企业上市须做好数据合规

“数据的运用是一把双刃剑，一方面能够提升产业竞争力，另一方面也会涉及到公民个人信息保护和隐私保护。企业在上市过程中要把握好利用数据的程度。”益衡律师事务所合伙人张伟杰在接受《中国贸易报》记者采访时表示，应从宏观上对企业数据流中的业务流程信息进行诊断，根据企业所涉及的数据类型、应用场景进行勾勒，制作出全面立体的数据图谱。之后，再聘请专业人士，根据业务流程进行安全评估，提示其中的风险点，尽早采取措施应对风险。

张伟杰表示，国内外的监管政策和法律正在不断完善中，一系列有关数据保护的立法和监管提案正在酝酿。这些提案如获通过，可能会要求在数据方面不够合规的公司改变目前的经营状态，因为提前做好准备非常关键。

北京市安理律师事务所高级合伙人王新锐指出，企业上市时，确保数据源的合规性非常关键。

他强调，注意获取用户数据信息的来源、获取途径、授权方式及协议，授权是否明确且合法有效；有收集用户信息、获得用户同意的具体制度及相关安排，收集用户信息时明确告知收集信息的范围及使用用途；通过向第三方数据供应商购买用户数据时，保证第三方数据商具有相关数据的所有权，其授权标的公司使用相关数据需要经过终端用户或者其他第三方同意，授权是否合法、合规。通过APP与用户以《用户协议》《隐私政策》等协议约定获得用户授权，对客户的用户有明示，相关协议约定内容不存在明显不利于个人用户的格式条款；通过 APP 与用户以《用户协议》《隐私政策》等协议约定获得用户授权过程中，收集个人用户信息、向个人用户推送广告等明确告知用户收集、使用信息的目的、方式和范围。

此外，企业应建立完善的数据安全保护制度。“企业应对数据的规范使用采取相应风险控制措施，相关措施要规范、有效，并请律师、独立财务顾问核查并发表明确意见；建立数据获取、使用、加工处理、存储及传输等过程配套的内部控制制度及执行情况、效果，避免或防止泄露用户隐私的具体制度及相关安排，防止存在泄密风险；完善用户信息保护技术体系，采取防止外部恶意软件、病毒、黑客攻击和内部人员恶意导致的数据泄露的技术措施；对提供产品、服务过程中掌握的个人信息、国家安全信息、国家秘密、保密信息应采取防泄密措施，预防泄露国家秘密、保密信息、个人信息风险。”王新锐表示。