2024企业上市数据合规白皮书.docx

《2024企业上市数据合规白皮书.docx》由会员分享，可在线阅读，更多相关《2024企业上市数据合规白皮书.docx（127页珍藏版）》请在课桌文档上搜索。

1、企业上市数据合规白皮书一、遴选：案例分析说明8二、数据合规打底”问题解析12问题1：如何界定个人信息？16问题2：如何界定敏感个人信息？18问题3：处理敏感个人信息需要注意什么？20问题4：如何界定重要数据？23问题5：处理重要数据需要注意什么？27问题6：如何确认数据权属?29问题7：如何界定个人信息处理者与受托人？32问题8：提供数据服务是否需要相关资质、许可、认证及备案？33问题9：如何正确认知个人信息安全影响评估？36问题10：违规处理数据，需要承担哪些法律责任？40三、IPO数据合规核心40问42（一）数据收集合规6问43问题11：直接从用户获得数据，需要关注什么？44问题12：爬取

2、第三方企业数据，是否会构成不正当竞争行为？.47问题13：如何避免爬虫被认定构成不正当竞争行为？51问题14：爬取政府公共数据，需要关注什么？53问题15：直接从第三方采购数据，需要关注什么？55问题16：如何建立数据收集环节的内控制度？56（二）数据使用合规12问57问题17：未超范围使用数据，如何证明？60问题18：未侵犯个人隐私或其他合法权益，如何证明？61问题19：如何分清不同数据处理身份的责任和义务？63问题20：委托他人处理个人信息，应该怎么做？65问题21：作为算法服务提供者，需要承担哪些主体义务与责任？.66问题22：什么情况下需要进行算法备案？68问题23：如何进行算法备案？

3、69问题24：使用数据进行个性化推荐，需要注意什么？71问题25：什么是互联网服务深度合成技术？73问题26：深度合成服务提供者具有哪些义务？74问题27：哪些企业会被关注科技伦理问题？76问题28：如何进行科技伦理治理？77（三）数据共享合规5问80问题29：共享数据前，需要做些什么？82问题30：作为共享数据接收方，需要关注什么？84问题31：数据共享场景下，各方的权责如何划分？85问题32：集团数据融合/场景下，如何证明数据资产的独立性？.86问题33：APP运营者如何安全使用SDK?87（四）数据存储合规3问90问题34：数据存储，需要关注哪些合规要点？91问题35：个人生物识别信息应

4、如何存储？94问题36：数据存储的尽头是删除？95（五）境外上市/数据出境合规7问96问题37：什么情形下构成数据出境行为？98问题38：境外（香港或国外）上市，应申报网络安全审查吗？.99问题39：境外上市过程中的数据出境，如何合规？IOl问题40：向境外提供数据前，需要做些什么？103问题41：触发数据出境安全评估的情形有哪些？105问题42：如何进行数据出境安全评估？106问题43：个人信息跨境处理的合规路径有哪些？109（六）数据安全保障合规7问110问题44：数据合规的法定义务有哪些？114问题45：如何建立数据安全内部管理制度？117问题46：什么情况下应当设置数据安全负责人、个人

5、信息保护负责人？120问题47：APP/小程序被监管部门责令限期整改，是否会对上市造成影口向?121问题48：发生个人信息泄露时，个人信息处理者应当怎么办？.123问题49：数据处理涉刑，是否还有机会？125问题50：如何对外证明数据合规实力？128作者介绍:130一、遴选：案例分析说明我们精心遴选了从2019年至2024年1月5日48家具有典型代表性的企业L汇总遢些企业在上市过程中被审核机构问询的相关数据合规问题。其中在深交所创业板申请上市的企业数量最多，共有25家企业（占比约为52%）、在上交所科板申请上市的企业数量次之，共有15家企业（占比约为31%）；其余，2家企业在深交所主板申请上市

