近日,Keep向港交所提交招股書,正式進行IPO申請,沖擊中國“線上健身第一股”。
隨著我國在網(wǎng)絡數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新,掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺企業(yè)成為重點監(jiān)管對象。此次Keep遞交的招股書中依舊有大篇幅內(nèi)容關注數(shù)據(jù)合規(guī)。
招股書評估了Keep赴港上市被啟動網(wǎng)絡安全審查的可能性,并對此前因違規(guī)收集用戶個人信息而被通報整改的情況進行了說明。此外,招股書中專門提到聘請了有關中國數(shù)據(jù)合規(guī)法律的中國法律顧問。
受訪專家認為,數(shù)據(jù)合規(guī)對企業(yè)來說將是一個無法回避的、長期的課題。企業(yè)需在日常經(jīng)營中構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度,密切關注法律法規(guī)更新,及時針對相關要求進行自查整改等。未來,在IPO中聘請數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢。
評估網(wǎng)絡安全審查風險
在線健身平臺Keep由2014年成立的北京卡路里科技有限公司于2015年2月推出。據(jù)灼識咨詢報告,按2021年月活躍用戶及用戶完成的鍛煉次數(shù)計算,Keep已是目前中國及全球最大的線上健身平臺。
此前,Keep曾多次被爆出IPO傳聞。2021年年初,市場上一度傳出Keep赴美上市的消息,彼時公司回應稱“關于IPO計劃暫無時間表”。2月25日,Keep正式向香港聯(lián)交所提交首次公開發(fā)行申請。在其招股書中,Keep對其赴港上市被啟動網(wǎng)絡安全審查的可能性做出了評估。
大成律師事務所高級合伙人鄧志松表示,近年來,我國針對網(wǎng)絡數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新,監(jiān)管也呈現(xiàn)愈發(fā)嚴格的趨勢。掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺企業(yè)成為了數(shù)據(jù)合規(guī)、網(wǎng)絡安全等方面的重點監(jiān)管對象。
國家網(wǎng)信辦等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡安全審查辦法》(以下簡稱《辦法》),并自2022年2月15日起施行。
《辦法》進一步重申及擴大網(wǎng)絡安全審查的適用范圍,要求關鍵信息基礎設施運營者采購網(wǎng)絡產(chǎn)品和服務,網(wǎng)絡平臺運營者開展數(shù)據(jù)處理活動,影響或者可能影響國家安全的,應當接受網(wǎng)絡安全審查;同時,掌握超過100萬用戶個人信息的網(wǎng)絡平臺運營者赴國外上市,必須向網(wǎng)絡安全審查辦公室申報網(wǎng)絡安全審查。
此外,網(wǎng)信辦于2021年11月公布的《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》(以下簡稱《條例》)規(guī)定,數(shù)據(jù)處理者赴香港上市,影響或者可能影響國家安全的,應當申報網(wǎng)絡安全審查。
Keep招股書稱,由于該公司于香港上市并不屬于《辦法》所稱“國外上市”范圍,且根據(jù)《條例》,其收集的個人資料的類型及性質(zhì)主要與Keep健身用戶或健身市場有關,對國家安全的重要性相對較低,該公司須就上市進行網(wǎng)絡安全審查的風險亦相對較低。
“網(wǎng)絡安全審查若無法通過將直接影響企業(yè)IPO進程。香港聯(lián)交所也曾多次要求境內(nèi)企業(yè)出具權(quán)威數(shù)據(jù)安全背書!编囍舅山忉專嚓P公司在境外上市過程中進行網(wǎng)絡安全審查方面的評估與風險披露,一方面是為滿足境外上市的信息披露要求,另一方面也體現(xiàn)了公司對于網(wǎng)絡安全和數(shù)據(jù)保護的重視。
健康及健身數(shù)據(jù)或含敏感個人信息
Keep平臺融合了大量社交、電商和內(nèi)容平臺的特性,依托于內(nèi)容、產(chǎn)品及服務的活躍用戶生成的大量數(shù)據(jù),Keep利用大數(shù)據(jù)分析、人工智能及其他相關技術(shù)分析用戶數(shù)據(jù),以了解用戶對內(nèi)容的興趣及需求,開發(fā)提供符合其興趣及需求的相關內(nèi)容的產(chǎn)品。
“我們的業(yè)務產(chǎn)生、處理、收集及存儲大量數(shù)據(jù),未經(jīng)授權(quán)訪問、不當使用或披露該等數(shù)據(jù)可能使我們面臨重大聲譽、財務、法律及經(jīng)營后果,并阻止現(xiàn)有及潛在用戶使用我們的服務!闭泄蓵鴮懙馈
