2024年企业上市数据合规白皮书.pdf

1、1/132二二四年二月二二四年二月企业上市数据合规白皮书企业上市数据合规白皮书段和段高亚平律师团队上海数据交易所2/132前言前言从上市审核机构的视角，我们总结梳理上市审核的最新实践案例，结合一线数据我们总结梳理上市审核的最新实践案例，结合一线数据合规丰富项目实践经验合规丰富项目实践经验，撰写本企业上市数据合规白皮书。机遇难挡：数据资本大时代数据已经被誉为“第四产业”，我们正在迎接数据资本大时代。机遇难挡：数据资本大时代数据已经被誉为“第四产业”，我们正在迎接数据资本大时代。数据作为生产要素，在驱动科研创新、推动数字经济发展等方面发挥战略作用，国家通过建立数据基础制度、实施数据资源入表政策、推

2、动数据要素 X 试点工程等方式，打开数据资本化的大门。重磅发布：数据重磅发布：数据 20 条，构建数据基础制度，奠定数据资本基调条，构建数据基础制度，奠定数据资本基调。2022 年 12月 19 日，中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见（以下简称“数据二十条”）正式发布，从数据产权、流通交易、收从数据产权、流通交易、收益分配、安全治理等方面构建数据基础制度益分配、安全治理等方面构建数据基础制度，提出 20 条政策举措。数据二十条的出台，将直接激活数据要素潜能。重大突破：数据资源入表，赋予数据资源金融属性重大突破：数据资源入表，赋予数据资源金融属性。为充分实现数据二十条

3、数据要素价值的目标，完善数据资产估值评价体系，2024 年 1 月 1 日，财政部发布的企业数据资源相关会计处理暂行规定正式施行。对企业而言意义非凡，最直观的影响体现在企业财务报表层面，数据资源在满足条件的情况下由原来利润表中的“费用”变成了“资产”进入了资产负债表，这种突破，对数字企业的估值判断、质押融资、促进数据资源流通等方面产生对数字企业的估值判断、质押融资、促进数据资源流通等方面产生诸多有利影响，为数据资源赋予了金融属性诸多有利影响，为数据资源赋予了金融属性，使得数据要素发挥真正的价值，是实现数据资产创新应用的第一步。全域覆盖：数据要素全域覆盖：数据要素 X 试点工程，支持场景化发展和

4、数据产业融资。试点工程，支持场景化发展和数据产业融资。2023年 12 月 31 日，国家数据局等 17 部门发布 “数据要素”三年行动计划(20242026 年)，旨在通过推动数据在多场景应用，提高资源配置效率，创造新产业新模式，制定了工业制造、现代农业、商贸流通、交通运输、金融服务、科技创新、文化旅游、医疗健康、应急管理、气象服务、城市治理、绿色低碳等 12 个行业和领域的重点行动任务，并明确规定“依法合规探索多元化段和段高亚平律师团队上海数据交易所3/132投融资模式，发挥相关引导基金、产业基金作用，引导和鼓励各类社会资本引导和鼓励各类社会资本投向数据产业。支持数据商上市融资投向数据产业

5、。支持数据商上市融资”。压力山大：数据合规的“一票否决”压力山大：数据合规的“一票否决”数据合规，作为 IPO 审核重点，已成为影响企业能否上市的关键因素之一。因数据不合规被一票否决的案例逐渐显现。标配上市：数据合规专项“如虎添翼”监管机构的数据合规监管能力已基本配置到位，并在不断增强实战经验，以应标配上市：数据合规专项“如虎添翼”监管机构的数据合规监管能力已基本配置到位，并在不断增强实战经验，以应对纷繁复杂的数据处理场景对纷繁复杂的数据处理场景。企业上市的“原配”中介服务机构：券商、会所和律所三家，其专业知识领域已无法覆盖和胜任数据合规维度上的特殊性要求。因此，企业上市的第四项标配服务IPO

