抄作业 | 乐普师 IPO招股书中关于数据合规相关风险的论述
企业名称:普乐师集团控股(02486)
上市地点:香港
企业简介:普乐师集团控股,成立于2004年,主要专注于头部快速消费品品牌数字化销售及营销服务。公司的收入主要来自定制营销解决方案、任务与营销人员匹配服务、营销人员派驻服务、SaaS+订阅。
招股书数据合规相关页码:P48-49(风险因素),P119-128(监管概览),P261-265(业务)
招股书下载链接(阅读原文可直接跳转):https://www1.hkexnews.hk/listedco/listconews/sehk/2023/0428/2023042800148_c.pdf
一、风险因素
价值:可以学习甩锅的表述。
1.不当使用、泄漏数据可能会对业务产生负面影响。原因有:(1)需要依法向中国政府提供数据,可能会导致额外支出和负面关注;(2)数据合规监管水位日益高涨,尽管我们采取了措施,但未来还是可能被罚。
2.无法有效保护客户数据,可能会导致声誉损害并影响业绩。我们尽量不收集敏感个人信息,如果要收集也会依法采取相关安保措施,但黑客很高明,哪天还是可能被黑了。
3.委托云存储商存储数据,如果安全性不能保证,会影响声誉和业绩。用户传什么我们管不了,云存储的东西也可能被第三方获取。
二、监管概览
价值:网络安全审查技术与认证中心,可以接受网络安全审查的匿名咨询。
首先罗列了相关法规的要点,不同招股书都差不多,法规都是时间顺序,没啥逻辑,故主要把笔墨放在问题的说理上。
1.CIIO。行业主管部门没有发布CIIO认定规则且我们没有收到通知,所以我们不是CIIO。
2.不会触发网络安全审查。首先,我们不是CIIO。其次,境外上市不是国外上市。再次,我们处理个人信息也没到100万。最后,这个事儿我们匿名咨询网络安全审查技术与认证中心(“中心”),这个中心是网信办及网络安全审查办公室授权就网络安全审查接受咨询的机构。监管爸爸也认为,国外上市不包括赴港上市。当然,尽管我都问过了,还是有可能因为影响国家安全被主动发起网络安全审查的哦,而怎样才算影响国家安全,标准也很模糊。后面还说了,如果触发网络安全审查需要考虑的因素,初学者可以看看。
3.数据出境安全评估。我们不是CIIO,处理个人信息也没有到100万,累积出境的量也没到。不过重要数据是啥我们也不知道,还是有可能要触发安全评估的,但概率不大。
三、业务章节
价值:可以看看上市公司有啥制度。
1.数据隐私及安全。(1)网安、数安、个保负责人都有,定期培训;(2)员工签署保密协议;(3)每年进行信息安全风险评估合规审计;(4)有很多制度:《信息安全管理手册》《数据安全管理程序》《用户个人信息保护管理程序》《数据分类分级管理程序》《信息安全管理制度》《供应商和合作方数据化管理程序》《信息安全事件管理程序》《信息系统备份与恢复暂行办法》《网络信息安全应急预案管理程序》《信息安全与举报投诉管理程序》(好多);(5)拿了ISO/ISC 27001:2013。
2.数据收集及使用。(1)有隐私政策;(2)处理敏感个人信息做了单独同意;(3)有自动化决策(没说算法有没有备案,法规概览也没提这茬,大概没有)。
3.敏感资料去标识及去敏感化。上云的信息都加密了并且去标识了,做了严格的权限管控。
4.内部规程。有好多制度,定期备份数据,还定期培训,还有专职数据安全人员。
微信扫码关注该文公众号作者