数据源歧义，本文所称的合规合规

一、数据源合规的重要性

虽然企业数据合规的基础工作涵盖了数据的采集、存储、处理、传输、删除、销毁等处理环节，但企业应重点关注各环节合规资源的投入。在合规实践中，我们建议企业应特别关注数据源的合规性。为避免歧义，本文所指的数据源合规主要包括三个层次的含义：（1）数据采集前已经获得用户授权或依法不需要授权；（2）数据收集不违反合法、正当、必要、诚信原则；（3）用户的授权可以涵盖所提出的数据处理活动。

1、数据源违规易受行政处罚

行政监管部门对个人信息收集和使用的合规性尤为关注。例如，APP侵害用户权益专项整治行动重点整治APP、SDK未经用户同意收集个人信息、超出范围收集个人信息的行为。经网上查询和初步统计，在依据《个人信息保护法》作出的相关行政处罚案件中，大部分行政处罚为擅自收集个人信息、收集超出最低必要范围的个人信息，以及超出授权范围使用个人信息。信息。

在“Welt Kluwer”平台行政处罚栏目中，以“个人信息”为关键词，搜索2022年1月1日至2022年6月27日行政处罚案件，共[145]起行政处罚案件。非法处理处罚，其中“非法收集个人信息”的比例为[91.77%]。若按处罚原因划分，非法获取、出售、向他人提供个人信息的案件有[38]件，占[26]%；利用职务上的便利，以营利为目的，非法收集或向他人购买个人信息的。[33]例，占[23]%。网络运营者非法收集个人信息案件[74起​​]

2、数据源合规也是IPO审核重点

发审委在询问企业数据合规性时，几乎都是询问企业数据来源的合法性。暂时而言，个人信息偶尔超范围收集等数据收集违规行为不会对公司IPO造成严重影响。但是，如果一家公司的主要收入依赖于不合规数据源的使用，在个人信息合规监管更加严格的情况下，其上市之路将举步维艰。

2019年10月11日，证监会否决了墨迹天气的IPO申请，主要原因之一是数据来源不合规。墨迹天气的收入主要来自互联网广告业务，因此需要收集和处理大量的用户数据。从提升广告效果的角度来看，墨迹天气采集的数据类型、精准度、频次和数量都是越大越好。但按照最小必要性原则，墨迹天气作为工具类APP可以采集的数据范围相当有限。根据四部门联合发布的《常见类型移动互联网应用所需个人信息范围规定》，基础功能服务为“日历、天气”等实用应用，无需个人信息即可使用基础功能服务。如果用户只使用工具APP的基本功能，即使该APP在隐私政策中披露了收集个人信息的范围，相关信息的收集也难以满足最低必要原则。如果数据来源的合规性存在明显问题，未来将难以利用这些数据提供增值广告服务。相关信息的收集难以满足最低限度的必要原则。如果数据来源的合规性存在明显问题，未来将难以利用这些数据提供增值广告服务。相关信息的收集难以满足最低限度的必要原则。如果数据来源的合规性存在明显问题，未来将难以利用这些数据提供增值广告服务。

3.数据源违规会影响数据产品的权利

在司法判决中，法院在判断企业对数据是否拥有合法权益时，也会考虑其数据的收集和使用是否符合法律规定。如果企业实质上违反了个人信息保护或其他法律的相关规定，根据“不洁手原则”，将无法享有法律保护的竞争权益[0]。在淘宝诉美晶案中，被告认为淘宝网未经商家和消费者同意，以营利为目的，私自获取、收集、出售商家和消费者享有的产权相关信息，侵犯了商家的商业秘密和用户的隐私。财产权和个人隐私是非法的。虽然法院经审查认为，淘宝网并未违反其申报的用户信息收集使用规则，但其收集使用网络用户信息以及涉案数据产品公开使用网络用户信息的行为是合法的，是正当的。 . 从法院的审理思路中不难发现，如果企业的数据来源不合法，将影响其对原始数据和数据产品权益的认定。

4.非法数据源的刑事风险

数据领域的犯罪风险大多集中在数据的收集和使用上。如果企业的数据来源不合法，其数据的收集和使用将面临更大的犯罪风险。司法实践中与数据处理相关的高频犯罪、典型行为和定罪标准如下：

