本文在上一版的基礎上,，結合上文發(fā)布至今兩年來中國公司境外上市的相關資料，對相關數(shù)據(jù)合規(guī)風險進行了更新,。根據(jù)近年參與境外上市的經驗,，我們發(fā)現(xiàn)無論是上市公司，還是監(jiān)管機構與交易所,，均加強了對數(shù)據(jù)合規(guī)的關注程度,，足見數(shù)據(jù)合規(guī)在境外上市中不斷提升的重要性。歡迎大家指正,，并一起深入討論,。

　　普遍性合規(guī)風險

　　數(shù)據(jù)安全方面

　　·任何安全漏洞和數(shù)據(jù)解密，包括網絡攻擊,、未經授權的訪問和使用,、計算機病毒,、硬件或系統(tǒng)軟件被入侵或類似的破壞或中斷，都可能導致公司的保密技術遭受損害或破壞、用戶數(shù)據(jù)和保密信息泄露,、降低用戶體驗,、侵犯用戶隱私等后果,，從而導致公司聲譽受損,、合同提前終止、訴訟,、監(jiān)管調查或公司面臨其他責任的后果,。

　　公司自身、應用程序開發(fā)商以及客戶所使用的數(shù)據(jù)安全措施可能因第三方操作失誤,、員工工作失誤,、瀆職或其他原因而遭到破壞，公司技術基礎設施中的設計缺陷可能被暴露和利用,，從而可能導致他人未經授權訪問開發(fā)人員,、客戶以及終端用戶的機密信息。

　　未經授權訪問和攻擊系統(tǒng)的技術正在不斷變化和發(fā)展,，并且其在發(fā)起攻擊前通常難以被識別,，公司可能無法預測這些技術，難以實施適當?shù)念A防措施,，因而存在安全漏洞,。

　　公司無法保證公司的員工將來不會違反保密協(xié)議或以其他方式泄露公司所掌握的數(shù)據(jù)及其他信息。

　　如果公司未能保護客戶數(shù)據(jù)和隱私,，客戶可能會察覺到公司的第三方渠道泄漏或濫用客戶數(shù)據(jù),。

　　如果公司未能遵守隱私政策和數(shù)據(jù)安全措施,，不當使用或披露數(shù)據(jù)，則可能導致未經授權發(fā)布或傳輸個人身份信息或導致其他用戶信息泄露,，從而可能導致訴訟,、監(jiān)管調查、聲譽受損等不利后果,。

　　第三方保險安排未必足以涵蓋因個人信息泄露產生的虧損,。

　　數(shù)據(jù)立法和監(jiān)管對業(yè)務的影響

　　中國的個人信息保護相關法律法規(guī)和標準的解釋和適用仍然處于不確定狀態(tài)，并在不斷調整中,。相關政府部門可能會以對公司不利的方式解釋或實施法律法規(guī),。公司無法保證根據(jù)中國的《網絡安全法》及其配套法規(guī)，公司已經采取或將要采取的措施是完全充分的,，中國不斷發(fā)展的隱私保護監(jiān)管框架可能會要求公司改變目前的業(yè)務實踐,。

　　《中華人民共和國網絡安全法》要求關鍵信息基礎設施的經營者，包括公共通信和信息服務業(yè)和金融業(yè)等重要行業(yè)和領域,，應當將在中國境內經營活動中收集和產生的個人信息和重要數(shù)據(jù)存儲在中國境內。因商業(yè)需求需要向境外傳輸信息和數(shù)據(jù)的,，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估,。但是，對于如何進行此類安全評估,，目前還沒有公布詳細的措施,。這可能對擁有多個數(shù)據(jù)中心、可能需要在不同地點之間傳輸某些個人數(shù)據(jù)的公司造成影響,。