6、 数据合规专项法律服务，应运而生。这种新的变化趋势，在近期的上市企业中，不仅逐步常态化，更是显现了巨大的“能效”。为积极应对上市审核机构数据合规专业细致的审查，不少拟上市企业在筹备上市阶段，甚至更早期，便开始配置数据合规专业法律服务，甚至是在数据产品的形成和确权过程就开始接受全程合规规划服务。实战案例：审核视角下的“点睛”之术实战案例：审核视角下的“点睛”之术从上市审核机构的视角，我们总结梳理上市审核的最新实践案例，结合一线数据我们总结梳理上市审核的最新实践案例，结合一线数据合规丰富项目实践经验合规丰富项目实践经验，撰写本企业上市数据合规白皮书。本白皮书三大特点：可视可视：所见即所得。采用思维

7、导图、表格等可视化方式（本文所有思维导图与表格均为原创），清晰体现合规要点；可查可查：分门别类。以数据处理全生命周期为视角，将审核问询中的各案例拆解后，贯穿到数据收集、数据使用、数据共享、数据存储、境外上市/数据出境及数据安全保障的各个环节；段和段高亚平律师团队上海数据交易所4/132可传可传：将审核相对应的问题，转化为共性的问题进行呈现，少走弯路，少踩坑。段和段高亚平律师团队上海数据交易所5/132目 录目 录一、遴选：案例分析说明一、遴选：案例分析说明.8二、数据合规“打底”问题解析二、数据合规“打底”问题解析.12问题 1：如何界定个人信息？.16问题 2：如何界定敏感个人信息？.18问

8、题 3：处理敏感个人信息需要注意什么？.20问题 4：如何界定重要数据？.23问题 5：处理重要数据需要注意什么？.27问题 6：如何确认数据权属？.29问题 7：如何界定个人信息处理者与受托人？.32问题 8：提供数据服务是否需要相关资质、许可、认证及备案？.33问题 9：如何正确认知个人信息安全影响评估？.36问题 10：违规处理数据，需要承担哪些法律责任？.40三、三、IPO 数据合规核心数据合规核心 40 问问.42(一一)数据收集合规数据收集合规 6 问问.43问题 11：直接从用户获得数据，需要关注什么？.44问题 12：爬取第三方企业数据，是否会构成不正当竞争行为？.47问题 1

9、3：如何避免爬虫被认定构成不正当竞争行为？.51问题 14：爬取政府公共数据，需要关注什么？.53问题 15：直接从第三方采购数据，需要关注什么？.55问题 16：如何建立数据收集环节的内控制度？.56(二二)数据使用合规数据使用合规 12 问问.57段和段高亚平律师团队上海数据交易所6/132问题 17：未超范围使用数据，如何证明？.60问题 18：未侵犯个人隐私或其他合法权益，如何证明？.61问题 19：如何分清不同数据处理身份的责任和义务？.63问题 20：委托他人处理个人信息，应该怎么做？.65问题 21：作为算法服务提供者，需要承担哪些主体义务与责任？.66问题 22：什么情况下需要

10、进行算法备案？.68问题 23：如何进行算法备案？.69问题 24：使用数据进行个性化推荐，需要注意什么？.71问题 25：什么是互联网服务深度合成技术？.73问题 26：深度合成服务提供者具有哪些义务？.74问题 27：哪些企业会被关注科技伦理问题？.76问题 28：如何进行科技伦理治理？.77(三三)数据共享合规数据共享合规 5 问问.80问题 29：共享数据前，需要做些什么？.82问题 30：作为共享数据接收方，需要关注什么？.84问题 31：数据共享场景下，各方的权责如何划分？.85问题 32：集团数据融合/场景下，如何证明数据资产的独立性？.86问题 33：APP 运营者如何安全使用

11、 SDK？.87(四四)数据存储合规数据存储合规 3 问问.90问题 34：数据存储，需要关注哪些合规要点？.91问题 35：个人生物识别信息应如何存储？.94问题 36：数据存储的尽头是删除？.95段和段高亚平律师团队上海数据交易所7/132(五五)境外上市境外上市/数据出境合规数据出境合规 7 问问.96问题 37：什么情形下构成数据出境行为？.98问题 38：境外（香港或国外）上市，应申报网络安全审查吗？.99问题 39：境外上市过程中的数据出境，如何合规？.101问题 40：向境外提供数据前，需要做些什么？.103问题 41：触发数据出境安全评估的情形有哪些？.105问题 42：如何进

