盈科原创丨以“今日校园”APP为例从公司上市数据合规审核看数据来源合规|app|盈科|运营|金智|隐私政策

导言

如果公司业务涉及数据处理，则“网络数据合规”已成为公司在上市过程中一道“必答题”，数据处理是否合规是审核问询的重点内容。我们梳理了近五年25家科技公司的招股说明书、问询函及答复书，共统计出141个关于数据合规方面的问询点。我们将挑选其中资料，按照数据收集、存储、使用、加工、传输、提供、公开的数据生命周期进行研究分析。数据公司一般通过“主动采集”、“数据自动获取”以及“数据采购”三种方式获得数据。本文将以2021年申请科创板上市的江苏金智教育信息股份有限公司（简称“金智教育”）为例，重点分析数据收集方式当中“主动采集”的合规要求。

金智教育基本情况

公开资料显示，金智教育成立于2008年1月，曾在2015年6月至2020年3月期间挂牌新三板，是一家高等教育信息化产品和服务提供商，通过智慧校园运营支撑平台和应用系统为基础，运用云计算、大数据和人工智能等技术，为高等院校和中职学校提供软件开发、运维及服务、系统集成等信息化服务。该公司已累计向1000余所高等院校和中职学校提供信息化服务。2020年9月24日公司科创板IPO上市申请获上交所受理，2020年10月23日获问询，2021年2月5日通过上市委审核，2021年3月9日提交注册，2021年12月31日公司主动申请撤回科创板上市而终止注册。

今日校园APP基本情况

“今日校园”APP是金智教育开发的一款移动应用，主要作为学校的移动门户平台，通过H5形式（即移动端的web页面）接入各类校园服务应用，包括金智教育提供的各类智慧校园应用系统和SaaS化产品，以及其他厂商提供的各类应用服务。该APP在苹果IOS系统appstore以及安卓系统的各大应用商城均提供下载。

（一）2020年存在的个人信息收集问题

2020年8月，“今日校园”APP(版本8.2.2)曾因为违规收集个人信息且未按照要求进行整改等原因，在工信部发布的第四批《关于侵害用户权益行为的APP通报》中被点名并责令限期整改，主要问题包括：①APP、SDK未告知用户收集个人信息的目的、方式、范围且未经用户同意，私自收集用户个人信息；②APP、SDK未向用户告知且未经用户同意，私自使用个人信息，将用户个人信息用于其提供服务之外的目的，特别是私自向其他应用或服务器发送、共享用户个人信息；③未明示收集的用户学生证信息等个人信息的目的、方式和范围。三个月之后，“网信中国”发布“关于35款App存在个人信息收集使用问题的通告”显示，“今日校园”APP仍然存在三方面问题：①未明示收集的用户学生证信息等个人信息的目的、方式和范围;②未提供有效的注销用户账号功能;③未建立并公布有效的个人信息安全投诉、举报渠道。

（二）上交所审核问题

上交所要求金智教育披露说明：（1）是否可以通过向客户提供公司主要产品及服务而直接或间接获得相关学校、师生的具体数据和个人资料等信息，如是，请说明获取条件、获取方式和信息范围；（2）上述数据和信息获取方式是否合法合规，是否符合相关监管要求或保密约定。

（三）“今日校园”APP隐私政策主要内容

我们登录“今日校园”APP查看其隐私政策，显示这一版隐私政策是2022年3月16日生效，主要内容包括：①我们如何收集和使用您的个人信息；②我们如何保存您的个人信息；③我们如何管理、保护您的个人信息；④我们如何使用cookie和同类技术；⑤我们如何共享、转让、公开披露您的个人信息；⑥您对您的个人信息的权利；⑦我们如何保护儿童；⑧本隐私政策如何更新；⑨如何联系我们。

数据主动采集法律风险点

（一）法规依据

自《网络安全法》生效以来，国内对数据采集的规制措施日益完备。根据《网络安全法》第四十一条规定，网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。该条款第一次确定了收集、使用个人信息应当遵循“合法、正当、必要”原则。

2021年正式施行的《个人信息保护法》第六条和第三十条则对上述原则做了进一步阐释：“符合下列情形之一的，个人信息处理者方可处理个人信息：（一）取得个人的同意……；处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式；收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息。”

在实务中，相关部门规章、国家和行业标准等对主动采集数据给出了具体指引，详细见下表：

（二）主动采集个人信息合规要点

参考APP专项治理工作组发布的《App违法违规收集使用个人信息自评估指南》、工信部发布的《App违法违规收集使用个人信息行为认定方法》，我们对主动采集个人信息的法律合规点进行了如下整理：

后记：需加强对第三方SDK审查，避免数据采集“内鬼”

我们查看“今日校园APP”《隐私政策》后发现，虽然该款APP经过整改后通过了工信部的审核，但该应用程序内嵌的SDK程序包可能仍然存在违规采集个人信息等合规问题。根据《隐私政策》内容显示，该款APP中嵌入了20个第三方SDK，其中，由上海游昆信息技术有限公司开发的SMS SDK和Share SDK在工信部通报2022年第一批侵害用户权益的APP中上榜，原因均是违规收集个人信息。

另外，“今日校园”APP中嵌入的一款用于提供聊天表情服务的“动图宇宙”SDK，在采集了包括IMEI、操作系统信息、IP地址、cookie信息等设备信息后，仍然扩大收集了用户的GPS信息。

随着对数据收集合规监管要求不断加强，最初监管重点主要针对没有隐私政策1和强制索取权限的APP，现在监管重点细化到数据采集方式是否公开透明、数据采集是否必要、注销账号的渠道有效性等问题。针对SDK等第三方服务的选择、定制和管理亦是不久后新的合规监管风险点。我们理解，从个人信息保护的角度而言，APP开发运营者与SDK提供者属于“委托关系”，但由于APP运营者是直接面对用户并提供交互服务，应当对其嵌入的SDK软件包等第三方服务承担更大的义务。数据处理公司在开发产品和服务时，应当与合规团队配合，加强对SDK等第三方服务的审查、选择和监管工作。

①隐私政策：详见2019年第1号《关于10款APP存在无隐私政策等问题的通报》

盈科原创丨“东数西算”中数据中心建设、运营合规指南

盈科原创丨境外上市网络安全审查合规要点

盈科原创丨欧盟GDPR案例研究·德国法院关于个人数据侵权案例分析（一）

作者简介