已生效！《数据安全法》对企业业务的影响|合规性|征信业管理条例|数据安全法|经营

作者：外城君子

2021年6月，全国人民代表大会常务委员会通过了《中华人民共和国数据安全法》（以下简称《数据安全法》），并将于2021年9月1日起施行，从法律层面为数据安全提供了保障。《数据安全法》的出台，让数据合规和网络安全、大数据等话题又引起大众的新一轮讨论。我想，当《个人信息保护法》正式出台后，人们对于个人信息数据和个人隐私保护的法律问题会有更全面的认识。

作为紧跟时代步伐的法律人，作为“专业选的好，每年都在高考的”的勤奋代表，我想各位法务已经学习过不少的数据合规相关的课程或讲座、沙龙等。例如，我印象比较深刻的就有：法培学苑的《企业数据合规的七个步骤》和2021数据安全与个人信息合规论坛：百度AI创新业务法务负责人：数字经济时代下企业的数据合规之道。特别是后者，让我看到一个法律人对于行业、企业、业务和技术以及法律的深刻理解。

那今天，我们也谈数据合规，谈什么？怎么谈？作为一个投资机构的法务，我想从一个具体的项目入手来看数据合规。

案例：深圳微众信用科技股份有限公司（科创板已终止）

先让我们来看下交易所有关数据合规的问询：

问题 7 关于数据合规

问题 7.1根据申报材料，发行人当前数据的采集主要有客户提供、向供应商采购和自行收集。

请发行人披露：客户提供、向供应商采购及自行搜集信息的具体实现方式、途径、三种方式下各自获取的数据内容及其差异、是否需要付费、是否需要获得授权等基本情况。

请发行人说明：（1）客户向发行人提供的数据中，其来源及合法合规性，客户是否有权从事该等业务，是否符合其相关行业的主管规定；发行人客户是否存在间接或变相向发行人提供不属于法律法规规定应当公开、或客户无权获取、提供的数据的行为；（2）发行人及发行人的数据供应商从事数据服务是否需要取得相应特殊资质、许可或备案，当前数据服务行业（提供商）的相关主要监管规定；发行人当前从事数据交易是否要求数据提供方说明数据来源，并留存审核、交易记录等内控机制；结合《数据安全法》的实施给发行人业务可能带来的影响，说明发行人后续的跟进、合规措施；是否存在不能取得相关资质、备案的风险；（3）数据供应商从事该等业务（销售数据）是否合法合规；该等采购的数据其来源是否合法合规，发行人是否有相应机制保障供应商提供数据的合规合规性；（4）发行人上述数据供应商是否曾因数据合规问题涉及诉讼或纠纷，发行人向上述数据供应商采购数据合同中是否约定相关因数据合规问题产生纠纷的解决机制；（5）发行人自行采集数据采用的技术，内容是否合法合规，程序是否正当；是否存在采用特殊互联网手段（或技术）采集法律法规规定不属于公开的社会信息或需要特殊许可等前置程序方可获取数据的情形；发行人采集需要信息主体授权方能获取的信息（包括纳税）等获得授权的具体实现方式；（6）发行是否存在因自行违规采集信息而受到主管当局处罚、信息主体投诉或诉讼等纠纷事项。

问题 7.2根据招股说明书，发行人主要从事数据服务并向银行等金融机构提供企业征信服务等。根据相关数据、征信方面的法律规范，发行人采集、提供相关信息必须得到相关授权及在法定、信息主体授权的范围内收集、运用。

请发行人说明：（1）发行人当前是否存在使用（采购）盗版软件（或数据库）的情形，发行人相关数据获取、处理等使用的软件（工具）是否存在侵权风险等；

（2）发行人是否从事境外数据的获取、处理、提供等涉外服务，如涉及，请说明是否符合征信相关法律、数据安全相关法律规定的涉外信息、数据安全的要求和程序，该类业务的合法合规性；（3）发行人是否存在数据（信息）泄露、遗失等数据安全问题，是否因此受到投诉、处罚或诉讼等数据安全纠纷；（4）发行人是否存在超出法律规定、信息主体授权的范围和目的收集信息、向客户提供数据的情形，是否在法律、行政法规规定的范围内履行必要的限度原则采集和运用信息；（5）发行人报告期内是否存在因数据合规问题而受到处罚、监管等情形；（6）发行人针对数据合规各环节（收集、处理、提供等）采取的内控措施及相应的纠纷解决机制。

