正文：

　　隨著在網(wǎng)絡安全和數(shù)據(jù)保護方面的風險事件和立法日趨增加,，當科技企業(yè)在上市時,，網(wǎng)絡安全、數(shù)據(jù)保護也越來受到證券監(jiān)管機構和投資者的重視。我們在投融資業(yè)務中,，尤其是代表企業(yè)參與C輪之后的融資業(yè)務,，就多次遇到投資者對數(shù)據(jù)合規(guī)進行詳細,、嚴格的專項盡調,。

　　為了對風險進行類型化，我們搜尋了數(shù)十份境內外上市公司招股書,、法律意見書,、問詢函，總結了其中監(jiān)管機構要求發(fā)行人具體說明的問題或企業(yè)根據(jù)相關要求披露的風險,，并加以整理,。我們認為有些問題從法律上來說表述并不準確，但盡量保持了原樣,。

　　由于境內外對信息披露的要求差別較大,，分為上下兩篇，本篇為境內篇,，信息均來自于A股上市公司,，下篇則來自于美股和港股上市公司。

　　數(shù)據(jù)源的合規(guī)性

　　獲取用戶數(shù)據(jù)信息的來源,、獲取途徑,、授權方式及協(xié)議，授權是否明確且合法有效,。

　　收集用戶信息獲得用戶同意的具體制度及相關安排,，收集用戶信息時是否明確告知收集信息的范圍及使用用途。

　　通過向第三方數(shù)據(jù)供應商購買用戶數(shù)據(jù)情況下,，第三方數(shù)據(jù)商是否具有相關數(shù)據(jù)的所有權,，其授權標的公司使用相關數(shù)據(jù)是否需要經(jīng)過終端用戶或者其他第三方同意，授權是否合法,、合規(guī),。

　　通過APP與用戶以《用戶協(xié)議》、《隱私政策》等協(xié)議約定獲得用戶授權的過程在法律上是否完備,，是否對客戶的用戶有明示,，相關協(xié)議約定內容存在明顯不利于個人用戶的格式條款，是否符合相關法律法規(guī)的規(guī)定要求,。

　　通過 APP 與用戶以《用戶協(xié)議》,、《隱私政策》等協(xié)議約定獲得用戶授權過程中,，收集個人用戶信息、向個人用戶推送廣告等有無明確告知用戶收集,、使用信息的目的,、方式和范圍。

　　數(shù)據(jù)權屬問題

　　發(fā)行人獲得終端用戶數(shù)據(jù)信息的權屬,，其使用是否存在權屬風險。

　　標的公司采購所涉相關數(shù)據(jù)信息的產(chǎn)權歸屬及其法律依據(jù),。

　　數(shù)據(jù)的使用

　　發(fā)行人使用用戶數(shù)據(jù)是否合法合規(guī),。

　　公司取得數(shù)據(jù)后用來做商業(yè)化變現(xiàn)的合規(guī)性。

　　是否根據(jù)與用戶的約定收集,、使用信息,，對授權數(shù)據(jù)的使用（用于互聯(lián)網(wǎng)營銷或其他業(yè)務）是否超過授權范圍。

　　對數(shù)據(jù)的使用是否超過必要的限度,。

　　業(yè)務開展中是否涉及對個人信息的使用,，是否留存客戶用戶數(shù)據(jù)、個人信息,。

　　標的公司是否存在對相關信息數(shù)據(jù)進行存儲,、記錄或者使用等情形，如是,，相關行為是否符合法律法規(guī),、行業(yè)規(guī)范的要求；如否,，標的公司是否能夠被認定為大數(shù)據(jù)行業(yè)公司,。

　　標的公司是否對數(shù)據(jù)的規(guī)范使用采取了相應風險控制措施，相關措施是否規(guī)范,、有效,。

　　是否存在非法出售個人信息的行為。

　　數(shù)據(jù)共享

　　與 APP 開發(fā)者《XX使用協(xié)議》約定的“延展至XX使其可以獲取實現(xiàn)相關推送功能所必要的合理信息”中“相關推送功能”是否包括利用該APP共享鏈路而向其他APP最終用戶發(fā)送通知,，APP 最終用戶是否知悉通過鏈路共享而向其發(fā)送其他 APP 通知,，是否取得 APP 最終用戶同意或授權。

　　抽樣頭部 APP 產(chǎn)品的《用戶協(xié)議》,、《隱私政策》中部分表述基于提升本 APP 服務之目的而收集用戶數(shù)據(jù)并向第三方共享該數(shù)據(jù),，發(fā)行人鏈路共享是否屬于“提升本APP 服務之目的”。