　　除了有關個人隱私和數(shù)據(jù)安全的法律,、法規(guī)和其他適用規(guī)則外，行業(yè)團體或其他私人方也可能提出新的和更嚴格的隱私實踐標準,。例如,，《個人信息安全規(guī)范》要求數(shù)據(jù)控制者必須提供收集和使用個人信息的目的，要求數(shù)據(jù)控制者對其核心功能與附加功能進行區(qū)分,，以確保數(shù)據(jù)控制者只會根據(jù)實際需要來收集個人信息,。公司無法確保能夠滿足這些可能不斷出現(xiàn)的新標準。

　　在全球市場戰(zhàn)略下,，公司業(yè)務會涉及到不同的司法管轄區(qū),，因而公司需受其個人信息保護法律和法規(guī)的約束，但公司可能無法及時調整內部政策以同時符合各管轄區(qū)的不同要求,。例如,，如果有歐盟境內的居民安裝了裝有公司SDK的APP，或公司的其他用戶到歐盟境內旅行,，則公司可能需要遵守GDPR的相關要求,。

　　世界各地的監(jiān)管機構近期正在制定或醞釀一系列有關數(shù)據(jù)保護的立法和監(jiān)管提案,，這些立法和監(jiān)管提案如獲通過，其解釋和適用除了可能導致公司被罰款外,，還可能會要求公司改變目前的數(shù)據(jù)業(yè)務實踐,，這可能對公司的業(yè)務產生不利影響。

　　中國監(jiān)管機構越來越關注數(shù)據(jù)安全和數(shù)據(jù)保護領域的監(jiān)管,，公司預計這些領域將受到監(jiān)管機構的更多關注,，并吸引持續(xù)的或更多的公眾監(jiān)督和關注，這可能會增加公司的合規(guī)成本,，并使公司面臨數(shù)據(jù)安全和保護相關的更高風險和挑戰(zhàn),。

　　中國不同監(jiān)管機構（包括工信部、國家互聯(lián)網信息辦公室,、公安部及國家市場監(jiān)管局）執(zhí)行的數(shù)據(jù)私隱和保護法律及法規(guī)有不同的標準和實施辦法,。執(zhí)行數(shù)據(jù)私隱和保護法律存在不同標準或使企業(yè)難以確保全面遵守，且須耗費時間,、動用資源處理各項合規(guī)檢查,，增加營運成本。

　　即使公司使用的是匿名化的設備層面的移動信息,，該信息也仍然有可能被認定為中國《網絡安全法》下的個人信息,，從而需要符合相關規(guī)定和要求。中國法律法規(guī)中對于個人信息的收集,、存儲,、使用、處理,、披露和轉移都有相關的規(guī)范要求,，根據(jù)這些法律法規(guī)，互聯(lián)網信息服務提供商在收集用戶的個人信息前必須獲得用戶同意,，并且不能收集與其提供的服務無關的個人信息,，同時互聯(lián)網信息服務提供商也必須就信息收集和使用的目的、方式和范圍告知用戶,。

　　輿論風險

　　一些對公司收集,、存儲、處理和使用數(shù)據(jù)的做法的擔憂（即使沒有實際根據(jù)）,，也可能損害公司的聲譽和業(yè)務經營,。

　　對于公司平臺的安全或隱私保護機制和政策的任何負面宣傳，以及對公司提出的任何索賠或監(jiān)管機關對公司的處罰,，都會有損公司的公眾形象,、聲譽以及業(yè)務發(fā)展。

　　如違反公司的網絡安全措施,，或公司的平臺受到攻擊而導致用戶的個人信息遭受未經授權的入侵,，公司的服務可能被視為不安全及不可靠,。因此，用戶可能會減少或停止使用公司的服務,，可能有損公司的業(yè)務及經營業(yè)績,。

　　除監(jiān)管規(guī)定外，消費者對數(shù)據(jù)隱私的態(tài)度也在不斷演變,，而消費者對公司收集其資料的憂慮可能對公司獲取數(shù)據(jù)并改進其技術,、產品和服務的能力造成不利影響。

