近日,Keep向港交所提交招股書,正式進(jìn)行IPO申請(qǐng),沖擊中國(guó)“線上健身第一股”。
隨著我國(guó)在網(wǎng)絡(luò)數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新,掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺(tái)企業(yè)成為重點(diǎn)監(jiān)管對(duì)象。此次Keep遞交的招股書中依舊有大篇幅內(nèi)容關(guān)注數(shù)據(jù)合規(guī)。
招股書評(píng)估了Keep赴港上市被啟動(dòng)網(wǎng)絡(luò)安全審查的可能性,并對(duì)此前因違規(guī)收集用戶個(gè)人信息而被通報(bào)整改的情況進(jìn)行了說明。此外,招股書中專門提到聘請(qǐng)了有關(guān)中國(guó)數(shù)據(jù)合規(guī)法律的中國(guó)法律顧問。
受訪專家認(rèn)為,數(shù)據(jù)合規(guī)對(duì)企業(yè)來(lái)說將是一個(gè)無(wú)法回避的、長(zhǎng)期的課題。企業(yè)需在日常經(jīng)營(yíng)中構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度,密切關(guān)注法律法規(guī)更新,及時(shí)針對(duì)相關(guān)要求進(jìn)行自查整改等。未來(lái),在IPO中聘請(qǐng)數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢(shì)。
評(píng)估網(wǎng)絡(luò)安全審查風(fēng)險(xiǎn)
在線健身平臺(tái)Keep由2014年成立的北京卡路里科技有限公司于2015年2月推出。據(jù)灼識(shí)咨詢報(bào)告,按2021年月活躍用戶及用戶完成的鍛煉次數(shù)計(jì)算,Keep已是目前中國(guó)及全球最大的線上健身平臺(tái)。
此前,Keep曾多次被爆出IPO傳聞。2021年年初,市場(chǎng)上一度傳出Keep赴美上市的消息,彼時(shí)公司回應(yīng)稱“關(guān)于IPO計(jì)劃暫無(wú)時(shí)間表”。2月25日,Keep正式向香港聯(lián)交所提交首次公開發(fā)行申請(qǐng)。在其招股書中,Keep對(duì)其赴港上市被啟動(dòng)網(wǎng)絡(luò)安全審查的可能性做出了評(píng)估。
大成律師事務(wù)所高級(jí)合伙人鄧志松表示,近年來(lái),我國(guó)針對(duì)網(wǎng)絡(luò)數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新,監(jiān)管也呈現(xiàn)愈發(fā)嚴(yán)格的趨勢(shì)。掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺(tái)企業(yè)成為了數(shù)據(jù)合規(guī)、網(wǎng)絡(luò)安全等方面的重點(diǎn)監(jiān)管對(duì)象。
國(guó)家網(wǎng)信辦等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》(以下簡(jiǎn)稱《辦法》),并自2022年2月15日起施行。
《辦法》進(jìn)一步重申及擴(kuò)大網(wǎng)絡(luò)安全審查的適用范圍,要求關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者采購(gòu)網(wǎng)絡(luò)產(chǎn)品和服務(wù),網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者開展數(shù)據(jù)處理活動(dòng),影響或者可能影響國(guó)家安全的,應(yīng)當(dāng)接受網(wǎng)絡(luò)安全審查;同時(shí),掌握超過100萬(wàn)用戶個(gè)人信息的網(wǎng)絡(luò)平臺(tái)運(yùn)營(yíng)者赴國(guó)外上市,必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查。
此外,網(wǎng)信辦于2021年11月公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》(以下簡(jiǎn)稱《條例》)規(guī)定,數(shù)據(jù)處理者赴香港上市,影響或者可能影響國(guó)家安全的,應(yīng)當(dāng)申報(bào)網(wǎng)絡(luò)安全審查。
