IPO数据合规：近三年国内IPO数据合规典型案例及监管要点_北京转创国际管理咨询有限公司广东分公司

一、典型案例：某搜科技

申报时间	2019年9月
所属领域	智能推荐引擎
问询要点
1．是否存在未经授权获取用户数据的情况、获取个人数据是否对用户有明示提示、收集的数据是否限制在必要的范围内、是否仅概括性提示收集用户信息、是否超出用户授权范围使用数据、或存在未经其他平台的授权直接收取数据的行为； 2．某搜小说 app 的相关条款，如“客户在使用本服务访问网站时，某搜小说会自动接收并记录用户客户端或浏览数据，包括……等”、“某搜科技不对外公开或向第三方提供单个客户的注册资料，除非为维护某搜科技的合法权益”等条款是否符合《网络安全法》《电信和互联网用户个人信息保护规定》等规定，报告期内，发行人是否存在违反《网络安全法》《电信和互联网用户个人信息保护规定》等法律法规的情况，是否存在发行人因侵犯用户隐私或不当收集、使用、转让、共享、公开披露用户数据导致被主管机构处罚的情况； 3．报告期因用户数据相关事项导致的纠纷及相应整改措施；目前发行人是否采取技术措施和其他必要措施，确保其收集的个人信息安全； 4．充分说明日益加强的数据行业监管及个人隐私保护政策，包括但不限于《个人信息安全规范（征求意见稿）》主要变化、《网络生态治理规定（征求意见稿）》等对发行人业务的潜在影响及相关应对措施，并进行重大事项提示。
数据合规关注要点
1．个人数据收集合规 2．个人数据使用合规 3．第三方数据许可合规 4．cookie合规问题 5．对外公开或向第三方提供合规 6．违规处理用户数据被处罚情况 7．用户数据相关诉讼纠纷情况 8．个人信息安全技术措施或其他措施 9．行业监管和隐私政策变化对业务的影响

二、典型案例：某天气

申报时间	2019年10月
所属领域	天气
问询要点
1．发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规； 2．发行人使用用户数据是否合法合规，尤其是商业化变现的合规性，结合相关媒体报道的墨迹天气APP上传用户隐私等情况，对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释，说明报告期发行人是否存在侵犯用户隐私或数据的的情况，是否存在法律风险或潜在法律风险； 3．数据获取、使用、处理等过程的内部控制制度及执行情况，对数据安全和个人隐私的保护措施与手段，是否出现过个人信息、隐私泄露事件，是否存在纠纷或潜在纠纷； 4．日益加强的数据行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施； 5．发行人针对APP专项治理工作组通知指出问题的整改情况及整改效果，是否获得主管部门的认可，是否面临被处罚的风险。请保荐代表人说明核查依据、过程并发表明确核查意见。
数据合规关注要点
1．用户数据收集合规 2．用户标签获取合规 3．使用用户数据合规 4．是否侵犯用户隐私 5．数据获取、使用、处理的内控制度 6．数据安全和隐私保护措施 7．信息安全事件发生情况 8．是否存在纠纷或潜在纠纷 9．行业监管和隐私保护政策变化对业务影响 10．APP专项治理整改情况

三、典型案例：某辰资讯

申报时间	2020年4月
所属领域	数据分析服务
问询要点
在公司为客户提供数据分析服务时，主要有三类数据获取途径，分别是客户提供的数据、公司向供应商采集的数据以及公司自行采集的数据。 1．请发行人说明： 2．报告期内，发行人上述三类数据的具体内容、标准及占比，发行人是否掌握核心数据来源，此种运营模式是否与同行业可比公司相同或相似，是否存在数据来源的风险，是否对数据供应商存在重大依赖； 3．上述数据的所有权归属情况，相关数据存储方式及管理、数据分析功能实现的路径，发行人保障数据安全的具体措施； 4．发行人获取、分析、使用上述数据是否合规，是否涉及侵犯个人隐私或其他侵权风险，是否存在潜在纠纷，如存在相关风险，请在“重大事项”部分予以充分提示。发行人相关内部控制措施是否健全且得到有效执行。
数据合规关注要点
1．数据来源及供应商依赖风险 2．数据权属 3．数据存储、管理和分析 4．数据安全措施 5．数据收集合规 6．数据处理潜在纠纷 7．数据处理合规相关内控措施