12、行数据出境安全评估？.106问题 43：个人信息跨境处理的合规路径有哪些？.109(六六)数据安全保障合规数据安全保障合规 7 问问.110问题 44：数据合规的法定义务有哪些？.114问题 45：如何建立数据安全内部管理制度？.117问题 46：什么情况下应当设置数据安全负责人、个人信息保护负责人？.120问题 47：APP/小程序被监管部门责令限期整改，是否会对上市造成影响？.121问题 48：发生个人信息泄露时，个人信息处理者应当怎么办？.123问题 49：数据处理涉刑，是否还有机会？.125问题 50：如何对外证明数据合规实力？.128作者介绍：作者介绍：.130段和段高亚平律师团队上

13、海数据交易所8/132一、遴选：案例分析说明一、遴选：案例分析说明我们精心遴选了从 2019 年至 2024 年 1 月 5 日 48 家具有典型代表性的企业家具有典型代表性的企业1，汇，汇总了这些企业总了这些企业在上市过程中被审核机构问询的相关数据合规问题。其中在深交所其中在深交所创业板申请上市的企业数量最多，共有创业板申请上市的企业数量最多，共有 25 家企业（占比约为家企业（占比约为 52%）、在上交所在上交所科创板申请上市的企业数量次之，共有科创板申请上市的企业数量次之，共有 15 家企业（占比约为家企业（占比约为 31%）；其余，2家企业在深交所主板申请上市、5 家企业申请在北交所申

14、请主板上市、1 家企业在港交所主板申请上市。在上市行业分类中，有 25 家企业归类为软件和信息技术服务业，数量最多，家企业归类为软件和信息技术服务业，数量最多，8家企业为计算机、通信和其他电子设备制造业，家企业为计算机、通信和其他电子设备制造业，5 家企业为互联网和相关服务家企业为互联网和相关服务，其他企业零散分布于零售业、商业服务业、电信、广播电视和卫星传输服务等行业。1截止 2024 年 1 月 5 日，本企业上市数据合规白皮书摘录的拟上市公司数据相关问询问题的案例截止至 2024 年 1 月 5 日。段和段高亚平律师团队上海数据交易所9/132具体如下表所示：序号序号发行人发行人行业分类

15、行业分类一一深交所创业板深交所创业板1未来穿戴计算机、通信和其他电子设备制造业2金智教育软件和信息技术服务业3多彩新媒电信、广播电视和卫星传输服务4衡泰技术软件和信息技术服务业5联众网络软件和信息技术服务业6麦驰物联计算机、通信和其他电子设备制造业7长城信息计算机、通信和其他电子设备制造业8绿联科技计算机、通信和其他电子设备制造业9睿联技术计算机、通信和其他电子设备制造业10数聚智连零售业11东富龙科技制药装备行业12小影创新软件和信息技术服务业段和段高亚平律师团队上海数据交易所10/132序号序号发行人发行人行业分类行业分类13大汉软件软件和信息技术服务业14木瓜移动互联网和相关服务15墨迹

16、天气科技推广和应用服务业16宇谷科技软件和信息技术服务业17杭州小影软件和信息技术服务业18木仓科技互联网和相关服务19熙华检测研究和试验发展20联众信息软件和信息技术服务业21零点有数商务服务业22兆尹科技软件和信息技术服务业23新视云软件和信息技术服务业24宇谷科技互联网和相关服务25黔通智联软件和信息技术服务业二二上交所科创板上交所科创板26佰聆数据互联网和相关服务27合合信息软件和信息技术服务业28碧兴物联节能环保行业29长光卫星软件和信息技术服务业30格蓝若计算机、通信和其他电子设备制造业31沃太能源电气机械和器材制造业段和段高亚平律师团队上海数据交易所11/132序号序号发行人发行

17、人行业分类行业分类32长光卫星软件和信息技术服务业33中数智汇软件和信息技术服务业34奥比中光计算机、通信和其他电子设备制造业35蚂蚁集团互联网和相关服务36青云科技软件和信息技术服务业37京东数科软件和信息技术服务业38微众信科软件和信息技术服务业39海天瑞声软件和信息技术服务业40旷视科技软件和信息技术服务业三三深交所主板深交所主板41太川股份计算机、通信和其他电子设备制造业42玮言服饰纺织服装、服饰业四四北交所主板北交所主板43思迅软件软件和信息技术服务业44华信永道软件和信息技术服务业45路桥信息软件和信息技术服务业46并行科技软件和信息技术服务业47华夏电通软件和信息技术服务业五五港

