段和段高亞平律師團隊企業上市數據合規白皮書3.0版國家通過建立數據基礎制度、實施數據資源入表政策、推動數據要素全域覆蓋：數據要素X試點工程，支持場景化發展碳等12個行業和領域的重點行動任務，并明確規定“創新又可以確保安全可控的人工智能發展環境。壓力山大：數據合規的“一票否決”標配上市：數據合規專項“如虎添翼”段和段高亞平律師團隊企業上市數據合規白皮書3.0版 9 18 20 22 25 26 31 35 36 39 40 43 50 53問題14：[更新]爬取第三方企業數據，是否會構成不正當競爭行為？ 56 61 63 66 67 80 82 84 87 89 92 96 100 102 104 106 110 111 114 116 118 119 120 122 124 125 126 127 128問題51：[更新]境外（香港或國外）上市，應申報網絡安全審查嗎？ 129 130 133 139 141 144 145 149 段和段高亞平律師團隊企業上市數據合規白皮書3.0版 段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號發行人行業分類進程一深交所創業板1未來穿戴計算機、通信和其他電子設備制造業終止(撤回)2金智教育軟件和信息技術服務業上市委會議通過3多彩新媒電信、廣播電視和衛星傳輸服務上市委會議通過4衡泰技術軟件和信息技術服務業終止(撤回)5聯眾網絡軟件和信息技術服務業終止(撤回)6麥馳物聯計算機、通信和其他電子設備制造業終止(撤回)7長城信息計算機、通信和其他電子設備制造業終止(撤回)8綠聯科技計算機、通信和其他電子設備制造業注冊生效9睿聯技術計算機、通信和其他電子設備制造業終止注冊數聚智連零售業終止(撤回)東富龍科技制藥裝備行業注冊上市序號發行人行業分類進程小影創新軟件和信息技術服務業終止(撤回)大漢軟件軟件和信息技術服務業木瓜移動互聯網和相關服務終止(撤回)墨跡天氣科技推廣和應用服務業終止（撤回）宇谷科技軟件和信息技術服務業終止(撤回)木倉科技互聯網和相關服務終止(撤回)熙華檢測研究和試驗發展終止(撤回)聯眾信息軟件和信息技術服務業終止(撤回)20零點有數商務服務業注冊生效21兆尹科技軟件和信息技術服務業終止(撤回)22新視云軟件和信息技術服務業終止(撤回)23宇谷科技互聯網和相關服務終止(撤回)24黔通智聯軟件和信息技術服務業終止(撤回)25青牛技術軟件和信息技術服務業終止(撤回)26萬事利紡織服裝、服飾業注冊上市27安克創新計算機、通信和其他電子設備制造業注冊上市28美康股份軟件和信息技術服務業終止(撤回)二上交所科創板29佰聆數據互聯網和相關服務終止30合合信息軟件和信息技術服務業注冊生效序號發行人行業分類進程31碧興物聯節能環保行業注冊生效32長光衛星軟件和信息技術服務業終止33格藍若計算機、通信和其他電子設備制造業終止34沃太能源電氣機械和器材制造業終止35中數智匯軟件和信息技術服務業終止36奧比中光計算機、通信和其他電子設備制造業注冊生效37螞蟻集團互聯網和相關服務注冊生效38青云科技軟件和信息技術服務業注冊生效39京東數科軟件和信息技術服務業終止40微眾信科軟件和信息技術服務業終止41海天瑞聲軟件和信息技術服務業注冊生效42曠視科技軟件和信息技術服務業終止43兆訊科技計算機、通信和其他電子設備制造業終止44欣諾通信計算機、通信和其他電子設備制造業終止45節卡股份通用設備制造業46四方偉業軟件和信息技術服務業終止47長光衛星軟件和信息技術服務業；鐵路、船舶、航空航天和其他運輸設備制造業終止三深交所主板48瑋言服飾紡織服裝、服飾業終止四北交所主板序號發行人行業分類進程49思迅軟件軟件和信息技術服務業終止華信永道軟件和信息技術服務業注冊路橋信息軟件和信息技術服務業注冊并行科技軟件和信息技術服務業注冊華夏電通軟件和信息技術服務業終止精創電氣制造業已問詢美亞科技商務服務業已問詢天演維真軟件和信息技術服務業終止兆信股份軟件和信息技術服務業已問詢佳和電氣軟件和信息技術服務業終止訊方技術軟件和信息技術服務業已問詢五港交所主板60蔚來已上市61卓越睿新處理中62出門問問已上市段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間3問詢內容個人信息華信永道42022年10月公司是否存在收集或使用客戶數據的情形。請發行人結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形。未來穿戴52023年7月說明“未來穿戴”APP獲取用戶個人信息的具體情況，包括獲取個人信息的范圍、個人信息存儲地、訪問權限、使用權歸屬、發行人對相關個人信息的使用情況及合法合規性，個人用戶是否知情同意。瑋言服飾62023年8月說明微商城的注冊用戶數及活躍用戶數，線上銷售（含淘寶/天貓、微商城等所有渠道）過程中是否可以直接或間接獲得用戶的具體數據和個人資料等信息，如是，請說明獲取條件、獲取方式和信息范圍。4關于華信永道（北京）科技股份有限公司向不特定合格投資者公開發行股票并在北京證券交易所上市申5關于未來穿戴健康科技股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的6關于深圳市瑋言服飾股份有限公司首次公開發行人民幣段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間3問詢內容金智教育72023年9月說明“今日校園”APP及各類SaaS產品獲取用戶個人信息的具體情況，包括獲取個人信息的范圍、個人信息存儲地、訪問權限、使用權歸屬、發行人對相關個人信息的使用情況及合法合規性，個人用戶是否知情同意。佰聆數據82023年9月數據來源、數據內容是否涉及個人隱私或涉密信息。多彩新媒92023年9月業務過程中所涉獲取用戶個人信息及合規性，并在招股說明書風險因素章節補充披露相關風險。衡泰技術102023年9月說明發行人控制和運營的APP、小程序、公眾號、網站及其運營模式，獲取的個人數據數量及類型。青牛技術11結合SaaS模式交付智慧聯絡平臺產品過程中，用戶個人信息的收集、存儲及使用方式，尤其是相關個人信息在云平臺（或其他能夠保障SaaS模式運行的基礎設施）的存儲方式及發行人對云平臺的運營模式，充分說明智慧聯絡平臺業務開展過程中對用戶個人數據的接觸情況，是否符合《個人信息保護法》等相關法律法規的要求。