Keep沖擊中國“線上健身第一股”：大量敏感個人信息數(shù)據(jù)如何做到合規(guī)與安全？

近日，Keep向港交所提交招股書，正式進行IPO申請，沖擊中國“線上健身第一股”。

隨著我國在網(wǎng)絡(luò)數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新，掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺企業(yè)成為重點監(jiān)管對象。此次Keep遞交的招股書中依舊有大篇幅內(nèi)容關(guān)注數(shù)據(jù)合規(guī)。

招股書評估了Keep赴港上市被啟動網(wǎng)絡(luò)安全審查的可能性，并對此前因違規(guī)收集用戶個人信息而被通報整改的情況進行了說明。此外，招股書中專門提到聘請了有關(guān)中國數(shù)據(jù)合規(guī)法律的中國法律顧問。

受訪專家認為，數(shù)據(jù)合規(guī)對企業(yè)來說將是一個無法回避的、長期的課題。企業(yè)需在日常經(jīng)營中構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度，密切關(guān)注法律法規(guī)更新，及時針對相關(guān)要求進行自查整改等。未來，在IPO中聘請數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢。

　評估網(wǎng)絡(luò)安全審查風(fēng)險

在線健身平臺Keep由2014年成立的北京卡路里科技有限公司于2015年2月推出。據(jù)灼識咨詢報告，按2021年月活躍用戶及用戶完成的鍛煉次數(shù)計算，Keep已是目前中國及全球最大的線上健身平臺。

此前，Keep曾多次被爆出IPO傳聞。2021年年初，市場上一度傳出Keep赴美上市的消息，彼時公司回應(yīng)稱“關(guān)于IPO計劃暫無時間表”。2月25日，Keep正式向香港聯(lián)交所提交首次公開發(fā)行申請。在其招股書中，Keep對其赴港上市被啟動網(wǎng)絡(luò)安全審查的可能性做出了評估。

大成律師事務(wù)所高級合伙人鄧志松表示，近年來，我國針對網(wǎng)絡(luò)數(shù)據(jù)安全、用戶隱私方面的法律法規(guī)不斷更新，監(jiān)管也呈現(xiàn)愈發(fā)嚴格的趨勢。掌握大量用戶數(shù)據(jù)的互聯(lián)網(wǎng)平臺企業(yè)成為了數(shù)據(jù)合規(guī)、網(wǎng)絡(luò)安全等方面的重點監(jiān)管對象。

國家網(wǎng)信辦等十三部門聯(lián)合修訂發(fā)布《網(wǎng)絡(luò)安全審查辦法》（以下簡稱《辦法》），并自2022年2月15日起施行。

《辦法》進一步重申及擴大網(wǎng)絡(luò)安全審查的適用范圍，要求關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購網(wǎng)絡(luò)產(chǎn)品和服務(wù)，網(wǎng)絡(luò)平臺運營者開展數(shù)據(jù)處理活動，影響或者可能影響國家安全的，應(yīng)當(dāng)接受網(wǎng)絡(luò)安全審查；同時，掌握超過100萬用戶個人信息的網(wǎng)絡(luò)平臺運營者赴國外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報網(wǎng)絡(luò)安全審查。

此外，網(wǎng)信辦于2021年11月公布的《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》（以下簡稱《條例》）規(guī)定，數(shù)據(jù)處理者赴香港上市，影響或者可能影響國家安全的，應(yīng)當(dāng)申報網(wǎng)絡(luò)安全審查。

Keep招股書稱，由于該公司于香港上市并不屬于《辦法》所稱“國外上市”范圍，且根據(jù)《條例》，其收集的個人資料的類型及性質(zhì)主要與Keep健身用戶或健身市場有關(guān)，對國家安全的重要性相對較低，該公司須就上市進行網(wǎng)絡(luò)安全審查的風(fēng)險亦相對較低。

“網(wǎng)絡(luò)安全審查若無法通過將直接影響企業(yè)IPO進程。香港聯(lián)交所也曾多次要求境內(nèi)企業(yè)出具權(quán)威數(shù)據(jù)安全背書�！编囍舅山忉專�相關(guān)公司在境外上市過程中進行網(wǎng)絡(luò)安全審查方面的評估與風(fēng)險披露，一方面是為滿足境外上市的信息披露要求，另一方面也體現(xiàn)了公司對于網(wǎng)絡(luò)安全和數(shù)據(jù)保護的重視。

　健康及健身數(shù)據(jù)或含敏感個人信息

Keep平臺融合了大量社交、電商和內(nèi)容平臺的特性，依托于內(nèi)容、產(chǎn)品及服務(wù)的活躍用戶生成的大量數(shù)據(jù)，Keep利用大數(shù)據(jù)分析、人工智能及其他相關(guān)技術(shù)分析用戶數(shù)據(jù)，以了解用戶對內(nèi)容的興趣及需求，開發(fā)提供符合其興趣及需求的相關(guān)內(nèi)容的產(chǎn)品。

“我們的業(yè)務(wù)產(chǎn)生、處理、收集及存儲大量數(shù)據(jù)，未經(jīng)授權(quán)訪問、不當(dāng)使用或披露該等數(shù)據(jù)可能使我們面臨重大聲譽、財務(wù)、法律及經(jīng)營后果，并阻止現(xiàn)有及潛在用戶使用我們的服務(wù)�！闭泄蓵鴮懙馈�

此前，Keep曾因違規(guī)收集用戶個人信息問題被要求整改。2021年6月11日，網(wǎng)信辦針對129款存在非法獲取、超范圍收集、過度索權(quán)等侵害個人信息現(xiàn)象的App進行通報，其中就包括了Keep、咕咚、小米運動、悅跑圈、咪咕善跑、趣步行、即刻運動等34款運動健身類App。這些App被要求在15個營業(yè)日內(nèi)糾正相關(guān)不合規(guī)情況。

對此，Keep在招股書中表示已完善Keep的基本功能及服務(wù)范圍，任何用戶都可在無需提供不必要的個人資料的情況下，使用平臺的基本功能。同時，Keep更新了其隱私政策，以澄清其收集和使用數(shù)據(jù)的方式、可使用的基本功能服務(wù)范圍等。

浙江墾丁律師事務(wù)所律師李晉沅表示，Keep收集的信息，除在數(shù)量上達到超100萬用戶個人信息外，還有很大部分屬于生物特征數(shù)據(jù)。

根據(jù)招股書披露，Keep可能會收集包括但不限于姓名、身高、體重、胸圍/腰圍/臀圍測量及其他健康及健身數(shù)據(jù)。這其中可能包含了《個人信息保護法》界定的生物識別等敏感個人信息。

Keep指出，一旦其未能保護上述收集的數(shù)據(jù)，相關(guān)用戶可能容易受到辱罵、騷擾、勒索或人身傷害，其家庭、財產(chǎn)及其他資產(chǎn)也可能面臨風(fēng)險。而Keep不僅須就數(shù)據(jù)泄露事件承擔(dān)責(zé)任，其聲譽還可能受到嚴重損害，且將無法留住或吸引用戶，對業(yè)務(wù)和經(jīng)營業(yè)績造成重大不利影響。

事實上，健身類App的數(shù)據(jù)泄露所造成的危機早有顯現(xiàn)。2018年，荷蘭和平公益組織PAX與媒體De Correspondent聯(lián)合進行一項調(diào)查，發(fā)現(xiàn)法國可穿戴智能設(shè)備公司Polar提供的App在隱私設(shè)置上存在漏洞，惡意使用者可以利用Polar地圖獲取用戶的名字、地址信息。通過該App的Explore功能能夠探知用戶的活動。

“Keep在上市前，需根據(jù)其收集數(shù)據(jù)的特殊性（即大量敏感個人信息）來評價其業(yè)務(wù)的合規(guī)性�！崩顣x沅提醒。

　聘請數(shù)據(jù)合規(guī)律師或?qū)⒊沙�態(tài)

健身類App平臺企業(yè)涉及大量敏感個人信息，沖刺IPO時，在數(shù)據(jù)合規(guī)上有何注意點？

李晉沅表示，實務(wù)中，企業(yè)需要意識到并梳理涉及的個人信息總量，逐一分析歸類，尤其注意生物特征數(shù)據(jù)的分類分級保護。企業(yè)可從經(jīng)營管理的不同場景的角度切分，分別識別特定場景內(nèi)產(chǎn)生、存在的個人信息。

“敏感個人信息的梳理和識別工作，具有長期性、隨時性的特征。隨著技術(shù)設(shè)備的運用、業(yè)務(wù)的變化、新監(jiān)管規(guī)定的出臺等，個人信息收集的范圍和程度也將隨之變化。企業(yè)應(yīng)適時開展敏感個人信息的評估、識別工作�！彼�建議，企業(yè)在出具敏感個人信息（包括生物信息）的環(huán)節(jié)，需注意信息處理的前提、特殊的告知同意規(guī)則，以及對未成年人個人信息的絕對保護。

鄧志松認為，對于掌握大量個人信息的企業(yè)，首先，在日常經(jīng)營活動中，應(yīng)當(dāng)嚴格按照《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》以及《個人信息保護法》等相關(guān)法律法規(guī)的規(guī)定，構(gòu)建企業(yè)內(nèi)部數(shù)據(jù)合規(guī)制度；其次，出于審慎合規(guī)的角度，赴香港/國外上市的數(shù)據(jù)處理者還可以積極開展數(shù)據(jù)安全內(nèi)部自評估，與相關(guān)主管部門保持密切溝通，以對于企業(yè)數(shù)據(jù)處理或上市可能引發(fā)的國家安全風(fēng)險進行事前有效管控，積極主動落實赴港/國外上市企業(yè)的數(shù)據(jù)安全保護義務(wù)；最后，鑒于我國與網(wǎng)絡(luò)安全與數(shù)據(jù)安全方面的相關(guān)制度還在不斷完善更新，企業(yè)還需要密切關(guān)注相關(guān)法律法規(guī)，及時針對相關(guān)要求進行自查整改。

“企業(yè)除了在上市準備階段進行網(wǎng)絡(luò)安全審查評估外，未來即便已經(jīng)上市，仍不能放松對數(shù)據(jù)合規(guī)的關(guān)注。”鄧志松表示，《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第三十二條就規(guī)定，赴境外上市的數(shù)據(jù)處理者應(yīng)當(dāng)自行或者委托數(shù)據(jù)安全服務(wù)機構(gòu)每年開展一次數(shù)據(jù)安全評估。

值得注意的是，此次Keep沖刺IPO時還專門聘請了有關(guān)中國數(shù)據(jù)合規(guī)法律的中國法律顧問，在招股書中多處體現(xiàn)了該顧問的意見�！皬哪壳暗膶�(dǎo)向來看，數(shù)據(jù)合規(guī)對企業(yè)來說將是一個無法回避的、長期的課題。未來，在IPO中聘請數(shù)據(jù)合規(guī)律師將成為一種常態(tài)趨勢�！编囍舅烧f。