18、交所主板港交所主板48蔚来非必需性消费-汽车段和段高亚平律师团队上海数据交易所12/132二、数据合规“打底”问题解析二、数据合规“打底”问题解析通过分析证监会/证券交易所（合称“上市审核机构”）披露的各拟上市企业数据相关问询内容可知，对于以数据为主营业务的拟上市企业，审核机构核心关注以下问题：(1)发行人是否存在处理个人信息、敏感个人信息的情形，处理方式是否合规；(2)发行人对个人信息主体权利保障情况；(3)发行人是否掌握重要数据；(4)发行人是否取得相关的数据权属；(5)发行人是否取得数据处理相关的资质、许可、认证及备案；(6)数据处理行为是否符合相关法律法规的规定，是否存在被处罚的风险。

19、关注焦点关注焦点问询对象问询对象/时间时间2问询内容问询内容个人信息华信永道32022 年 10 月公司是否存在收集或使用客户数据的情形。请发行人结合公司业务开展模式、具体业务内容、产品应用场景及产品功能等，分析说明公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形。未来穿戴42023 年 7 月说明“未来穿戴”APP 获取用户个人信息的具体情况，包括获取个人信息的范围、个人信息存储地、访问权限、使用权归属、发行人对相关个人信息的使用情况及合法合规性，个人用户是否知情同意。玮言服饰52023 年 8 月说明微商城的注册用户数及活跃用户数，线上销售（含淘宝/

20、天猫、微商城等所有渠道）过程中是否可以直接或间接获得用户的具体数据和个人资料等信息，如是，请说明获取条件、获取方式和信息范围。2时间指发行人或发行人中介机构回复问询时间3关于华信永道（北京）科技股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复4关于未来穿戴健康科技股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复5关于深圳市玮言服饰股份有限公司首次公开发行人民币普通股股票并在主板上市的补充法律意见书（二）段和段高亚平律师团队上海数据交易所13/132关注焦点关注焦点问询对象问询对象/时间时间2问询内容问询内容金智教育62023

21、年 9 月说明“今日校园”APP 及各类 SaaS 产品获取用户个人信息的具体情况，包括获取个人信息的范围、个人信息存储地、访问权限、使用权归属、发行人对相关个人信息的使用情况及合法合规性，个人用户是否知情同意。佰聆数据72023 年 9 月数据来源、数据内容是否涉及个人隐私或涉密信息。多彩新媒82023 年 9 月业务过程中所涉获取用户个人信息及合规性，并在招股说明书风险因素章节补充披露相关风险。衡泰技术92023 年 9 月说明发行人控制和运营的 APP、小程序、公众号、网站及其运营模式，获取的个人数据数量及类型。敏感个人信息联众网络102022 年 7 月说明报告期各期发行人仓储的病案数

22、量及病案中所含信息，是否属于敏感个人信息，相关病案的存储方式及保护措施。麦驰物联112023 年 5 月说明使用生物识别技术的具体产品及应用场景，是否存在采集、储存、使用业主身份证、手机号、人脸图像等敏感信息的情形，采集、储存、使用上述敏感信息的具体方式和使用情况，被采集人是否充分知情，发行人及相关主体是否取得被采集人的同意。太川股份122023 年 12 月说明使用生物识别技术的具体产品及应用场景，是否存在采集、储存、使用业主身份证、手机号、人脸图像等敏感信息的情形，采集、储存、使用上述敏感信息的具体方式和使用情况。6关于江苏金智教育信息股份有限公司首次公开发行股票并在创业板上市申请文件的第

23、二轮审核问询函的回复7关于佰聆数据股份有限公司首次公开发行股票并在科创板上市申请文件审核问询函的回复8广东华商律师事务所关于贵州多彩新媒体股份有限公司首次公开发行股票并在创业板上市的补充法律意见书(五)9关于杭州衡泰技术股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函之回复报告10关于上海联众网络信息股份有限公司首次公开发行股票并在创业板上市申请文件第二轮审核问询函的回复11关于深圳市麦驰物联股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函的回复12关于珠海太川云社区技术股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复段和段