请发行人律师就发行人数据的收集、处理、应用、提供等各环节是否符合《数据安全法》等数据（或电子数据）方面法律规范、《征信业管理条例》《征信机构管理办法》等征信业务方面法律规范进行核查并发表明确意见，就上述 7.1 和 7.2 问题进行核查并发表明确意见。

请发行人就上述所涉数据方面的合规问题、国家对数据合规管理更趋严格等

情形，结合发行人业务，做出综合、全面、针对性的重大事项提示和风险揭示。

从交易所的问询上，我们可以看出，科创板对与数据合规的主要审核要点主要有：

一、数据收集、处理和使用过程的合规；

《中华人民共和国网络安全法》（下称“网络安全法”）规定：网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

网络运营者不得收集与其提供的服务无关的个人信息，不得违反法律、行政法规的规定和双方的约定收集、使用个人信息，并应当依照法律、行政法规的规定和与用户的约定，处理其保存的个人信息。

另外，《数据安全管理办法（征求意见稿）》、《个人信息安全规范》、《App违法违规收集使用个人信息自评估指南》等文件也规定了收集和使用个人信息的要求。

案例中，中介机构主要从以下几方面来说明企业在数据收集、处理和使用过程中的合规情况：

公司现有业务涉及的数据采集模式，其数据的传输过程和授权过程；

公司依据相关法律法规，有权收集相关数据的依据；

公司取得监管机构的监管函，未出现违规行为

二、业务资质合规

根据我国目前的互联网监管体系，开展互联网业务所需的资质大体分两类，一类是工信部门负责的电信业务资质，另一类是其他部委按照各自职能分别负责的行业资质。

1、根据《中华人民共和国电信条例》（2016 年修订）的规定，国家对电信业务经营按照电信业务分类，实行许可制度。经营电信业务，必须取得国务院信息产业主管部门或者省、自治区、直辖市电信管理机构颁发的电信业务经营许可证。电信业务具体划分在《电信条例》附件《电信业务分类目录》中详细列出。企业应该根据自身业务分类确定应该申请的资质。

2、除了电信业务资质外，行业主管部门对各自监管领域内的业务分别有不同的准入门槛。案例中，企业主要从事企业征信业务，征信行业的监管规定主要包括《征信业管理条例》和《征信机构管理办法》。根据《征信业管理条例》第二十一条的规定，征信机构可以通过信息主体、企业交易对方、行业协会提供信息，政府有关部门依法已公开的信息，人民法院依法公布的判决、裁定等渠道，采集企业信息。法律法规未对征信行业（提供商）设置强制性的资质要求。

3、由于数据服务可能涉及多个行业，因此还需要根据企业的经营范围和主营业务确定其是否需要取得相关资质。常见的行业许可或备案主要是互联网文化、金融和医疗等行业。

从中介机答复情况来看，主要是以下几个方面来答复交易所的问询：

目前企业获得的资质情况

根据法律法规，企业应该获得哪些资质以及企业需要获得相关资质或许可的说明

三、企业针对数据合规各环节（收集、处理、提供等）采取的内控措施

《数据安全法》第二十七条规定：开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

重要数据的处理者应当明确数据安全负责人和管理机构，落实数据安全保护责任。

《网络安全法》第四十二条第二款规定，网络运营者应当采取技术措施和其他必要措施，确保其收集的个人信息安全，防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时，应当立即采取补救措施，按照规定及时告知用户并向有关主管部门报告。

根据《数据安全法》和《网络安全法》以及其他有关法律法规，结合案例中的企业，企业在数据合规方面需要加强的内控有：

加强网络安全等级保护测评，建立严格的网络安全保障及数据合规体系。

加强企业数据内控制度，建立完善的数据风险识别机制，网络合规的内控制度不限于加强介质、设备、机器环境、数据存储及处理等的管理，做好信息系统操作、数据库访问的记录以及机器备份、用户认证等。

规范数据业务操作流程管理，定期进行数据合规、信息安全方面的教育培训，围绕数据安全、信息安全，加强相关系统的用户管理、监控及审计机制，完善业务操作流程，确保数据安全的底限。