精創電氣122024年12月說明各期自有網上商城客戶數量、銷售規模，通過自有商城銷售中對個人信息收集、管理、使用等是否符合相關法律法規的規定，是否涉及需相關行業主管部門審批情形。敏感個人信息聯眾網絡132022年7月說明報告期各期發行人倉儲的病案數量及病案中所含信息，是否屬于敏感個人信息，相關病案的存儲方式及保護措施。7關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文件的第二輪審核問詢函的8關于佰聆數據股份有限公司首次公開發行股票并在科創板上市申請文件審核問詢函的回復9廣東華商律師事務所關于貴州多彩新媒體股份有限公司首次公開發行股票并在創業板上市的補充法律意10《關于杭州衡泰技術股份有限公司首次公開發行股票并在創業板上市申請文件的審核問詢函》之回復報告11關于北京青牛技術股份有限公司首次公開發12關于江蘇省精創電氣股份有限公司向不特定合格投資13關于上海聯眾網絡信息股份有限公司首次公開發行股復關注焦點問詢對象/時間3問詢內容麥馳物聯142023年5月說明使用生物識別技術的具體產品及應用場景，是否存在采集、儲存、使用業主身份證、手機號、人臉圖像等敏感信息的情形，采集、儲存、使用上述敏感信息的具體方式和使用情況，被采集人是否充分知情，發行人及相關主體是否取得被采集人的同意。太川股份152023年12月說明使用生物識別技術的具體產品及應用場景，是否存在采集、儲存、使用業主身份證、手機號、人臉圖像等敏感信息的情形，采集、儲存、使用上述敏感信息的具體方式和使用情況。個人信息主體權利太川股份162023年12月說明被采集人是否充分知情，發行人及相關主體是否取得被采集人的同意；業主是否有權利拒絕發行人及相關主體收集相關數據，如拒絕，是否影響業主正常出入小區等合法權益，相關約定是否實際具有強制性。補充披露發行人樓宇對講門禁及智能家居產品相關APP、小程序等軟件是否持續調用用戶位置、照片、聯系人等信息，如是，說明相關功能的必要性，是否涉嫌侵犯用戶隱私。重要數據長城信息172022年9月結合產品銷售及經營模式，分析說明發行人是否掌握重要數據或掌握100萬人以上個人信息。綠聯科技182023年9月發行人是否屬于“掌握重要數據，或者掌握100萬人以上個人信息的企業機構”。睿聯技術192023年9月請發行人說明是否掌握重要數據或掌握100萬人以上個人信息。數據權屬合合信息20發行人各項業務及研發分別獲取、存儲、使用哪些數據，14關于深圳市麥馳物聯股份有限公司首次公開發行15關于珠海太川云社區技術股份有限公司向不特定合格16關于珠海太川云社區技術股份有限公司向不特定合格17關于長城信息股份有限公司首次公開發行18關于深圳市綠聯科技股份有限公司首次公開發行人19關于深圳市睿聯技術股份有限公司首次公開發行股票復20關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申請文關注焦點問詢對象/時間3問詢內容2022年9月對應的數據來源、數據權屬，是否存在銷售數據的情形。數聚智連212022年10月說明發行人自電商平臺獲取數據的主要類型（如用戶個人信息、訂單管理信息、平臺運營信息等是否取得相關數據的所有權。碧興物聯222023年4月發行人各項業務及研發分別獲取、存儲、使用哪些數據，對應的數據來源、數據權屬，是否存在銷售數據的情形；華夏電通232023年11月發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制資質許可并行科技242022年9月結合發行人超算云服務的業務模式和實質，涉及上游超算基礎設施、下游高等院校、科研院所等客戶的法律法規、監管政策對于超算設施管理、超算第三方服務、信息數據安全和保密等方面的要求，說明發行人從事超算領域業務是否已取得相關資質、許可或認證。東富龍科技252022年7月發行人及控股子公司、參股公司是否為客戶提供個人數據存儲及運營的相關服務，是否存在收集、存儲個人數據，對相關數據挖掘及提供增值服務等情況；如是，請說明是否取得相應資質及提供服務的具體情況。佰聆數據262023年9月是否獲得相關權利主體或主管部門的明確授權許可，是否存在適用范圍、主體或期限等方面的限制，發行人是否存在超出前述限制使用數據或其他侵犯個人隱私、第三方合法權益的情形。金智教育27說明圓周網絡運營“今日校園”APP等相關業務是否需取復21關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板上市申請文22關于碧興物聯科技（深圳）股份有限公司首次公開發行股票并在科創板上市申23關于北京華夏電通科技股份有限公司向不特定合格投資者公開發行股票并在北24關于北京并行科技股份有限公司公開發行25關于東富龍科技集團股份有限公司申請向特定對象發行股票26關于佰聆數據股份有限公司首次公開發行股票并在科創板上市申27關于江蘇金智教育信息股份有限公司首次公開發行股票并在創業板上市申請文段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間3問詢內容2023年9月得增值電信業務經營許可證；發行人及各子公司是否已取得經營所需的全部資質許可，經營業務是否存在超出許可資質或經營范圍的情形。美亞科技282024年9月請發行人補充披露各許可資質的有效期截止日期、域名注冊的續期情況，各APP備案情況，說明發行人及子公司是否存在應履行未履行許可備案程序、超越資質、使用過期資質等情形；說明發行人增值電信業務經營許可證對應的具體業務內容、是否為必備資質；發行人利用各線上工具開展業務的合法合規性。萬事利292024年10月發行人數字藏品以及自有平臺服務業務的經營模式、具體內容、客戶類型，是否按照行業主管部門有關規定開展業務，是否為客戶提供個人數據存儲及運營的相關服務，是否存在收集、存儲個人數據、對相關數據挖掘及提供增值服務等情況，是否取得相應資質，是否合法合規。安克創新302024年9月發行人是否從事提供、參與或與客戶共同運營網站、APP等互聯網平臺業務……是否為客戶提供個人數據存儲及運營的相關服務，是否存在手機、存儲個人數據、對相關數據挖掘及提供增值服務等情況，是否取得相應資質，是否合法合規。