本文作者:娄鹤、姚雨飞,原标题《AIoT企业上市——数据合规成为必选项了吗?》,题图来自:视觉中国


前言

 

近年AIoT行业蓬勃发展。阿里成立AIoT创新中心、小米宣布5年投入“5G+AIoT”500亿元、百度率先进入AIoT安全领域,AIoT概念股已经被炒得火热,有媒体称AIoT已成为资本餐桌上的“硬菜”。随着5G技术的推动,AIoT行业群雄并起、愈演愈烈,已成为互联网行业下一个增长极。

 

虽然AIoT行业属数据收集、挖掘、利用、分享、传输的重点行业,但作为新兴行业,主动投入成本人力资源做数据合规的案例较少。大多数AIoT行业做数据开发利用的自我合规很多都是在资本市场介入之后,特别是面临上市辅导阶段。很大程度上说,资本市场助力国内科技企业的自我数据合规。

 

本文从AIoT概念出发,分析中国AIoT企业隐私数据保护现状,结合拟上市公司公开披露信息,初步探讨研究中国证监会对拟上市AIoT企业的数据隐私保护的合规要求和趋势。

 

一、什么是AIoT?

 

在讨论AIoT的具体概念前,回顾一下它的老前辈“物联网(IoT)”的诞生历程。根据Oracle官网的介绍显示,物联网描述的是由嵌入传感器、软件和其他技术的物理对象(“物”)组成的网络,目的是通过互联网与其他设备和系统连接和交换数据。这些设备从普通的家用物品到精密的工业工具都有。如今已有约100亿台联网物联网设备,专家预计到2025年将增长到220亿。[1]

 

AIoT其实是在传统物联网的基础上,融入AI技术,实现万物互联、万物智联。通过低成本计算、云计算、大数据、分析和移动通信等技术,实现物联网产品自主收集、共享数据。值得注意的是,AIoT涉及的自然语言学习与处理、智能搜索、语音和图像识别、算法训练、数据模型等技术,都离不开一个关键要素——数据,它是促成IoT向AIoT转变的无形推手。

 

涂鸦智能联合Gartner发布的《2021全球AIoT开发者生态白皮书》显示,AIoT行业存在两大挑战:平台安全性和产业标准混乱。[2]前者是不少设备存在数据安全风险,不少企业也未制定数据收集和使用规范,后者则是强调物联网行业还未制定一套通用的安全、测试、连接和操作标准。

 

因此,AIoT行业本身对新技术仍处于探索阶段、创新前沿的特点会导致在早期发展阶段如无强制的法律监管,可能致使企业主动做数据合规的动力不足。

 

二、AIoT企业被动建立数据隐私保护体系的趋势

 

1. 数据合规法案蜂拥而至,境内外监管持续施压

 

自2017年开始,我国数据安全法规体系就已经初具规模,《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017年6月1日生效)、《中华人民共和国网络安全法》(2017年6月1日生效)、《信息安全技术 个人信息安全规范(GB/T 35273-2017)》(2017年12月29日发布)等法律法规和技术规范的颁布,以及《个人信息和重要数据出境安全评估办法(征求意见稿)》(2017年4月11日发布)、《关键信息基础设施安全保护条例(征求意见稿)》(2017年7月10日发布)

 

2018年5月25日欧盟《通用数据保护条例》(GDPR)的出台,更是掀起了全球的数据保护法规制订热潮。无论是后续出台的美国《加州消费者隐私保护法案》(CCPA),还是《中华人民共和国民法典》第六章“隐私权和个人信息保护”、 《信息安全技术 个人信息安全规范(GB/T 35273-2020)》、《个人信息保护法》(草案)都在一定程度上借鉴了欧盟GDPR,各国形成了一套类GDPR数据保护规范。

 

目前,《个人信息保护法》(草案)已提请全国人大常委会审议,这一法律的颁布和实施,将对个人信息安全保护发挥重要的作用。

 

2. 资本市场日益聚焦安全与隐私问题

 