6、、5家企业申请在北交所申请主板上市、1家企业在港交所主板申请上市。2%52%上市板块 深交所创业板 上交所科创板一深交所主板 北交所主板 港交所主板在上市行业分类中，有25家企业归类为软件和信息技术服务业，数量最多，8家企业为计算机、通信和其他电子设备制造业，5家企业为互联网和相关服务,其他企业零散分布于零售业、商业服务业、电信、广播电视和卫星传输服务等行业。,截止2024年1月5日，本企业上市数据合规白皮书摘录的拟上市公司数据相关问询问题的案例截止至2024年1月5日。行业分类软件和信息技术服务业计算机、通信和其他电子设备制造业1.-互联网和相关服务其他具体如下表所示:序号发行人行业分类一深

7、交所创业板1未来穿戴计算机、通信和其他电子设备制造业2金智教育软件和信息技术服务业3多彩新媒电信、广播电视和卫星传输服务4衡泰技术软件和信息技术服务业5联众网络软件和信息技术服务业6麦驰物联计算机、通信和其他电子设备制造业7长城信息计算机、通信和其他电子设备制造业8绿联科技计算机、通信和其他电子设备制造业9睿联技术计算机、通信和其他电子设备制造业10数聚智连零售业11东富龙科技制药装备行业12小影创新软件和信息技术服务业序号发行人行业分类13大汉软件软件和信息技术服务业14木瓜移动互联网和相关服务15墨迹天气科技推广和应用服务业16宇谷科技软件和信息技术服务业17杭州小影软件和信息技术服务业1

8、8木仓科技互联网和相关服务19熙华检测研究和试验发展20联众信息软件和信息技术服务业21零点有数商务服务业22兆尹科技软件和信息技术服务业23新视云软件和信息技术服务业24宇谷科技互联网和相关服务25黔通智联软件和信息技术服务业二上交所科创板26佰聆数据互联网和相关服务27合合信息软件和信息技术服务业28碧兴物联节能环保行业29长光卫星软件和信息技术服务业30格蓝若计算机、通信和其他电子设备制造业31沃太能源电气机械和器材制造业序号发行人行业分类32长光卫星软件和信息技术服务业33中数智汇软件和信息技术服务业34奥比中光计算机、通信和其他电子设备制造业35蚂蚁集团互联网和相关服务36青云科技软

9、件和信息技术服务业37京东数科软件和信息技术服务业38微众信科软件和信息技术服务业39海天瑞声软件和信息技术服务业40旷视科技软件和信息技术服务业三深交所主板41太川股份计算机、通信和其他电子设备制造业42玮言服饰纺织服装、服饰业四北交所主板43思迅软件软件和信息技术服务业44华信永道软件和信息技术服务业45路桥信息软件和信息技术服务业46并行科技软件和信息技术服务业47华夏电通软件和信息技术服务业五港交所主板48蔚来非必需性消费-汽车二、数据合规“打底”问题解析通过分析证监会/证券交易所(合称“上市审核机构”)披露的各拟上市企业数据相关问询内容可知，对于以数据为主营业务的拟上市企业，审核机构

10、核心关注以下问题：(1)发行人是否存在处理个人信息、敏感个人信息的情形，处理方式是否合规；(2)发行人对个人信息主体权利保障情况；(3)发行人是否掌握重要数据；(4)发行人是否取得相关的数据权属；(5)发行人是否取得数据处理相关的资质、许可、认证及备案；(6)数据处理行为是否符合相关法律法规的规定，是否存在被处罚的风险。关注焦点问询对象/时间2问询内容个人信息华信永道32022年10月公司是否存在收集或使用客户数据的情形。请发行人结合公司业务开展模式、具体业务内容、产品应用场景及产品功能等，分析说明公司及其员工在业务开展过程中是否存在收集、存储、传输、处理、使用客户数据或个人信息的情形。未来穿

11、戴42023年7月说明“未来穿戴”APP获取用户个人信息的具体情况，包括获取个人信息的范围、个人信息存储地、访问权限、使用权归属、发行人对相关个人信息的使用情况及合法合规性，个人用户是否知情同意。玮言服饰$2023年8月说明微商城的注册用户数及活跃用户数，线上销售(含淘宝/天猫、微商城等所有渠道)过程中是否可以直接或间接获得用户的具体数据和个人资料等信息，如是，请说明获取条件、获取方式和信息范围。2时间指发行人或发行人中介机构回复问询时间3关于华信永道(北京)科技股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复,关于未来穿戴健康科技股份有限公司首次公开

