发布背景

       近年来，数据安全风险与日俱增，数据泄露、数据滥用等安全事件频发，为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。上市公司越来越成为数据合规的重要监管对象。在此背景下，北京德和衡律师事务所、北京德和衡（深圳）律师事务所与中国政法大学国际法治研究院于2021年联合发布了《中国上市公司数据合规案例研究报告（2018-2021）》（以下简称原《报告》），并在“德和衡律师”微信公众平台与北大法宝平台同步发布，取得了业界和社会各层面的广泛认可。《报告》发布后，我们仍然密切关注行业动态，发现立法、监管等方面对数据合规要求，尤其对上市公司的关注逐年提升，也出现了更多的典型案例。因此，在原《报告》的基础之上，北京德和衡律师事务所、北京德和衡（深圳）律师事务所与中国政法大学国际法治研究院值此更新发布《中国上市公司数据合规案例研究报告（2018-2022）》，对原《报告》进行了更新和完善，旨在对近几年上市公司数据合规案例进行梳理和解读，以此展望不断更新的监管动态对企业数据合规实践的影响，并为企业合规落地提供建议。

       报告简介

      《报告》基于公开数据针对自《网络安全法》出台生效以来，上市公司数据合规案例进行统计和梳理。以选取的处罚通报、行政处罚决定书、审核问询函以及在全国中小企业股份转让系统、上海证券交易所、北京证券交易所、中国证券监督管理委员会、工信部、网信办官方网站政务公开的信息为主，另查阅巨潮资讯网的公开通报，辅之以裁判文书（判决书、裁定书）相关数据，作出整合与综合分析。

       《报告》数据时间范围从2018年3月至2022年8月，涉及监管主体、监管地域、时间分布、处罚依据等多维度进行统计分析。行业主要集中在数据分析、网络安全、人工智能、软件和信息技术服务业以及金融服务业。

       《报告》同时包括针对数据合规的典型案例精选，对实际发生事件的回述的同时，也针对适用法律法规标准进行深入解析，并结合服务经验，对于企业类似问题的合规处理方案提出落地意见。并提示上市公司应注意的针对数据权属、收集、处理、共享、跨境、技术措施等多方面的政府监管要点和合规性操作。

       本次更新后的《报告》，相较于原《报告》，结合目前已经生效的《数据安全法》、《个人信息保护法》，以及一系列最新的规范文件，进行了更为全面的调查和研究，分析总结最新的监管关注要点和趋势。

       第一，监管要点更加聚焦。结合近一年数据显示，在上市申报过程中证券监督部门最关注的三类问题为数据处理合规、数据安全合规和数据源合规。

       第二，上市公司及其工作人员的处罚特征有所变化，主要包括：（1）涉及法律法规繁多，《网络安全法》为主要援引依据，新法援引率上升迅猛；（2）被处罚的上市公司大多为重要数据处理者，主营业务包括云计算、数据库分析管理、AI产品研发，以及互联网信息安全管理系统等；（3）处罚行业范围进一步扩大，除了关注于数据分析、网络安全等行业的数据合规，主管部门还延伸到对医疗健康行业、新能源行业，以及纺织服装行业等上市公司的数据合规监管；（4）处罚力度不断加大，治理频率逐年递增。

       第三，上市公司合规案例更加丰富，对上市公司更具借鉴意义。其中，如2022年“现在股份旗下“现在聚合支付SDK”，侵害用户权益遭工信部通报”案例，体现了上市公司数据治理的典型问题与工信部针对SDK重点查处事项。证监会方面，2022年7月12日对招商证券采取出具警示函措施。此为上市公司券业首单网络安全事件“双罚”案例，体现了证监会对券业上市公司信息系统安全的监管要求。

       报告摘要（节选）

       报告摘要节选如下，编辑“姓名+公司+职务+联系方式”发送至邮箱bijingjing@deheheng.com，即可获取完整版《中国上市公司数据合规案例研究报告（2018-2022）》。