无论是按文章数量还是按违法所得和经济损失计算企业数据使用法律，在数据采集效率极高的大数据时代，上述犯罪的门槛都比较低。

此外，如果企业在与第三方合作时未对其数据来源进行合法性审查（如通过非法购买、非法爬取、非法入侵计算机信息系统等方式获取上游数据），则存在仍然是伪装、隐瞒犯罪所得犯罪和协助网络犯罪活动犯罪的犯罪风险。

二、数据源合规困难

尽管数据源合规性非常重要，但在实际实施中存在各种困难。根据不同的数据采集方式，通过梳理数据源合规实践中的难点，具体总结如下：

1、直接访问模式

直接获取模式是指企业作为个人信息处理者，在向用户提供产品或服务时，直接收集个人信息的模式。在直接准入模式下，企业面临的主要合规难点如下：

（1）很难获得同意

《个人保护法》第十三条规定了个人信息处理者可以在未经本人同意的情况下收集个人信息的情形，但适用例外的范围较窄。在实践中，企业的大部分个人信息处理活动仍需取得个人同意作为法律依据。《人身保护法》对获得授权同意提出了更高要求，不仅要求“在充分知情的前提下，应当由个人自愿、明确表示同意”，还设置了敏感个人信息的个人同意等规则。

在实践中，企业往往出于各种原因不愿意或难以获得用户授权。如果事后通知用户征得同意，企业很可能无法获得授权，直接影响业务收入。因此，部分企业不愿按照《人身保险法》的要求获得用户授权和同意。又如有些企业自己没有收集个人信息的业务场景，而是依靠第三方获得授权同意，用户授权的情况容易出现各种漏洞。以第三方SDK为例，它在APP中没有独立的交互界面，而是依靠APP运营商获取用户的 s 授权和同意。如果 SDK 未在 APP 隐私政策中披露，则 SDK 将缺乏处理用户个人信息的法律依据。另一个例子是线下零售店，使用智能相机收集人脸信息，使用物联网设备收集用户个人信息。

(2）最低必要难度

企业对个人信息的收集、使用除征得个人同意外，还应遵循目的限制、最小化、公开透明等原则。根据《个人保护法》第六条，企业收集、使用个人信息“应当有明确、合理的目的，与处理目的直接相关，采取对个人影响最小的方式”权益”，“收集个人信息应限于达到处理目的的最小范围，不得过度收集个人信息。”

以APP专项治理工作为例，执法部门不仅关注APP是否表达了个人信息处理规则并征得个人同意，还关注APP是否超出范围收集个人信息， APP按照最低必要原则（收集的个人信息类型）收集个人信息。、数量、频率等）。根据《常见类型移动互联网应用所需个人信息范围规定》和《信息安全技术移动互联网应用（应用程序）收集个人信息的基本要求》（GB/T 41391-202< @2）（以下简称4139<

最小必要性原则与企业充分利用大数据挖掘用户价值的需要之间存在一定的张力。目前，监管部门倾向于参照《常见类型移动互联网应用所需个人信息范围规定》确定企业可以收集的必要信息范围，并要求企业区分基本功能和扩展功能，以划定收集个人信息的范围和方式。. 在当前的监管趋势下，以基本功能吸引用户，大规模收集用户数据以将附加功能变现的商业模式可能难以为继。

2、间接获取方式

间接获取模式是指企业通过共享、转移、收集公共信息等方式间接获取个人信息的模式。在间接收购模式下，企业主要面临以下合规难题：

(1）授权链接缺陷

无论企业是作为受托人获取个人信息，还是通过共享、转让等方式获取个人信息，企业作为个人信息的接受者，都应当对上游数据源进行审核。必要性原则，企业后续处理活动是否属于信息主体的授权范围等。但是，在大数据时代，个人信息的流通非常复杂。对于企业通过多个中介机构获取的个人信息，需要审核个人信息在多个主体之间流通的授权环节是否完整、授权是否明确。例如，在一个复杂的链中，一方授权不规范会导致企业数据来源出现漏洞。在大多数业务场景中，企业需要将间接获得的数据与自己或其他数据源进行整合处理，而上游数据源的授权范围往往难以覆盖企业后续的处理活动。