　　第三方對公司的影響

　　公司無法保證其應用開發(fā)商和業(yè)務合作伙伴所采取的數(shù)據(jù)保護措施的有效性,，其存在的網絡安全漏洞可能導致公司客戶信息泄露,。

　　公司無法控制應用開發(fā)商及業(yè)務合作伙伴等第三方的具體活動，如果其行為違反了中國《網絡安全法》或與保護個人信息相關的其他法律法規(guī),，或未能完全遵守與公司達成的服務協(xié)議,，公司可能也會面臨被處罰的風險。

　　第三方網上支付平臺的運營安全及其收取費用的行為可能會對公司的業(yè)務產生重大不利影響,。公司無法控制第三方網上支付供應商的安全措施,，而公司所用網上支付系統(tǒng)出現(xiàn)安全漏洞或會令公司面臨訴訟，并可能就未能保障客戶保密信息產生負債,。

　　受網絡攻擊愈發(fā)復雜,、技術改進、黑客的專業(yè)水平提升,、密碼學或其他領域的新發(fā)現(xiàn),、軟件缺陷或其他技術故障,、雇員,、承包商或供貨商出錯或瀆職等威脅，公司未必能實施充分的預防措施或防止公司的預防措施受到損害或破壞,，因此可能因防范或補救網絡攻擊而產生巨額成本,。

　　外部人士可能試圖誘騙雇員、用戶或其他客戶披露敏感信息,，以取得公司的數(shù)據(jù)或公司用戶或其他客戶的數(shù)據(jù)或賬戶的權限,，亦可能通過其他方式取得該等數(shù)據(jù)或賬戶的權限。

　　相關行業(yè)的特殊性合規(guī)風險

　　數(shù)據(jù)服務類公司

　　公司通過為移動應用程序開發(fā)者提供服務,，可以訪問用于開發(fā)特定行業(yè)數(shù)據(jù)解決方案的大量移動數(shù)據(jù),。基于公司集中式的專有數(shù)據(jù)處理平臺以及人工智能和機器學習,，公司能夠從數(shù)據(jù)中發(fā)掘出有效可行的見解,，并開發(fā)各種數(shù)據(jù)解決方案。但某些應用開發(fā)者可能禁止或限制公司訪問或使用公司業(yè)務所需的數(shù)據(jù),。

　　終端用戶所使用的某些計算機軟件或程序可能會限制公司訪問用戶數(shù)據(jù),，或者終端用戶可能會對公司使用其數(shù)據(jù)提出異議,。如果公司未來無法繼續(xù)獲取大量移動數(shù)據(jù)，公司將失去競爭優(yōu)勢,，公司可能無法有效地提供和改進現(xiàn)有數(shù)據(jù)解決方案以響應客戶的需求,。

　　用戶對數(shù)據(jù)隱私的態(tài)度在不斷變化，用戶會擔心其個人信息被公司客戶或其他人訪問,、使用或共享,，這可能會對公司獲取數(shù)據(jù)的能力產生不利影響。

　　如果有其他的數(shù)據(jù)解決方案提供商發(fā)生嚴重的安全漏洞事件,，公司的客戶和潛在客戶可能會對公司的開發(fā)服務或數(shù)據(jù)解決方案的安全性失去信任,。

　　公司收集匿名的、設備層面的無法識別個人身份的數(shù)據(jù),，如應用程序要求用戶做出相應授權,，發(fā)行人是否能接收個人身份信息，或者收集的數(shù)據(jù)是否可以通過其他方式用于識別個人身份,。

　　數(shù)據(jù)服務供貨商委托第三方處理個人數(shù)據(jù)的,，應要求第三方按照與個人數(shù)據(jù)處理者的數(shù)據(jù)處理協(xié)議處理個人數(shù)據(jù)、退回個人數(shù)據(jù)處理者的個人數(shù)據(jù)或刪除相關數(shù)據(jù),；且未經個人數(shù)據(jù)處理者同意,，不得進一步外包予第三方。