四、典型案例：某睿数据

申报时间	2020年6月
所属领域	IT运维管理
问询要点
根据问询回复，在被动式监测过程中，发行人的产品探针程序由客户自行或在客户配合下植入 APP 应用、网页和服务器的代码中，无法独立于 APP 应用、网页和服务器而单独运行，且需在客户后端软件平台的统一控制和调配下进行应用性能数据的采集工作；客户可以选择 SaaS 模式进行数据存储，发行人与客户已签署相关合同，对发行人该等监测业务开展的方式、内容、范围等情形作出约定。根据公开资料，国家正在集中整治 APP 违法违规收集使用个人信息的情况。请发行人进一步说明： 1．目前已曝光违法违规收集使用个人信息的 APP 是否涉及发行人及其客户； 2．结合相关法律法规、被动式监测业务开展过程、发行人与客户之间的协议约定等，分析发行人的产品探针程序植入的APP应用、网页和服务器，若其存在相关违法违规行为，发行人应当承担的法律责任及潜在影响； 3．SaaS 模式及其他模式下，发行人是否违反协议规定，是否对第三方商业秘密予以充分有效保护。
数据合规关注要点
1．是否违法违规收集使用个人信息 2．探针植入APP的违法违规及违约风险 3．对第三方商业秘密保护问题

五、典型案例：某励飞

申报时间	2020年8月
所属领域	人工智能
问询要点
1．招股说明书中提请投资者关注政策制度风险：人工智能技术被不当使用或被滥用都可能令潜在客户对人工智能解决方案却步，也可能影响社会对人工智能解决方案的普遍接纳程度，引起负面报道，甚至可能违反中国及其他司法辖区的相关法律法规，面临诉讼风险、来自积极股东及其他组织的压力以及监管机构更严格的监管。请结合发行人主要产品及业务模式具体说明面临的上述政策制度风险的具体体现，并客观分析可能对发行人业务及生产经营的影响。请发行人律师对上述事项进行核查并发表明确意见。 2．根据申报材料：公司当前主营业务收入主要来源于公司在数字城市运营管理及人居生活智慧化升级各应用场景中，为下游客户提供的“端云结合”的整体AI 赋能方案。请发行人说明：（1）清晰说明发行人业务开展过程中涉及到相关个人数据、信息安全的获取、利用及保护的情况；（2）视觉人工智能技术的初始训练、迭代更新、模型训练上所需的大量数据的具体来源，发行人在场景应用过程中是否接触、收集、利用人脸数据信息，数据采集和使用过程中是否获得被收集者许可，是否存在侵犯个人隐私、肖像权等权益的情形，发行人业务开展过程中涉及到数据获取、管理和使用是否合法合规，发行人是否已建立完善的防泄密和保障网络安全的内部管理制度，该等制度的执行是否有效，发行人是否需要取得开展涉密类业务的资质或许可。请发行人律师对上述事项进行核查并发表明确意见。
数据合规关注要点
1．人工智能技术的政策制度风险 2．人工智能政策制度对业务的影响 3．个人数据获取、管理、使用合规 4．信息安全问题 5．人脸数据获取的合规问题 6．网络安全内部制度 7．涉密类业务资质问题