處罰風險小影創新312022年4月對個人信息的處理和使用是否符合《個人信息保護法》規定的處理規則；是否存在違法違規行為或被行政處罰的風險，是否對發行人構成重大不利影響。大漢軟件322023年9月結合業務流程、合同條款等，說明業務開展中是否符合《數網用戶個人信息保護規定》等數據安全及信息保護相關法律法規的規定，是否存在糾紛或潛在糾紛。28關于廣東美亞旅游科技集團股份有限公司公開發行股票并在北交所上市申請29關于杭州萬事利絲綢文化股份有限公司創業板向特定對象發行股票30關于安克創新科技股份有限公司申請向不特定對象發行可轉換31關于杭州小影創新科技股份有限公司首次公開發行股票并在創業板上市申32上海市錦天城律師事務所關于大漢軟件股份有限公司首次公開發行股票并在深圳證券交易所創業板上市段和段高亞平律師團隊企業上市數據合規白皮書3.0版法識別特定自然人的過程。維護網絡空間的健康秩序，在用戶在發表評論/發布內容時，各大網絡平臺強制(1)IP屬地≠IP地址。IP地址是指對計算機等上網設備進行唯一標識的一串32段和段高亞平律師團隊企業上市數據合規白皮書3.0版病案信息等敏感個人信息的處理以及處理的參考GB/T35273—2020《信息安全技術個人信通常情況下，14歲以下（含）兒童的個人信息和涉及自然人隱私的信息屬于敏段和段高亞平律師團隊企業上市數據合規白皮書3.0版要點個人財產信息銀行賬戶、鑒別信息（口令）、存款信息（包括資金數量、支付收款記錄等）、房產信息、信貸記錄、征信信息、交易和消費記錄、流水記錄等，以及虛擬貨幣、虛擬交易、游戲類兌換碼等虛擬財產信息。個人健康生理信息個人因生病醫治等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等。個人生物識別信息個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。個人身份信息身份證、軍官證、護照、駕駛證、工作證、社保卡、居住證等。其他信息性取向、婚史、宗教信仰、未公開的違法犯罪記錄、通信記錄和內容、通訊錄、好友列表、群組列表、行蹤軌跡、網頁瀏覽記錄、住宿信息、精準定位信息等。表2敏感個人信息列舉內容我們加粗顯示（下表中未涉及的內容應依據一般個人信序號要點1處理原則(1)具有特定的目的和充分的必要性；(2)采取嚴格保護措施。2個人信息保護影響評估個人信息處理者應當在處理敏感個人信息前，進行個人信息保護影響評估，并對處理情況進行記錄（詳見“問題11：如何正確認知個人信息安全影響評估？”)。3特殊告知要求(1)履行一般告知義務（詳見“問題13：直接從用戶獲得數(a)個人信息處理者的名稱或者姓名和聯系方式；(b)個人信息的處理目的、處理方式，處理的個人信息種類、保存期限；(c)個人行使《個信法》規定權利的方式和程序；(d)法律、行政法規規定應當告知的其他事項。(2)履行特殊告知義務：向個人告知處理敏感個人信息的必要性以及對個人權益的影響（依照《個信法》規定可以不向個人告知的除外38段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號要點(3)告知方式：宜在收集敏感個人信息前，通過交互界面或設向個人信息主體履行告知義務。4單獨同意(1)單獨同意：處理敏感個人信息應當取得個人的單獨同意；法律、行政法規規定處理敏感個人信息應當取得書面同意的，從其規定；(2)同意方式：宜通過個人信息主體對信息收集主動作出肯定性動作（如勾選、點擊“同意”或“下一步”等）征得其明示同意，而非默認同意；(3)撤回同意：所要求的交互界面或設計應方便個人信息主體再次訪問及更改其同意的范圍；(4)未成年人的特殊情形：(a)應當取得未成年人的父母或者其他監護人的同意；(b)個人信息處理者處理不滿十四周歲未成年人個人信息的，應當制定專門的個人信息處理規則。5傳輸與存儲(1)傳輸和存儲個人敏感信息時，應采用加密39等安全措施；(2)個人生物識別信息應與個人身份信息分開存儲；(3)原則上不應存儲原始個人生物識別信息（如樣本、圖像等可采取的措施包括但不限于：(a)僅存儲個人生物識別信息的摘要信息40；(b)在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能；(c)在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證等功能后刪除可提取個人生物識別信息的原始圖像41。6使用訪問權限：對個人敏感信息的訪問、修改等操作行為，宜在對角色權限控制的基礎上，按照業務流程的需求觸發操作授權。7注銷賬戶注銷賬戶的過程中需收集敏感個人信息核驗身份時，應明確收集個人敏感信息后的處理措施，如達成目的后立即刪除或匿名財產安全無法及時向個人告知的，個人信息處理者應當在緊急39采用密碼技術時宜遵循密碼管理相關國家標準41個人信息控制者履行法律法規規定的義務相關的情形除外段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號要點化處理等。8公開(1)進行個人信息保護影響評估；(2)向個人信息主體告知公開的目的、涉及的個人敏感信息的(3)取得個人單獨同意的；(4)不應公開：我國公民的種族、民族、政治觀點、宗教信仰等個人敏感數據的分析結果。9安全事件考慮到敏感個人信息一旦泄露或者非法使用，容易導致自然人的合法權益受到侵害，若發生或者可能發生敏感個人信息泄露、篡改、丟失的，建議按照“問題57：發生個人信息泄露時，應當怎么辦？”履行法定補救與通知義務，并留存證件，以自證清白。組織機構(1)個人信息保護負責人：處理超過10萬人的個人敏感信息的，應設立專職的個人信息保護負責人和個人信息保護工作機構，負責個人信息安全工作（詳見“問題55：什么情況下應當設置數據安全負責人、個人信息保護負責(2)員工管理：應與從事個人信息處理崗位上的相關人員簽署保密協議，對大量接觸敏感個人信息的人員進行背景審查，以了解其犯罪記錄、誠信狀況等。