抄作业 | 嘀嗒出行上市招股书中关于数据合规相关风险的论述

公众号新闻

2023-09-22 10:09

个人信息保护合规审计暨大数据工程师双证上海班

时间：2023年10月底（周末两天）

地点：上海交大附近，广州、北京同步招生

联系：手机（朱老师）138 1664 6268；微信（徐博士） heguilvshi

众所周知，招股书的作用是向投资者披露风险的。定期选取上市公司招股书中关于数据合规相关风险的论述进行概述，以飨读者。

企业名称：北京畅行信息技术有限公司

上市地点：香港联交所

企业简介：嘀嗒出行是北京畅行信息技术有限公司于2014年创立的互联网出行平台。嘀嗒出行一直倡导通过不增加额外车辆基础上的「挖潜增效」，在「不给城市添堵」的前提下，专注打造「真的顺风车+智慧出租车」，满足用户的美好出行需求，为大家升级、构建「另一种出行方式」。截至到2020年12月31日，嘀嗒出行平台注册用户总数达2.05亿。

招股书数据合规相关页码：P55-59（风险因素），P117-120（法规），P210-212（业务）

招股书下载链接（阅读原文可直接跳转）：https://www1.hkexnews.hk/app/sehk/2023/105669/documents/sehk23083001983_c.pdf

一、风险因素

价值：可以学习甩锅的表述。

1.处理大量数据，受复杂多变的监管，没做好会不利。我们会处理用户身份信息、交易信息等敏感数据（怎么没说行踪轨迹信息），我们要遵守很多规定。

2.大概率不会被网络安全审查。我们处理个人信息超100万但未被通知是CIIO，且我的中国法律顾问说，赴港上市不属于国外上市。此外，我们还问了CCRC（中国法律顾问说是网络安全审查的主管部门，但其实并不准确）说赴港上市不用网络安全审查。

问：赴国外上市网络安全审查如何提交申报材料？

答：网络安全审查办公室设在国家互联网信息办公室，具体工作委托中国网络安全审查技术与认证中心（CCRC,原为中国信息安全认证中心）承担。中国网络安全审查技术与认证中心在网络安全审查办公室的指导下，承担接收申报材料、对申报材料进行形式审查等任务。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口。

《网数条例（草案）》规定如果赴港上市可能影响国家安全的也要做网络安全审查，但我们问了CCRC，那个还没生效，现在不用管。

数据处理者开展以下活动，应当按照国家有关规定，申报网络安全审查：

（一）汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立，影响或者可能影响国家安全的；

（二）处理一百万人以上个人信息的数据处理者赴国外上市的；

（三）数据处理者赴香港上市，影响或者可能影响国家安全的；

（四）其他影响或者可能影响国家安全的数据处理活动。

《网络数据安全管理条例（征求意见稿）》第十三条

但是，“影响或可能影响国家安全”及“CIIO的认定"，有待进一步澄清。

2.数据跨境。截至最后实际可行日期，我们日常营运并无牵涉任何数据跨境传输。Amazing！

3.数据合规法规变化快。尽管现在我们没有重大违规，但是“但我们无法向阁下保证，我们已经采取或未来将采取的措施将总是有效或完全满足相关监管要求，且任何未能或认为我们未能遵守该等法律法规可能会导致监管调查、罚款、从相关应用商店中移除我们的App及╱ 或对我们的其他制裁。”（万能金句）

4.数据泄漏。未经授权的第三方可以社会工程学诱使我们的员工及合作伙伴泄露客户信息。此外，用户的设备上可能有漏洞，导致其信息泄漏，但最后归因于我们。（万能金句）

5.攻击和技术错误。我们被攻击过，也发生过技术错误，都没造成严重的后果，我们无法保证以后不继续发生。任何机密资料泄漏都可能导致我们业务受负面影响。此外，针对竞争对手的网络攻击和隐私泄漏可能会影响外界对顺风车行业整体信息，从而降低平台的信心。

6.保险。任何针对数据泄漏的投诉、诉讼，不管有没有道理，都非常费钱且影响管理层注意力。我们买了保险，但能否完全覆盖我们也不确定。如果真的有一单类似的索赔成功了，我们未来的保险费用和免赔额可能巨额提升。