24、高亚平律师团队上海数据交易所14/132关注焦点关注焦点问询对象问询对象/时间时间2问询内容问询内容个人信息主体权利太川股份132023 年 12 月说明被采集人是否充分知情，发行人及相关主体是否取得被采集人的同意；业主是否有权利拒绝发行人及相关主体收集相关数据；业主是否有权利拒绝发行人及相关主体收集相关数据，如拒绝，是否影响业主正常出入小区等合法权益，相关约定是否实际具有强制性。补充披露发行人楼宇对讲门禁及智能家居产品相关 APP、小程序等软件是否持续调用用户位置、照片、联系人等信息，如是，说明相关功能的必要性，是否涉嫌侵犯用户隐私。重要数据长城信息142022 年 9 月结合产品销售及经营

25、模式，分析说明发行人是否掌握重要数据或掌握重要数据或掌握 100 万人以上个人信息万人以上个人信息。绿联科技152023 年 9 月发行人是否属于“掌握重要数据，或者掌握 100 万人以上个人信息的企业机构”。睿联技术162023 年 9 月请发行人说明是否掌握重要数据或掌握 100 万人以上个人信息。数据权属合合信息172022 年 9 月发行人各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形。数聚智连182022 年 10 月说明发行人自电商平台获取数据的主要类型（如用户个人信息、订单管理信息、平台运营信息等），是否取得相关数据的所有权。碧兴物联

26、192023 年 4 月发行人各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形；13关于珠海太川云社区技术股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复14关于长城信息股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函的回复15关于深圳市绿联科技股份有限公司首次公开发行人民币普通股股票并在创业板上市的补充法律意见书（六）16关于深圳市睿联技术股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复17关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的首轮审

27、核问询函的回复18关于北京数聚智连科技股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复19关于碧兴物联科技（深圳）股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函之回复报告段和段高亚平律师团队上海数据交易所15/132关注焦点关注焦点问询对象问询对象/时间时间2问询内容问询内容华夏电通202023 年 11 月发行人是否享有数据的所有权或获得相关数据主体的授权许可，相关授权许可是否存在使用范围、主体或期限等方面的限制资质许可并行科技212022 年 9 月结合发行人超算云服务的业务模式和实质，涉及上游超算基础设施、下游高等院校、科研院所等客户的法律法规、

28、监管政策对于超算设施管理、超算第三方服务、信息数据安全和保密等方面的要求，说明发行人从事超算领域业务是否已取得相关资质、许可或认证。东富龙科技222022 年 7 月发行人及控股子公司、参股公司是否为客户提供个人数据存储及运营的相关服务，是否存在收集、存储个人数据，对相关数据挖掘及提供增值服务等情况；如是，请说明是否取得相应资质及提供服务的具体情况。佰聆数据232023 年 9 月是否获得相关权利主体或主管部门的明确授权许可，是否存在适用范围、主体或期限等方面的限制，发行人是否存在超出前述限制使用数据或其他侵犯个人隐私、第三方合法权益的情形。金智教育242023 年 9 月说明圆周网络运营“今

29、日校园”APP 等相关业务是否需取得增值电信业务经营许可证；发行人及各子公司是否已取得经营所需的全部资质许可，经营业务是否存在超出许可资质或经营范围的情形。处罚风险小影创新252022 年 4 月对个人信息的处理和使用是否符合个人信息保护法规定的处理规则；是否存在违法违规行为或被行政处罚的风险，是否对发行人构成重大不利影响。大汉软件262023 年 9 月结合业务流程、合同条款等，说明业务开展中是否符合 数据安全法 网络安全法 个人信息保护法 电信和互联网用户个人信息保护规定等数据安全及信息保护相关法20关于北京华夏电通科技股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文

