本文作者:婁鶴、姚雨飛,原標題《AIoT企業上市——數據合規成為必選項了嗎?》,題圖來自:視覺中國
前言
近年AIoT行業蓬勃發展。阿里成立AIoT創新中心、小米宣佈5年投入“5G+AIoT”500億元、百度率先進入AIoT安全領域,AIoT概念股已經被炒得火熱,有媒體稱AIoT已成為資本餐桌上的“硬菜”。隨着5G技術的推動,AIoT行業羣雄並起、愈演愈烈,已成為互聯網行業下一個增長極。
雖然AIoT行業屬數據收集、挖掘、利用、分享、傳輸的重點行業,但作為新興行業,主動投入成本人力資源做數據合規的案例較少。大多數AIoT行業做數據開發利用的自我合規很多都是在資本市場介入之後,特別是面臨上市輔導階段。很大程度上説,資本市場助力國內科技企業的自我數據合規。
本文從AIoT概念出發,分析中國AIoT企業隱私數據保護現狀,結合擬上市公司公開披露信息,初步探討研究中國證監會對擬上市AIoT企業的數據隱私保護的合規要求和趨勢。
一、什麼是AIoT?
在討論AIoT的具體概念前,回顧一下它的老前輩“物聯網(IoT)”的誕生歷程。根據Oracle官網的介紹顯示,物聯網描述的是由嵌入傳感器、軟件和其他技術的物理對象(“物”)組成的網絡,目的是通過互聯網與其他設備和系統連接和交換數據。這些設備從普通的家用物品到精密的工業工具都有。如今已有約100億台聯網物聯網設備,專家預計到2025年將增長到220億。[1]
AIoT其實是在傳統物聯網的基礎上,融入AI技術,實現萬物互聯、萬物智聯。通過低成本計算、雲計算、大數據、分析和移動通信等技術,實現物聯網產品自主收集、共享數據。值得注意的是,AIoT涉及的自然語言學習與處理、智能搜索、語音和圖像識別、算法訓練、數據模型等技術,都離不開一個關鍵要素——數據,它是促成IoT向AIoT轉變的無形推手。
塗鴉智能聯合Gartner發佈的《2021全球AIoT開發者生態白皮書》顯示,AIoT行業存在兩大挑戰:平台安全性和產業標準混亂。[2]前者是不少設備存在數據安全風險,不少企業也未制定數據收集和使用規範,後者則是強調物聯網行業還未制定一套通用的安全、測試、連接和操作標準。
因此,AIoT行業本身對新技術仍處於探索階段、創新前沿的特點會導致在早期發展階段如無強制的法律監管,可能致使企業主動做數據合規的動力不足。
二、AIoT企業被動建立數據隱私保護體系的趨勢
1. 數據合規法案蜂擁而至,境內外監管持續施壓
自2017年開始,我國數據安全法規體系就已經初具規模,《關於辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》(2017年6月1日生效)、《中華人民共和國網絡安全法》(2017年6月1日生效)、《信息安全技術 個人信息安全規範(GB/T 35273-2017)》(2017年12月29日發佈)等法律法規和技術規範的頒佈,以及《個人信息和重要數據出境安全評估辦法(徵求意見稿)》(2017年4月11日發佈)、《關鍵信息基礎設施安全保護條例(徵求意見稿)》(2017年7月10日發佈)。
2018年5月25日歐盟《通用數據保護條例》(GDPR)的出台,更是掀起了全球的數據保護法規制訂熱潮。無論是後續出台的美國《加州消費者隱私保護法案》(CCPA),還是《中華人民共和國民法典》第六章“隱私權和個人信息保護”、 《信息安全技術 個人信息安全規範(GB/T 35273-2020)》、《個人信息保護法》(草案)都在一定程度上借鑑了歐盟GDPR,各國形成了一套類GDPR數據保護規範。
目前,《個人信息保護法》(草案)已提請全國人大常委會審議,這一法律的頒佈和實施,將對個人信息安全保護髮揮重要的作用。
