近年来，随着数字经济的蓬勃发展，数据合规问题更加突出。自《数据安全法》和《个人信息保护法》正式实施以来，也意味着国家对数据安全合规的监管力度正在逐步加强。同时，在数字时代，越来越多的企业在日常业务运营中面临数据处理的需求，因此数据合规成为近年来IPO审核过程中的高频问题之一。

• 发行人是否已建立有效的内部控制制度，以确保业务发展所涉及的数据的合规性；

• 发行人各项业务中所获取的各类信息数据的具体储存方式及期限、使用方式及用途，是否存在超出数据获取协议或隐私政策的情形；

• 数据交易对手方是否具有获取、使用、销售数据的资质，该等数据来源是否合法，该类业务模式是否合规；

• 在相关产品的推广、使用过程中，发行人的经营活动、个人信息的处理（含收集、存储、使用、加工、传输、提供、公开、删除等）、发行人履行的义务是否符合《个人信息保护法》的相关要求及合规性；

• 公司是否存在关于数据合规方面的负面报道或新闻，请发行人梳理并进一步说明是否有足够、有效的措施保障公司（及其员工）数据方面的合法合规性。

  
  

    除了针对一些常规性问题进行问询外，IPO审核机构还会特别关注：

结合现行法律法规及IPO审核问询情况，拟上市公司在日常运营过程中，如涉及数据处理活动，应注意以下事项：

（一）根据法律法规取得资质

企业要确定其在数据安全领域的身份以及基于业务实质收集和使用的数据的性质，需要及时获得相关资质或进行预审。例如，根据《关键信息基础设施安全保护条例》和《网络安全审查办法》，关键信息基础设施运营者应当进行网络安全审查。

（二）遵循数据处理的基本原则

根据《网络安全法》、《数据安全法》等相关规定，收集和使用个人信息的，应当遵循合法、正当、必要原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。

（三）完善数据安全管理规范

数据安全涵盖数据处理的方方面面，包括数据采集、存储、使用、处理、传输、提供等一系列环节，企业应针对每个环节制定有针对性的管理规范，加强数据处理各个环节的合规性，例如：按照“最小必要”原则收集数据和个人信息，建立供应商数据来源审查机制，建立健全数据存储机制在存储敏感信息时采用加密等安全措施等。

（四）采用技术防护手段，保证数据安全

企业应当通过技术手段建立对数据的网络隔离措施、数据权限管理、数据脱敏、数据加密、数据溯源及备份等，保证数据安全。

（五）加强内部人员的管理与培训

拟上市企业应加强对内部员工在数据安全方面的控制。例如，签署严格、细致的保密协议，请数据安全服务机构进行安全意识培训，定期开展数据安全应急处理活动等。

数据合规是企业合规的重要组成部分，企业可以进行数据合规体检，识别整个数据供应链的风险， 尽早进行合规整改来应对机构审查与监管。

敏捷科技已累计为近800余家上市公司提供了合法合规的数据安全产品和咨询服务。未来，在数据安全法等法律法规的严格监管下，敏捷将立足于企业需求，发挥自身技术优势与项目经验，助力更多企业的数字化转型与长远发展。