表3敏感個人信息處理規則段和段高亞平律師團隊企業上市數據合規白皮書3.0版議通過，于2023年4月28日終止上市審核段和段高亞平律師團隊企業上市數據合規白皮書3.0版行業重要數據定義重要數據范圍法律依據汽車是指一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能危害國家安全、公共利益或者個(1)軍事管理區、國防科工單位以及縣級以上黨政機關等重要敏感區域的地理信息、人員流量、車輛流量等數據；《汽車數據安全管理若干規定（試行業重要數據定義重要數據范圍法律依據人、組織合法權益的數據(2)車輛流量、物流等反映經濟運行情況的數據；(3)汽車充電網的運行數據；(4)包含人臉信息、車牌信息等的車外視頻、圖像數據；(5)涉及個人信息主體超過10萬人的個人信息；(6)國家網信部門和國務院發展改革、工業和信息化、公安、交通運輸等有關部門確定的其他可能危害國家安全、公共利益或者個人、組織合法權益的數據。基礎是指企業在運營中收集、產生、控制的不涉及國家秘密，但與國家安全、經濟發展、社會穩定，以及公共利益密切相關的數據，特別是與國家基礎通信網絡安全密切相關的數據(1)基礎電信企業掌握的能夠反映通信行業整體情況的數據，如網絡規劃、建設、關鍵技術信息；(2)基礎電信企業掌握的通信網絡基礎資源信息，一旦被惡意利用，可能會導致國家基礎通信網絡中斷，進而對國家安全和社會穩定造成重大影響；(3)基礎電信企業掌握的能夠導致通信行業發生系統性風險的能夠反映通信網絡總體運行狀況的數據，一旦完整性、保密性、可用性遭破壞可能對國家或社會帶來負面影響的數據，如網絡運行監控數據；(4)基礎電信企業掌握的通信網絡與系統的設計、安全防護計劃和策略方案，及其單元或設備選型、配置、軟件等屬性信息和脆弱性信息等；以及包括密碼技術在內的其它與國家安全相關的單元、裝置、設備、系統或計劃、設計能力和缺陷信息；(5)基礎電信企業掌握的與意識形態、輿情等有關的文化安全相關企業重要數據識別指南》行業重要數據定義重要數據范圍法律依據信息；(6)YD/T3813-2020中四級數據中的用戶相關數據比照重要數據管理；(7)基礎電信企業掌握的其他與國家以及公共利益密切相關的數據。工業和信息化危害程度符合下列條件之一的數據為重要數據：影響海外利益、生物、太空、極地、深海、人工智能等與國家安全相關的重點領域；(2)對工業和信息化領域發展、生產、運行和經濟利益等造成嚴重影響；(3)造成重大數據安全事件或生產安全事故，對公共利益或者個人、組織合法權益造成嚴重影響，社會負面影響大；(4)引發的級聯效應明顯，影響范圍涉及多個行業、區域或者行業內對行業發展、技術進步和產業生態等造成嚴重影響；(5)經工業和信息化部評估確定的其他重要數據。《工業和信息化領域數據安全管理序號要點1重要數據識別申報網絡數據處理者應當按照國家有關規定識別、申報重要數據。2設置負責人和管理機構重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。……網絡數據安全負責人應當具備網絡數據安全專業知識和相關管理工作經歷，由網絡數據處理者管理層成員擔任，有權直接向有關主管部門報告網絡數據安全情況。掌握有關主管部門規定的特定種類、規模的重要數據的網絡數據處理者，應當對網絡數據安全負責人和關鍵崗位的人員進行安全背景審查，加強相關人員培訓。審查時，可以申請公安機關、國家安全機關協助。3網絡數據安全保護責任重要數據的處理者應當明確網絡數據安全負責人和網絡數據安全管理機構。網絡數據安全管理機構應當履行下列網絡數據安全保護責任：(1)制定實施網絡數據安全管理制度、操作規程和網絡數據安全事件應急預案；(2)定期組織開展網絡數據安全風險監測、風險評估、應急演練、宣傳教育培訓等活動，及時處置網絡數據安全風險和事件；(3)受理并處理網絡數據安全投訴、舉報。……4處理安全要求(1)合同義務約定：網絡數據處理者向其他網絡數據處理者提供、委托處理個人信息和重要數據的，應當通過合同等與網絡數據接收方約定處理目的、方式、范圍以及安全保護義務等(2)監督義務履行：對網絡數據接收方履行義務的情況序號要點進行監督(3)記錄保存：向其他網絡數據處理者提供、委托處理個人信息和重要數據的處理情況記錄，應當至少保存3年。5風險評估處理、共同處理前應當進行風險評估，但是屬于履行法定職責或者法定義務的除外。風險評估應當重點評估下列內容：(1)提供、委托處理、共同處理網絡數據，以及網絡數據接收方處理網絡數據的目的、方式、范圍等是否合法、正當、必要；(2)提供、委托處理、共同處理的網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用的風險，以及對國家安全、公共利益或者個人、組織合法權益帶來的風險；(3)網絡數據接收方的誠信、守法等情況；(4)與網絡數據接收方訂立或者擬訂立的相關合同中關于網絡數據安全的要求能否有效約束網絡數據接收方履行網絡數據安全保護義務；(5)采取或者擬采取的技術和管理措施等能否有效防范網絡數據遭到篡改、破壞、泄露或者非法獲取、非法利用等風險；(6)有關主管部門規定的其他評估內容。6風險評估年度評估重要數據的處理者應當每年度對其網絡數據處理活動開展風險評估，并向省級以上有關主管部門報送風險評估報告，有關主管部門應當及時通報同級網信部門、公安機關。風險評估報告應當包括下列內容：(1)網絡數據處理者基本信息、網絡數據安全管理機構信息、網絡數據安全負責人姓名和聯系方式等；(2)處理重要數據的目的、種類、數量、方式、范圍、存儲期限、存儲地點等，開展網絡數據處理活動的情況，不包括網絡數據內容本身；(3)網絡數據安全管理制度及實施情況，加密、備份、標簽標識、訪問控制、安全認證等技術措施和其他段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號要點必要措施及其有效性；(4)發現的網絡數據安全風險，發生的網絡數據安全事件及處置情況；(5)提供、委托處理、共同處理重要數據的風險評估情(6)網絡數據出境情況；(7)有關主管部門規定的其他報告內容。處理重要數據的大型網絡平臺服務提供者報送的風險評估報告，除包括前款規定的內容外，還應當充分說明關鍵業務和供應鏈網絡數據安全等情況。重要數據的處理者存在可能危害國家安全的重要數據處理活動的，省級以上有關主管部門應當責令其采取整改或者停止處理重要數據等措施。重要數據的處理者應當按照有關要求立即采取措施。