11/PAGEPAGE2/X試點工19條》數據要素價值的目標，完善數據資產估值評價體系，202411日，X試點工程，支持場景化發展和數據產業融資。123117—2026年)12個行業和領域的重點行動任務，并明確規定“依法合規探索多元化IPO審核重點，已成為影響企業能否上市的關鍵因素之一。務——IPO數據合規專項法律服務，應運而生。PAGEPAGE10/一、遴選：案例分析說 二、數據合規“打底”問題解 問題1：如何界定個人信息 問題2：如何界定敏感個人信息 問題3：處理敏感個人信息需要注意什么 問題4：如何界定重要數據 問題5：處理重要數據需要注意什么 問題6：如何確認數據權屬 問題7：如何界定個人信息處理者與受托人 問題8：提供數據服務是否需要相關資質、許可、認證及備案 問題9：如何正確認知個人信息安全影響評估 問題10：違規處理數據，需要承擔哪些法律責任 三、IPO數據合規核心40 (一)數據收集合規6 問題11：直接從用戶獲得數據，需要關注什么 問題12：爬取第三方企業數據，是否會構成不正當競爭行為 問題13：如何避免爬蟲被認定構成不正當競爭行為 問題14：爬取政府公共數據，需要關注什么 問題15：直接從第三方采購數據，需要關注什么 問題16：如何建立數據收集環節的內控制度 (二)數據使用合規12 問題17：未超范圍使用數據，如何證明 問題18：未侵犯個人隱私或其他合法權益，如何證明 問題19：如何分清不同數據處理身份的責任和義務 問題20：委托他人處理個人信息，應該怎么做 問題21：作為算法服務提供者，需要承擔哪些主體義務與責任 問題22：什么情況下需要進行算法備案 問題23：如何進行算法備案 問題24：使用數據進行個性化推薦，需要注意什么 問題25：什么是互聯網服務深度合成技術 問題26：深度合成服務提供者具有哪些義務 問題27：哪些企業會被關注科技倫理問題 問題28：如何進行科技倫理治理 (三)數據共享合規5 問題29：共享數據前，需要做些什么 問題30：作為共享數據接收方，需要關注什么 問題31：數據共享場景下，各方的權責如何劃分 問題32：集團數據融合/場景下，如何證明數據資產的獨立性 問題33：APP運營者如何安全使用 (四)數據存儲合規3 問題34：數據存儲，需要關注哪些合規要點 問題35：個人生物識別信息應如何存儲 問題36：數據存儲的盡頭是刪除 (五)境外上市/數據出境合規7 問題37：什么情形下構成數據出境行為 問題38：境外（香港或國外）上市，應申報網絡安全審查嗎 問題39：境外上市過程中的數據出境，如何合規 問題40：向境外提供數據前，需要做些什么 問題41：觸發數據出境安全評估的情形有哪些 問題42：如何進行數據出境安全評估 問題43：個人信息跨境處理的合規路徑有哪些 (六)數據安全保障合規7 問題44：數據合規的法定義務有哪些 問題45：如何建立數據安全內部管理制度 問46 問題47：APP/小程序被監管部門責令限期整改，是否會對上市造成影響 問題48：發生個人信息泄露時，個人信息處理者應當怎么辦 問題49：數據處理涉刑，是否還有機會 問題50：如何對外證明數據合規實力 創業板申請上市的企業數量最多，共有25家企業（占比約為52%、在上交所科創板申請上市的企業數量次之，共有15家企業（占比約為31%；其余，2家企業在深交所主板申請上市、5家企業申請在北交所申請主板上市、1家企業在上市行業分類中，有25家企業歸類為軟件和信息技術服務業，數量最多，8家企業為計算機、通信和其他電子設備制造業，5家企業為互聯網和相關服務，1202415202415202210202372023823關于華信永道（北京）科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申4關于未來穿戴健康科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的5關于深圳市瑋言服飾股份有限公司首次公開發行人民幣普通股股票并在主板上市的補充法律意見書（二20239說明“今日校園”APPSaaS產品獲取用戶個人信20239202392023920227說明報告期各期發行人倉儲的病案數量及病案中所含信措施。202352023126關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的78廣東華商律師事務所關于貴州多彩新媒體股份有限公司首次公開發行股票并在創業板上市的補充法律意9《關于杭州衡泰技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函》之回復報10關于上海聯眾網絡信息股份有限公司首次公開發行股票并在創業板上市申請文件第二輪審核問詢函的回1112關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請20231220229100萬人以上個人信息。