12、发行股票并在创业板上市申请文件的第二轮审核问询函的回复5关于深圳市玮言服饰股份有限公司首次公开发行人民币普通股股票并在主板上市的补充法律意见书(二)关注焦点问询对象;时间2问询内容金智教育62023年9月说明“今日校园”APP及各类SaaS产品获取用户个人信息的具体情况，包括获取个人信息的范围、个人信息存储地、访问权限、使用权归属、发行人对相关个人信息的使用情况及合法合规性，个人用户是否知情同意。佰聆数据72023年9月数据来源、数据内容是否涉及个人隐私或涉密信息。多彩新媒82023年9月业务过程中所涉获取用户个人信息及合规性，并在招股说明书风险因素章节补充披露相关风险。衡泰技术92023年9

13、月说明发行人控制和运营的APP、小程序、公众号、网站及其运营模式，获取的个人数据数量及类型。敏感个人信息联众网络K）2022年7月说明报告期各期发行人仓储的病案数量及病案中所含信息、，是否属于敏感个人信息，相关病案的存储方式及保护措施。麦驰物联”2023年5月说明使用生物识别技术的具体产品及应用场景，是否存在采集、储存、使用业主身份证、手机号、人脸图像等敏感信息的情形，采集、储存、使用上述敏感信息的具体方式和使用情况，被采集人是否充分知情，发行人及相关主体是否取得被采集人的同意。太川股份22023年12月说明使用生物识别技术的具体产品及应用场景，是否存在采集、储存、使用业主身份证、手机号、人脸

14、图像等敏感信息的情形，采集、储存、使用上述敏感信息的具体方式和使用情况。6关于江苏金智教育信息股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复7关于佰聆数据股份有限公司首次公开发行股票并在科创板上市申请文件审核问询函的回复8广东华商律师事务所关于贵州多彩新媒体股份有限公司首次公开发行股票并在创业板上市的补充法律意见书（五）9关于杭州衡泰技术股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函之回复报告10关于上海联众网络信息股份有限公司首次公开发行股票并在创业板上市申请文件第二轮审核问询函的回复“关于深圳市麦驰物联股份有限公司首次公开发行股票并在创业板上市申

15、请文件的审核问询函的回复已关于珠海太川云社区技术股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复关注焦点问询对象;时间2问询内容个人信息主体权利太川股份132023年12月说明被采集人是否充分知情，发行人及相关主体是否取得被采集人的同意；业主是否有权利拒绝发行人及相关主体收集相关数据，如拒绝，是否影响业主正常出入小区等合法权益，相关约定是否实际具有强制性。补充披露发行人楼宇对讲门禁及智能家居产品相关APP、小程序等软件是否持续调用用户位置、照片、联系人等信息，如是，说明相关功能的必要性，是否涉嫌侵犯用户隐私。重要数据长城信息U2022年9月结合产品销售

16、及经营模式，分析说明发行人是否掌握重要数据或掌握100万人以上个人信息C绿联科技52023年9月发行人是否属于“掌握重要数据，或者掌握100万人以上个人信息的企业机构”。睿联技术S2023年9月请发行人说明是否掌握重要数据或掌握I（M）万人以上个人信息O数据权属合合信息72022年9月发行人各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形。数聚智连82022年10月说明发行人自电商平台获取数据的主要类型（如用户个人信息、订单管理信息、平台运营信息等），是否取得相关数据的所有权。碧兴物联92023年4月发行人各项业务及研发分别获取、存储、使用哪些数据，

17、对应的数据来源、数据权属，是否存在销售数据的情形；3关于珠海太川云社区技术股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复M关于长城信息股份有限公司首次公开发行股票并在创业板上市申请文件的审核问询函的回复-关于深圳市绿联科技股份有限公司首次公开发行人民币普通股股票并在创业板上市的补充法律意见书（六）16关于深圳市睿联技术股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复17关于上海合合信息科技股份有限公司首次公开发行股票并在科创板上市申请文件的首轮审核问询函的回第8关于北京数聚智连科技股份有限公司首次公开发行股票并在创业板上市申