7重要數據出境特別規定網絡數據處理者在中華人民共和國境內運營中收集和產生的重要數據確需向境外提供的，應當通過國家網信部門組織的數據出境安全評估。網絡數據處理者按照國家有關規定識別、申報重要數據，但未被相關地區、部門告知或者公開發布為重要數據的，不需要將其作為重要數據申報數據出境安全評估。段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版49段和段高亞平律師團隊企業上市數據合規白皮書3.0版51本圖中涉及到個人同意的，含經個人同意或具段和段高亞平律師團隊企業上市數據合規白皮書3.0版參照歐盟數據保護委員會（EDPB）發布的Guidelines07/2020ontheconceptsofcontrollerandprocessorintheGDPR（中文譯名為《GDPR下數據控制者及數據序號法律法規基礎信息主要內容1《數安法》全國人大常委會2021.06.10發布2021.09.01實施第三十四條法律、行政法規規定提供數據處理相關服務應當取得行政許可的，服務提供者應當依法取得許可。2《網安法》全國人大常委會2016.11.07發布2017.06.01實施第二十一條國家實行網絡安全等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求，履行下列安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改：（一）制定內部安全管理制度和操作規程，確定網絡安全負責人，落實網絡安全保護責任；（二）采取防范計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施；（三）采取監測、記錄網絡運行狀態、網絡段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號法律法規基礎信息主要內容安全事件的技術措施，并按照規定留存相關的網絡日志不少于六個月；（四）采取數據分類、重要數據備份和加密等措施；（五）法律、行政法規規定的其他義務。第二十二條網絡產品、服務應當符合相關國家標準的強制性要求。……第二十三條網絡關鍵設備和網絡安全專用產品應當按照相關國家標準的強制性要求，由具備資格的機構安全認證合格或者安全檢測符合要求后，方可銷售或者提供。……3《個信法》全國人大常委會2021.08.20發布2021.11.01實施第三十二條法律、行政法規對處理敏感個人信息規定應當取得相關行政許可或者作出其他限制的，從其規定。4《信息安全等級保護管理辦法》公安部，國家保密國信辦(已撤銷)2007.06.22發布2007.06.22實施第二條國家通過制定統一的信息安全等級保護管理規范和技術標準，組織公民、法人和其他組織對信息系統分等級實行安全保護，對等級保護工作的實施進行監督、管理。5《電信業務經營許可管理辦法》工信部2017.07.03發布2017.09.01實施第四條經營電信業務，應當依法取得電信管理機構頒發的經營許可證。電信業務經營者在電信業務經營活動中，應當遵守經營許可證的規定，接受、配合電信管理機構的監督管理。6《互聯網信息服務管理辦法》國務院2011.01.08發布2011.01.08實施第四條國家對經營性互聯網信息服務實行許可制度；對非經營性互聯網信息服務實行備案制度。未取得許可或者未履行備案手續的，不得從事互聯網信息服務。第七條從事經營性互聯網信息服務，應當向省、自治區、直轄市電信管理機構或者國務院信息產業主管部門申請辦理互聯網信息服務增值電信業務經營許可證。序號法律法規基礎信息主要內容第八條從事非經營性互聯網信息服務，應當向省、自治區、直轄市電信管理機構或者國務院信息產業主管部門辦理備案手續。7《互聯網信息服務算法推薦管理規定》網信辦，工信部，公安部，市監總局2021.12.31發布2022.03.01實施第二十四條具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息，履行備案手續。8《互聯網信息服務深度合成管理規定》公安部2022.11.25發布2023.01.10實施第十九條具有輿論屬性或者社會動員能力的深度合成服務提供者，應當按照《互聯網信息服務算法推薦管理規定》履行備案和變更、注銷備案手續。深度合成服務技術支持者應當參照前款規定履行備案和變更、注銷備案手續。完成備案的深度合成服務提供者和技術支持者應當在其對外提供服務的網站、應用程序等的顯著位置標明其備案編號并提供公示信息鏈接。9《生成式人工智能服務管理暫行辦法》網信辦，工信部，公安部，國家發展和改革委員會，教育部，科學技術部，國家廣電總局2023.07.10發布2023.08.15實施第十七條提供具有輿論屬性或者社會動員能力的生成式人工智能服務的，應當按照國家有關規定開展安全評估，并按照《互聯網信息服務算法推薦管理規定》履行算法備案和變更、注銷備案手續。分析整理了相關規定，明確以下十種情景需進行個人信息安全評估，其中情景段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版(6)情景6:向境外提供個人信息接入第三方產品時的APP開發者和第三方產品段和段高亞平律師團隊企業上市數據合規白皮書3.0版(10)情景10:向第三方轉移兒童個人信息段和段高亞平律師團隊企業上市數據合規白皮書3.0版某人工智能及大數據科技企業在IPO過程中因數據處理合規性問題受到上市審段和段高亞平律師團隊企業上市數據合規白皮書3.0版的分析》《APP個人信息采集侵權風險要點識別（下篇）——基于審判案例的分析》：(2)數據獲取方式的合規性（包括第三方數據來源合規關注焦點問詢對象/時間問詢內容數據來源中數智匯552020年8月發行人是否存在因從互聯網違規采集信息而受到主管當局處罰、信息主體投訴或訴訟等糾紛事項。木瓜移動562020年11月補充披露發行人業務活動中使用數據及獲取數據的基本情況，包括但不限于數據來源、途徑、所有權方、存儲位置、運用環節。