30、件的审核问询函的回复21关于北京并行科技股份有限公司公开 发行股票并在北交所上市申请文件的审核问询函之回复22关于东富龙科技集团股份有限公司申请向特定对象发行股票的审核问询函之回复报告23关于佰聆数据股份有限公司首次公开发行股票并在科创板上市申请文件审核问询函的回复24关于江苏金智教育信息股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复25关于杭州小影创新科技股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复26上海市锦天城律师事务所关于大汉软件股份有限公司首次公开发行股票并在深圳证券交易所创业板上市的补充法律意见书（六）段和段高亚平律师团队上

31、海数据交易所16/132关注焦点关注焦点问询对象问询对象/时间时间2问询内容问询内容律法规的规定，是否存在纠纷或潜在纠纷。表表 1 数据基础相关问询数据基础相关问询问题问题 1：如何界定个人信息？：如何界定个人信息？根据个人信息保护法27（下称“个信法”）的规定，个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。即个人信息个人信息=已识别个人信息已识别个人信息+可识别个人信息匿名化信息可识别个人信息匿名化信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程，与“去标识化”相对，后者指个人信息经过处理，使其在不借助额外信息

32、的情况下无法识别特定自然人的过程。我们以一个典型案例分析个人信息与非个人信息的区别。在 2022 年 5 月，为了维护网络空间的健康秩序，在用户在发表评论/发布内容时，各大网络平台强制公开用户 IP 属地28信息，一时间引发舆论监管与个人信息保护的激烈论战（具体参见本团队文章“个人信息”的判定绝非易事IP 属地遇到拦路虎“再识别技术”）。那么，IP 属地信息究竟是否构成个人信息？(1)IP 属地属地IP 地址地址。IP 地址是指对计算机等上网设备进行唯一标识的一串 32位二进制数，指向具有唯一性，能够单独识别到个人，因而属于个人信息；(2)IP 属地对应的是宽泛的地理区域，单从境内账号展示的地

33、域信息维度来看，省级地域内的用户数量庞大，难以直接通过该信息识别到或关联到特定的自然人，不构成“单独识别个人”的信息；然而，若与用户已于平台公开的工作单位、工作经历、头像等信息相结合，却有可能构成“与其他信息结合识别个人”的信息，或属于将 IP 地址进行去标识化（而非匿名化）措施后得到的27发布机构：全国人大常委会；2021.08.20 发布；2021.11.01 实施28针对境内账号，仅展示省（自治区、直辖市）；针对境外账号，仅展示国家（地区）段和段高亚平律师团队上海数据交易所17/132个人信息。由此可见，IP 属地是否构成个人信息，需要结合具体场景，评估其对特定自然人的可识别性所起的作用

34、程度；同时，亦有赖于实践对于“可识别”个人信息认定边界的把握尺度。段和段高亚平律师团队上海数据交易所18/132问题问题 2：如何界定敏感个人信息？：如何界定敏感个人信息？与一般的个人信息相比，敏感个人信息一旦被泄露或者滥用，往往会对个人信息主体造成更大的人身或者财产损害，因此敏感个人信息应该受到更为严格的保护。根据个信法的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者才可处理敏感个人信息。敏感个人信息的处理情况也愈加受到上市审核机构的重视。如联众网络29，一家作为为医疗管理部门、医院等提供无纸化病案、DRGs 绩效考核等软件服务的公司，在其上市审核过程中

35、，被上市审核机构重点关注其业务开展过程中是否涉及病案信息等敏感个人信息的处理以及处理的合规性。因此，如何在个人信息中精准识别并区分敏感个人信息尤为重要。基础法律定义基础法律定义根据个信法的规定，敏感个人信息是一旦泄露泄露或者非法使用非法使用，容易导致自然导致自然人的人格尊严受到侵害人的人格尊严受到侵害或者人身、财产安全受到危害人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。通用性国标通用性国标参考 GB/T352732020信息安全技术 个人信息安全规范30（下称“个人信息安全规范”），个人敏感信息是指

36、一旦泄露、非法提供或滥用可能危害人身和财产安全，极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14 岁以下（含）儿童的个人信息和涉及自然人隐私的信息属于敏感个人信息。具体如下表所示：292021 年 12 月 29 日，深交所受理联众网络上市申请，经历 2 轮问询后，联众网络于 2022 年 8 月 30 日撤回申请并终止审核30发布机构：全国信息安全标准化技术委员会；2020.03.06 发布；2020.10.01 实施段和段高亚平律师团队上海数据交易所19/132要点要点内容内容个人财产信息银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产

