正文：

　　在【企業(yè)上市過程面臨的數(shù)據(jù)合規(guī)問題和相關風險：境內篇】，我們梳理了中國公司在境內上市時證券監(jiān)管機構所提出的相關問題；在本篇中，我們主要關注《網(wǎng)絡安全法》生效后在境外上市（包含在美國和香港上市）的中國公司在招股書等公開文件中披露的重大風險，對其進行了翻譯和整合，總結出在網(wǎng)絡安全和數(shù)據(jù)保護方面境外上市公司的普遍性合規(guī)風險和相關行業(yè)的特殊性合規(guī)風險，供讀者參考。由于境內外上市公司披露的材料有所不同，所以境內篇和境外篇所利用的材料和文章的結構也有較大差別，但我們認為其中揭示的風險點對于境內外上市公司和非上市公司都是相通的，值得深入研究和系統(tǒng)應對。

　　普遍性合規(guī)風險

　　數(shù)據(jù)安全方面

　　任何安全漏洞和數(shù)據(jù)解密，包括網(wǎng)絡攻擊、未經授權的訪問和使用、計算機病毒、硬件或系統(tǒng)軟件被入侵或類似的破壞或中斷，都可能導致公司的保密技術遭受損害或破壞、用戶數(shù)據(jù)和保密信息泄露、降低用戶體驗、侵犯用戶隱私等后果，從而導致公司聲譽受損、合同提前終止、訴訟、監(jiān)管調查或公司面臨其他責任的后果。

　　公司自身、應用程序開發(fā)商以及客戶所使用的數(shù)據(jù)安全措施可能因第三方操作失誤、員工工作失誤、瀆職或其他原因而遭到破壞，公司技術基礎設施中的設計缺陷可能被暴露和利用，從而可能導致他人未經授權訪問開發(fā)人員、客戶以及終端用戶的機密信息。

　　未經授權訪問和攻擊系統(tǒng)的技術正在不斷變化和發(fā)展，并且其在發(fā)起攻擊前通常難以被識別，公司可能無法預測這些技術，難以實施適當?shù)念A防措施，因而存在安全漏洞。

　　公司無法保證公司的員工將來不會違反保密協(xié)議。

　　如果公司未能保護客戶數(shù)據(jù)和隱私，客戶可能會察覺到公司的第三方渠道泄漏或濫用客戶數(shù)據(jù)。

　　如果公司未能遵守隱私政策和數(shù)據(jù)安全措施，不當使用或披露數(shù)據(jù)，則可能導致未經授權發(fā)布或傳輸個人身份信息或導致其他用戶信息泄露，從而可能導致訴訟、監(jiān)管調查、聲譽受損等不利后果。

　　第三方保險安排未必足以涵蓋因個人信息泄露產生的虧損。（此處摘自港股招股書原文）

　　數(shù)據(jù)立法和監(jiān)管對業(yè)務的影響

　　中國的個人信息保護相關法律法規(guī)和標準的解釋和適用仍然處于不確定狀態(tài)，并在不斷調整中。相關政府部門可能會以對公司不利的方式解釋或實施法律法規(guī)。公司無法保證根據(jù)中國的《網(wǎng)絡安全法》及其配套法規(guī)，公司已經采取或將要采取的措施是完全充分的，中國不斷發(fā)展的隱私保護監(jiān)管框架可能會要求公司改變目前的業(yè)務實踐。

　　除了有關個人隱私和數(shù)據(jù)安全的法律、法規(guī)和其他適用規(guī)則外，行業(yè)團體或其他私人方也可能提出新的和更嚴格的隱私實踐標準。例如，《個人信息安全規(guī)范》要求數(shù)據(jù)控制者必須提供收集和使用個人信息的目的，要求數(shù)據(jù)控制者對其核心功能與附加功能進行區(qū)分，以確保數(shù)據(jù)控制者只會根據(jù)實際需要來收集個人信息。公司無法確保能夠滿足這些可能不斷出現(xiàn)的新標準。

　　在全球市場戰(zhàn)略下，公司業(yè)務會涉及到不同的司法管轄區(qū)，因而公司需受其個人信息保護法律和法規(guī)的約束，但公司可能無法及時調整內部政策以同時符合各管轄區(qū)的不同要求。例如，如果有歐盟境內的居民安裝了裝有公司SDK的APP，或公司的其他用戶到歐盟境內旅行，則公司可能需要遵守GDPR的相關要求。

　　世界各地的監(jiān)管機構近期正在制定或醞釀一系列有關數(shù)據(jù)保護的立法和監(jiān)管提案，這些立法和監(jiān)管提案如獲通過，其解釋和適用除了可能導致公司被罰款外，還可能會要求公司改變目前的數(shù)據(jù)業(yè)務實踐，這可能對公司的業(yè)務產生不利影響。

　　中國監(jiān)管機構越來越關注數(shù)據(jù)安全和數(shù)據(jù)保護領域的監(jiān)管，公司預計這些領域將受到監(jiān)管機構的更多關注，并吸引持續(xù)的或更多的公眾監(jiān)督和關注，這可能會增加公司的合規(guī)成本，并使公司面臨數(shù)據(jù)安全和保護相關的更高風險和挑戰(zhàn)。