六、典型案例：某信科

申报时间	2020年9月
所属领域	征信服务
问询要点
1．根据申报材料，发行人当前数据的采集主要有客户提供、向供应商采购和自行收集。请发行人说明∶ （1）客户向发行人提供的数据中，其来源及合法合规性，客户是否有权从事该等业务，是否符合其相关行业的主管规定;发行人客户是否存在间接或变相向发行人提供不属于法律法规规定应当公开、或客户无权获取、提供的数据的行为; （2）发行人及发行人的数据供应商从事数据服务是否需要取得相应特殊资质、许可或备案，当前数据服务行业（提供商）的相关主要监管规定;发行人当前从事数据交易是否要求数据提供方说明数据来源.并留存审核、交易记录等内控机制;结合《数据安全法》的实施给发行人业务可能带来的影响，说明发行人后续的跟进、合规措施;是否存在不能取得相关资质、备案的风险; （3）数据供应商从事该等业务（销售数据）是否合法合规;该等采购的数据其来源是否合法合规，发行人是否有相应机制保障供应商提供数据的合规合规性; （4）发行人上述数据供应商是否曾因数据合规问题涉及诉讼或纠纷，发行人向上述数据供应商采购数据合同中是否约定相关因数据合规问题产生纠纷的解决机制; （5）发行人自行采集数据采用的技术，内容是否合法合规，程序是否正当;是否存在采用特殊互联网手段（或技术）采集法律法规规定不属干公开的社会信息或需要特殊许可等前置程序方可获取数据的情形;发行人采集需要信息主体授权方能获取的信息（包括纳税）等获得授权的具体实现方式; （6）发行人是否存在因自行违规采集信息而受到主管当局处罚、信息主体投诉或诉讼等纠纷事项。 2．根据招股说明书，发行人主要从事数据服务并向银行等金融机构提供企业征信服务等。根据相关数据、征信方面的法律规范，发行人采集、提供相关信息必须得到相关授权及在法定、信息主体授权的范围内收集、运用。请发行人说明∶ （1）发行人当前是否存在使用（采购）盗版软件（或数据库）的情形，发行人相关数据获取、处理等使用的软件（工具）是否存在侵权风险等; （2）发行人是否从事境外数据的获取、处理、提供等涉外服务，如涉及，请说明是否符合征信相关法律、数据安全相关法律规定的涉外信息、数据安全的要求和程序，该类业务的合法合规性; （3）发行人是否存在数据（信息）泄露、遗失等数据安全问题，是否因此受到投诉、处罚或诉讼等数据安全纠纷; （4）发行人是否存在超出法律规定、信息主体授权的范围和目的收集信息、向客户提供数据的情形，是否在法律、行政法规规定的范围内履行必要的限度原则采集和运用信息; （5）发行人报告期内是否存在因数据合规问题而受到处罚、监管等情形; （6）发行人针对数据合规各环节（收集、处理、提供等）采取的内控措施及相应的纠纷解决机制。请发行人律师就发行人数据的收集、处理、应用、提供等各环节是否符合《数据安全法》等数据（或电子数据）方面法律规范、《征信业管理条例》《征信机构管理办法》等征信业务方面法律规范进行核查并发表明确意见
数据合规关注要点
1．发行人数据来源及其合法合规性 2．发行人及数据供应商业务资质、备案 3．供应商之间数据交易合规 4．对数据供应商提供数据的合规约束 5．数据交易过程合规问题 6．《数据安全法》对业务的影响 7．数据供应商涉诉问题及其对发行人业务影响 8．自行采集数据的合法合规性 9．违规采集信息被处罚、投诉或涉诉情况 10．采集数据使用软件（工具）的侵权风险 11．境外数据处理是否符合征信、数据安全相关规定 12．数据泄露、遗失等数据安全及其投诉、处罚或涉诉情况 13．针对数据合规各环节的内控措施

七、典型案例：某蚁集团

申报时间	2020年9月
所属领域	金融科技
问询要点
根据招股说明书披露，我国关于数据安全和隐私保护的监管及执法机制正在不断发展，《中华人民共和国网络安全法》（主席令第53号）及相关规定已经出台；2020年7月，全国人大常委会发布了《中华人民共和国数据安全法（草案）》以征求公众意见，草案规定了从事数据活动的组织和个人的数据安全义务。2014 年8月，公司与AL集团签署了《数据共享协议》，并于2020年8月对其进行了修订。《数据共享协议》协议期限至2064年8月，或者杭州AL入股完成后AL集团持有的某蚁集团股份降低至一定数量后满5年时（以孰早者为准）。根据申报文件，在《数据共享协议》项下发行人与AL集团成立数据平台管理委员会。请发行人说明：（1）发行人与AL集团的数据共享是否符合各自与客户的协议约定，是否存在侵害客户合法利益的情况；结合发行人与AL等相关主体的数据共享协议，说明该等安排是否违反有关互联网用户信息保护的有关法律法规及规范性文件；（2）发行人对于业务开展过程中获取的海量数据如何进行管理和运用，是否存在侵犯其他方数据隐私的情况，是否履行了与其他方关于数据安全的约定，对于数据的获取、管理和使用是否合法合规。请发行人补充披露：（1）发行人与AL集团的数据平台是否彼此独立，发行人与AL集团的数据资产的界限是否清晰，是否为共用混合的数据池，两方互相使用对方数据的情况；（2）发行人与AL集团数据共享的总体运作机制，数据平台管理委员会的人员构成方式与职责定位，上述事项对发行人运营独立性、数据安全、市场竞争优劣势的影响，并按重要性原则完善相关风险揭示；（3）“AL集团持有的某蚁集团股份降低至一定数量”中“一定数量”的具体数额情况；（4）数据共享协议到期后是否存在续期安排，终止数据共享对发行人业务的影响，并按重要性原则完善相关风险揭示。请保荐机构、发行人律师对发行人数据的获取、管理和使用是否合法合规，发行人与AL集团数据共享是否符合各自与客户的协议约定，发行人与阿里巴巴集团数据共享对发行人运营独立性、数据安全、市场竞争优劣势的影响，终止数据共享对发行人业务的影响进行核查，并发表明确意见。
数据合规关注要点
1．数据共享协议及其安排的合规性 2．数据获取是否侵犯隐私问题 3．与第三方数据安全的约定 4．数据获取、管理和使用合规 5．与集团公司之间数据资产便捷 6．与集团公司之间数据共用混合和相互使用情况 7．数据平台管理委员会组织结构及对独立性、数据安全和竞争的影响 8．数据共享协议到期后的安排及其对业务影响