Keep招股書稱,由于該公司于香港上市并不屬于《辦法》所稱“國(guó)外上市”范圍,且根據(jù)《條例》,其收集的個(gè)人資料的類型及性質(zhì)主要與Keep健身用戶或健身市場(chǎng)有關(guān),對(duì)國(guó)家安全的重要性相對(duì)較低,該公司須就上市進(jìn)行網(wǎng)絡(luò)安全審查的風(fēng)險(xiǎn)亦相對(duì)較低。
“網(wǎng)絡(luò)安全審查若無(wú)法通過將直接影響企業(yè)IPO進(jìn)程。香港聯(lián)交所也曾多次要求境內(nèi)企業(yè)出具權(quán)威數(shù)據(jù)安全背書!编囍舅山忉,相關(guān)公司在境外上市過程中進(jìn)行網(wǎng)絡(luò)安全審查方面的評(píng)估與風(fēng)險(xiǎn)披露,一方面是為滿足境外上市的信息披露要求,另一方面也體現(xiàn)了公司對(duì)于網(wǎng)絡(luò)安全和數(shù)據(jù)保護(hù)的重視。
健康及健身數(shù)據(jù)或含敏感個(gè)人信息
Keep平臺(tái)融合了大量社交、電商和內(nèi)容平臺(tái)的特性,依托于內(nèi)容、產(chǎn)品及服務(wù)的活躍用戶生成的大量數(shù)據(jù),Keep利用大數(shù)據(jù)分析、人工智能及其他相關(guān)技術(shù)分析用戶數(shù)據(jù),以了解用戶對(duì)內(nèi)容的興趣及需求,開發(fā)提供符合其興趣及需求的相關(guān)內(nèi)容的產(chǎn)品。
“我們的業(yè)務(wù)產(chǎn)生、處理、收集及存儲(chǔ)大量數(shù)據(jù),未經(jīng)授權(quán)訪問、不當(dāng)使用或披露該等數(shù)據(jù)可能使我們面臨重大聲譽(yù)、財(cái)務(wù)、法律及經(jīng)營(yíng)后果,并阻止現(xiàn)有及潛在用戶使用我們的服務(wù)!闭泄蓵鴮懙。
此前,Keep曾因違規(guī)收集用戶個(gè)人信息問題被要求整改。2021年6月11日,網(wǎng)信辦針對(duì)129款存在非法獲取、超范圍收集、過度索權(quán)等侵害個(gè)人信息現(xiàn)象的App進(jìn)行通報(bào),其中就包括了Keep、咕咚、小米運(yùn)動(dòng)、悅跑圈、咪咕善跑、趣步行、即刻運(yùn)動(dòng)等34款運(yùn)動(dòng)健身類App。這些App被要求在15個(gè)營(yíng)業(yè)日內(nèi)糾正相關(guān)不合規(guī)情況。
對(duì)此,Keep在招股書中表示已完善Keep的基本功能及服務(wù)范圍,任何用戶都可在無(wú)需提供不必要的個(gè)人資料的情況下,使用平臺(tái)的基本功能。同時(shí),Keep更新了其隱私政策,以澄清其收集和使用數(shù)據(jù)的方式、可使用的基本功能服務(wù)范圍等。
浙江墾丁律師事務(wù)所律師李晉沅表示,Keep收集的信息,除在數(shù)量上達(dá)到超100萬(wàn)用戶個(gè)人信息外,還有很大部分屬于生物特征數(shù)據(jù)。
根據(jù)招股書披露,Keep可能會(huì)收集包括但不限于姓名、身高、體重、胸圍/腰圍/臀圍測(cè)量及其他健康及健身數(shù)據(jù)。這其中可能包含了《個(gè)人信息保護(hù)法》界定的生物識(shí)別等敏感個(gè)人信息。
Keep指出,一旦其未能保護(hù)上述收集的數(shù)據(jù),相關(guān)用戶可能容易受到辱罵、騷擾、勒索或人身傷害,其家庭、財(cái)產(chǎn)及其他資產(chǎn)也可能面臨風(fēng)險(xiǎn)。而Keep不僅須就數(shù)據(jù)泄露事件承擔(dān)責(zé)任,其聲譽(yù)還可能受到嚴(yán)重?fù)p害,且將無(wú)法留住或吸引用戶,對(duì)業(yè)務(wù)和經(jīng)營(yíng)業(yè)績(jī)?cè)斐芍卮蟛焕绊憽?/P>
事實(shí)上,健身類App的數(shù)據(jù)泄露所造成的危機(jī)早有顯現(xiàn)。2018年,荷蘭和平公益組織PAX與媒體De Correspondent聯(lián)合進(jìn)行一項(xiàng)調(diào)查,發(fā)現(xiàn)法國(guó)可穿戴智能設(shè)備公司Polar提供的App在隱私設(shè)置上存在漏洞,惡意使用者可以利用Polar地圖獲取用戶的名字、地址信息。通過該App的Explore功能能夠探知用戶的活動(dòng)。
“Keep在上市前,需根據(jù)其收集數(shù)據(jù)的特殊性(即大量敏感個(gè)人信息)來(lái)評(píng)價(jià)其業(yè)務(wù)的合規(guī)性。”李晉沅提醒。
聘請(qǐng)數(shù)據(jù)合規(guī)律師或?qū)⒊沙B(tài)
健身類App平臺(tái)企業(yè)涉及大量敏感個(gè)人信息,沖刺IPO時(shí),在數(shù)據(jù)合規(guī)上有何注意點(diǎn)?
