企业上市数据合规白皮书3.0版
AI智能总结
前言 从上市审核机构的视角,我们总结梳理上市审核的最新实践案例,结合一线数据合规丰富项目实践经验,撰写本《企业上市数据合规白皮书》。 机遇难挡:数据资本大时代 数据已经被誉为“第四产业”,我们正在迎接数据资本大时代。 数据作为生产要素,在驱动科研创新、推动数字经济发展等方面发挥战略作用,程、引导并规范人工智能发展等方式,打开数据资本化的大门国家通过建立数据基础制度、实施数据资源入表政策、推动数据要素X试点工。 重磅发布:数据20条,构建数据基础制度,奠定数据资本基调。2022年12月19日,《中共中央国务院关于构建数据基础制度更好发挥数据要素作用的意见》(以下简称“数据二十条”)正式发布,从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度,提出20条政策举措。《数据二十条》的出台,将直接激活数据要素潜能。 重大突破:数据资源入表,赋予数据资源金融属性。为充分实现《数据二十条》数据要素价值的目标,完善数据资产估值评价体系,2024年1月1日,财政部发布的《企业数据资源相关会计处理暂行规定》正式施行;后根据实操问题于2024年10月31日发布《数据资源会计处理实施问答》。数据资源入表对企业而言意义非凡,最直观的影响体现在企业财务报表层面,数据资源在满足条件的情况下由原来利润表中的“费用”变成了“资产”进入了资产负债表,这种突破,对数字企业的估值判断、质押融资、促进数据资源流通等方面产生诸多有利影响,为数据资源赋予了金融属性,使得数据要素发挥真正的价值,是实现数据资产创新应用的第一步。 全域覆盖:数据要素X试点工程,支持场景化发展和数据产业融资。2023年12月31日,国家数据局等17部门发布《“数据要素×”三年行动计划(2024—2026年)》,旨在通过推动数据在多场景应用,提高资源配置效率,创造新产业新模式,制定了工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低 碳等12个行业和领域的重点行动任务,并明确规定“依法合规探索多元化投融资模式,发挥相关引导基金、产业基金作用,引导和鼓励各类社会资本投向数据产业。支持数据商上市融资”。 人工智能:积极引导并规范人工智能发展。人工智能是引领新一轮科技革命和产业变革的关键力量,为应对人工智能技术发展给法律秩序带来的挑战,我国陆续制定并发布《互联网信息服务算法推荐管理规定》《互联网信息服务深度合成管理规定》《生成式人工智能服务管理暂行办法》及征求意见阶段的《人工智能生成合成内容标识办法(征求意见稿)》等,并辅以实践指导指南,如《网络安全标准实践指南——生成式人工智能服务内容标识方法》《生成式人工智能服务安全基本要求》和征求意见阶段的《网络安全标准实践指南——生成式人工智能服务安全应急响应指南》,旨在构建既能够鼓励创新又可以确保安全可控的人工智能发展环境。 压力山大:数据合规的“一票否决” 数据合规,作为IPO审核重点,已成为影响企业能否上市的关键因素之一。因数据不合规被一票否决的案例逐渐显现。 标配上市:数据合规专项“如虎添翼” 监管机构的数据合规监管能力已基本配置到位,并在不断增强实战经验,以应对纷繁复杂的数据处理场景。 企业上市的“原配”中介服务机构:券商、会所和律所三家,其专业知识领域已无法覆盖和胜任数据合规维度上的特殊性要求。因此,企业上市的第四项标配服务——IPO数据合规专项法律服务,应运而生。 这种新的变化趋势,在近期的上市企业中,不仅逐步常态化,更是显现了巨大的“能效”。 为积极应对上市审核机构数据合规专业细致的审查,不少拟上市企业在筹备上市阶段,甚至更早期,便开始配置数据合规专业法律服务,甚至是在数据产品的形成和确权过程就开始接受全程合规规划服务。 实战案例:审核视角下的“点睛”之术 从上市审核机构的视角,我们总结梳理上市审核的最新实践案例,结合一线数据合规丰富项目实践经验,撰写本《企业上市数据合规白皮书》。 本白皮书三大特点: 可视:所见即所得。采用思维导图、表格等可视化方式(本文所有思维导图与表格均为原创),清晰体现合规要点;可查:分门别类。以数据处理全生命周期为视角,将审核问询中的各案例拆解后,贯穿到数据收集、数据使用、数据共享、数据存储、境外上市/数据出境及数据安全保障的各个环节;可传:将审核相对应的问题,转化为共性的问题进行呈现,少走弯路,少踩坑。 目录 一、遴选:案例分析说明.........................................................................................9 问题1:如何界定个人信息?.........................................................................18问题2:如何界定敏感个人信息?.................................................................20问题3:处理敏感个人信息需要注意什么?.................................................22问题4:[更新]重要数据的定义是什么?.......................................................25问题5:[新增]如何识别重要数据?...............................................................26问题6:[更新]处理重要数据需要注意什么?...............................................31问题7:[新增]如何界定“关键信息基础设施运营者”?...........................35问题8:如何确认数据权属?.........................................................................36问题9:如何界定个人信息处理者与受托人?.............................................39问题10:提供数据服务是否需要相关资质、许可、认证及备案?...........40问题11:如何正确认知个人信息安全影响评估?.......................................43问题12:违规处理数据,需要承担哪些法律责任?...................................47 三、IPO数据合规核心40问.................................................................................49 (一)数据收集合规6问....................................................................................50 问题13:[更新]直接从用户获得数据,需要关注什么?......................53问题14:[更新]爬取第三方企业数据,是否会构成不正当竞争行为?.......................................................................................................................56问题15:如何避免爬虫被认定构成不正当竞争行为?........................61问题16:爬取政府公共数据,需要关注什么?....................................63 问题17:直接从第三方采购数据,需要关注什么?............................65问题18:如何建立数据收集环节的内控制度?....................................66 (二)数据使用合规15问..................................................................................67 问题19:未超范围使用数据,如何证明?............................................71问题20:未侵犯个人隐私或其他合法权益,如何证明?....................72问题21:如何分清不同数据处理身份的责任和义务?........................74问题22:委托他人处理个人信息,应该怎么做?................................76问题23:作为算法服务提供者,需要承担哪些主体义务与责任?....77问题24:什么情况下需要进行算法备案?............................................79问题25:如何进行算法备案?................................................................80问题26:使用数据进行个性化推荐,需要注意什么?........................82问题27:什么是互联网服务深度合成技术?........................................84问题28:深度合成服务提供者具有哪些义务?....................................85问题29:[新增]生成式人工智能服务提供者对生成内容承担何种责任?.......................................................................................................................87问题30:[新增]生成式人工智能服务提供者如何对生成合成内容进行信息标识?.......................................................................................................89问题31:[新增]如何保障大模型训练语料的安全性?..........................92问题32:哪些企业会被关注科技伦理问题?........................................96问题33:如何进行科技伦理治理?........................................................97 (三)数据共享合规5问..................................................................................100 问题34:共享数据前,需要做些什么?..............................................102问题35:作为共享数据接收方,需要关注什么?..............................104 问题36:数据共享场景下,各方的权责如何划分?..........................105问题37:集团数据融合/场景下,如何证明数据资产的独立性?.....106问题38:APP运营者如何安全使用SDK?.........................................107 (四)数据存储合规3问.........................