　　互聯(lián)網金融公司

　　公司通過線上提供金融服務時會收集借款人的某些個人信息,，并且還需要將該種個人信息與公司的業(yè)務合作伙伴（如信貸機構等）共享,，以便為借款人提供信貸，公司已就該種收集和使用個人信息的行為取得了借款人的同意,，并且建立了信息安全系統(tǒng)以保護用戶信息,。但是，相關法律對于維護網絡安全和保護個人信息的要求仍存在不確定性,，公司無法保證公司目前的信息安全政策和實踐完全符合現(xiàn)在或將來適用的任何法律法規(guī),。

　　公司會從外部數(shù)據(jù)源收集一些數(shù)據(jù)進行信用評估，該種外部數(shù)據(jù)源可能違反了中國《網絡安全法》,，公司可能因此無法使用相關數(shù)據(jù)開展業(yè)務,。

　　如果借款人或其他第三方提供的或公司收集的數(shù)據(jù)不準確、不完整或有欺詐性,，則公司的信用評估的準確性可能會受到影響,，可能減弱客戶對公司的信任。

　　公司從用戶處收集,、存儲和處理某些個人和其他敏感數(shù)據(jù),，這可能使公司成為網絡攻擊的目標。未經授權披露個人敏感信息或機密的客戶數(shù)據(jù),，無論是因為系統(tǒng)故障,、員工疏忽,、欺詐還是盜用，都可能導致客戶和投資者的機密信息被盜并用于犯罪目的,，會損害公司的聲譽并導致公司失去客戶,。

　　公司收到了客戶關于其個人信息泄露的一些投訴，雖然公司已對此類泄漏進行了調查,，但公司無法保證不會發(fā)生其他類似的事件和投訴,。

　　根據(jù)中國《網絡安全法》，關鍵信息基礎設施的運營商,，包括公共通信和信息服務以及金融業(yè)和其他重要行業(yè)和領域,，應將在中國境內運營期間收集和生成的個人信息和重要數(shù)據(jù)儲存在境內，如需向境外傳輸,，則應按相關規(guī)定進行安全性評估,。公司所使用的數(shù)據(jù)中心位于海外，可能需要在不同地點之間傳輸某些個人數(shù)據(jù),，并且由于此類數(shù)據(jù)被用于金融服務,，公司可能會受到中國《網絡安全法》規(guī)定的安全性評估要求的約束。公司無法保證,，公司目前采用的評估個人數(shù)據(jù)安全的措施可以滿足相關政府部門現(xiàn)在或未來的要求,。

　　電子商務公司

　　公司的業(yè)務會生成并處理大量數(shù)據(jù)，因而面臨處理和保護大量數(shù)據(jù)所固有的風險,。電子商務行業(yè)面臨的一個重大挑戰(zhàn)是機密信息的安全存儲及其在公共網絡上的安全傳輸,。

　　中國政府機構可能要求公司共享公司所收集的個人信息和數(shù)據(jù)，以符合中國有關網絡安全的法律,。

　　在海外存在業(yè)務的公司須遵守多個司法管轄區(qū)關于隱私及數(shù)據(jù)保護的法律法規(guī),，如中國及歐盟。

　　在公司平臺上進行產品銷售均須通過第三方在線支付服務進行結算,。第三方在線支付服務提供商在信息安全措施等方面的漏洞會損害公司客戶的利益,，從而對公司的聲譽,、公眾形象,、業(yè)務前景等方面產生不利影響。

　　公司的客戶使用的付款處理服務或其他第三方服務可能會未經授權入侵公司用戶的數(shù)據(jù),。

　　公司與簽約的第三方物流服務提供商共享有關平臺用戶的某些個人信息,，例如平臺用戶的姓名、地址,、電話號碼和交易記錄,，第三方物流服務提供商可能違反其保密義務并非法披露或使用有關平臺用戶的信息。

　　視頻類公司

　　公司的業(yè)務優(yōu)勢在于能夠制作極受大眾歡迎,、引領潮流的原創(chuàng)內容,，但公司面臨著黑客非法訪問和非法分發(fā)尚未發(fā)布的原始內容的風險,。