此前,Keep曾因違規(guī)收集用戶個人信息問題被要求整改。2021年6月11日,網(wǎng)信辦針對129款存在非法獲取、超范圍收集、過度索權(quán)等侵害個人信息現(xiàn)象的App進行通報,其中就包括了Keep、咕咚、小米運動、悅跑圈、咪咕善跑、趣步行、即刻運動等34款運動健身類App。這些App被要求在15個營業(yè)日內(nèi)糾正相關不合規(guī)情況。
對此,Keep在招股書中表示已完善Keep的基本功能及服務范圍,任何用戶都可在無需提供不必要的個人資料的情況下,使用平臺的基本功能。同時,Keep更新了其隱私政策,以澄清其收集和使用數(shù)據(jù)的方式、可使用的基本功能服務范圍等。
浙江墾丁律師事務所律師李晉沅表示,Keep收集的信息,除在數(shù)量上達到超100萬用戶個人信息外,還有很大部分屬于生物特征數(shù)據(jù)。
根據(jù)招股書披露,Keep可能會收集包括但不限于姓名、身高、體重、胸圍/腰圍/臀圍測量及其他健康及健身數(shù)據(jù)。這其中可能包含了《個人信息保護法》界定的生物識別等敏感個人信息。
Keep指出,一旦其未能保護上述收集的數(shù)據(jù),相關用戶可能容易受到辱罵、騷擾、勒索或人身傷害,其家庭、財產(chǎn)及其他資產(chǎn)也可能面臨風險。而Keep不僅須就數(shù)據(jù)泄露事件承擔責任,其聲譽還可能受到嚴重損害,且將無法留住或吸引用戶,對業(yè)務和經(jīng)營業(yè)績造成重大不利影響。
事實上,健身類App的數(shù)據(jù)泄露所造成的危機早有顯現(xiàn)。2018年,荷蘭和平公益組織PAX與媒體De Correspondent聯(lián)合進行一項調(diào)查,發(fā)現(xiàn)法國可穿戴智能設備公司Polar提供的App在隱私設置上存在漏洞,惡意使用者可以利用Polar地圖獲取用戶的名字、地址信息。通過該App的Explore功能能夠探知用戶的活動。
“Keep在上市前,需根據(jù)其收集數(shù)據(jù)的特殊性(即大量敏感個人信息)來評價其業(yè)務的合規(guī)性!崩顣x沅提醒。
聘請數(shù)據(jù)合規(guī)律師或?qū)⒊沙B(tài)
健身類App平臺企業(yè)涉及大量敏感個人信息,沖刺IPO時,在數(shù)據(jù)合規(guī)上有何注意點?
李晉沅表示,實務中,企業(yè)需要意識到并梳理涉及的個人信息總量,逐一分析歸類,尤其注意生物特征數(shù)據(jù)的分類分級保護。企業(yè)可從經(jīng)營管理的不同場景的角度切分,分別識別特定場景內(nèi)產(chǎn)生、存在的個人信息。
“敏感個人信息的梳理和識別工作,具有長期性、隨時性的特征。隨著技術(shù)設備的運用、業(yè)務的變化、新監(jiān)管規(guī)定的出臺等,個人信息收集的范圍和程度也將隨之變化。企業(yè)應適時開展敏感個人信息的評估、識別工作。”他建議,企業(yè)在出具敏感個人信息(包括生物信息)的環(huán)節(jié),需注意信息處理的前提、特殊的告知同意規(guī)則,以及對未成年人個人信息的絕對保護。
鄧志松認為,對于掌握大量個人信息的企業(yè),首先,在日常經(jīng)營活動中,應當嚴格按照《網(wǎng)絡安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》等相關法律法規(guī)的規(guī)定,構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度;其次,出于審慎合規(guī)的角度,赴香港/國外上市的數(shù)據(jù)處理者還可以積極開展數(shù)據(jù)安全內(nèi)部自評估,與相關主管部門保持密切溝通,以對于企業(yè)數(shù)據(jù)處理或上市可能引發(fā)的國家安全風險進行事前有效管控,積極主動落實赴港/國外上市企業(yè)的數(shù)據(jù)安全保護義務;最后,鑒于我國與網(wǎng)絡安全與數(shù)據(jù)安全方面的相關制度還在不斷完善更新,企業(yè)還需要密切關注相關法律法規(guī),及時針對相關要求進行自查整改。
“企業(yè)除了在上市準備階段進行網(wǎng)絡安全審查評估外,未來即便已經(jīng)上市,仍不能放松對數(shù)據(jù)合規(guī)的關注。”鄧志松表示,《網(wǎng)絡數(shù)據(jù)安全管理條例(征求意見稿)》第三十二條就規(guī)定,赴境外上市的數(shù)據(jù)處理者應當自行或者委托數(shù)據(jù)安全服務機構(gòu)每年開展一次數(shù)據(jù)安全評估。
值得注意的是,此次Keep沖刺IPO時還專門聘請了有關中國數(shù)據(jù)合規(guī)法律的中國法律顧問,在招股書中多處體現(xiàn)了該顧問的意見。“從目前的導向來看,數(shù)據(jù)合規(guī)對企業(yè)來說將是一個無法回避的、長期的課題。未來,在IPO中聘請數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢!编囍舅烧f。