全面注册制时代 上市公司数据合规趋紧

今年2月全面注册制正式实施，企业信息披露电子化和数据化成为重要特点。受访的业内人士表示，随着近年来数据安全风险与日俱增，国家有关部门在数据安全领域不断作出前瞻性部署，开展了系统性的顶层设计，也对与数据相关的互联网类上市公司和拟上市公司的管理合规提出了更多要求。

“从时间分布上看，随着我国数据安全和个人信息保护立法进程的推进，有关机构对上市公司的监管要求加强，治理频率逐年递增。”北京德和衡律师事务所辛小天律师近日在接受《中国贸易报》记者采访时称。

2012 年全国人大常委会通过《关于加强网络信息保护的决定》，开启了我国个人信息保护的立法之路。个人信息保护成为《网络安全法》《消费者权益保护法》和《信息安全技术个人信息安全规范》等文件的重要规制内容。《数据安全法》和《个人信息保护法》分别于2021年9月1日和11月1日正式施行。前者旨在维护国家安全和社会公共利益，保障数据安全；后者更侧重于个人权益，旨在维护公民个人的隐私、人格、人身、财产等利益。

记者观察到，数据类法规体系快速完善的一个重要原因，是数字技术的快速创新和应用，推动新业态新模式竞相涌现，数字经济出现快速发展的势头。近年来出现的独角兽企业不仅因具有良好的投资表现而深受资本市场追逐，而且在社会经济领域中也常和交通、医疗、文娱、物流等服务息息相关。与此同时，与数字经济相关的这类企业也派生出大量的数据资源。事实上，官方对数据资源也多有表述，并提出数据已成为除土地、劳动力、资本、技术之外的第五要素，体现了当前经济社会互联网大数据时代的新特征。此外，《数据安全法》更是积极回应了当前国内外数据竞争和保护的关键问题，与已有法律法规共同构成了具有中国特色的数据领域的法律体系。

辛小天表示，从对于公开案例的分析可以发现，数据安全执法和处罚依据覆盖的法律法规很多，但目前《网络安全法》仍是数据监管和处罚的主要依据，不难看出其作为我国网络安全领域内根本大法的地位。

“除此之外，各机关部门还援引移动端、金融征信、电信网络、保密等领域与数据相关法律规定作为监管行为依据。因此，上市公司在重点关注《网络安全法》、《数据安全法》和《个人信息保护法》等法律法规，以及《信息安全技术—个人信息安全规范》等规范文件的同时，还需根据自身业务范围遵守相应的监管要求，形成严密的数据安全合规管控矩阵，防范法律风险。”辛小天建议。

不可否认的是，充裕的资金是企业扩大再生产的重要基础，而资本市场则为其提供了高效的融资渠道。辛小天表示，在上市申报过程中，对于数据领域而言，证券监督部门最关注的是数据处理、数据安全和数据源合规，而这三类问题也是公司运营时最容易产生的问题，它们无疑应是拟上市公司数据合规治理的重中之重。

辛小天表示，监管机关比较关注数据处理的具体操作流程及其合理性、合规性，如接触、保管和处理行为是否合法合规并获得个人授权，是否存在获取国家秘密、保密信息、个人信息的可能。具体包括数据存储、范围限制和数据的准确性方面。在数据安全领域，则主要包括数据跨境、数据保护机制和风险披露等方面。

对于数据源合规，则要关注数据属性、数据收集和第三方数据源合规性等。“数据属性中，关注是否涉及个人信息、重要数据、商业秘密及其他非公开信息。在不同渠道获取数据内容差异性方面，就获取的个人信息而言，监管机关较为关注这些个人信息的具体内容，如数据的具体类型及占比，以文字、图像、视频等形式为载体。对于数据来源于第三方的，监管机关除关注数据来源、采购数据具体方式，还较为关注数据供应商对外提供数据行为的合法性基础，如数据供应商是否有资质要求，选择数据供应商的原因、合理性，及采购数据协议的合法合规性。”辛小天说。