　　即使公司使用的是匿名化的設備層面的移動信息，該信息也仍然有可能被認定為中國《網(wǎng)絡安全法》下的個人信息，從而需要符合相關規(guī)定和要求。中國法律法規(guī)中對于個人信息的收集、存儲、使用、處理、披露和轉移都有相關的規(guī)范要求，根據(jù)這些法律法規(guī)，互聯(lián)網(wǎng)信息服務提供商在收集用戶的個人信息前必須獲得用戶同意，并且不能收集與其提供的服務無關的個人信息，同時互聯(lián)網(wǎng)信息服務提供商也必須就信息收集和使用的目的、方式和范圍告知用戶。

　　輿論風險

　　一些對公司收集、存儲、處理和使用數(shù)據(jù)的做法的擔憂（即使沒有實際根據(jù)），也可能損害公司的聲譽和業(yè)務經營。

　　對于公司平臺的安全或隱私保護機制和政策的任何負面宣傳，以及對公司提出的任何索賠或監(jiān)管機關對公司的處罰，都會有損公司的公眾形象、聲譽以及業(yè)務發(fā)展。

　　如違反公司的網(wǎng)絡安全措施，或公司的平臺受到攻擊而導致用戶的個人信息遭受未經授權的入侵，公司的服務可能被視為不安全及不可靠。因此，用戶可能會減少或停止使用公司的服務，可能有損公司的業(yè)務及經營業(yè)績。

　　第三方對公司的影響

　　公司無法保證其應用開發(fā)商和業(yè)務合作伙伴所采取的數(shù)據(jù)保護措施的有效性，其存在的網(wǎng)絡安全漏洞可能導致公司客戶信息泄露。

　　公司無法控制應用開發(fā)商及業(yè)務合作伙伴等第三方的具體活動，如果其行為違反了中國《網(wǎng)絡安全法》或與保護個人信息相關的其他法律法規(guī)，或未能完全遵守與公司達成的服務協(xié)議，公司可能也會面臨被處罰的風險。

　　第三方網(wǎng)上支付平臺的運營安全及其收取費用的行為可能會對公司的業(yè)務產生重大不利影響。公司無法控制第三方網(wǎng)上支付供應商的安全措施，而公司所用網(wǎng)上支付系統(tǒng)出現(xiàn)安全漏洞或會令公司面臨訴訟，并可能就未能保障客戶保密信息產生負債。（此處摘自港股招股書原文）

　　相關行業(yè)的特殊性合規(guī)風險

　　數(shù)據(jù)服務類公司

　　公司通過為移動應用程序開發(fā)者提供服務，可以訪問用于開發(fā)特定行業(yè)數(shù)據(jù)解決方案的大量移動數(shù)據(jù)。基于公司集中式的專有數(shù)據(jù)處理平臺以及人工智能和機器學習，公司能夠從數(shù)據(jù)中發(fā)掘出有效可行的見解，并開發(fā)各種數(shù)據(jù)解決方案。但某些應用開發(fā)者可能禁止或限制公司訪問或使用公司業(yè)務所需的數(shù)據(jù)。

　　終端用戶所使用的某些計算機軟件或程序可能會限制公司訪問用戶數(shù)據(jù)，或者終端用戶可能會對公司使用其數(shù)據(jù)提出異議。如果公司未來無法繼續(xù)獲取大量移動數(shù)據(jù)，公司將失去競爭優(yōu)勢，公司可能無法有效地提供和改進現(xiàn)有數(shù)據(jù)解決方案以響應客戶的需求。

　　用戶對數(shù)據(jù)隱私的態(tài)度在不斷變化，用戶會擔心其個人信息被公司客戶或其他人訪問、使用或共享，這可能會對公司獲取數(shù)據(jù)的能力產生不利影響。

　　如果有其他的數(shù)據(jù)解決方案提供商發(fā)生嚴重的安全漏洞事件，公司的客戶和潛在客戶可能會對公司的開發(fā)服務或數(shù)據(jù)解決方案的安全性失去信任。

　　公司收集匿名的、設備層面的無法識別個人身份的數(shù)據(jù)，如應用程序要求用戶做出相應授權，發(fā)行人是否能接收個人身份信息，或者收集的數(shù)據(jù)是否可以通過其他方式用于識別個人身份。（此處摘自SEC對發(fā)行人的問詢）

　　互聯(lián)網(wǎng)金融公司

　　公司通過線上提供金融服務時會收集借款人的某些個人信息，并且還需要將該種個人信息與公司的業(yè)務合作伙伴（如信貸機構等）共享，以便為借款人提供信貸，公司已就該種收集和使用個人信息的行為取得了借款人的同意，并且建立了信息安全系統(tǒng)以保護用戶信息。但是，相關法律對于維護網(wǎng)絡安全和保護個人信息的要求仍存在不確定性，公司無法保證公司目前的信息安全政策和實踐完全符合現(xiàn)在或將來適用的任何法律法規(guī)。