　　數(shù)據(jù)安全保護制度

　　標的公司是否對數(shù)據(jù)的規(guī)范使用采取了相應風險控制措施,，相關措施是否規(guī)范,、有效。請律師,、獨立財務顧問核查并發(fā)表明確意見,。

　　數(shù)據(jù)獲取,、使用、加工處理,、存儲及傳輸?shù)冗^程配套的內部控制制度及執(zhí)行情況,、效果，避免或防止泄露用戶隱私的具體制度及相關安排,，是否存在泄密風險,。

　　用戶信息保護技術體系，尤其是防止外部惡意軟件,、病毒,、黑客攻擊和內部人員惡意導致的數(shù)據(jù)泄露的技術措施。

　　通過公安部門信息系統(tǒng)安全等級保護測評的情況,。

　　對數(shù)據(jù)安全和個人隱私的保護措施與手段及其有效性,，是否出現(xiàn)過個人信息、隱私泄露事件,，是否存在侵權風險,，是否存在糾紛或潛在糾紛，最近三年發(fā)生的嚴重泄密事件,、重大訴訟,、處理結果及有關的整改措施。

　　對提供產(chǎn)品,、服務過程中掌握的個人信息,、國家安全信息、國家秘密,、保密信息所采取的防泄密措施和保障網(wǎng)絡安全的內部管理制度及執(zhí)行效果,，有無泄露國家秘密、保密信息,、個人信息的風險,，是否發(fā)生過相關信息泄露事件，是否因此受到過行政處罰,。

　　業(yè)務及具體數(shù)據(jù)服務

　　說明發(fā)行人在開展業(yè)務,、日常運營過程中是否獲取或有可能獲取國家秘密、保密信息,、個人信息,。

　　結合《網(wǎng)絡安全法》、《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等法規(guī),、司法解釋,，說明各類業(yè)務是否存在侵犯客戶以及客戶用戶、APP具體使用者和其他第三方的商業(yè)秘密,、個人信息安全,、個人隱私的情形,，是否存在法律風險或潛在法律風險。

　　與客戶所簽署業(yè)務合同中是否存在可能侵犯第三方商業(yè)秘密或個人信息安全的條款,。

　　與客戶所簽署業(yè)務合同的業(yè)務內容條款和保密條款是否存在協(xié)助或變相協(xié)助客戶,、第三方開展可能侵犯第三方商業(yè)秘密或個人信息安全的行為。

　　DMP（Data ManagementPlatform）服務：

　　DMP服務的一般客戶來源,，服務內容,，該業(yè)務開展具體內部流程及控制措施；

　　報告期各期主要DMP服務項目的具體情況,，銷售政策,、定價方式、結算方式,。

　　技術問題

　　相關大數(shù)據(jù)技術以及大規(guī)模數(shù)據(jù)存貯技術等的來源,、形成過程及合法合規(guī)性,。

　　列表說明發(fā)行人現(xiàn)有各項核心技術的發(fā)明人或主要研發(fā)人員及其曾任職單位,，核心技術的具體來源和形成過程，是否涉及公司董事,、監(jiān)事,、高級管理人員或其他核心人員在曾任職單位的職務成果，是否存在權屬糾紛或潛在糾紛風險,。請發(fā)行人結合其核心人員曾任職于同行業(yè)其他公司的有關情況,，補充說明其主要產(chǎn)品的研發(fā)周期、渠道推廣和用戶積累的過程,，是否存在向第三方購買底層數(shù)據(jù)并在外購數(shù)據(jù)的基礎上持續(xù)開發(fā)等情況,。

　　數(shù)據(jù)立法和監(jiān)管對業(yè)務的影響

　　歐盟《通用數(shù)據(jù)保護法案》（General Data Protection Regulation,GDPR）的頒布實施對于發(fā)行人經(jīng)營業(yè)務有什么影響，發(fā)行人有什么整改或應對措施,，是否存在被處罰的風險,，GDPR 對于發(fā)行人未來的業(yè)務經(jīng)營是否存在影響。

　　數(shù)據(jù)監(jiān)管及個人隱私保護政策變動情況（主管部門對數(shù)據(jù)隱私保護的標準是否會持續(xù)升級）對未來發(fā)行人業(yè)務的影響及發(fā)行人的應對措施,。

　　請補充說明標的公司對用戶信息的收集,、傳輸、保存及應用的現(xiàn)狀是否符合《信息安全技術 個人信息安全規(guī)范》的要求,。若否,，請充分提示相關風險并說明后續(xù)整改措施。

　　請發(fā)行人結合和XX的糾紛,，補充說明其人才庫所涉?zhèn)€人信息的收集,、存儲、使用,，是否符合《全國人民代表大會常務委員會關于加強網(wǎng)絡信息保護的決定》,、《中華人民共和國網(wǎng)絡安全法》的規(guī)定,。