八、典型案例：某智汇

申报时间	2020年11月
所属领域	大数据服务
问询要点
1．问题 7. 关于数据采购根据招股说明书，公司业务主要围绕数据获取、数据分析和数据应用开展。公司数据获取主要有三种途径，分别是向供应商采购的数据、自动化访问获取的数据以及公司深度挖掘及建模生成的高质量数据。报告期内发行人采购的数据供应商主要以全国组织机构统一社会信用代码数据服务中心（原全国组织机构代码管理中心）和上海大智慧财汇数据科技有限公司等为主，2018 年前 5 大供应商中的数据采购供应商包括：深圳市佳骏商业数据服务有限公司，2019 年新增数据供应商语联网（武汉）信息科技有限公司。请发行人说明：（1）发行人向全国组织机构统一社会信用代码数据服务中心采购数据和向上海大智慧财汇数据科技有限公司、深圳市佳骏商业数据服务有限公司、语联网（武汉）信息科技有限公司采购数据的区别，两种形式采购数据内容是否有差异及其体现，发行人向上述两种不同类型供应商采购数据的考量因素；深圳市佳骏商业数据服务有限公司、语联网（武汉）信息科技有限公司分别只在 2018 年、2019 年成为数据供应商的原因、合理性；（2）发行人向上述供应商采购数据的具体方式；数据供应商从事该等业务（销售数据）是否合法合规；该等采购的数据其来源是否合法合规，发行人是否有相应机制保障供应商提供数据的合规合规性；（3）发行人上述数据供应商是否曾因数据合规问题涉及诉讼或纠纷，发行人向上述数据供应商采购数据合同中是否约定相关因数据合规问题产生纠纷的解决机制；（4）发行人当前是否有按照《数据安全法》（草案）第三十条的规定，要求数据提供方说明数据来源，并留存审核、交易记录等内控机制，若无，后续的跟进、合规措施。请发行人律师核查并发表明确意见。 2．问题 8. 关于数据应用及合规性问题 8.1 根据招股说明书，报告期内，因经营需要，公司使用自动化访问技术从互联网获取公开数据，主要获取内容包括企业信用信息公示数据、司法数据、知识产权数据、税务评级数据、认证及资质数据等。除上述数据来源外，公司在日常经营中通常会对获取的数据信息从不同维度进行深度挖掘，或采取建模方式进行深度分析加工处理，最终形成更有针对性的高质量数据，作为公司相关服务产品的数据源之一。请发行人说明：（1）发行人使用自动化访问技术获取的数据和从供应商采购的数据的内容差异性，发行人针对从供应商采购的数据和自行从互联网获取的数据的后续处理方式是否有所不同，如是请进一步说明后续处理方式不同的具体体现；（2）发行人从互联网公开获取的数据的具体方式，采用的技术，内容是否合法合规，程序是否正当；是否存在采用特殊互联网手段（或技术）采集法律法规规定不属于公开的社会信息或需要特殊许可、信息主体同意等前置程序方可获取数据的情形；（3）发行人是否存在因从互联网违规采集信息而受到主管当局处罚、信息主体投诉或诉讼等纠纷事项；（4）公司对获取的数据进行深度挖掘、建模、分析处理提供的数据（信息）是否存在与原始数据不匹配、不准确导致数据失真的情形，公司如何确保此类经过加工处理的数据与原始数据的同一性，真实、准确性；公司是否因提供此类失真数据而被投诉、处罚或产生诉讼或其他形式纠纷的情形。 3．问题 8.2 根据招股说明书，发行人所处细分领域为大数据技术在征信行业的应用，公司通过对商事主体海量信息的整合加工和穿透挖掘，为客户提供跨行业、跨部门、跨维度的商事主体多维信息展示服务。