近日,Keep向港交所提交招股书,正式进行IPO申请,冲击中国“线上健身第一股”。
随着我国在网络数据安全、用户隐私方面的法律法规不断更新,掌握大量用户数据的互联网平台企业成为重点监管对象。此次Keep递交的招股书中依旧有大篇幅内容关注数据合规。
招股书评估了Keep赴港上市被启动网络安全审查的可能性,并对此前因违规收集用户个人信息而被通报整改的情况进行了说明。此外,招股书中专门提到聘请了有关中国数据合规法律的中国法律顾问。
受访专家认为,数据合规对企业来说将是一个无法回避的、长期的课题。企业需在日常经营中构建企业内部数据合规制度,密切关注法律法规更新,及时针对相关要求进行自查整改等。未来,在IPO中聘请数据合规律师将成为一种常态趋势。
评估网络安全审查风险
在线健身平台Keep由2014年成立的北京卡路里科技有限公司于2015年2月推出。据灼识咨询报告,按2021年月活跃用户及用户完成的锻炼次数计算,Keep已是目前中国及全球最大的线上健身平台。
此前,Keep曾多次被爆出IPO传闻。2021年年初,市场上一度传出Keep赴美上市的消息,彼时公司回应称“关于IPO计划暂无时间表”。2月25日,Keep正式向香港联交所提交首次公开发行申请。在其招股书中,Keep对其赴港上市被启动网络安全审查的可能性做出了评估。
大成律师事务所高级合伙人邓志松表示,近年来,我国针对网络数据安全、用户隐私方面的法律法规不断更新,监管也呈现愈发严格的趋势。掌握大量用户数据的互联网平台企业成为了数据合规、网络安全等方面的重点监管对象。
国家网信办等十三部门联合修订发布《网络安全审查办法》(以下简称《办法》),并自2022年2月15日起施行。
《办法》进一步重申及扩大网络安全审查的适用范围,要求关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当接受网络安全审查;同时,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
此外,网信办于2021年11月公布的《网络数据安全管理条例(征求意见稿)》(以下简称《条例》)规定,数据处理者赴香港上市,影响或者可能影响国家安全的,应当申报网络安全审查。
Keep招股书称,由于该公司于香港上市并不属于《办法》所称“国外上市”范围,且根据《条例》,其收集的个人资料的类型及性质主要与Keep健身用户或健身市场有关,对国家安全的重要性相对较低,该公司须就上市进行网络安全审查的风险亦相对较低。
“网络安全审查若无法通过将直接影响企业IPO进程。香港联交所也曾多次要求境内企业出具权威数据安全背书。”邓志松解释,相关公司在境外上市过程中进行网络安全审查方面的评估与风险披露,一方面是为满足境外上市的信息披露要求,另一方面也体现了公司对于网络安全和数据保护的重视。
健康及健身数据或含敏感个人信息
Keep平台融合了大量社交、电商和内容平台的特性,依托于内容、产品及服务的活跃用户生成的大量数据,Keep利用大数据分析、人工智能及其他相关技术分析用户数据,以了解用户对内容的兴趣及需求,开发提供符合其兴趣及需求的相关内容的产品。
“我们的业务产生、处理、收集及存储大量数据,未经授权访问、不当使用或披露该等数据可能使我们面临重大声誉、财务、法律及经营后果,并阻止现有及潜在用户使用我们的服务。”招股书写道。
此前,Keep曾因违规收集用户个人信息问题被要求整改。2021年6月11日,网信办针对129款存在非法获取、超范围收集、过度索权等侵害个人信息现象的App进行通报,其中就包括了Keep、咕咚、小米运动、悦跑圈、咪咕善跑、趣步行、即刻运动等34款运动健身类App。这些App被要求在15个营业日内纠正相关不合规情况。
对此,Keep在招股书中表示已完善Keep的基本功能及服务范围,任何用户都可在无需提供不必要的个人资料的情况下,使用平台的基本功能。同时,Keep更新了其隐私政策,以澄清其收集和使用数据的方式、可使用的基本功能服务范围等。
浙江垦丁律师事务所律师李晋沅表示,Keep收集的信息,除在数量上达到超100万用户个人信息外,还有很大部分属于生物特征数据。
根据招股书披露,Keep可能会收集包括但不限于姓名、身高、体重、胸围/腰围/臀围测量及其他健康及健身数据。这其中可能包含了《个人信息保护法》界定的生物识别等敏感个人信息。
Keep指出,一旦其未能保护上述收集的数据,相关用户可能容易受到辱骂、骚扰、勒索或人身伤害,其家庭、财产及其他资产也可能面临风险。而Keep不仅须就数据泄露事件承担责任,其声誉还可能受到严重损害,且将无法留住或吸引用户,对业务和经营业绩造成重大不利影响。
事实上,健身类App的数据泄露所造成的危机早有显现。2018年,荷兰和平公益组织PAX与媒体De Correspondent联合进行一项调查,发现法国可穿戴智能设备公司Polar提供的App在隐私设置上存在漏洞,恶意使用者可以利用Polar地图获取用户的名字、地址信息。通过该App的Explore功能能够探知用户的活动。
“Keep在上市前,需根据其收集数据的特殊性(即大量敏感个人信息)来评价其业务的合规性。”李晋沅提醒。
聘请数据合规律师或将成常态
健身类App平台企业涉及大量敏感个人信息,冲刺IPO时,在数据合规上有何注意点?
李晋沅表示,实务中,企业需要意识到并梳理涉及的个人信息总量,逐一分析归类,尤其注意生物特征数据的分类分级保护。企业可从经营管理的不同场景的角度切分,分别识别特定场景内产生、存在的个人信息。
“敏感个人信息的梳理和识别工作,具有长期性、随时性的特征。随着技术设备的运用、业务的变化、新监管规定的出台等,个人信息收集的范围和程度也将随之变化。企业应适时开展敏感个人信息的评估、识别工作。”他建议,企业在出具敏感个人信息(包括生物信息)的环节,需注意信息处理的前提、特殊的告知同意规则,以及对未成年人个人信息的绝对保护。
邓志松认为,对于掌握大量个人信息的企业,首先,在日常经营活动中,应当严格按照《网络安全法》《数据安全法》以及《个人信息保护法》等相关法律法规的规定,构建企业内部数据合规制度;其次,出于审慎合规的角度,赴香港/国外上市的数据处理者还可以积极开展数据安全内部自评估,与相关主管部门保持密切沟通,以对于企业数据处理或上市可能引发的国家安全风险进行事前有效管控,积极主动落实赴港/国外上市企业的数据安全保护义务;最后,鉴于我国与网络安全与数据安全方面的相关制度还在不断完善更新,企业还需要密切关注相关法律法规,及时针对相关要求进行自查整改。
“企业除了在上市准备阶段进行网络安全审查评估外,未来即便已经上市,仍不能放松对数据合规的关注。”邓志松表示,《网络数据安全管理条例(征求意见稿)》第三十二条就规定,赴境外上市的数据处理者应当自行或者委托数据安全服务机构每年开展一次数据安全评估。
值得注意的是,此次Keep冲刺IPO时还专门聘请了有关中国数据合规法律的中国法律顾问,在招股书中多处体现了该顾问的意见。“从目前的导向来看,数据合规对企业来说将是一个无法回避的、长期的课题。未来,在IPO中聘请数据合规律师将成为一种常态趋势。”邓志松说。