18、请文件的第二轮审核问询函的回复9关于碧兴物联科技（深圳）股份有限公司首次公开发行股票并在科创板上市申请文件的审核问询函之回复报告关注焦点问询对象;时间2问询内容华夏电通202023年11月发行人是否享有数据的所有权或获得相关数据主体的授权许可，相关授权许可是否存在使用范围、主体或期限等方面的限制资质许可并行科技212022年9月结合发行人超算云服务的业务模式和实质，涉及上游超算基础设施、下游高等院校、科研院所等客户的法律法规、监管政策对于超算设施管理、超算第三方服务、信息数据安全和保密等方面的要求，说明发行人从事超算领域业务是否已取得相关资质、许可或认证。东富龙科技222022年7月发行人及控

19、股子公司、参股公司是否为客户提供个人数据存储及运营的相关服务，是否存在收集、存储个人数据，对相关数据挖掘及提供增值服务等情况；如是，请说明是否取得相应资质及提供服务的具体情况。佰聆数据232023年9月是否获得相关权利主体或主管部门的明确授权许可，是否存在适用范围、主体或期限等方面的限制，发行人是否存在超出前述限制使用数据或其他侵犯个人隐私、第三方合法权益的情形。金智教育242023年9月说明圆周网络运营“今日校园”APP等相关业务是否需取得增值电信业务经营许可证；发行人及各子公司是否已取得经营所需的全部资质许可，经营业务是否存在超出许可资质或经营范围的情形。处罚风险小影创新252022年4月

20、对个人信息的处理和使用是否符合个人信息保护法规定的处理规则；是否存在违法违规行为或被行政处罚的风险，是否对发行人构成重大不利影响。大汉软件262023年9月结合业务流程、合同条款等，说明业务开展中是否符合数据安全法网络安全法个人信息保护法电信和互联网用户个人信息保护规定懒据安全及信息保护相关法2。关于北京华夏电通科技股份有限公司向不特定合格投资者公开发行股票并在北京证券交易所上市申请文件的审核问询函的回复21关于北京并行科技股份有限公司公开发行股票并在北交所上市申请文件的审核问询函之回复22关于东富龙科技集团股份有限公司申请向特定对象发行股票的审核问询函之回复报告23关于佰聆数据股份有限公司首

21、次公开发行股票并在科创板上市申请文件审核问询函的回复24关于江苏金智教育信息股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复25关于杭州小影创新科技股份有限公司首次公开发行股票并在创业板上市申请文件的第二轮审核问询函的回复26上海市锦天城律师事务所关于大汉软件股份有限公司首次公开发行股票并在深圳证券交易所创业板上市的补充法律意见书（六）关注焦点问询对象;时间2问询内容律法规的规定，是否存在纠纷或潜在纠纷。表1数据基础相关问询问题1：如何界定个人信息？根据个人信息保护法27（下称“个信法D的规定，个人信息是以电子或者其他方式记录的与己识别或者可识别的自然人有关的各种信息

22、，不包括匿名化处理后的信息。即个人信息=已识别个人信息+可识别个人信息一匿名化信息。其中“匿名化”是指个人信息经过处理无法识别特定自然人且不能复原的过程，与“去标识化”相对，后者指个人信息经过处理，使其在不借助额外信息的情况下无法识别特定自然人的过程。我们以一个典型案例分析个人信息与非个人信息的区别。在2022年5月，为了维护网络空间的健康秩序，在用户在发表评论/发布内容时，各大网络平台强制公开用户IP属地28信息，一时间引发舆论监管与个人信息保护的激烈论战（具体参见本团队文章“个人信息”的判定绝非易事一IP属地遇到拦路虎“再识别妍）。那么，IP属地信息究竟是否构成个人信息？（DIP属地国P地