2. 資本市場日益聚焦安全與隱私問題
我們同樣注意到,在近期的一些上市案例中,證監會已針對數據安全與隱私問題進行重點問詢。同時,伴隨着中國企業的海外業務發展,監管機構對包括歐盟、美國等在內的海外地區的法律合規性也日益關注。
在證監會官網公示的AIoT企業《招股説明書》、《上市保薦書》、《問詢函》等文件中,涉及的主要法律法規和政策文件如下表所示:
3. 海外業務倒逼企業實現合規
相較剛步入正軌的中國數據保護法規而言,歐美國家早已出台嚴格的數據安全法規,因數據安全問題導致的大額罰單事件近年來也屢見不鮮。為規避風險,歐美廠商也習慣性要求下游企業、合作伙伴遵循數據安全保護要求,並提供合規證明。由此觸發上游企業倒逼國內企業遵守國外數據保護法規的現象。
4. 數據合規要求已在AIoT的產業鏈中全覆蓋
AIoT廠商可以分為以下八種類型:芯片提供商、傳感器供應商、無線模組(含天線)廠商、網絡運營商(含 SIM 卡商)、平台服務商、系統及軟件開發商、智能硬件廠商、系統集成及應用服務提供商。
此外,因AIoT企業的應用場景衍生特性,AIoT已不僅侷限於智能家居行業,並延伸到交通、物流、城市、製造、零售、醫療、農業等各個行業領域。
三、中國證監會(“證監會”)主動對AIoT上市企業數據安全和隱私保護問題做合規審核
證監會在審核AIoT的上市申請時,日漸重視對AIoT企業的數據合規審核。
經我們綜合研究2018年至今的AIoT類企業上市案例,證監會對該類別科技企業的合規審核要點為:
1. 數據來源合法性
企業數據來源的合法授權問題,既包括企業自有數據,也包括外採數據。
對於自有數據而言,數據收集種類、收集目的、使用場景、充分性披露、合法性基礎,以及授權證明存檔等問題都值得關注。
而對於外採數據,企業要特別留意供應商的數據來源合法性問題,尤其是當供應商數據來源合法性不確定時,建議以協議或承諾等形式加以規制。確有必要的情形下還應當對供應商數據來源進行定期審計,包括但不限於要求提供《個人數據授權使用同意書》樣本、數據安全合規報告等。
2. 數據安全和隱私保護
2.1 針對新技術數據安全(共享智能技術、區塊鏈)
技術本無罪,但是作為新興技術的試煉場,新技術必須得在合法框架下使用。近幾年大火的共享智能技術、區塊鏈技術等都已成為發審委重點問詢對象。區塊鏈信息服務企業除了要獲得相應的資質許可之外,還得注意隱私保護問題。如何保證數據所有權和數據使用權的分離,同時實現個人數據安全、高效地使用,明析各方權責,需要企業重點考量。
數據共享問題不僅關係到企業與上下游企業、合作伙伴之間的數據共享,還涉及到企業集團內部、關聯公司之間的數據共享,而後者的安全隱患容易被忽視。此外,因數據共享導致的數據資產權屬問題也是學術界爭論不休的話題,值得每個AIOT企業關注。
2.2 產品和服務模式的隱私保護
對於直接或間接向C端用户提供產品和服務的AIOT企業,證監會除了特別關注企業在《隱私政策》、《用户協議》、《產品説明書》等文件中對個人數據收集的種類、方式、目的、應用場景、合法授權等關鍵信息的披露之外,還可能要求企業建立一套關於數據收集和處理的內部個人信息保護制度,以及有關程序運行和軟件控制的技術配套措施。
3. 質量體系與合規認證
從上市發行公告來看,ISO系列的質量管理體系似乎已經成為了AIOT上市企業的標配。但不少企業卻遠不滿足於這一標準,除了質量管理體系之外,互聯網大廠所獲得的數據安全資質或認證種類之多讓人驚歎。
