创业板发审委审核北京科锐国际人力资源股份有限企业(简称科锐人力)(首发)获通过。在询问问题中,证监会指出科锐人力的业务涉及个人信息收集、存储及使用,要求企业说明人才库所涉个人信息的收集、存储、使用是否存在侵犯相关个人隐私或其他权益的情形,相关个人信息是否存在有效的保密机制,是否符合相关规定。

罗为表示,据不完全统计,从2017年开始统计,国内近20家企业在申请IPO时,证监会就数据合规问题提出询问,“未来肯定会更加严格。”他介绍说,证监会会要求企业说明数据源的合规性、数据权属、数据使用、数据共享、数据安全保护制度、业务及具体数据服务等问题。(尤一炜

声明:本文来自隐私护卫队,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。