我们同样注意到,在近期的一些上市案例中,证监会已针对数据安全与隐私问题进行重点问询。同时,伴随着中国企业的海外业务发展,监管机构对包括欧盟、美国等在内的海外地区的法律合规性也日益关注。

 

在证监会官网公示的AIoT企业《招股说明书》、《上市保荐书》、《问询函》等文件中,涉及的主要法律法规和政策文件如下表所示:

 

    

3. 海外业务倒逼企业实现合规

 

相较刚步入正轨的中国数据保护法规而言,欧美国家早已出台严格的数据安全法规,因数据安全问题导致的大额罚单事件近年来也屡见不鲜。为规避风险,欧美厂商也习惯性要求下游企业、合作伙伴遵循数据安全保护要求,并提供合规证明。由此触发上游企业倒逼国内企业遵守国外数据保护法规的现象。

 

4. 数据合规要求已在AIoT的产业链中全覆盖

 

AIoT厂商可以分为以下八种类型:芯片提供商、传感器供应商、无线模组(含天线)厂商、网络运营商(含 SIM 卡商)、平台服务商、系统及软件开发商、智能硬件厂商、系统集成及应用服务提供商。

 

此外,因AIoT企业的应用场景衍生特性,AIoT已不仅局限于智能家居行业,并延伸到交通、物流、城市、制造、零售、医疗、农业等各个行业领域。

 

三、中国证监会(“证监会”)主动对AIoT上市企业数据安全和隐私保护问题做合规审核

 

证监会在审核AIoT的上市申请时,日渐重视对AIoT企业的数据合规审核。

 

经我们综合研究2018年至今的AIoT类企业上市案例,证监会对该类别科技企业的合规审核要点为:

 

1. 数据来源合法性

 

企业数据来源的合法授权问题,既包括企业自有数据,也包括外采数据。

 

对于自有数据而言,数据收集种类、收集目的、使用场景、充分性披露、合法性基础,以及授权证明存档等问题都值得关注。

 

而对于外采数据,企业要特别留意供应商的数据来源合法性问题,尤其是当供应商数据来源合法性不确定时,建议以协议或承诺等形式加以规制。确有必要的情形下还应当对供应商数据来源进行定期审计,包括但不限于要求提供《个人数据授权使用同意书》样本、数据安全合规报告等。

 

2. 数据安全和隐私保护

 

2.1 针对新技术数据安全(共享智能技术、区块链)

 

技术本无罪,但是作为新兴技术的试炼场,新技术必须得在合法框架下使用。近几年大火的共享智能技术、区块链技术等都已成为发审委重点问询对象。区块链信息服务企业除了要获得相应的资质许可之外,还得注意隐私保护问题。如何保证数据所有权和数据使用权的分离,同时实现个人数据安全、高效地使用,明析各方权责,需要企业重点考量。

 

数据共享问题不仅关系到企业与上下游企业、合作伙伴之间的数据共享,还涉及到企业集团内部、关联公司之间的数据共享,而后者的安全隐患容易被忽视。此外,因数据共享导致的数据资产权属问题也是学术界争论不休的话题,值得每个AIOT企业关注。

 

2.2 产品和服务模式的隐私保护

 

对于直接或间接向C端用户提供产品和服务的AIOT企业,证监会除了特别关注企业在《隐私政策》、《用户协议》、《产品说明书》等文件中对个人数据收集的种类、方式、目的、应用场景、合法授权等关键信息的披露之外,还可能要求企业建立一套关于数据收集和处理的内部个人信息保护制度,以及有关程序运行和软件控制的技术配套措施。

 

3. 质量体系与合规认证

 

从上市发行公告来看,ISO系列的质量管理体系似乎已经成为了AIOT上市企业的标配。但不少企业却远不满足于这一标准,除了质量管理体系之外,互联网大厂所获得的数据安全资质或认证种类之多让人惊叹。

 

证监会也已习惯于将企业通过的认证体系和获得的数据安全资质作为审查企业数据安全保护制度和技术措施是否完善的重要参考依据。其他相关的国际权威第三方数据安全认证也被一些企业推崇。数据安全认证“内卷化”趋势若隐若现。

