抄作业 | 顺丰上市招股书中关于数据合规相关风险的论述
众所周知,招股书的作用是向投资者披露风险的。定期选取上市公司招股书中关于数据合规相关风险的论述进行概述,以飨读者。
企业名称:顺丰控股股份有限公司
上市地点:香港联交所
数据合规法律顾问:国浩
企业简介:1993年,顺丰诞生于广东顺德。经过多年发展,已成为国内领先的快递物流综合服务商、全球第四大快递公司。顺丰秉承“以用户为中心,以需求为导向,以体验为根本”的产品设计思维,聚焦行业特性,从客户应用场景出发,深挖不同场景下客户端到端全流程接触点需求及其他个性化需求,设计适合客户的产品服务及解决方案,持续优化产品体系与服务质量。同时,顺丰利用科技赋能产品创新,形成行业解决方案,为客户提供涵盖多行业、多场景、智能化、一体化的智慧供应链解决方案。
招股书数据合规相关页码:P60-62(风险因素),P160-164(监管概览),P255-209(业务)
招股书下载链接(阅读原文可直接跳转):https://www1.hkexnews.hk/app/sehk/2023/105644/documents/sehk23082100441_c.pdf
一、风险因素
价值:可以学习甩锅的表述。
1.安全漏洞、网络攻击均可能导致声誉受损,并对经营造成不利影响。我们已采取多种防护措施,但仍然无法完全防护网络攻击,这类网络攻击可能导致未授权访问、数据泄露等等后果,并导致可能我们需要支出巨额费用,如加人、采购技术、培训员工、聘请第三方,还可能对我们业务造成重大影响。
2.个人信息不当使用或泄露。我们的业务会产生大量个人信息、交易信息、行为特征信息,我们采取了很多措施,如果确实被认定为泄露的,会导致客户流失,承担法律责任。
3.电信基础设施影响系统功能。业务取决于所在地区电信基础设施的可靠性,如电信服务商、第三方供应商等提供的宽带、服务器存储等服务。如果无法续签协议,则可能导致客户受到不利影响,进而让客户失望。(批注:初读有些离谱,在中国这些基础电信服务还是稳定的,但考虑到国际快递在各个国家都展业,也正常)
4.依赖三方程序及服务。我们利用APP和小程序提供服务,都承载于操作系统(安卓、iOS)和其他平台APP(微信支付宝),如果他们中断服务,我们也就中断服务,我们可能找不到替代方式。
5.依赖第三方支付渠道。(1)支付渠道中断会导致我们收不到钱;(2)客户交易机密信息会通过第三方支付渠道传输,如果他们没有采取适当的安全措施,可能导致信息泄露;(3)电子支付和虚拟货币的监管口径可能发生变化,如果支付渠道不合规,他们可能会被处罚、提高手续费、不通知的情况下停止运营,这样我们都倒霉了。
总结:上述所有风险适用于任何一家开展全球化业务的公司。
二、监管概览
价值:了解一下快递行业的数据合规要求。
1.隐私保护。列举了:(1)《民法典》人格权编;(2)《刑法修正案(九)》侵犯公民个人信息罪;(3)《个人信息保护法》强调了罚则很高。大标题起得不对,不是隐私保护而应该写个人信息保护。隐私和个人信息还是两个维度的事情。
2.《寄递服务用户个人信息安全管理规定》。(1)快递公司必须与其员工就其客户或用户的信息订立保密协议,以明确保密义务及违反有关规定的责任;(2)快递公司应当建立健全寄递服务使用者个人信息保护制度和措施,明确企业部门和岗位相应的安全保护责任,合理确定寄递服务使用者个人信息处理的操作权限,并定期对员工进行安全教育和培训;(3)快递公司委托第三方开展服务,完成配送服务运营全过程的,应当事先对受托人的个人信息保护情况进行影响评估,并对其个人信息处理活动进行监督。受托人给快递服务用户造成损害的,委托快递公司应当承担相应的责任。
该规定的相关阅读推荐:隐私面单与个人信息保护——快递行业数据合规实践分享
3.网络安全法规。列举了:(1)《全国人民代表大会常务委员会关于维护互联网安全的决定》;(2)《国家安全法》;(3)《网络安全法》;(4)《数据安全法》;(5)《关于依法从严打击证券违法活动的意见》没想到还真有数据合规相关内容:
加强跨境监管合作。完善数据安全、跨境数据流动、涉密信息管理等相关法律法规。抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。加强跨境信息提供机制与流程的规范管理。坚持依法和对等原则,进一步深化跨境审计监管合作。探索加强国际证券执法协作的有效路径和方式,积极参与国际金融治理,推动建立打击跨境证券违法犯罪行为的执法联盟。
4.网络安全审查和数据出境安全评估。都是只介绍了规则的基本内容,但没有分析是否适用于顺丰赴港上市,或者是不能明说。
三、业务
价值:数据隐私和保护,不但有客户的,还有员工的,参与标准制定可以在上市过程中为自己背书。
1.信息安全和隐私信息管理。有ISO27001和ISO27701认证,根据既定信息安全政策和策略,实施信息安全控制和保护并持续更新流程制度。加强培训宣导、规范工作流程、制度内部信息流通指引、建立异常行为监控预警处置系统,从而降低信息系统安全风险。
2.等级保护。(1)建立了包括安全能力基线(可度量的网络空间安全能力评价)、安全运营能力(隐私数据风险态势感知、基于攻防对抗的MTTD和MTTR指标)、DevOps安全能力(DevSecOps流程及工具链)、安全生态能力(外部感知与联动止损)四大能力体系,提高我们IT基础设施发现和抵御网络安全攻击的能力。(2)制定了《IT系统重大事件管理流程制度》、《IT系统应急预案制定与执行管理指引》等规范流程,通过事前预警、事中控制、事后记录的形式实施闭环风险防控。
3.降低隐私合规风险。(1)制度《隐私数据安全合规管理规定》和《数据资产分类分级及安全管理制度》;(2)参与制定国标:《信息安全技术移动互联网应用程序(App)收集个人信息基本要求》《信息安全技术快递物流服务数据安全要求》及《信息安全技术个人信息处理中告知和同意的实施指南》。(3)定期举办、参与安全峰会、安全沙龙,达成联盟,进行合作。
点击图片,立即购买GDPR高级班62讲
👇
微信扫码关注该文公众号作者