55關于北京中數智匯科技股份有限公司首次公開發行股票并在科創板56北京市康達律師事務所關于北京木瓜移動科技股份有限公司首次公開發行股票并在創業板上市的補充法段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間問詢內容微眾信科572020年12月發行人及發行人的數據供應商從事數據服務是否需要取得特殊資質、許可或備案，當前數據服務行業(提供商)的相關主要監管規定；發行人當前從事數據交易是否要求數據提供方說明數據來源，并留存審核、交易記錄等內控機制。華夏電通582023年11月請發行人說明公司是否存在對外采購原料數據的情形，如是，請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性。天演維真592024年4月結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，如是，請補充披露相關信息或數據來源及使用的合法合規性、風險控制制度及執行情況，是否存在因泄露或使用前述信息或數據產生的糾紛或處罰。兆信股份602024年6月結合公司業務開展模式、具體業務內容、產品應用場景及產品功能等，分析說明公司及其員工在業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，如是，請補充披露相關信息或數據來源及使用的合法合規性、風險控制制度及執行情況，是否存在因泄露或使用前述信息或數據產生的糾紛或處罰。獲取方式微眾信科612020年12月發行人自行采集數據采用的技術，內容是否合法合規，程序是否正當；是否存在采用特殊互聯網手段（或技術）采集法律法規規定不屬于公開的社會信息或需要特殊許可等前置程序方可獲取數據的情形；發行人采集需要信息主體授權方能獲取的信息（包括納稅）等獲得授權的具體實現方式。合合信息62自動化訪問獲取的企業數據確保來源合法性的具體方式。57關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市告58關于北京華夏電通科技股份有限公司向不特定合格投資者公開發行股票59關于浙江天演維真網絡科技股份有限公司公開發行股票并在北交所上60關于北京兆信信息技術股份有限公司向不特定合格投資者公開發行股票61關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市告62關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市復段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間問詢內容2022年9月麥馳物聯632023年5月說明業主是否有權利拒絕發行人收集相關數據，如拒絕，是否影響業主正常出入小區等合法權益，相關約定是否實際具有強制性。天演維真642024年4月結合公司研發模式、產品功能、大數據和人工智能等技術在公司產品中應用情況等，說明公司是否存在對外采購原料數據的情形，如是，請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性，發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制，發行人及其原料數據采集供應商是否存在超出上述限制使用數據的情形，是否存在數據內容侵犯個人隱私或其他合法權益的風險。兆信股份652024年6月結合公司研發模式、產品功能、大數據和人工智能等技術在公司產品中應用情況等，說明公司是否存在對外采購原料數據的情形，如是，請進一步說明發行人及其原料數據采集供應商相關數據的獲取方式及其合規性，發行人是否享有數據的所有權或獲得相關數據主體的授權許可，相關授權許可是否存在使用范圍、主體或期限等方面的限制，發行人及其原料數據采集供應商是否存在超出上述限制使用數據的情形，是否存在數據內容侵犯個人隱私或其他合法權益的風險。內部機制中數智匯662020年10月發行人向供應商采購的數據其來源是否合法合規，發行人是否有相應機制保障供應商提供數據的合法合規性。表7數據收集合規相關問詢63關于深圳市麥馳物聯股份有限公司首次公開發行股票并在創業板上64關于浙江天演維真網絡科技股份有限公司公開發行股票并在北交所上65關于北京兆信信息技術股份有限公司向不特定合格投資者公開發行股票66關于北京中數智匯科技股份有限公司首次公開發行股票并在科創板段和段高亞平律師團隊企業上市數據合規白皮書3.0版殊情形下還需要獲得用戶的“單獨同意”，詳見本團隊文章《平臺處理個人數據需要(2)為履行法定職責或者法定義務所必需；可見，無需用戶同意的情形在一般業務開展中難以直接適用，“告知-同意”則成 “告知-同意”規則詳細如下圖所示：面（interface）及用戶體驗（userexperie定段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版險（詳見本團隊文章《一文讀懂個人信息爬蟲技術合規風險——基于爬蟲相關侵權案件要點法條內容不正當競爭行為類型一般不正當競爭行為《反不正當競爭法》68第二條：本法所稱的不正當競爭行為，是指經營者在生產經營活動中，違反本法規定，擾亂市場競爭秩序，損害其他經營者或者消費者的合法權益的行為。特殊不正當競爭行為《反不正當競爭法》第十二條：經營者利用網絡從事生產經營活動，應當遵守本法的各項規定。經營者不得利用技術手段，通過影響用戶選擇或者其他方式，實施下列妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為：（一）未經其他經營者同意，在其合法提供的網絡產品或者服務中，插入鏈接、強制進行目標跳轉；（二）誤導、欺騙、強迫用戶修改、關閉、卸載其他經營者合法提供的網絡產品或者服務；（三）惡意對其他經營者合法提供的網絡產品或者服務實施不兼容；（四）其他妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的行為。段和段高亞平律師團隊企業上市數據合規白皮書3.0版要點法條內容《網絡反不正當競爭暫行規定》69第十九條：經營者不得利用技術手段，非法獲取、使用其他經營者合法持有的數據，妨礙、破壞其他經營者合法提供的網絡產品或者服務的正常運行，擾亂市場公平競爭秩序。