　　公司會從外部數(shù)據(jù)源收集一些數(shù)據(jù)進行信用評估，該種外部數(shù)據(jù)源可能違反了中國《網(wǎng)絡安全法》，公司可能因此無法使用相關數(shù)據(jù)開展業(yè)務。

　　如果借款人或其他第三方提供的或公司收集的數(shù)據(jù)不準確、不完整或有欺詐性，則公司的信用評估的準確性可能會受到影響，可能減弱客戶對公司的信任。

　　公司從用戶處收集、存儲和處理某些個人和其他敏感數(shù)據(jù)，這可能使公司成為網(wǎng)絡攻擊的目標。未經授權披露個人敏感信息或機密的客戶數(shù)據(jù)，無論是因為系統(tǒng)故障、員工疏忽、欺詐還是盜用，都可能導致客戶和投資者的機密信息被盜并用于犯罪目的，會損害公司的聲譽并導致公司失去客戶。

　　公司收到了客戶關于其個人信息泄露的一些投訴，雖然公司已對此類泄漏進行了調查，但公司無法保證不會發(fā)生其他類似的事件和投訴。

　　根據(jù)中國《網(wǎng)絡安全法》，關鍵信息基礎設施的運營商，包括公共通信和信息服務以及金融業(yè)和其他重要行業(yè)和領域，應將在中國境內運營期間收集和生成的個人信息和重要數(shù)據(jù)儲存在境內，如需向境外傳輸，則應按相關規(guī)定進行安全性評估。公司所使用的數(shù)據(jù)中心位于海外，可能需要在不同地點之間傳輸某些個人數(shù)據(jù)，并且由于此類數(shù)據(jù)被用于金融服務，公司可能會受到中國《網(wǎng)絡安全法》規(guī)定的安全性評估要求的約束。公司無法保證，公司目前采用的評估個人數(shù)據(jù)安全的措施可以滿足相關政府部門現(xiàn)在或未來的要求。

　　電子商務公司

　　公司的業(yè)務會生成并處理大量數(shù)據(jù)，因而面臨處理和保護大量數(shù)據(jù)所固有的風險。電子商務行業(yè)面臨的一個重大挑戰(zhàn)是機密信息的安全存儲及其在公共網(wǎng)絡上的安全傳輸。

　　中國政府機構可能要求公司共享公司所收集的個人信息和數(shù)據(jù)，以符合中國有關網(wǎng)絡安全的法律。

　　在公司平臺上進行產品銷售均須通過第三方在線支付服務進行結算。第三方在線支付服務提供商在信息安全措施等方面的漏洞會損害公司客戶的利益，從而對公司的聲譽、公眾形象、業(yè)務前景等方面產生不利影響。

　　公司的客戶使用的付款處理服務或其他第三方服務可能會未經授權入侵公司用戶的數(shù)據(jù)。

　　公司與簽約的第三方物流服務提供商共享有關平臺用戶的某些個人信息，例如平臺用戶的姓名、地址、電話號碼和交易記錄，第三方物流服務提供商可能違反其保密義務并非法披露或使用有關平臺用戶的信息。

　　視頻類公司

　　公司的業(yè)務優(yōu)勢在于能夠制作極受大眾歡迎、引領潮流的原創(chuàng)內容，但公司面臨著黑客非法訪問和非法分發(fā)尚未發(fā)布的原始內容的風險。

　　公司的產品和服務涉及用戶和廣告客戶信息的存儲和傳輸，特別是計費數(shù)據(jù)以及原始內容，網(wǎng)絡安全漏洞可能使公司丟失此類數(shù)據(jù)。

　　可能存在第三方入侵公司的用戶帳戶并將用戶流量導向到其他互聯(lián)網(wǎng)平臺的情況，使公司丟失客戶。

　　公司需依靠第三方（如第三方在線支付處理商）的計費和支付系統(tǒng)來確定付費用戶的消費記錄并收取此類付款。公司無法控制第三方支付服務提供商的網(wǎng)絡安全措施，如果公司使用的在線支付系統(tǒng)存在安全漏洞，可能會使公司面臨訴訟以及承擔未能保護客戶機密信息的責任。

　　作為移動端直播平臺，公司的業(yè)務涉及大量用戶數(shù)據(jù)及其他相關信息。任何用戶數(shù)據(jù)泄露或丟失，或用戶制作任何不當內容，均可能對公司聲譽造成不利影響，若屬嚴重情況，公司或須承擔潛在的法律責任。

　　教育類公司

　　未獲授權披露或使用學生、老師及其他個人敏感數(shù)據(jù)（不論通過破壞網(wǎng)絡安全或以其他方式）可能令公司面臨訴訟或對公司的聲譽造成不利影響。

　　醫(yī)療類公司

　　與患者醫(yī)療保密相關的法律法規(guī)在未來可能對信息披露和使用的要求更加嚴格，包括限制轉移醫(yī)療保健數(shù)據(jù)。于2017年生效的《網(wǎng)絡安全法》指定醫(yī)療保健為優(yōu)先保護領域，因為其是關鍵信息基礎設施的一部分，且中國國家互聯(lián)網(wǎng)信息辦公室正在試圖最終確定跨境轉移個人信息法規(guī)草案。（此處摘自港股招股書原文）