7.应用商店、小程序评分。我们通过微信小程序和APP展业，如果平台方对竞争对手倾斜，导致竞争对手排名更高，或平台下架我们的应用，用户抵制我们的应用，对导致我们用户增长变缓慢。之前我们经历过下载量的波动，未来也可能还有。

8.三方支付。我们依赖三方支付，包括银行、支付宝、微信，如果被拒绝提供服务或服务中断，我们就失去在线收款能力了。

总结：甩锅的表述都可以抄，适用于任何行业，第一次见保险相关的表述，说明他们还是买了数据泄露险的。

二、法规

价值：了解一下快递行业的数据合规要求。

1.APP。列举了《移动互联网应用程序信息服务管理规定》和《移动智能终端应用软件预置和分发管理暂行规定》，后一个规定我也比较陌生，不知道嘀嗒是不是有很多预装，主要内容有：除保障移动智能终端硬件和操作系统正常运行的基本功能软件外，移动应用程序以及其附属资源文件、配置文件和用户数据等应能够被方便卸载。

2.公安条线。（1）《互联网安全保护技术措施规定》，2005年很早古的规定，但还是生效的，主要义务：防病毒、数据备份、留存用户信息至少60天、组织非法信息传播、保护通信自由和通信秘密（宪法词汇来了！）；（2）《信息安全等级保护管理办法》和《网络安全定级指南》坚持“自主定级、自主保护”的原则，共有五级，二级以上需要备案。

3.网络、数据安全。列举了：《网络安全法》《数据安全法》《关键基础设施安全保护条例》《网数条例（征）》《网络安全审查办法》《数据出境安全评估办法》《算法推荐管理规定》，常规操作。

4.个人信息保护。列举了：《规范互联网信息服务市场秩序若干规定》《关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《App违法违规收集使用个人信息行为认定方法》《常见类型移动互联网应用程序必要个人信息范围规定》《汽车数据安全管理若干规定（试行）》《个人信息保护法》《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》《互联网用户账号信息管理规定》，不全，也没有看出完整逻辑。

三、业务-数据隐私与安全

价值：学一下，论证自身个人信息保护合规，可以通过哪些角度，由专职高管负责数据合规也可以提。

1.基础设施稳定性及数据安全性

（1）保护个人信息及隐私。以取得同意为前提，存储期限确保为实现服务的最小必要限度。（感觉不应该放在这里）

（2）多重技术保护措施。用户数据存储在受防火墙保护的实体服务器上。测试数据都存储在知名云存储系统中。有多个独立的安全数据备份系统，我们有稳定、可靠、安全和可扩展的技术基础措施。我们买了很多服务器，还聘请了云服务商，

（3）我们做了年度汽车数据安全管理状况报告，也做了等保工作。

（4）我们没被罚，也没有碰到过不当处理数据的供应商。我们没有发生过数据泄露。

2.数据保护

（1）相关协定及程序，有：定期系统检查、密码政策、服务器访问记录流程、网络访问验证、用户授权审批、数据恢复测试，进而防止未授权访问。我们有负责开发和技术的副总裁主管数据合规事宜（第一次见）。

（2）我们有隐私政策，会定期更新，用户认可我们会与第三方和政府分享数据。只有个别IT人员可以访问用户数据，且需要经过必要审批流程，审批流需要营运、产品、技术的副总裁均同意（竟然没提法律合规人员）。访问情况都会被留痕记录。有权访问用户信息的员工都需要签署保密协议，离职时需要交出所有保密资料。

（3）我们会和第三方供应商签署协议，覆盖下列内容：保密，不得向第三方披露业务、技术、经营资料；数据访问，未经同意不得访问；违约责任，供应商违约的话，需要采取补救措施，并就直接经济损失赔偿（竟然不包括间接损失）。

综上，因为我们：（1）取得用户同意；（2）仅收集服务所必需的个人信息；（3）有个人信息保护政策；（4）采取必要措施，与员工签署保密协议；（5）有防火墙，并定期升级；（6）为员工做个人信息保护培训；（7）没有因个人信息泄露受到到索赔、处罚；（8）采取有效措施，定期升级系统；（9）有等保证明，所以我们没有重大违反中国个人信息保护法规的情况。

点击图片，立即购买GDPR高级班62讲

每天两块钱，实时获取全球数据合规风险预警

👇

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章