（2）模糊的评论边界

在间接获取模式下，企业通过要求数据提供者在业务协议中承诺数据源合法、签署合规承诺书、合规调查问卷等方式，对数据源的合法性进行正式审查。部分企业可能还会要求数据提供者提供数据源，通过隐私政策文本、签名日志、系统抽样等方式对数据源进行实质性审查。但由于企业获取的个人信息量巨大，只能要求数据提供者提供部分样本。这种审查方式是否完全符合人身保护法的相关要求，还有待商榷。

三、企业IPO及数据源合规审查

对于涉及大量数据处理的企业，数据源合规是证监会关注的重点。而随着《数据安全法》、《个人信息保护法》等法律法规的实施，证监会对涉及数据处理的企业的数据合规问题的询问也比以往更加细致深入。摘自近日发布的《和合资讯：8-1-2发行人及保荐人对第二轮审核问询函的回复》、《泰美科技：8-1-1发行人及保荐人关于浙江泰美医疗科技的信息》

1、要求发行人指定收集的数据类型和合规性

与以往的询问一般要求发行人说明其数据来源是否合法合规相​​比，近期证监会要求发行人说明业务收集的具体数据类型，以及相应的数据来源和数据。收集后的使用方式和使用目的，通过进一步询问数据收集和使用的场景，判断数据的收集和使用是否合规。

证监会在关于和合信息的第二轮审核问询函中，要求其“以表格形式列出发行人各项业务获取的各类信息和数据的具体存储方式和期限、使用方式和目的”。是否存在超出数据获取协议或隐私政策的情况”和“以表格形式列出内容、来源、处理方式、交付产品形式、客户类型”。

在给泰美科技的第一轮审查询价函中，要求说明“主要产品和核心技术所涉及的数据来源和类型、数据获取方式、存储方式、是否许可或数据的使用需要相关方的授权，相关授权是否完整，是否存在侵犯患者隐私的行为。” 数据聚智联在第一轮问询函中披露，在业务开展过程中从电商平台获取的主要数据类型包括用户个人信息、订单管理信息和平台运营信息，在第二轮问询中，证监会进一步要求解释了“可以获取和使用的数据的具体类型和数量，

2、要求发布者说明数据是否在范围之外使用

在最近的一次调查中，证监会明确要求发行人澄清是否存在超出数据获取协议或隐私政策范围的数据使用，特别是获取的数据是否被非法提供给用户增值服务。如果发行人有多个业务线参与数据的处理，还要注意A业务线获取的数据是否用于B业务线。

在对美亚笔克（主要业务是为司法机关和行政执法部门提供大数据、网络空间安全、智慧城市等方面的电子数据取证产品和解决方案）的询问中，证监会要求其明确“是否存在收集和存储个人数据、挖掘相关数据和提供增值服务的情况”。

对超出用户授权范围的数据进行处理、分析和商业化，是一种典型的非法使用数据行为。如果涉及数据处理的主营业务利润增长空间有限，中国证监会将重点关注所收集数据是否存在授权使用以外的其他情况。

3、关注对等数据收集和使用的合规性

值得注意的是，在近期的询问中，证监会多次要求发行人说明数据获取方式是否符合行业惯例以及同行业在收集和使用类似用户数据方面的合规性。在数据聚智联的第二次询问中，发审委要求其说明同行业在收集和使用类似用户数据方面的合规性。数聚智联在回复中引用了同行业上市公司的招股说明书和第三方律师事务所出具的数据合规法律意见书，以协助论证其数据收集和使用的合规性。关于和合信息在第一轮询价中披露的以广告换数据和以数据换数据的商业模式，发审委进一步要求其说明“以广告换数据和以数据换数据的商业模式是否符合行业惯例”。和合信息通过对汽查查、天眼查等同类产品公开文件中披露的与第三方的战略合作或数据交换进行说明，协助证明其以广告换数据、以数据换数据的商业模式符合行业惯例. 发审委要求发行人说明，同行数据收集和使用的合规性，也是对涉及数据处理的企业业务模式的合规性审查。和合信息通过对汽查查、天眼查等同类产品公开文件中披露的与第三方的战略合作或数据交换进行说明，协助证明其以广告换数据、以数据换数据的商业模式符合行业惯例. 发审委要求发行人说明，同行数据收集和使用的合规性，也是对涉及数据处理的企业业务模式的合规性审查。和合信息通过对汽查查、天眼查等同类产品公开文件中披露的与第三方的战略合作或数据交换进行说明企业数据使用法律，协助证明其以广告换数据、以数据换数据的商业模式符合行业惯例. 发审委要求发行人说明，同行数据收集和使用的合规性，也是对涉及数据处理的企业业务模式的合规性审查。