《網絡反不正當競爭暫行規定》第二十六條：判定構成妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行，可以綜合考慮下列因素：（一）其他經營者合法提供的網絡產品或者服務是否無法正常使用；（二）其他經營者合法提供的網絡產品或者服務是否無法正常下載、安裝、更新或者卸載；（三）其他經營者合法提供的網絡產品或者服務成本是否不合理增加；（四）其他經營者合法提供的網絡產品或者服務的用戶或者訪問量是否不合理減少；（五）用戶合法利益是否遭受損失，或者用戶體驗和滿意度是否下降；（六）行為頻次、持續時間；（七）行為影響的地域范圍、時間范圍等；（八）是否利用其他經營者的網絡產品或者服務牟取不正當利益。法律責任民事責任《反不正當競爭法》第十七條：經營者違反本法規定，給他人造成損害的，應當依法承擔民事責任。經營者的合法權益受到不正當競爭行為損害的，可以向人民法院提起訴訟。因不正當競爭行為受到損害的經營者的賠償數額，按照其因被侵權所受到的實際損失確定；實際損失難以計算的，按照侵權人因侵權所獲得的利益確定。行政責任《反不正當競爭法》第二十四條：經營者違反本法第十二條規定妨礙、破壞其他經營者合法提供的網絡產品或者服務正常運行的，由監督檢查部門責令停止違法行為，處十萬元以上五十萬元以下的罰款；情節嚴重的，處五十萬元以上三百萬元以下的罰款。段和段高亞平律師團隊企業上市數據合規白皮書3.0版要點法條內容《網絡反不正當競爭暫行規定》第三十七條：經營者違反本規定第十二條至第二十三條，妨害、破壞其他經營者合法提供的網絡產品或者服務正常運行的，由市場監督管理部門依照反不正當競爭法第二十四條的規定處罰。表8爬蟲行為反不正當競爭法規制要點我們以“爬蟲”等關鍵詞在中國裁判文書網檢索并篩選出(一)競爭關系的認定 段和段高亞平律師團隊企業上市數據合規白皮書3.0版(二)不正當競爭行為的認定被爬取方是否因不正當競爭行為受到損害；而部競爭是否侵害其他經營者的合法權益、違反市場(三)賠償額的認定段和段高亞平律師團隊企業上市數據合規白皮書3.0版(b)協議許可：遵守被爬取方的Robots協議，如若面對不合理的Robots協71段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版計算機信息系統類型非法行為適用罪名國家事務、國防建設、尖端科學技術領域以內的計算機信息系統違反國家規定侵入。非法侵入計算機信息系統罪國家事務、國防建設、尖端科學技術領域以外的計算機信息系統違反國家規定侵入或者采用其他技術手段：(1)獲取系統中存儲、處理或傳輸的數據，情節嚴重的；非法獲取計算機信息系統數據罪(2)對該系統實施非法控制，情節嚴重的。非法控制計算機信息系統罪計算機信息系統(1)提供專門用于侵入、非法控制系統的程序、工具，情節嚴重的，或者；(2)明知他人實施侵入、非法控制系統的犯罪行為而為其提供程序、工具，情節嚴重的。提供侵入、非法控制計算機信息系統程序、工具罪(1)違反國家規定對系統功能進造成其不能正常運行，后果嚴重的；(2)違反國家規定對系統中存儲、處理或者傳輸的數據和破壞計算機信息系統罪計算機信息系統類型非法行為適用罪名應用程序進行刪除、修改、增加的操作，后果嚴重的。表9爬取政府公共數據相關刑事風險(a)被采集網站是否具備Robots協議或公示條款限制自動化采集；(b)被采集網站是否具備自動化采集限制措施；數據收集環節為整個數據處理流程的初始階段，建立有效的內控(5)第三方數據供應商準入與篩選制度；(6)第三方數據供應商評價與追責制度；(7)數據主體權益保障與糾紛解決機制等。容，應包含數據獲取方式、數據來源主體信息（含其數據安全負責人/個人信息段和段高亞平律師團隊企業上市數據合規白皮書3.0版(2)數據使用過程中是否侵犯個人隱私或其他合法權益？(3)使用數據進行商業化變現是否合理？是否存在違規使用數據牟利行為？(4)算法技術的使用是否合規？(6)個人信息處理者與受托人的合作機制？關注焦點問詢對象/時間問詢內容數據使用螞蟻集團732020年9月對于業務開展過程中獲取的海量數據如何進行管理和運用，是否存在侵犯其他方數據隱私的情況，是否履行了與其他方關于數據安全的約定，對于數據的獲取、管理和使用是否合法合規。微眾信科742020年12月發行人是否存在超出法律規定、信息主體授權的范圍和目的收集信息、向客戶提供數據的情形，是否在法律、行政法規規定的范圍內履行必要的限度原則采集和運用信息。墨跡天氣752019年10月發行人通過自主收集及第三方途徑獲取用戶數據及標簽，并利用數據進行商業化變現，發行人于2019年7月16日收到APP專項治理組發出的《關于APP收集使用個人信息相關問題的通知》，APP專項治理工作組要求發行人就收集使用發行人使用用戶數據是否合法合規，尤其是商業化變現的合規性，結合相關媒體報道的墨跡天氣上傳用戶隱私等情況，對照《網安法》《關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》等法規和司法解釋，說明報告期發行人是否存在侵犯用戶隱私或數據的的情況，是否存在法律風73上海市方達律師事務所關于螞蟻科技集團股份74關于深圳微眾信用科技股份有限公司首次公開發行股票并在科創板上市申告段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間問詢內容險或潛在法律風險…合合信息762023年6月發行人關于獲取、存儲、使用數據的相關制度規范的制定時間、主要內容、執行情況，是否能夠有效保障數據安全及業務合法合規睿聯技術772023年9月是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為，是否存在侵犯個人隱私、商業秘密或其他侵權方面的情形。宇谷科技782023年11月是否存在利用獲取、保管的用戶、客戶數據開展商業用途的情形。思迅軟件792023年9月說明公司支付技術服務業務開展過程中是否存在收集、存儲、傳輸、處理、使用客戶數據或個人信息的情形，如是，請說明是否存在發行人利用相關個人消費者或企業客戶信息進行牟利等違法違規行為，相關信息或數據獲取及使用的合法合規性、風險控制制度及執行情況以及是否存在受到行政處罰的法律風險。兆訊科技80發行人業務開展過程中，是否涉及相關信息數據的采集、獲取、使用、存儲、管理等環節，是否符合數據安全、信息管理相關法律法規的規定。