近年來，隨著數(shù)字經(jīng)濟的蓬勃發(fā)展，數(shù)據(jù)合規(guī)問題更加突出。自《數(shù)據(jù)安全法》和《個人信息保護法》正式實施以來，也意味著國家對數(shù)據(jù)安全合規(guī)的監(jiān)管力度正在逐步加強。同時，在數(shù)字時代，越來越多的企業(yè)在日常業(yè)務運營中面臨數(shù)據(jù)處理的需求，因此數(shù)據(jù)合規(guī)成為近年來IPO審核過程中的高頻問題之一。

• 發(fā)行人是否已建立有效的內部控制制度，以確保業(yè)務發(fā)展所涉及的數(shù)據(jù)的合規(guī)性；

• 發(fā)行人各項業(yè)務中所獲取的各類信息數(shù)據(jù)的具體儲存方式及期限、使用方式及用途，是否存在超出數(shù)據(jù)獲取協(xié)議或隱私政策的情形；

• 數(shù)據(jù)交易對手方是否具有獲取、使用、銷售數(shù)據(jù)的資質，該等數(shù)據(jù)來源是否合法，該類業(yè)務模式是否合規(guī)；

• 在相關產(chǎn)品的推廣、使用過程中，發(fā)行人的經(jīng)營活動、個人信息的處理（含收集、存儲、使用、加工、傳輸、提供、公開、刪除等）、發(fā)行人履行的義務是否符合《個人信息保護法》的相關要求及合規(guī)性；

• 公司是否存在關于數(shù)據(jù)合規(guī)方面的負面報道或新聞，請發(fā)行人梳理并進一步說明是否有足夠、有效的措施保障公司（及其員工）數(shù)據(jù)方面的合法合規(guī)性。

  
  

    除了針對一些常規(guī)性問題進行問詢外，IPO審核機構還會特別關注：

結合現(xiàn)行法律法規(guī)及IPO審核問詢情況，擬上市公司在日常運營過程中，如涉及數(shù)據(jù)處理活動，應注意以下事項：

（一）根據(jù)法律法規(guī)取得資質

企業(yè)要確定其在數(shù)據(jù)安全領域的身份以及基于業(yè)務實質收集和使用的數(shù)據(jù)的性質，需要及時獲得相關資質或進行預審。例如，根據(jù)《關鍵信息基礎設施安全保護條例》和《網(wǎng)絡安全審查辦法》，關鍵信息基礎設施運營者應當進行網(wǎng)絡安全審查。

（二）遵循數(shù)據(jù)處理的基本原則

根據(jù)《網(wǎng)絡安全法》、《數(shù)據(jù)安全法》等相關規(guī)定，收集和使用個人信息的，應當遵循合法、正當、必要原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

（三）完善數(shù)據(jù)安全管理規(guī)范

數(shù)據(jù)安全涵蓋數(shù)據(jù)處理的方方面面，包括數(shù)據(jù)采集、存儲、使用、處理、傳輸、提供等一系列環(huán)節(jié)，企業(yè)應針對每個環(huán)節(jié)制定有針對性的管理規(guī)范，加強數(shù)據(jù)處理各個環(huán)節(jié)的合規(guī)性，例如：按照“最小必要”原則收集數(shù)據(jù)和個人信息，建立供應商數(shù)據(jù)來源審查機制，建立健全數(shù)據(jù)存儲機制在存儲敏感信息時采用加密等安全措施等。

（四）采用技術防護手段，保證數(shù)據(jù)安全

企業(yè)應當通過技術手段建立對數(shù)據(jù)的網(wǎng)絡隔離措施、數(shù)據(jù)權限管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)溯源及備份等，保證數(shù)據(jù)安全。

（五）加強內部人員的管理與培訓

擬上市企業(yè)應加強對內部員工在數(shù)據(jù)安全方面的控制。例如，簽署嚴格、細致的保密協(xié)議，請數(shù)據(jù)安全服務機構進行安全意識培訓，定期開展數(shù)據(jù)安全應急處理活動等。

數(shù)據(jù)合規(guī)是企業(yè)合規(guī)的重要組成部分，企業(yè)可以進行數(shù)據(jù)合規(guī)體檢，識別整個數(shù)據(jù)供應鏈的風險， 盡早進行合規(guī)整改來應對機構審查與監(jiān)管。

敏捷科技已累計為近800余家上市公司提供了合法合規(guī)的數(shù)據(jù)安全產(chǎn)品和咨詢服務。未來，在數(shù)據(jù)安全法等法律法規(guī)的嚴格監(jiān)管下，敏捷將立足于企業(yè)需求，發(fā)揮自身技術優(yōu)勢與項目經(jīng)驗，助力更多企業(yè)的數(shù)字化轉型與長遠發(fā)展。