20239100萬人以上20239請發行人說明是否掌握重要數據或掌握100萬人以上個202292022102023413關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請1415（六16關于深圳市睿聯技術股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回17關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回18關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的19關于碧興物聯科技（深圳）股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回20231120229202272023920239202242023920關于北京華夏電通科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申請文21222324關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的25關于杭州小影創新科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的26上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股票并在深圳證券交易所創業板上市11參見本團隊文章IP屬地遇到攔路虎“再識別IPIP屬地≠IP地址。IPIP屬地對應的是寬泛的地理區域，單從境內賬號展示的地域信息維度來看，個人”IP地址進行去標識化（而非匿名化）措施后得到的27發布機構：全國人大常委會；2021.08.20發布；2021.11.012GB/T35273—2020《信息安全技術個人信息安全規范》30（下稱“《個人信”通常情況下，14歲以下（含）兒童的個人信息和涉及自然人隱私的信息屬于敏292021122922022830日撤30發布機構：全國信息安全標準化技術委員會；2020.03.06發布；2020.10.012根據《汽車數據安全管理若干規定（試行》31的規定，敏感個人信息，是指一等受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括車輛行蹤軌跡、音頻、視頻、圖像和生物識別特征等信息。31發布機構：網信辦、發展改革委、工信部、公安部、交通運輸部；2021.08.16發布；2021.10.013100萬人（詳見“問46：什么情況下應當設置數據安全負）：護影響評估，并對處理情況進行記錄（詳見“問題9：如何正確認知個人信息安全影響評估？”履行一般告知義務（詳見“11：直接從用戶獲得數據，需要關注什么？”：32；32根據《個信法》第十八條的規定：個人信息處理者處理個人信息，有法律、行政法規規定應當保密或者(3)告知方式：宜在收集敏感個人信息前，通過交互界面或設，333435的合法權益受到侵害，若發生或者可能發生敏感個人信息泄題48，應當怎么辦？”履行法定補救與通知義務，并留存證件，以自個人信息保護負責人10萬人的個人敏感信息況下應當設置數據安全負責人、個人信息保護負責人？”；342022年《信息安全技術重要數據識別指南（征求意見稿》39（36發布機構：全國人大常委會；2016.11.07發布；2017.06.0137發布機構：全國人大常委會；2021.06.10發布；2021.09.0138202112292022915202342839發布機構：全國信息安全標準化技術委員會；2022.01.1340從國家安全、經濟運行、社會穩定、公共健康和安全等角度識別重要數據，只對組織自身而言重要或敏41通過對數據分級，明確安全保護重點，使一般數據充分流動，重要數據在滿足安全保護要求前提下有序42充分考慮地方已有管理要求和行業特色，與地方、部門已經制定實施的有關數據管理政策和標準規范緊43根據數據用途、面臨威脅等不同因素，綜合考慮數據遭到篡改、破壞、泄露或者非法獲取、非法利用等44451(1)軍事管理區、國防科工單位以及(2)車輛流量、物流等反映經濟運行是指一旦遭到篡改、破安全、公共利益或者個涉及個人信息主體超過10萬人《汽車數據安全管理若干規定（(6)國家網信部門和國務院發展改(1)基礎電信企業掌握的能夠反映通公共利益密切相關的數信網絡安全密切相關的映通信網絡總體運行狀況的數《基礎電信企業重要數(4)基礎電信企業掌握的通信網絡與配置、軟件等屬性信息和脆弱基礎電信企業掌握的與意識形YD/T3813-2020中四級數據中運行和經濟利益等造成嚴重影《工業和信息化領域數據安全管理546發布機構：網信辦；2021.11.14PAGEPAGE100/547發布機構：工信部；2022.12.086（2020.05.28發布，2021.01.01實施）111條規定：“自然人的（2021.07.06發布，2022.01.01實施）則首次提出數據的“個人權益”48（2020）0158892數據權屬判斷方式502018.05.25發布）中對于數據控制者與數據處理3《個信法》與《GDPR參照歐盟數據保護委員會（EDPB）Guidelines07/2020ontheconceptsofcontrollerandprocessorintheGDPR（中文譯名為《GDPR下數據控制者及數據（07/20204么情況下需要進行算法備案？”與“23：如何進行算法備案？”