文/戴凌云  通商律师事务所上海办公室合伙人

来源/微信公众号  通商律师事务所

近日，北京墨迹风云科技股份有限公司（“墨迹天气”）IPO项目被否决，其中数据合规再次成为主因之一。在墨迹天气项目之前，青岛酷特智能股份有限公司、安克创新科技股份有限公司、浙江每日互动网络科技股份有限公司等上市项目中，也都碰到了同样的问题。

由此可见，数据合规在A股上市领域，也正成为证监会日益关注的重点。其实这并不意外，在数据保护领域，一直是立法和司法实践严重落后于需求，导致已产生了一系列严重的问题。各国立法上的亡羊补牢，包括欧盟《通用数据保护条例》（General Data Protection Regulation，简称GDPR）的生效和中国《网络安全法》的出台，肯定会在相关领域催生出深刻而广泛的变化。不管是公司的日常业务经营，还是投资并购时对目标公司合规状态的调查，以及申报上市时对于合规状态的关注，尽管其侧重点各有不同，但用户数据收集使用的合法性，无一例外，都将会成为瞩目的重点。

本文拟简要说明用户数据合规的一些问题，目的是给读者一个宏观概念，但篇幅所限，并不会深入展开。之后我们会区分领域、行业和场景，陆续撰写系列文章，供读者参考。

一、墨迹天气中反馈的主要问题

在墨迹天气的项目中，证监会主要提了三个实质性的问题：

1. 数据获取的合法性

墨迹天气获取用户数据及标签的过程及方法以及获取用户数据的手段方式是否合法合规。

2. 数据使用的合法性

墨迹天气使用用户数据是否合法合规，是否在报告期存在侵犯用户隐私的情况以及有现存或潜在的法律风险。

3. 内控制度的健全程度

在获取、使用、转移以及处理用户数据的过程中是否具有健全的内控制度，是否存在有关个人隐私泄露问题的纠纷或潜在纠纷。

所以，证监会反馈的问题，其实是数据合规中常见的几个问题，即数据的获取过程、使用过程（此处的使用应为广义上的使用，包括使用、存储、转移和处理）是否合法合规，以及相应的，公司有没有制度来保障数据合规。

二、数据保护的立法取向

如前文所述，关于数据保护问题，各国的立法和司法实践都是落后于现实需求的。另外一方面，关于数据合规的路径，到底是以个人权利保护为核心（以欧盟的GDPR为典型代表）还是以数据控制者及数据处理者的责任规制为核心（以美国围绕隐私保护建构的法律制度为典型代表），因为牵扯到个人权利和大数据的充分利用之间的平衡取舍，始终是一个很有争议的话题。

甚至最重要的，关于个人数据的定义，都存在很大的分歧：对于欧洲数据保护法而言，关于某个可被识别的自然人的任何信息都是该主体的个人数据（Personal Data），某一项数据成为个人数据，并不要求仅仅通过这一项数据即可识别数据的主体，只要这项数据与某个可被识别的自然人以某种有意义的方式存在关联，就满足要求；相比起来，很多国家和地区使用了范围更狭窄的个人可识别信息(Personal Identifiable Information)，比如美国法律体系中的可识别信息常常仅覆盖尤为敏感的个人信息（如信用卡号、社会保障号）。

三、中国法律对于数据保护的一些原则

回到中国本身的法律，即便《网络安全法》出台之后，在个人数据立法路径选择上仍然是很不确定的，与此同时，立法本身也比较粗线条。在这种大环境下，一方面数据保护的重要性日渐凸显，另一方面数据合规的标准却仍然有待改进。所以，客观来讲，对在中国的企业而言，实现数据合规确实非常有挑战性。

目前，关于数据获取和使用的规定，散见于各层次的法律法规中，《刑法》、《民法总则》、《网络安全法》、《消费者权益保护法》、《电子商务法》、《网络交易管理办法》、《全国人大会关于加强网络信息保护的决定》和《电信和互联网用户个人信息保护规定》等法律法规均做了一些规定，其中最典型的描述来自于《网络安全法》第40-44条：

第40条：网络运营者应当对其收集的用户信息严格保密，并建立健全用户信息保护制度。

第41条：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

第42条：网络运营者不得泄露、篡改、毁损其收集的个人信息；未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

第43条： 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。

第44条：任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

总结起来，以《网络安全法》为代表的中国数据保护法律制度强调了以下权利和原则：

1. 数据主体的知情同意权

即用户信息的收集和使用规则，收集和使用的目的、方式和范围都必须向被收集者明示，并经其同意。

2. 数据主体的修改和删除权

个人发现网络运营者违法（包括违反法律、行政法规的规定或者双方的约定）收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。

3. 数据收集最小化原则

即数据收集者不得收集与其提供的服务无关的个人信息。

4. 数据保密原则

即网络运营者应当对其收集的用户信息严格保密，不得泄露、篡改、毁损其收集的个人信息，未经被收集者同意，不得向他人提供个人信息，除非该等信息已经过处理无法识别特定个人且不能复原。

5. 数据安全原则

网络运营者应建立相应的用户信息保护制度，应采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失，如在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

6. 数据合法性原则

用户信息的收集和使用必须合法，不得违反法律、行政法规的规定和双方的约定；任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。

尽管上述规定都比较原则，执行起来也有较大不确定性（尤其是与GDPR的规定相比较），但现实当中，诸多互联网公司和大数据公司，在收集和使用个人数据时，明显违反前述原则的情况也很常见。很多公司在收集信息时，都是求多求全，使用信息时又无知无畏，比如明明可以匿名实现的功能却非得要求用户提供手机号码才能使用和注册，比如A公司把收集的个人信息也让B公司使用（未经用户同意），使得用户在B公司的APP上也被推荐了某一类型的广告，又比如收集个人医疗信息后完全不做任何处理就出售给其他公司并标榜自己的“大数据很有价值”。所以可以预见，在数据合规（保护）领域，现实和法律（哪怕只是原则性的法律规定）之间的冲突，将会越来越常见，也越来越需要数据合规专家的帮助。

最后值得一提的是，文章开头提到的几个上市项目中，唯一已经申报成功的是浙江每日互动网络科技股份有限公司（“每日互动”），在其反馈意见中，也提到了下述问题：

请补充说明发行人取得终端用户数据信息的数据来源、获取途径及授权方式，授权是否明确且合法有效，发行人对授权数据的使用是否超过授权权限；发行人获得终端用户数据信息的权属，其使用是否存在权属风险；发行人对数据安全和个人隐私的保护手段及其有效性，是否出现过个人信息、隐私泄露事件，是否存在侵权风险，是否存在纠纷或潜在纠纷。

每日互动关于数据取得和使用的合法性论证， 篇幅所限，此处不赘述，事实上，那是很惯常的一个思路，不过放到数据保护趋严的大背景下，过几年回头看，应该是非常有意思的。

沈航、常蕾对本文亦有贡献。

编辑/daicy