问询函篇|DLaw Hub
输入“/”快速插入内容
问询函篇|DLaw Hub
问询函篇|DLaw Hub
子页面目录
正文内容
📋
摘要
本部分将带大家回顾2016年至今,资本市场的监管机构在问询函中所关注的数据合规法律问题。
本文将首先梳理问询函的内容,并对监管机构的提问进行分类。接着,我们将分享业内专业律师提供的回复方案与适用于上市公司的数据合规策略。
据不精确的统计,自2016至今,至少有五十家上市公司就数据合规事项接受了问询并进行相关信息披露。证监会不仅会在公司首次公开发行时问询与业务相关的数据合规问题,还会在公司经营发生重大事项时(如重组)时发送问询函。
从行业上看,受到证监会问询和关注的行业十分广泛,不仅包括以计算机、互联网、信息技术为主营业务的公司,还包括许多传统企业,如专业设备制造业、纺织服装业、金融业、医疗行业等。
一、监管重点关注的问题
综合来看,证监会在问询函中关心的问题涵盖了数据处理的全生命周期,包括三个方面:(1)数据安全和网络安全;(2)数据收集;(3)数据处理。除此以外,还会有些问题涉及“数据的准确性”、“监管的影响”、“数据权属”、“与同行业的比较”等主题。
数据安全和网络安全领域,聚焦于内部安全制度的建设(尤其是保密制度)以及相关资质、认证的取得,同时证监会还会有时要求公司披露是否曾经发生安全事件以及可能存在的风险。随着数据跨境制度的不断完善,网络安全审查也成为了关注的焦点。
在数据收集方面,由于数据收集是业务活动的开端,也是决定后续数据处理活动是否合法合规的基础。因此,数据收集成为数据处理全流程中监管机构重点问询的环节。证监会更多关心于公司核心数据的来源和取得方式,往往需要公司详细地披露各种类型数据的权属、收集方式、该种收集方式是否合规等信息。就具体被问询的问题而言,证监会和交易所也关注到同一公司涉及不同行业、同一行业内不同公司存在的不同的数据处理规则。
除了数据收集之外,针对使用、存储大量业务数据以及个人信息的科技型公司,甚至是对于涉及数据处理但实际可能仅接触少量数据的公司,监管机构会重点关注上述数据处理的流程以及处理过程中的合规性,包括是否进行数据处理、数据是否被过度利用(例如销售)、是否发生过侵权纠纷及其风险。
此外,因数据处理与发行人业务的联系较为密切,行业规范、行业惯例成为监管机构在数据处理层面关注较多的问题,例如发行人的行为是否符合行业内特殊规定,又如与行业内其他公司比较,发行人的数据处理活动是否存在重大差异。
表1:【监管问题分类表】
参考文献:
1.
2.
3.
4.
5.
6.
二、如何回复监管的问询
从上面的整理不难发现,在上市过程中,数据合规越来越成为监管机关关注的重点。问询函中出现的问题也越来越细致。
对此,也有律师结合近年来一部分涉大数据类公司上市过程中的共性问询问题,从数据收集、交易及使用、管理制度、以及数据保护、防范数据泄露几个方面提出规范建议及思路,为大家整理出了回答典型问题的模板。
具体可以参见:
•
•
三、境内外上市企业的数据合规策略
除了回答问题之外,上市企业还需要依据法律完善自身的数据合规体系。在此,我们也分享一些数据合规领域的专家针对于「境内外上市企业的数据合规策略」。
具体内容详见本章的附属文章(点击标题可直接跳转)