：52021.06.102021.09.01第三十四條法律、行政法規規定提供數據2016.11.072017.06.01第二十一條國家實行網絡安全等級保護制第二十二條網絡產品、服務應當符合相關第二十三條網絡關鍵設備和網絡安全專用由具備資格的機構安全認證合格或者安全2021.08.202021.11.01第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作2007.06.222007.06.22第二條國家通過制定統一的信息安全等級和其他組織對信息系統分等級實行安全保2017.07.032017.09.01第四條經營電信業務，應當依法取得電信2011.01.082011.01.08第四條國家對經營性互聯網信息服務實行第七條從事經營性互聯網信息服務，應當務院信息產業主管部門申請辦理互聯網信第八條從事非經營性互聯網信息服務，應2021.12.312022.03.01第二十四條具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務2022.11.252023.01.10第十九條具有輿論屬性或者社會動員能深度合成服務技術支持者應當參照前款規完成備案的深度合成服務提供者和技術支序等的顯著位置標明其備案編號并提供公2023.07.102023.08.15第十七條提供具有輿論屬性或者社會動71~6107~9為：655557.755516.59.15551發布機構：公安部網絡安全保衛局、北京網絡行業協會、公安部第三研究所；2019.04.10556.73755APPSDK（輔助開SDK進行安全性評估，不僅如此，SDK提供者在發布上線前，也應《兒童個人信息網絡保護規定》5317上一年度營業額百分之五以下罰款（詳見“問10：違規處理數據，需要承擔；52發布機構：全國信息安全標準化技術委員會；2020.11.2753發布機構：網信辦；2019.08.22發布；2019.10.0178IPO40IPO過程中因數據處理合規性問題受到上市審9(一)6《APP個人信息采集侵權風險要點識別（下篇）——基于審判案例1020208發行人是否存在因從互聯網違規采集信息而受到主管當202011補充披露發行人業務活動中使用數據及獲取數據的基本情況、存儲位5455北京市康達律師事務所關于北京木瓜移動科技股份有限公司首次公開發行股票并在創業板上市的補充法202012發行人及發行人的數據供應商從事數據服務是否需要取得特殊資質、許可或備案，當前數據服務行業(提供商)的說明數據來源202311202012序是否正當（或技術采集法律法規規定不屬于公開的社會信息或需要特殊許可（包括納稅現方式。2022920235202010856關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報57關于北京華夏電通科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申58關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報59關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回6061可見，無需用戶同意的情形在一般業務開展中難以直接適用，“告知-同意”則成為企業直接獲取用戶數據最為常見的合法性基礎。具體而言，應以顯著方式、清晰易懂的語言”告知，并取得個人在“充分知情”、“自愿”、“明確”的前提下作I界面設計誘導用戶作出同意的黑模式（kPttn）6PPplatforminterfaces:Howtorecogniseandavoidthem面（interface）及用戶體驗（userexperiences）致使用戶對其個人數據作出無意識、非自愿且可能有害的決63發布機構：全國人大常委會；2019.04.23發布；2019.04.23經營者合法提供的網絡產品或者服務的主要內容或者部分內容構成實質運行。經營者的合法權益受到不正當競爭行為損害的，可以向人民法院提起訴964發布機構：國家市場監督管理總局；2021.08.1765(2020)010446873(2021)8601309號；(2017)010824512號；(2019)2799(2016)73588(2019)733789(2019)01085049281(2020)010446873從“12：爬取第三方企業數據，是否構成不正當競爭行為？”可知，法院十年（2011-2022）12起典型案例662起。協議許可RobotsRobots協；7512號案例；(2019)733789號；(2016)73588號；(2017)010824512(2021)8601309號；(2013)2668號；(2021)8601309號；(2019)01085049(2015)浦民三(知)143）67(2019)73263(1)獲取系統中存儲、處理或傳(2)對該系統實施非法控制，情違反國家規定對系統中存Robots據安全相關資質（如ISO27001信息安全體系認證、網絡安全等級保護三級生數據泄露等事件時，有助于“自證清白”。數據安全內部管理制度？”其中以數據收集記錄制度容，應包含數據獲取方式、數據來源主體信息（含其數據安全負責人/個人信息、數據收集內容、擬使用目的、采取的安全保障措施等。(二)12202092020122019102019716日收到APPAPP收集使用個人信息相關APP專項治理工作組要求發行人就收集使用68上海市方達律師事務所關于螞蟻科技集團股份有限公司首次公開發行人民幣普通股（A股）股票并在科69關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復報7020191422023年6月2023920239說明公司支付技術服務業務開展過程中是否存在收集、存請說明是否存在發行人利用相關個人消費者或企業客戶信2022220226請說明公司駕考寶典APP在360手機助手應用上涉及71關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回72737475762022420229202210與電商平臺、品牌方之間關于用戶個人數據使用的合作機77關于對奧比中光科技集團股份有限公司首次公開發行股票并在科創板上市發行注冊環節反饋意見落實函78關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的回79關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的17個人信息處理者應按照“11”4步。