37、信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。个人健康生理信息个人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等。其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。表表 2

38、敏感个人信息列举敏感个人信息列举特殊行业定义特殊行业定义针对特殊行业，主管部门可能会结合实际监管需要，出台细化规定。如以汽车数据为例，对应的敏感个人信息定义如下：根据汽车数据安全管理若干规定（试行）31的规定，敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或者人身、财产安全受到严重危害的个人信息，包括车辆行踪轨迹、音频、视频、车辆行踪轨迹、音频、视频、图像和生物识别特征图像和生物识别特征等信息。31发布机构：网信办、发展改革委、工信部、公安部、交通运输部；2021.08.16 发布；2021.10.01 实施段和段高亚平律师团队上海数据交易所20/13

39、2问题问题 3：处理敏感个人信息需要注意什么？：处理敏感个人信息需要注意什么？考虑到敏感个人信息的特殊性，我国在一般个人信息的处理规则的基础上，对敏感个人信息的全生命周期处理流程提出了特殊的保护要求。在组织机构的设置上，根据个人信息安全规范第 11.1 条，处理超过 10 万人万人的个人敏感信息的组织即应当设置个人信息保护负责人；而对于处理一般个人信息的，则放宽至 100 万人万人。（详见“问题 46：什么情况下应当设置数据安全负责人、个人信息保护负责人？”）根据个信法与个人信息安全规范，我们从敏感个人信息的处理原则、处理条件、特殊告知与同意要求、传输与存储、使用、注销账户、公开、安全事件、组

40、织机构等维度，独创独创梳理敏感个人信息处理要点如下表所示，需要特别关注的内容我们加粗显示（下表中未涉及的内容应依据一般个人信息处理规则处理）：序号序号要点要点内容内容1处理原则处理原则(1)具有特定的目的和充分的必要性；(2)采取严格保护措施。2个人信息保护影响评估个人信息处理者应当在处理敏感个人信息前，进行个人信息保护影响评估，并对处理情况进行记录（详见“问题 9：如何正确认知个人信息安全影响评估？”）。3特殊告知要求(1)履行一般告知义务履行一般告知义务（详见“问题 11：直接从用户获得数据，需要关注什么？”）：(a)个人信息处理者的名称或者姓名和联系方式；(b)个人信息的处理目的、处理方

41、式，处理的个人信息种类、保存期限；(c)个人行使个信法规定权利的方式和程序；(d)法律、行政法规规定应当告知的其他事项。(2)履行特殊告知义务履行特殊告知义务：向个人告知处理敏感个人信息的必要性以及对个人权益的影响（依照个信法规定可以不向个人告知的除外32）；32根据个信法第十八条的规定：个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。紧急情况下为保护自然人的生命健康和段和段高亚平律师团队上海数据交易所21/132序号序号要点要点内容内容(3)告知方式告知方式：宜在收集敏感个人信息前，通过交互界面或设计（如弹窗、文字说明、填

42、写框、提示条、提示音等形式），向个人信息主体履行告知义务。4单独同意单独同意(1)单独同意单独同意：处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定；(2)同意方式同意方式：宜通过个人信息主体对信息收集主动作出肯定性动作（如勾选、点击“同意”或“下一步”等）征得其明示同意，而非默认同意；(3)撤回同意撤回同意：所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范围；(4)未成年人的特殊情形未成年人的特殊情形：(a)应当取得未成年人的父母或者其他监护人的同意；(b)个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个

43、人信息处理规则。5传输与存储(1)传输和存储个人敏感信息时，应采用加密33等安全措施；(2)个人生物识别信息应与个人身份信息分开存储；(3)原则上不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：(a)仅存储个人生物识别信息的摘要信息34；(b)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；(c)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像35。6使用访问权限访问权限：对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需求触发操作授权。7注销账户注销账户的过程中需收集敏

44、感个人信息核验身份时，应明确收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知33采用密码技术时宜遵循密码管理相关国家标准34摘要信息通常具有不可逆特点，无法回溯到原始信息35个人信息控制者履行法律法规规定的义务相关的情形除外段和段高亚平律师团队上海数据交易所22/132序号序号要点要点内容内容化处理等。8公开(1)进行个人信息保护影响评估；(2)向个人信息主体告知公开的目的、涉及的个人敏感信息的内容；(3)取得个人单独同意的；(4)不应公开：我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果。9安全事

