抄作业 | Keep上市招股书中关于数据合规相关风险的论述
一、风险因素-数据不当使用
价值:可以学习甩锅的表述。
1.无端投诉。个性化推荐可能会引起投诉、诉讼,即使是没有根据的,也可能影响声誉。
2.网数条例。数安条例说,赴港上市如果影响国家安全,就要进行网络安全审查,但我们也暂时判断不了。此外,数安条例对于处理个人信息超100万的个人信息处理者赋予了重要数据处理的很多义务,不确定性非常大。
3.CIIO。CIIO的认定规则不清,我们也没有被告知是CIIO。如果要进行网络安全审查,现有服务可能会中断。(批注:为啥就中断了,像滴滴一样吗,有些离谱)
4.APP通报。我们的APP被网信办通报过,法规可能变化,让我们付出巨额成本(这么说是被允许的吗),我们可能还会被要求停止提供服务或者支付巨额罚款或改变业务等。(批注:往狠了说就行?
5.数据泄露。我们泄露过一次非个人信息的数据,如果未来泄露了客户敏感个人信息,如身高、体重、三围等,可能会让用户不敢用我们的APP。虽然我们采取了很多保护措施,但数据泄漏无法百分百避免。
6.其他法域影响。我们可能会有来自于其他地区的用户,GDPR等法规可能适用于我们,但我们不保证符合相关要求,并可能会导致巨额罚款。
总结:啥风险都说就行。
二、监管概览-数据和技术系统风险管理
价值:被网信办通报后如何解释。
国家网信办曾于2021年6月11日发布《关于Keep等129款App违法违规收集使用个人信息情况的通报》,Keep因违反必要原则和《常见类型移动互联网应用程序必要个人信息范围规定》,收集与其提供的服务无关的个人信息等被通报。因此,我们看看招股书中应该如何澄清。
1.存储。Keep通过APP和智能硬件获取用户的健身数据,存储在自己及第三方的云服务器上(第三方的云真的安全吗)。有防火墙保护,不是正常的吗。用户事先同意才收集个人信息是应有之义。
2.敏感个人信息。Keep会收集用户的个人信息及设备信息,可能被认定为敏感个人信息。Keep拿了单独同意,会在内部严格做访问控制,限制最小必要的员工访问,并且收集后对敏感个人信息进行去标识处理。一旦用户撤销同意,即会停止处理。
3.对外提供个人信息。会做好告知,并取得单独同意。
4.采取有效数据销毁措施,未有过“重大”用户数据泄露。这个就很灵性,重大的没有,一般的有过咯。
5.整改措施。被通报后,2021年6月底已经提交整改报告,做了:修订隐私政策、做了游客模式、严格依照隐私政策处理个人信息,将持续督促整改。
6.技术手段。加密传输敏感个人信息、防火墙、数据备份系统、漏洞扫描和数据库审计。我们拿到了三级等保证书。员工仅能访问权限范围内的数据,超范围访问均需要审批。
三、法律
价值:赴港上市不用做网络安全审查的两个论证角度。
1.APP互联网信息服务。列举了《移动互联网应用程序信息服务管理规定》的主要义务:(1)前台自愿,后台前置的账户实名制;(2)秉持合法、正当、必要、诚信的原则处理个人信息;(3)建立与规模相适应的内容审核体系;(4)严格落实未成人强实名制;(5)不得以虚假广告、控制评论、不良信息等方式诱导下载APP;(6)采取技术措施确保数据安全。
2.Keep不需要数据出境安全评估。这点我比较震惊,根据招股书显示,Keep月活用户数量都远超100万,在此情况下,只要有任何一条员工或者客户个人信息出境(含境外访问),则均需要进行数据出境安全评估。但是招股书显示:“数据出境安全评估并不适用于我们,但可能会有新的解释或实施细则出台”。
3.网数条例。如果正式出台,大平台修改隐私政策需要第三方评估、地方网信办评估并提前30日征求意见,影响还是非常大的。想快速了解网数条例草案的槽点,看招股书确实是个好办法。
4.网络安全审查。Keep赴港上市不需要网络安全审查,理由有:(1)香港是国内境外;(2)收集的个人信息类型及性质对国家安全的重要性较低。
点击图片,立即购买GDPR高级班62讲
微信扫码关注该文公众号作者