M（“Management”：A（“Authorization”&“Assessment”：C（“Category”：T（“echnology”：O（“Organization”：進行背景調查、定期安全教育、定期培訓等方式，增強從業人員對于個人信息保護的合規意識，亦可進一步明確內部涉(6)P（“Plan”：響評估的法定情形（詳見“9：如何正確認知個人信息安全影響評估？除非屬于無需獲得同意的情形（詳見“問11：直接從用戶獲得數據，需要關82832022184發文機構：網信辦；2021.12.312022.03.012285發布機構：網信辦、公安部；發布時間：2018.11.1523：(2)13算法備案流程86202342622023641：8720224見22：什么情況下需要進行算法備案？。25音頻、視頻、虛擬場景等網絡信息的技術。2017年，一位名叫“Deepfakes”的Reddit網站上分享了篡改人臉的色情視頻，將深度合成技術帶到了2017年底，清華大學發布了基于深度學習2019AI小AI換臉“拯救”被劣跡藝人殃及的影視作新傳院智媒研究中心、國家工業信息安全發展研究中心著，20222月89發布機關：網信辦、工信部、公安部；2022.11.25發布；2023.01.10新傳院智媒研究中心、國家工業信息安全發展研究中心著，20222月91、深度合成服務技9深度合成服務提供者從落實信息安等提出應履行以下義務：9192像、視頻生成或者顯著改變個人身份特征的編輯服(2)272021年以前，我國主要聚焦于生物醫藥領域的科技倫理問題，通過《藥品管（2022.03.202815（2021.09.25實施）16(三)5GDPR94中，亦未將共享作為數據處理行為的正列舉項。2020820201094GDPR‘processing’meansanyoperationorsetofoperationswhichisperformedonpersonaldataoronsetsofpersonaldata,whetherornotbyautomatedmeans,suchascollection,recording,organisation,structuring,storage,adaptationoralteration,retrieval,consultation,use,disclosurebytransmission,disseminationorotherwisemakingavailable,alignmentorcombination,restriction,erasureordestruction.9596關于京東數字科技控股股份有限公司首次公開發行人民幣普通股并在上海證券交易所科創板上市之補充202210與電商平臺、品牌方之間關于用戶個人數據使用的合作機202082020101797關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的98992916權責劃分履行個人信息保護義務，并對接收方受托處理用戶個人信息的行例如在提供場景下，業務子公司需要保障用戶的知情權并獲得其單獨同意；在委托我們是誰、處理目的及處理方式等信息。SaaS服務等方式，將個人信息的處理決定權交回給業務子公文章5%）33APP18SDKApp同等重要的針對侵172021113182022218APP（SDK）App運營者（SDK使用者）SDKSDK提供者的個人信息保護責任劃分包括以下三種情況SDKSDKSDKSDK使用者共同處理個人信息的，可SDKSDK使用者承擔個人信息保護SDKAppApp運營涉及個人信息處理時，需履行個人信息處理者義務SDKSDK100參考電信終端產業協會發布的《軟件開發包（SDK）101102參考電信終端產業協會發布的《軟件開發包（SDK）SDK使用者告知用戶征得用戶同意，并提供用戶權利保障功能，SDKSDK使用者完成上述義務；SDK提供者獨立處理個人信息的，應自行告知用戶，征得用戶同意，SDK接入管理機制和工作流程，必要時應建立安全評估等機制的溝通反饋渠道、SDK提供者的安全能力、SDK的基本功能、SDK的版本號、SDK的安全性評估報告等；SDK等；SDK提供者通過合同等形式明確雙方的安全責任及應實施的個人SDK提供者有關合同和管理記錄；(四)32021120213202232023921103關于江蘇金智教育信息股份有限公司首次公開發行股票并在科創板上市申請文件的第二輪審核問詢函104關于北京零點有數數據科技股份有限公司申請首次公開發行股票并在創業板上市的審核中心意見落實105關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的首輪審核問詢函的192021.08.20個人中華人民共和國2018.08.312019.01.01記錄、保向網絡交易監督管2021.03.152021.05.01平臺內經營中華人民共和國2019.12.282020.03.01客戶信息查證券公司應當妥善保存客戶開戶資料、委托記上述信息的保存期限不得少于二十年。