23、址“IP地址是指对计算机等上网设备进行唯一标识的一串32位二进制数，指向具有唯一性，能够单独识别到个人，因而属于个人信息；QIP属地对应的是宽泛的地理区域，单从境内账号展示的地域信息维度来看，省级地域内的用户数量庞大，难以直接通过该信息识别到或关联到特定的自然人，不构成“单独识别个人的信息；然而，若与用户已于平台公开的工作单位、工作经历、头像等信息相结合，却有可能构成“与其他信息结合识别个人的信息，或属于将IP地址进行去标识化（而非匿名化）措施后得到的27发布机构：全国人大常委会；2021.08.20发布；2021.1LOl实施28针对境内账号，仅展示省（自治区、直辖市）；针对境外账号，仅展示

24、国家（地区）个人信息。由此可见，IP属地是否构成个人信息，需要结合具体场景，评估其对特定自然人的可识别性所起的作用程度；同时，亦有赖于实践对于“可识别”个人信息认定边界的把握尺度。问题2：如何界定敏感个人信息？与一般的个人信息相比，敏感个人信息一旦被泄露或者滥用，往往会对个人信息主体造成更大的人身或者财产损害，因此敏感个人信息应该受到更为严格的保护。根据个信法的规定，只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者才可处理敏感个人信息。敏感个人信息的处理情况也愈加受到上市审核机构的重视。如联众网络29,一家作为为医疗管理部门、医院等提供无纸化病案、DRGs绩效考核

25、等软件服务的公司，在其上市审核过程中，被上市审核机构重点关注其业务开展过程中是否涉及病案信息等敏感个人信息的处理以及处理的合规性。因此，如何在个人信息中精准识别并区分敏感个人信息尤为重要。基础法律定义根据个信法的规定，敏感个人信息是一H泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、恃定身份、医疗健康、金融账户、行踪轨迹等信息L以及不满丰四周岁耒成年人的个人信息、UA通用性国标参考GBT35273-2020信息安全技术个人信息安全规范3。（下称“个人信息安全规范），个人敏感信息是指一旦泄露、非法提供或滥用可能危害人身和财产安全，极

26、易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。通常情况下，14岁以下（含）儿童的个人信息和涉及自然人隐私的信息属于敏感个人信息。具体如下表所示：292021年12月29日，深交所受理联众网络上市申请，经历2轮问询后，联众网络于2022年8月30日撤回申请并终止审核3。发布机构：全国信息安全标准化技术委员会；2020.03.06发布；2020.10.01实施18/132要点内容个人财产信息银行账户、鉴别信息（口令）、存款信息（包括资金数量、支付收款记录等）、房产信息、信贷记录、征信信息、交易和消费记录、流水记录等，以及虚拟货币、虚拟交易、游戏类兑换码等虚拟财产信息。个人健康生理信息个

27、人因生病医治等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等。个人生物识别信息个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。个人身份信息身份证、军官证、护照、驾驶证、工作证、社保卡、居住证等。其他信息性取向、婚史、宗教信仰、未公开的违法犯罪记录、通信记录和内容、通讯录、好友列表、群组列表、行踪轨迹、网页浏览记录、住宿信息、精准定位信息等。表2敏感个人信息列举特殊行业定义针对特殊行业，主管部门可能会结合实际监管需要，出台细化规定。如以汽车数据为例，对应的敏感个人信息定义如

28、下：根据汽车数据安全管理若干规定（试行）31的规定，敏感个人信息，是指一旦泄露或者非法使用，可能导致车主、驾驶人、乘车人、车外人员等受到歧视或称身、财产安全受到严重危害的个人信息,包括车辆行踪轨迹、音频、视频、图像和生物识别特征等信息。31发布机构：网信办、发展改革委、工信部、公安部、交通运输部；2021.08.16发布;2021.10.01实施问题3：处理敏感个人信息需要注意什么？考虑到敏感个人信息的特殊性，我国在一般个人信息的处理规则的基础上，对敏感个人信息的全生命周期处理流程提出了特殊的保护要求。在组织机构的设置上，根据个人信息安全规范第11.1条，处理超过在万人的个人敏感信息的组织即应