 

综上,证监会对AIoT公司上市发行的数据合规已作为过会必备项目。对于数据来源、使用合法性、合规自证甚至第三方认证均有涉及。数据合规已成为数据使用类科技企业上市风险自查必选项。

 

证监会上市公告AIoT企业对数据合规部分的说明见后附。

 

四、AIoT企业的数据合规上市辅导

 

结合前述背景以及证监会针对AIoT企业的数据安全审核趋势,我们建议拟上市的AIoT企业从以下几个方面分析和解决数据合规问题:


1. 商业模式的合法合规性


随着资本涌入AIoT行业,甚至A轮的投资方即会从商业模式角度审核数据利用类企业数据合规利用问题。证监会对AIoT企业的数据合规问询,直接影响到投资方投资意向。越来越多的投资方开始建议科技类企业在企业的最初发展阶段就进行数据合规审核。

 

2. 数据流合规(收集、使用、传输、存储、销毁)


  • 数据主体授权

  • 数据共享(尤其是关联公司之间的数据共享问题)

  • 大数据平台(数据库)的数据共享、使用

  • 数据传输协议,法律责任的划分

  • 跨境传输的合法性问题(中国向境外;境外向中国;境外之间)

  • 对供应商、合作方的数据安全审查、合约管理

  • 数据存储地、存储期限

  • 国际合作、多法域下的合规

 

3. 数据主体权利


  • 数据主体权利的合法保护

 

4. 技术安全措施


  • 等保定级、备案与测评

  • 访问控制权限

  • 数据加密

  • 静态数据保护指引

  • 信息安全管理体系

  • 数据备份及数据恢复测试

  • 内部安全规则(管理保护、物理保护、技术保护等)

 

5. 内部数据安全制度


  • 隐私政策、用户协议、Cookies Policy

  • 市场宣贯文件、宣传渠道审核

  • 数据保护官的聘任、数据保护机构的建立

  • 组织架构与公司治理

  • 公司内部数据收集和处理制度

  • 企业员工数据安全培训、手册宣贯

  • 数据泄露及应急响应制度

  • 数据保护培训

  • 数据活动的记录

 

6. 第三方安全认证与许可


  • 数据安全资质、许可问题(例如涉及区块链技术时)

  • 定期的第三方安全评估与监测机制

  • 信息安全等级保护制度

  • 第三方认证资质

 

7. 加强与网络与信息安全监管机构沟通

 

结语

 

证监会加强对AIoT类企业的数据合规审核,推动了资本市场日益关注科技企业的数据合规合法性。企业如何从被动遵守,转变为主动合规?我们认为,本质上这是在考验企业家洞察商业趋势和规律的能力。当一线国际品牌,以保护用户隐私替代产品性能作为宣传卖点的时候;当全球消费者的隐私和安全意识已经被唤醒的时候;当各国纷纷出台数据立法,并频繁出手打击隐私泄露事件,开出一笔笔大额罚单的时候?我们应该如何应对?如果不能做到安全与合规,甚至是在某个时间点上完成这次转身,我们将会错过什么?将失去什么?

 

相反,如果我们能够预判未来,拥抱趋势,那么我们必将在战略上取得主动,获得资本的青睐,抢下更多的业务机会、赢得消费者的信任、有效规避违法的风险和经济损失。

 

资本市场是一场盛宴,但是它只对头部企业给予超额的奖励。不仅仅是业绩,企业的合规和风控能力,也是资本判断或筛选头部企业的重要一环。因此,资本市场倒逼企业合规,企业合规促进资本市场繁荣,才是各方都乐于看到的良性发展局面。


附:AIOT公司上市发行公告



[1] What Is IoT?,Oracle, https://www.oracle.com/internet-of-things/what-is-iot/

[2] 涂鸦智能联合Gartner重磅发布《2021全球AIoT开发者生态白皮书》,科技数码频道,https://www.sohu.com/a/441256661_120330264