中華人民共和國2019.04.232019.04.232013.01.212013.03.15第十六條征信機構對個人不良信息的保存期5年的，應當予以刪除。中華人民共和國2006.10.312007.01.01互聯網信息服務互聯網信息服務提供者和互聯網絡餐飲服務食品安全監督管理2020.10.232020.10.236個月。人力資源市場暫2018.06.292018.10.01第三十三條人力資源服務機構應當加強內部制2年以上。35；36：如何界定個人信息？”隊文章IP107(五)境外上市認為《規范和促進數據跨境流動規定（征求意見稿》未來如出臺對發行人開展境外業務的影響將進20201220208發行人及其子公司為境外客戶提供訓練數據服務或產品，涉及境外銷售，該境外經營是否符合當地規108蔚來集團以介紹方式在香港聯合交易所有限公司主板上市（上市文件109北京市君合律師事務所關于上海熙華檢測技術服務股份有限公司首次公開發行股票并在創業板上市的1102023A股股票申請文件的第二輪審核問詢111關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函之回復1122022920239說明在開展業務過程中是否可以獲取用戶相關個人202312113關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的第二輪審核問詢函11411537根據國家互聯網信息辦公室發布的《數據出境安全評估申報指南（第一版（2022.08.31發布（下稱“《數據出境申報指南》”）的規定，下列情形屬于數：境外”網絡安全審查辦公室對于其認為影響或者可能影響國家安全的網絡產品和服務總結而言100密局、國家密碼管理局；2021.12.28發布；2022.02.15施行2020122（oldingoeignCompnisountablet,CA），要求在美上市外國公司需向美國公眾公司會計監督委員會（以下簡稱“PC”）提交可供檢查的（因此被美國證券交易委員境內企業境外發行證券和上市相關保密和檔案管理工作的規定（征求意見稿）主要需要重點關注數據出境、保密及檔案管理合規20211224日，證監會就《境外上市規定（草案）》公開征求意見，其中境外直接發行上市的境內股份有限公司（H股上市企業境外間接發行上市主體的境內運營實體（WOFE、VIE結構下的運營117發布機構：證監會；2021.12.24118發布機構：證監會；2022.04.02（2022.08.31發布）的規（2）100萬人以上個人信息的數據處理者向境外提（3）（4）具體分析如下圖42本文“9：如何正確認知個人信息安全影響評估？”。數據出境中和出境后遭到篡改、破壞、泄露、丟失、轉移或者被非119發布機構：網信辦；2022.06.30評估有效期：2《個信法》為個人信息跨境提供了三條路徑，安全評估路徑（問42：如何進22(六)720227202262023120236120121122123關于貴州黔通智聯科技股份有限公司首次公開發行股票并在創業板上市申請文件第二輪審核問詢函的20239發行人產品/服務研發、生產、銷售及使用過程中涉及到的202310202311絡安全法APP違法違規收集使用個人202312202132021620239124125北京市君合律師事務所關于上海熙華檢測技術服務股份有限公司首次公開發行股票并在創業板上市的126關于珠海太川云社區技術股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申127關于武漢格藍若智能技術股份有限公司首次公開發行股票并在科創板上市申請文件的審核問詢函的回128關于北京零點有數數據科技股份有限公司申請首次公開發行股票并在創業板上市的審核中心意見落實12913020239APP違法違規收集202312202062020122023920231220227具體認定情況及整改情況，2021年連續兩次收到整改通知APP是否存在下架的風險。上述違法行為是131關于深圳市麥馳物聯股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的回復（2023年半年報財務數據更新版）132133134136關于安徽兆尹信息科技股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函的回復13720229近期發行人接受上海市市場監督管理局調查核實的具體情2023920239招股說明書中就“今日校園”APP被通報及責令整改對發20239說明“愛山東”APP涉及違規信息收集的具體情況，發行202310202311APP曾違規收集個人信息、超范圍收集個人信息，138關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文件的第三輪審核問詢函139140關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函141上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股票并在深圳證券交易所創業板上142關于江蘇新視云科技股份有限公司首次公開發行股票并在創業板上市補