29、当设置个人信息保护负责人；而对于处理一般个人信息的，则放宽至1007?A(详见“问题46：什么情况下应当设置数据安全负一个人信息保护负责人？”)根据个信法与个人信息安全规范，我们从敏感个人信息的处理原则、处理条件、特殊告知与同意要求、传输与存储、使用、注销账户、公开、安全事件、组织机构等维度，独创梳理敏感个人信息处理要点如下表所示，需要特别关注的内容我们加粗显示(下表中未涉及的内容应依据一般个人信息处理规则处理)：序号要点内容1处理原则(I)具有特定的目的和充分的必要性；(2)采取严格保护措施。2个人信息保护影响评估个人信息处理者应当在处理敏感个人信息前，进行个人信息保护影响评估，并对处理情况

30、进行记录(详见“问题9：如何正情个人信息安全影响评估？3特殊告知要求(I)展行一般告知义务(详见”问题11：直接从用户获得数据需要关注什么？)：(a)个人信息处理者的名称或者姓名和联系方式；(b)个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；(C)个人行使个信法规定权利的方式和程序：(d)法律、行政法规规定应当告知的其他事项。(2)履行特殊告知义务:向个人告知处理敏感个人信息的必要性以及对个人权益的影响(依照个信法规定可以不向个人告知的除外32)；32根据个信法第十八条的规定：个人信息处理者处理个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一

31、款规定的事项。紧急情况下为保护自然人的生命健康和序号要点内容告知方式:宜在收集敏感个人信息前，通过交互界面或设计(如弹窗、文字说明、填写框、提示条、提示音等形式)，向个人信息主体履行告知义务。4单独同意(1)单独同意:处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定；(2)同意方式:宜通过个人信息主体对信息收集主动作出肯定性动作(如勾选、点击“同意”或下一步等)征得其明示同意，而非默认同意；(3)撤回同意:所要求的交互界面或设计应方便个人信息主体再次访问及更改其同意的范围；(4)未成年人的特殊情形:(a)应当取得未成年人的父母或者其他监护人

32、的同意；(b)个人信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。5传输与存储(I)传输和存储个人敏感信息时，应采用加密33等安全措施；(2)个人生物识别信息应与个人身份信息分开存储；(3)原则上不应存储原始个人生物识别信息(如样本、图像等)，可采取的措施包括但不限于：(a)仅存储个人生物识别信息的摘要信息汽(b)在采集终端中直接使用个人生物识别信息实现身份识另4、认证等功能；(C)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像35。6使用访问权限：对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础

33、上，按照业务流程的需求触发操作授权。7注销账户注销账户的过程中需收集敏感个人信息核验身份时，应明确收集个人敏感信息后的处理措施，如达成目的后立即删除或匿名财产安全无法及时向个人告知的，个人信息处理者应当在紧急情况消除后及时告知33采用密码技术时宜遵循密码管理相关国家标准34摘要信息通常具有不可逆特点，无法回溯到原始信息”个人信息控制者履行法律法规规定的义务相关的情形除外序号要点内容化处理等。8公开(1)进行个人信息保护影响评估；(2)向个人信息主体告知公开的目的、涉及的个人敏感信息的内容；(3)取得个人单独同意的；(4)不应公开：我国公民的种族、民族、政治观点、宗教信仰等个人敏感数据的分析结果

34、。9安全事件考虑到敏感个人信息一旦泄露或者非法使用，容易导致自然人的合法权益受到侵害，若发生或者可能发生敏感个人信息泄露、篡改、丢失的，建议按照“问题48：发生个人信息泄露时，应当怎么办？“履行法定补救与通知义务,并留存证件，以自证清白。10组织机构(1)个人信息保护负责人：处理超过10万人的个人敏感信息的，应设立专职的个人信息保护负责人和个人信息保护工作机构，负责个人信息安全工作(详见“问题46：什么情况应当设置数据安全负责人、个人信息保护负责人？”);(2)员工管理：应与从事个人信息处理岗位上的相关人员签署保密协议，对大量接触敏感个人信息的人员进行背景审查，以了解其犯罪记录、诚信状况等。表