　　公司的產品和服務涉及用戶和廣告客戶信息的存儲和傳輸，特別是計費數(shù)據(jù)以及原始內容,，網絡安全漏洞可能使公司丟失此類數(shù)據(jù),。

　　可能存在第三方入侵公司的用戶帳戶并將用戶流量導向到其他互聯(lián)網平臺的情況，使公司丟失客戶,。

　　公司需依靠第三方（如第三方在線支付處理商）的計費和支付系統(tǒng)來確定付費用戶的消費記錄并收取此類付款,。公司無法控制第三方支付服務提供商的網絡安全措施，如果公司使用的在線支付系統(tǒng)存在安全漏洞,，可能會使公司面臨訴訟以及承擔未能保護客戶機密信息的責任,。

　　作為移動端直播平臺，公司的業(yè)務涉及大量用戶數(shù)據(jù)及其他相關信息,。任何用戶數(shù)據(jù)泄露或丟失,，或用戶制作任何不當內容，均可能對公司聲譽造成不利影響,，若屬嚴重情況,，公司或須承擔潛在的法律責任。

　　公司發(fā)現(xiàn)未成年人通過網絡發(fā)布私密信息的,，應當及時提示,，并采取必要的保護措施。

　　教育類公司

　　未獲授權披露或使用學生,、老師及其他個人敏感數(shù)據(jù)（不論通過破壞網絡安全或以其他方式）可能令公司面臨訴訟或對公司的聲譽造成不利影響,。

　　醫(yī)療類公司

　　與患者醫(yī)療保密相關的法律法規(guī)在未來可能對信息披露和使用的要求更加嚴格，包括限制轉移醫(yī)療保健數(shù)據(jù),。于2017年生效的《網絡安全法》指定醫(yī)療保健為優(yōu)先保護領域,，因為其是關鍵信息基礎設施的一部分，且中國國家互聯(lián)網信息辦公室正在試圖最終確定跨境轉移個人信息法規(guī)草案,。該草案頒布后,，可能會規(guī)定須在人類健康相關數(shù)據(jù)轉移出中國前進行安全審查。

　　《人類遺傳資源管理暫行辦法》等法律法規(guī),，限制了企業(yè)對人類遺傳資源的收集,、使用與傳輸。相關法律法規(guī)的闡釋及應用可能導致人類遺傳資源樣本及相關數(shù)據(jù)被沒收以及行政罰款,。此外,，有關法律法規(guī)的任何變動均可能影響公司使用醫(yī)療數(shù)據(jù)的能力，且使公司對之前已獲批用途的數(shù)據(jù)使用負責,。

　　針對用戶,，公司或提供精準營銷解決方案、醫(yī)學知識解決方案及患者管理解決方案，并收集并存儲用戶數(shù)據(jù),，包括臨床數(shù)據(jù),、敏感的個人資料，因此公司在處理和保護該等數(shù)據(jù)方面存在風險,，包括：

　　保護公司系統(tǒng)本身和存放的數(shù)據(jù),，包括抵抗外界對公司系統(tǒng)的攻擊或我們雇員的不當操作；

　　解決有關隱私,、安全保障和其他方面的疑慮,；及

　　遵守有關個人資料收集、存儲,、使用,、轉移、披露及安全保障的法律,、規(guī)則及法規(guī),，包括監(jiān)管當局和政府部門有關數(shù)據(jù)方面的查詢。針對臨床試驗受試者,，公司或接受,、收集、產生,、儲存,、處理、傳輸及保留臨床試驗入組受試者的醫(yī)療數(shù)據(jù),、治療記錄及其他個人資料以及其他個人或敏感信息,。其中，患者及臨床試驗受試者的個人信息極具敏感性,，須依法進行嚴格保護,。

　　在公司經營所在及開展臨床試驗的不同司法管轄區(qū)，須遵從有關適用于收集,、使用,、保留、保護,、披露,、轉移及其他處理個人數(shù)據(jù)的地方、國家及國際數(shù)據(jù)保護及隱私法律,、指令法規(guī)及規(guī)范以及合約責任,。（完）