中国上市公司数据合规案例研究报告 （2018-2022） 北京德和衡律师事务所 Tel：(+86 10) 8521-9100/9111 2022年8月 1 中国·北京市朝阳区建国门外大街2号银泰中心C座12层 (+86 10) 85407672 www.deheng.com 目录 第一章： 研究背景与意义 ...................................................................................... 2 第二章： 研究范围的界定 ...................................................................................... 3 一、 研究所涉及上市公司的范围 ............................................................................................ 3 二、 案例的来源及时间范围 .................................................................................................... 3 三、 研究范围的不周延性........................................................................................................ 4 四、 非营利性声明 ................................................................................................................... 4 第三章： 上市公司数据合规案例数据分析及风险防范建议 ................................ 5 一、 案例背景数据分析 ........................................................................................................... 5 二、 处罚对象数据分析 ........................................................................................................... 7 三、 数据合规之监管关注要点暨风险防范建议 ................................................................... 10 第四章： 上市公司及其工作人员处罚特征 ......................................................... 13 一、 处罚方式 ........................................................................................................................ 13 二、 处罚事由集中 ................................................................................................................. 13 三、 处罚对象地域、板块集中 .............................................................................................. 13 四、 涉及法律法规繁多，《网络安全法》为主要援引依据................................................. 13 五、 处罚对象业务经营与数据强相关 ................................................................................... 14 六、 处罚力度不断加大 ......................................................................................................... 14 第五章： 上市公司数据合规案例精选 ................................................................. 15 一、 工信部通报案例 ............................................................................................................. 15 二、 证监会查处、质询案例 .................................................................................................. 18 三、 其他行政处罚案例 ......................................................................................................... 46 四、 刑事案例 ........................................................................................................................ 47 附件：上市公司数据合规问题整合 ....................................................................... 53 2 中国·北京市朝阳区建国门外大街2号银泰中心C座12层 (+86 10) 85407672 www.deheng.com 第一章： 研究背景与意义 大数据时代，数据是一种重要的社会资源，并逐步成为重塑国家竞争优势、推进经济高质量发展的重要动能。然而，不断凸显的个人信息安全问题已成为影响数据价值释放的“绊脚石”。与此同时，我国个人信息保护还存在法律法规原则分散、政府监管能力不足、企业安全管理不规范等痛点、难点问题。自2016年公安部网安局牵头开展“打击整治网络侵犯公民个人信息犯罪专项行动”以来，监管部门以《网络安全法》为核心，先后出台一系列强监管政策，并根据市场变化对监管政策进行了细化和动态调整。 随着《数据安全法》《个人信息保护法》相继出台，监管机关对数据安全和个人信息保护问题的关注也提到一个新的高度。而上市公司作为重点监管对象，尤为需要依据过往监管处罚实践，总结数据合规要点，防范法律政策风险。因此，本报告旨在对近几年上市公司数据合规案例进行梳理和解读，以此展望不断更新的监管动态对企业数据合规实践的影响，并为企业合规落地提供建议。 3 中国·北京市朝阳区建国门外大街2号银泰中心C座12层 (+86 10) 85407672 www.deheng.com 第二章： 研究范围的界定 一、 研究所涉及上市公司的范围 《中国上市公司数据合规案例研究报告（2018-2022）》（以下简称《报告》）所涉及的上市公司（The listed company）是指公开发行的股票经过国务院或者国务院授权的证券管理部门批准在证券交易所上市交易的股份有限公司，包括在上海证券交易所（简称上交所/沪市）、深圳证券交易所（简称深交所/深市）上市的公司。另，上述公司子公司、分公司亦纳入到《报告》研究范围内。 鉴于全国中小企业股份转让系统挂牌公司（简称新三板）虽为非上市公众公司，但系我国多层次资本市场的重要组成部分，故《报告》在案例选取上，涵盖了新三板公司。 二、 案例的来源及时间范围 为保证研究的科学性、准确性和严谨性，《报告》选取的处罚通报、行政处罚决定书、审核问询函以在全国中小企业股份转让系统、上海证券交易所、北京证券交易所、中国证券监督管理委员会、工信部、网信办官方网站政务公开的信息为主，另查阅巨潮资讯网的公开通报，辅之以裁判文书（判决书、裁定书）数据作出的整合与综合分析。涉及五部分数据的来源、时间范围如下： 文书种类 数据来源1 时间依据 时间范围 问询函和审委会意见 中国证券监督管理委员会网站、巨潮资讯网站、全国中小企业股份转让系统网站上海证券交易所网站、深证证券交易所网站 文书作出之日 2017.6.1 —— 2022.8.3 数据处罚通报 网信办网站、工信部网站 1 巨潮资讯网站网址http://www.cninfo.com.cn/new/index 中共中央网络安全和信息化委员会办公室网址：http://www.cac.gov.cn/ 中国工业和信息化部网址：https://www.miit.gov.cn/ 中国证券监督管理委员会网站网址http://www.csrc.gov.cn/pub/newsite/ 全国中小企业股份转让系统网站网址http://www.neeq.com.cn/ 中国裁判文书网网址http://wenshu.court.gov.cn/ 上海证券交易所网址：http://www.sse.com.cn/ 深圳证券交易所网址：http://www.szse.cn/ 4 中国·北京市朝阳区建国门外大街2号银泰中心C座12层 (+86 10) 85407672 www.deheng.com 行政处罚决定书 中国裁判文书网站 刑事判决书 中国裁判文书网站 三、 研究范围的不周延性 囿于处罚通告、问询文书及裁判文书的公布不及时、不全面以及研究者所使用的调研、检索手段所限，故研究者系对2017年6月1日-2022年8月3日四年案例的选取研究，并非针对该时段和范围内的所有已发生的案件，本次调研可能会存在些许误差。 四、 非营利性声明 《报告》系研究者为学习、探讨使用，非为任何营利目的，且不许可或者授权任何第三方有任何的销售或者其他以营利为目的的传播行为。上述行为一经发现，发布者有权通过法律途径，要求其承担停止侵害等法律责任。 5 中国·北京市朝阳区建国门外大街2号银泰中心C座12层 (+86 10) 85407672 www.deheng.com 第三章： 上市公司数据合规案例数据分析及风险防范建议 一、 案例背景数据分析 笔者共搜索与上市公司数据合规问题有关的文书合计102篇，其中由主管单位发布的数据治理文书59篇，涉及上市公司73家。 （一） 处罚主体数据分析 研究范围中公司在上市阶段受到证券监管部门的问询和处罚共46次，占比45%；上市公司的产品和服务受到工信部作出的处罚通报共56篇，占55%。数据合规贯穿企业上市的全部阶段，其中不乏存在因公司处理失当而受到二次审核甚至终止上市的例子。而监管主体也横跨工信部、网信办、证监会等职权部门，与我国的“九龙治水”的多利益相关方治理特征相匹配，即上市公司不仅要把握证券监管部门的要求，还应关注其他数据相关法律规定和法律风险。