45、件考虑到敏感个人信息一旦泄露或者非法使用，容易导致自然人的合法权益受到侵害，若发生或者可能发生敏感个人信息泄露、篡改、丢失的，建议按照“问题 48：发生个人信息泄露时，应当怎么办？”履行法定补救与通知义务，并留存证件，以自证清白。10组织机构组织机构(1)个人信息保护负责人个人信息保护负责人：处理超过 10 万人的个人敏感信息的，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作（详见“问题 46：什么情况下应当设置数据安全负责人、个人信息保护负责人？”）；(2)员工管理员工管理：应与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触敏感个人信息的人员进行背景审查

46、，以了解其犯罪记录、诚信状况等。表表 3 敏感个人信息处理规则敏感个人信息处理规则段和段高亚平律师团队上海数据交易所23/132问题问题 4：如何界定重要数据？：如何界定重要数据？与一般数据相比，重要数据一旦被泄露或滥用，往往会给国家安全、公共利益造成更大的损害，因此，从网络安全法36（“网安法”）到数据安全法37（下称“数安法”）以及各类的国家标准，都对重要数据制定了特殊的保护制度。重要数据的处理也愈加受到上市审核机构的重视，如在长城信息38上市审核过程中，上市审核机构就问询到其是否涉及重要数据的处理。然而，目前网安法及数安法尚未对“重要数据”的定义、范围进行明确。重要数据定义重要数据定义参

47、考 2022 年信息安全技术 重要数据识别指南（征求意见稿）39（下称“重要数据识别指南”），其将重要数据定义为“以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据可能危害国家安全、公共利益的数据”，同时标注重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。重要数据识别原则及识别因素重要数据识别原则及识别因素识别重要数据，需要遵循聚焦安全影响40、突出保护重点41、衔接既有规定42、综合考虑风险43、定量定性结合44与动态识别复评45六项基本原则，同时，依据重要数据识别指南，具备以下因素之一的，是重要

48、数据：36发布机构：全国人大常委会；2016.11.07 发布；2017.06.01 实施37发布机构：全国人大常委会；2021.06.10 发布；2021.09.01 实施38深交所于 2021 年 12 月 29 日受理长城信息上市申请，经两轮问询后，于 2022 年 9 月 15 日上市委会议审议通过，于 2023 年 4 月 28 日终止上市审核39发布机构：全国信息安全标准化技术委员会；2022.01.13 发布；征求意见至 2022.03.1340从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据，只对组织自身而言重要或敏感的数据不属于重要数据，如企业的内部管理相关数

49、据41通过对数据分级，明确安全保护重点，使一般数据充分流动，重要数据在满足安全保护要求前提下有序流动，释放数据价值42充分考虑地方已有管理要求和行业特色，与地方、部门已经制定实施的有关数据管理政策和标准规范紧密衔接43根据数据用途、面临威胁等不同因素，综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险，从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性44以定量与定性相结合的方式识别重要数据，并根据具体数据类型、特性不同采取定量或定性方法45随着数据用途、共享方式、重要性等发生变化，动态识别重要数据，并定期复查重要数据识别结果段和段高亚平律师团队上海数据交易所24/1

50、32图图 1 重要数据识别因素重要数据识别因素汽车和基础电信行业重要数据目录汽车和基础电信行业重要数据目录此外，根据数安法等法律法规要求，国家有关部门应制定重要数据目录，加强对重要数据的保护。目前，我国在汽车行业、工业和信息化行业以及基础电信汽车行业、工业和信息化行业以及基础电信行业制定了现行有效的重要数据目录行业制定了现行有效的重要数据目录（如下表所示）。鉴于其他行业重要数据目录尚未出台，建议拟上市公司及时与主管网信部门作进一步沟通，以明确其所处段和段高亚平律师团队上海数据交易所25/132理的数据性质是否构成重要数据。行业行业重要数据定义重要数据定义重要数据范围重要数据范围法律依据法律依据