发行人对数据源合规的响应具有以下特点：

1、主要说明数据源遵守隐私政策等协议授权

在直接收集模式下，发行人一般通过说明其隐私政策的内容和授权流程，声明其数据的收集和使用已获得授权。但目前尚不清楚隐私政策中包含哪些具体条款，对特定类型数据（如敏感个人信息）的授权和具体数据获取方式是否符合《个人信息保护法》的规定。在间接收集模式下，发行人通过说明与合作伙伴签署的关于承诺数据源的合法合规性的条款来解释数据收集的合规性。对保荐人等中介机构的核查仍处于审查相关协议、第三方出具的数据合规法律意见书、并约谈相应负责人。但是，在少数文件中，中介机构通过登录相关产品、提取相关数据库访问日志、权限调整日志等方式来检查数据收集和使用的合规性。

但值得注意的是，从近期公布的多家拟IPO公司的询盘和回复来看，发行人对隐私政策及相关授权文件的合规性做出了较为详细的说明，包括隐私政策的结构, 包含的主要内容，以及产品的技术测试结果是否与隐私政策声明一致。一些企业甚至聘请第三方机构独立出具隐私政策合规性合规评估意见。

2、引用第三方出具的法律意见书等文件，协助说明数据收集和使用的合规性

发行人在证明其数据收集和使用的合规性时，将引用第三方出具的数据合规性专项评估意见、法律意见、尽职调查报告等文件，协助证明其数据来源的合规性。

四、关于数据源合规性的建议

1、关注商业模式合规

个人信息监管日趋严格，企业收集和使用个人信息应遵循合法、正当、必要、完整的原则。如果企业的数据采集业务场景明显与数据使用业务场景不匹配，即使通过隐私政策等方式获得用户的授权同意，其数据来源仍难以满足合规要求。因此，为避免数据来源合规出现明显缺陷，企业在收集信息前应考虑与其业务模式对应的数据处理活动是否符合合法、正当、必要和诚实信用的原则。

2、关注授权协议和授权流程的合规性

《个人信息保护法》、《信息安全技术个人信息安全规范》、《常见类型移动互联网应用所需个人信息范围规定》等相关法律、法规、标准文件等，已将转发更多关于互联网应用收集个人信息的规定。全面细致的要求，如收集敏感个人信息需征得个人同意，不得因用户不同意提供非必要个人信息而拒绝用户使用其基本功能服务。企业应当参照相关法律法规和国家标准规范收集其互联网产品的个人信息，区分互联网产品的基本功能和扩展功能，要求用户在启用不同功能前分别进行授权，为用户提供细粒度的授权方式。确保用户的授权是自愿的、明确的，避免出现超出范围收集个人信息、未经用户同意收集个人信息等情况。如果产品功能发生变化，个人信息处理规则需要改变，隐私政策等授权文件要及时更新，保证用户授权的有效性。并为用户提供细粒度的授权方式。确保用户的授权是自愿的、明确的，避免出现超出范围收集个人信息、未经用户同意收集个人信息等情况。如果产品功能发生变化，个人信息处理规则需要改变，隐私政策等授权文件要及时更新，保证用户授权的有效性。并为用户提供细粒度的授权方式。确保用户的授权是自愿的、明确的，避免出现超出范围收集个人信息、未经用户同意收集个人信息等情况。如果产品功能发生变化，个人信息处理规则需要改变，隐私政策等授权文件要及时更新，保证用户授权的有效性。

3、建立内控机制，隔离犯罪风险

为规避部分员工违规操作给企业及负责人带来的刑事风险，建议企业内部建立相应的内控机制，明确数据采集和违规使用红线。当员工有违法犯罪行为时，如果企业能够有效证明其已经建立了数据合规体系，将在一定程度上隔离企业和负责人的犯罪风险。

4、按照最少必要原则使用数据

如果企业获取的数据存在自身合规性缺陷，建议认真评估满足业务可用性所需的数据，并善用去标识化和匿名化技术，确保数据处理和使用最低限度。因此，即使企业很难做到完全合规，也可以减少违规行为，尽量将风险控制在可接受的范围内。