35、3敏感个人信息处理规则问题4：如何界定重要数据?与一般数据相比，重要数据一旦被泄露或滥用，往往会给国家安全、公共利益造成更大的损害，因此，从网络安全法发布机构：全国人大常委会；2016.11.07发布；2017.06.01实施（“网安法”）到数据安全法发布机构：全国人大常委会；2021.06.10发布；2021.09.01实施38深交所于2021年12月29日受理长城信息上市申请，经两轮问询后，于2022年9月15日上市委会议审 议通过，于2023年4月28日终止上市审核39发布机构：全国信息安全标准化技术委员会；2022.01.13发布；征求意见至2022.03.13“从国家安全、经济运行、

36、社会稔定、公共健康和安全等角度识别重要数据，只对组织自身而言重要或敏 感的数据不属于重要数据，如企业的内部管理相关数据a通过对数据分级，明确安全保护重点，使般数据充分流动，重要数据在满足安全保护要求前提下有序 流动，释放数据价值8充分考虑地方已有管理要求和行业特色，与地方、部门已经制定实施的有关数据管理政策和标准规范紧 密衔接43根据数据用途、面临威胁等不同因素，综合考虑数据遭到篡改、破坏、泄露或者非法获取、非法利用等 风险，从保密性、完整性、可用性、真实性、准确性等多个角度识别数据的重要性（下称“数安法”）以及各类的国家标准，都对重要数据制定了特殊的保护制度。重要数据的处理也愈加受到上市审核

37、机构的重视，如在长城信息38上市审核过程中，上市审核机构就问询到其是否涉及重要数据的处理。然而，目前网安法及数安法尚未对“重要数据的定义、范围进行明确。重要数据定义参考2022年信息安全技术重要数据识别指南（征求意见稿）39（下称“重要辘识别指南”），其将重要数据定义为“以电子方式存在的，一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据”,同时标注重要数据不包括国家秘密和个人信息，但基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。A重要数据识别原则及识别因素识别重要数据，需要遵循聚焦安全影响4。、突出保护重点卬、衔接既有规定42、综合考虑风险心、定量

38、定性结合以定量与定性相结合的方式识别重要数据，并根据具体数据类型、特性不同采取定量或定性方法8随着数据用途、共享方式、重要性等发生变化，动态识别重要数据，并定期复查重要数据识别结果与动态识别复评45六项基本原则，同时，依据重要数据识别指南，具备以下因素之一的，是重要数据：一与政治军事安全相关的_（与经济运行安全相关的反映国家战略储笛.应急动员能力 如战略物资产能.储蓄量可能镀其他国家或组织利用发起对我国的军事打击,满足一定精度要求的地理信息反映质点目标.叠要场所物理安全保护情况或未公开地理目标的位置，可能被恐怖分子、犯罪分子利用实施破坏在向政府机关、军工企业及其他敏感重要机构提供服务过程中产生

39、的不宜公开的信息未公开的政务数据.工作秘密、情报数据和执法司法数据支撑关艇Im设施运行或声点领域工业生产 如南接支撑关键基础设施所在行业、领域核心业务运行或西点领域工业生产的数据关系敏感物项生产交易以及重要装备配备、使用，可能被外国政府对我实施制裁 如重点企业金融交易数据、重要装备生产制造信息关系出口管制物项重要数据识别因素如描述出口管制物项的设计原理、工艺流程.制作方法等信息以及源代码、集成电路布图、技术方案.重要参数.实验数据.检测报告关系科技实力.影响国际竞争p.如描述与国防.国家安全相关的知识产权的数据属于直要1（与科技与网络安全相关的）一辘可能被利用实施对关艇设备.系统组件供应Ia的

40、破坏，以发起高级持续性威胁等网络攻击如重要客户清单、未公开的关键信息基础运营者采购产品和SK务情况、未公开的重大漏洞反映关避信息基础设施网络安全保护情况，可被利用实施对关健信息基础设施的网络攻击反映群体健康生理状况族群特4正、遗传信息等的基础数据人口普查资料、人类遗传资源信息、基因测序原始数据国家自然资源、环境基础蛔B与生态资通相关的.未公开的水情侑息.水文观测数据、气象观测数据.环保监测数据同于奥要数据箕他可能影响国家政治.国土、军式经济.文化、社会、科技、生态、资现J源.核设施.海外利益.生物.太空、圾地、深海等安全的数据与文化社会相关的图1重要数据识别因素汽车和基础电信行业重要数据目录此