證監會也已習慣於將企業通過的認證體系和獲得的數據安全資質作為審查企業數據安全保護制度和技術措施是否完善的重要參考依據。其他相關的國際權威第三方數據安全認證也被一些企業推崇。數據安全認證“內卷化”趨勢若隱若現。
綜上,證監會對AIoT公司上市發行的數據合規已作為過會必備項目。對於數據來源、使用合法性、合規自證甚至第三方認證均有涉及。數據合規已成為數據使用類科技企業上市風險自查必選項。
證監會上市公告AIoT企業對數據合規部分的説明見後附。
四、AIoT企業的數據合規上市輔導
結合前述背景以及證監會針對AIoT企業的數據安全審核趨勢,我們建議擬上市的AIoT企業從以下幾個方面分析和解決數據合規問題:
1. 商業模式的合法合規性
隨着資本湧入AIoT行業,甚至A輪的投資方即會從商業模式角度審核數據利用類企業數據合規利用問題。證監會對AIoT企業的數據合規問詢,直接影響到投資方投資意向。越來越多的投資方開始建議科技類企業在企業的最初發展階段就進行數據合規審核。
2. 數據流合規(收集、使用、傳輸、存儲、銷燬)
數據主體授權
數據共享(尤其是關聯公司之間的數據共享問題)
大數據平台(數據庫)的數據共享、使用
數據傳輸協議,法律責任的劃分
跨境傳輸的合法性問題(中國向境外;境外向中國;境外之間)
對供應商、合作方的數據安全審查、合約管理
數據存儲地、存儲期限
國際合作、多法域下的合規
3. 數據主體權利
數據主體權利的合法保護
4. 技術安全措施
等保定級、備案與測評
訪問控制權限
數據加密
靜態數據保護指引
信息安全管理體系
數據備份及數據恢復測試
內部安全規則(管理保護、物理保護、技術保護等)
5. 內部數據安全制度
隱私政策、用户協議、Cookies Policy
市場宣貫文件、宣傳渠道審核
數據保護官的聘任、數據保護機構的建立
組織架構與公司治理
公司內部數據收集和處理制度
企業員工數據安全培訓、手冊宣貫
數據泄露及應急響應制度
數據保護培訓
數據活動的記錄
6. 第三方安全認證與許可
數據安全資質、許可問題(例如涉及區塊鏈技術時)
定期的第三方安全評估與監測機制
信息安全等級保護制度
第三方認證資質
7. 加強與網絡與信息安全監管機構溝通
結語
證監會加強對AIoT類企業的數據合規審核,推動了資本市場日益關注科技企業的數據合規合法性。企業如何從被動遵守,轉變為主動合規?我們認為,本質上這是在考驗企業家洞察商業趨勢和規律的能力。當一線國際品牌,以保護用户隱私替代產品性能作為宣傳賣點的時候;當全球消費者的隱私和安全意識已經被喚醒的時候;當各國紛紛出台數據立法,並頻繁出手打擊隱私泄露事件,開出一筆筆大額罰單的時候?我們應該如何應對?如果不能做到安全與合規,甚至是在某個時間點上完成這次轉身,我們將會錯過什麼?將失去什麼?
相反,如果我們能夠預判未來,擁抱趨勢,那麼我們必將在戰略上取得主動,獲得資本的青睞,搶下更多的業務機會、贏得消費者的信任、有效規避違法的風險和經濟損失。
資本市場是一場盛宴,但是它只對頭部企業給予超額的獎勵。不僅僅是業績,企業的合規和風控能力,也是資本判斷或篩選頭部企業的重要一環。因此,資本市場倒逼企業合規,企業合規促進資本市場繁榮,才是各方都樂於看到的良性發展局面。
附:AIOT公司上市發行公告
[1] What Is IoT?,Oracle, https://www.oracle.com/internet-of-things/what-is-iot/
[2] 塗鴉智能聯合Gartner重磅發佈《2021全球AIoT開發者生態白皮書》,科技數碼頻道,https://www.sohu.com/a/441256661_120330264
正在改變與想要改變世界的人,都在 虎嗅APP