当数据合规遇见资本市场:从墨迹IPO被否谈起
一、用户数据使用合规性
- 整体要求:遵守数据使用的行政、刑事合规底线要求。根据《网络安全法》,个人信息的使用应遵循合法性、最小必要、授权同意的原则。
- 具体要求1:明确个人信息用于商业开发的合规边界,确保合法性、最小必要和授权同意。
- 具体要求2:遵守对外传输个人信息的合规要求,包括数据脱敏处理、告知用户目的和接收方、记录共享情况等。
二、用户数据内控管理及保护措施
- 整体要求:保障用户数据安全,兼顾组织管理和技术保障措施。
- 具体要求1:采取适当的组织措施和技术措施,如数据加密、备份、脱敏等。
- 具体要求2:做好个人信息安全事件的应对,制定应急预案、定期培训和演练、及时采取补救措施。
三、应对数据行业监管及政策
- 总体要求:构建数据合规治理机制,明确数据监管范围,加强企业内控制度。
- 具体措施:实时监控高风险业务场景,建立数据风险识别机制。
四、应对App专项治理工作组审查意见
- 整改情况:针对APP专项治理工作组通知指出问题进行整改,确保获得主管部门认可。
- 应对措施:积极汇报,降低进一步处罚风险,重视App个人信息安全认证。
五、案例分析
2019年10月,北京墨迹风云科技股份有限公司(墨迹公司)IPO申请未获通过,主要原因是用户数据收集及处理合规问题。墨迹公司需严格遵守数据使用和保护的相关规定,确保用户数据的安全和隐私。