欣諾通信81發行人產品研發、生產、銷售及使用過程中涉及到的數據采集、處理、使用等情況及其合規性，數據內容是否涉及個人隱私或涉密信息，是否獲得相關數據主體或主管部門的明確授權許可，是否存在使用范圍、主體或期限等方面的限制，發行人是否存在超出上述限制使用數據的情形。發行人是否存在獲取、使用相關數據時侵犯個人隱私或其他合法權益的情形，發行人為維護數據安全所采取的措施，是否發生過泄密行為或受到相關行政處罰。76關于上海合合信息科技股份有限公司首次公開發行股票并在科創板上市申復77關于深圳市睿聯技術股份有限公司首次公開發行股票并在創業板上市78北京市通商律師事務所關于杭州宇谷科技股份有限公司首次公開發行股票并在79關于深圳市思迅軟件股份有限公司公開發行股票并在北交所上市80關于兆訊恒達科技股份有限公司首次公開發行股票并在科81北京市君澤君律師事務所關于上海欣諾通信技術股份有段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間問詢內容算法服務杭州小影822022年2月結合《關于加強互聯網信息服務算法綜合治理的指導意見》的精神分析說明發行人產品所使用算法的發展趨勢，前述《指導意見》規定的發展方向安全治理規則等對發行人技術研發、核心技術在產品或服務中的運用擬產生的影響，如有必要，請在招股說明書中細化提示相關產業政策、治理目標對發行人產品方向和業務內容產生影響的風險。木倉科技832022年6月請說明信息推送、交易推薦、提供算法推薦服務、用戶權益保護等內容是否符合《互聯網信息服務算法薦管理規定》。請說明公司駕考寶典APP在360手機助手應用上涉及“強制用戶使用定向推送功能”等問題的整改情況。卓越睿新842024年12月我們或第三方無論是實際或被認為、有意或無意造成的任何AI技術缺陷或濫用，均可能對我們的聲譽、業務、財務狀況、經營業績及前景產生重大不利影響。出門問問852024年4月我們或其他第三方有意或無意地對AI技術的任何實際或已知濫用，均可能對我們的業務、經營業績、財務狀況及業務前景造成重大不利影響。……我們已實施一系列措施防止我們AI技術的潛在濫用，包括在數據隱私及個人信息保護等各個方面實施內部控制機制及政策。科技倫理奧比中光862022年4月結合自身技術特點，產品的應用場景，數據合規和科技倫理方面的法律法規、政策等，說明相關情況是否影響發行人下游行業的發展，進而影響發行人的持續經營能力；充分披露數據合規和科技倫理方面的法律法規、政策對發行人技術商業化帶來的不利影響。合合信息872022年9月發行人是否涉及科技倫理敏感領域。82關于杭州小影創新科技股份有限公司首次公開發行股票并在創83關于武漢木倉科技股份有限公司首次公開發行股票并在創業84上海卓越睿新數碼科技股份有限公司招股章程86關于對奧比中光科技集團股份有限公司首次公開發行股票并在科創87關于上海合合信息科技股份有限公司首次公開發行股票并在科創板復段和段高亞平律師團隊企業上市數據合規白皮書3.0版關注焦點問詢對象/時間問詢內容個人信息處理者與受托人合作機制數聚智連882022年10月進一步說明發行人可獲取、使用的數據具體類型、數量規模，與電商平臺、品牌方之間關于用戶個人數據使用的合作機制、權責劃分機制。數據準確性風險美康股份89說明報告期內發行人是否存在產品內嵌數據不準確、存在謬誤、產品功能故障或存在應當提示用戶而未提示的情形及相關具體情況，與客戶之間就上述情形下的合同約定情況，發行人可能承擔的法律風險及具體賠償責任。表10數據使用合規相關問詢88關于北京數聚智連科技股份有限公司首次公開發行股票并在創業板89關于四川美康醫藥軟件研究開發股份有限公司首次公開發行股票并段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊企業上市數據合規白皮書3.0版個人信息處理者應按照“問題13：直接從用戶獲得數據，需要關注什么？”息段和段高亞平律師團隊企業上市數據合規白皮書3.0版序號要點角色一個人信息處理者概念指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。核心義務我們根據《個信法》獨創梳理出“MACTOP”六大核心義務：(1)M（“Management”從系統資質、人員崗位設置及管理制度方面“自外而內”進行管理：(a)建立與個人信息保護相關的內部管理制度和管理規程；(b)落實個人信息保護負責人崗位設置；(c)申請獲得ISO27001信息安全管理體系認證、網絡安全等級保護等資質。(2)A（“Authorization”&“Assessment”(a)確定個人信息處理的操作權限，根據業務流、個人信息流，授權不同部門、人員進行相應的處理；(b)定期進行合規審計，并依法履行個人信息保護影響評估義務，予以記錄與留痕。(3)C（“Category”對個人信息進行分類管理，根據不同類別賦予不同數據保護工具。如區分一般個人信息、敏感個人信息等類別給予不同維度的保護層級。(4)T（“Technology”采取相應的加密、去標識化等安全技術措施，來保護經分類和授權處理的個人信息。(5)O（“Organization”定期對從業人員進行安全教育和培訓。如通過簽署保密協議、進行背景調查、定期安全教育、定期培訓等方式，增強從業人員對于個人信息保護的合規意識，亦可進一步明確內部涉序號要點及個人信息處理不同崗位職責和處罰機制。(6)P（“Plan”建立個人信息安全事件應急預案并定期組織相關人員進行演練，履行個人信息泄露通知、補救等各項義務與流程，明確各主體責任。角色二受托人2-1概念受個人信息處理者的委托處理個人信息的主體。2-2核心義務(1)應當按照約定處理個人信息，不得超出約定的處理目的、處理方式等處理個人信息；(2)委托合同不生效、無效、被撤銷或者終止的，應當將個人信息返還個人信息處理者或者予以刪除，不得保留；(3)未經個人信息處理者同意，受托人不得轉委托他人處理個人信息；(4)受托人應當采取必要措施保障所處理的個人信息的安全，并協助個人信息處理者履行《個信法》規定的義務。表11個人信息處理者與受托人的主要區別段和段高亞平律師團隊企業上市數據合規白皮書3.0版92參考《個人信息安全規范》段和段高亞平律師團隊企業上市數據合規白皮書3.0版93段和段高亞平律師團隊企業上市數據合規白皮書3.0版段和段高亞平律師團隊