李晉沅表示,實(shí)務(wù)中,企業(yè)需要意識(shí)到并梳理涉及的個(gè)人信息總量,逐一分析歸類,尤其注意生物特征數(shù)據(jù)的分類分級(jí)保護(hù)。企業(yè)可從經(jīng)營(yíng)管理的不同場(chǎng)景的角度切分,分別識(shí)別特定場(chǎng)景內(nèi)產(chǎn)生、存在的個(gè)人信息。
“敏感個(gè)人信息的梳理和識(shí)別工作,具有長(zhǎng)期性、隨時(shí)性的特征。隨著技術(shù)設(shè)備的運(yùn)用、業(yè)務(wù)的變化、新監(jiān)管規(guī)定的出臺(tái)等,個(gè)人信息收集的范圍和程度也將隨之變化。企業(yè)應(yīng)適時(shí)開展敏感個(gè)人信息的評(píng)估、識(shí)別工作!彼ㄗh,企業(yè)在出具敏感個(gè)人信息(包括生物信息)的環(huán)節(jié),需注意信息處理的前提、特殊的告知同意規(guī)則,以及對(duì)未成年人個(gè)人信息的絕對(duì)保護(hù)。
鄧志松認(rèn)為,對(duì)于掌握大量個(gè)人信息的企業(yè),首先,在日常經(jīng)營(yíng)活動(dòng)中,應(yīng)當(dāng)嚴(yán)格按照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)的規(guī)定,構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度;其次,出于審慎合規(guī)的角度,赴香港/國(guó)外上市的數(shù)據(jù)處理者還可以積極開展數(shù)據(jù)安全內(nèi)部自評(píng)估,與相關(guān)主管部門保持密切溝通,以對(duì)于企業(yè)數(shù)據(jù)處理或上市可能引發(fā)的國(guó)家安全風(fēng)險(xiǎn)進(jìn)行事前有效管控,積極主動(dòng)落實(shí)赴港/國(guó)外上市企業(yè)的數(shù)據(jù)安全保護(hù)義務(wù);最后,鑒于我國(guó)與網(wǎng)絡(luò)安全與數(shù)據(jù)安全方面的相關(guān)制度還在不斷完善更新,企業(yè)還需要密切關(guān)注相關(guān)法律法規(guī),及時(shí)針對(duì)相關(guān)要求進(jìn)行自查整改。
“企業(yè)除了在上市準(zhǔn)備階段進(jìn)行網(wǎng)絡(luò)安全審查評(píng)估外,未來(lái)即便已經(jīng)上市,仍不能放松對(duì)數(shù)據(jù)合規(guī)的關(guān)注!编囍舅杀硎,《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》第三十二條就規(guī)定,赴境外上市的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托數(shù)據(jù)安全服務(wù)機(jī)構(gòu)每年開展一次數(shù)據(jù)安全評(píng)估。
值得注意的是,此次Keep沖刺IPO時(shí)還專門聘請(qǐng)了有關(guān)中國(guó)數(shù)據(jù)合規(guī)法律的中國(guó)法律顧問,在招股書中多處體現(xiàn)了該顧問的意見!皬哪壳暗膶(dǎo)向來(lái)看,數(shù)據(jù)合規(guī)對(duì)企業(yè)來(lái)說將是一個(gè)無(wú)法回避的、長(zhǎng)期的課題。未來(lái),在IPO中聘請(qǐng)數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢(shì)!编囍舅烧f。