41、外，根据数安法等法律法规要求，国家有关部门应制定重要数据目录，加强对重要数据的保护。目前，我国在汽车行业、工业和信息化行业以及基础电信行业制定了现行有效的重要数据目录（如下表所示）。鉴于其他行业重要数据目录尚未出台，建议拟上市公司及时与主管网信部门作进一步沟通，以明确其所处理的数据性质是否构成重要数据。行业重要数据定义重要数据范围法律依据汽车是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者个人、组织合法权益的数据(1)军事管理区、国防科工单位以及县级以上党政机关等重要敏感区域的地理信息、人员流量、车辆流量等数据；(2)车辆流量、物流等反映经济运行情况的数据；(

42、3)汽车充电网的运行数据；(4)包含人脸信息、车牌信息等的车外视频、图像数据；(5)涉及个人信息主体超过10万人的个人信息；(6)发展改革、工业和信息化、公安、交通运输等有关部门确定的其他可能危害国家安全、公共利益或者个人、组织合法权益的数据。汽车数据安全管理若干规定(试行)基础电信是指企业在运营中收集、产生、控制的不涉及国家秘密，但与国家安全、经济发展、社会稳定，以及公共利益密切相关的数据，特别是与国家基础通信网络安全密切相关的数据(1)基础电信企业掌握的能够反映通信行业整体情况的数据，如网络规划、建设、关键技术信息；(2)基础电信企业掌握的通信网络基础资源信息，一旦被恶意利用，可能会导致国

43、家基础通信网络中断，进而对国家安全和社会稳定造成重大影响；(3)基础电信企业掌握的能够导致通信行业发生系统性风险的能够反映通信网络总体运行状况的数据，一旦完整性、保密性、可用性遭破坏可能对国家或社会带来负面影响的数据，如网络运行监控数据；(4)基础电信企业掌握的通信网络与系统的设计、安全防护计划和策略方案，及其单元或设备选型、配置、软件等属性信息和脆弱性基础电信企业重要数据识别指南行业重要数据定义重要数据范围法律依据信息等；以及包括密码技术在内的其它与国家安全相关的单元、装置、设备、系统或计划、设计能力和缺陷信息；(5)基础电信企业掌握的与意识形态、舆情等有关的文化安全相关信息；(6)YD/T

44、3813-2020中四级数据中的用户相关数据比照重要数据管理；(7)基础电信企业掌握的其他与国家公共安全、经济发展、社会稳定，以及公共利益密切相关的数据。工业和信息化危害程度符合下列条件之一的数据为重要数据：(1)对政治、国土、军事、经济、文化、社会、科技、电磁、网络、生态、资源、核安全等构成威胁，影响海外利益、生物、太空、极地、深海、人工智能等与国家安全相关的重点领域；(2)对工业和信息化领域发展、生产、运行和经济利益等造成严重影响；(3)造成重大数据安全事件或生产安全事故，对公共利益或者个人、组织合法权益造成严重影响，社会负面影响大；(4)引发的级联效应明显，影响范围涉及多个行业、区域或者行业内多个企业，或者影响持续时间长，对行业发展、技术进步和产业生态等造成严重影响；(5)经工业和信息化部评估确定的其他重要数据。工业和信息化领域数据安全管理办法(试行)表4汽车、基础电信行业及工业和信息化行业制定的现行有效的重要数据目录问题5：处理重要数据需要注意什么？考虑到重要数据与国家安全、公共利益息息相关，我国对于处理重要数据制定了特殊的保护要求。根据数安法网络数据安全管理条例（征求意见稿）46等相关法律法规，我们初步总结出重要数据处理者需要重点关注的要点：序号要点内容来源1设置人员及机构明确数据安全负责人和管理机构，落实数据安全保护责任。数安法2重要数据备案重要数据的处理