请发行人说明：（1）发行人及发行人的数据供应商从事数据处理服务是否需要取得相应特殊资质、许可或备案，当前数据服务行业（提供商）的相关主要监管规定；发行人当前是否按照《数据安全法》（草案）第三十一条的规定取得主管部门规定的资质、备案等，若未取得，后续的跟进、合规措施；是否存在不能取得该等资质、备案的风险；（2）发行人是否从事境外数据的获取、处理、提供等涉外服务，如涉及，请说明是否符合征信相关法律、数据安全相关法律规定的涉外信息、数据安全的要求和程序，该类业务的合法合规性；（3）发行人是否存在数据（信息）泄露、遗失等数据安全问题，是否因此受到投诉、处罚或诉讼等数据安全纠纷；（4）发行人是否存在超范围和目的收集信息、向客户提供数据的情形，是否在法律、行政法规规定的范围内采取必要的限度原则；（5）发行人当前是否存在使用盗版软件（或数据库）的情形，发行人相关数据获取、处理等使用的软件（工具）是否存在侵权风险等；（6）发行人报告期内是否存在因数据合规问题而受到处罚、监管等情形；（7）发行人针对数据合规各环节（收集、处理、提供等）采取的内控措施及相应的纠纷解决机制。请发行人律师就发行人数据的收集、处理、应用、提供等各环节是否符合《数据安全法》等数据（或电子数据）方面法律规范、《征信业管理条例》《征信机构管理办法》等征信业务方面法律规范进行核查并发表明确意见，就上述 8.1、8.2 问题进行核查并发表明确意见。请发行人就上述所涉数据方面的合规问题、国家对数据合规管理更趋严格等情形，作出综合、全面、针对性的重大事项提示和风险揭示。
数据合规关注要点
1．数据采购方式的区别 2．确定数据供应商的考量因素 3．向数据供应商采购数据的方式 4．数据供应商销售数据的合法合规性 5．供应商数据来源的合法合规性 6．供应商数据来源的合法合规的保障措施 7．数据供应商因数据合规问题涉诉问题 8．与数据供应商之间数据合规纠纷解决机制 9．是否按照《数据安全法》保障数据交易过程的合规 10．自行获取数据与采购数据的处理方式 11．公开获取数据的合法合规性 12．是否存在采用特殊技术手段采集不属于公开的数据 13．因违规采集信息被处罚、投诉或涉诉情况 14．处理数据与原始数据失真的问题及其投诉、处罚及涉诉情况 15．数据供应商的业务资质、许可或备案 16．供应商的相关监管规定 17．按照《数据安全法》取得的资质、备案 18．境外数据获取、处理、提供是否符合征信、数据安全相关法律规定 19．数据泄露、遗失等数据安全问题 20．数据收集合规问题 21．获取数据使用软件（工具）侵权风险 22．因数据合规被处罚、监管情形 23．数据合规各环节的内控措施及纠纷解决机制

九、典型案例：某瑞声

申报时间	2021年2月
所属领域	算法和数据训练
问询要点
报告期内，发行人主要从事 AI 训练数据的研发设计、生产及销售业务。发行人通过设计数据集结构、组织数据采集、对取得的原料数据进行加工，最终形成可供 AI 算法模型训练使用的专业数据集。请发行人说明：（1）发行人及其原料数据采集供应商相关数据的获取方式及其合规性，发行人是否享有数据的所有权或获得相关数据主体的授权许可，相关授权许可是否存在使用范围、主体或期限等方面的限制，发行人及其原料数据采集供应商是否存在超出上述限制使用数据的情形，是否存在数据内容侵犯个人隐私或其他合法权益的风险；（2）《个人信息安全规范》《数据安全法》（草案）等法规的出台对发行人业务的具体影响，发行人及其原料数据采集供应商是否存在违反上述规定的情形，请发行人就相关监管政策出台对行业可能产生的影响进行重大事项提示和风险揭示。请保荐机构及发行人律师对上述事项进行核查，并发表明确意见。
数据合规关注要点
1．数据采集合规性 2．数据主体授权许可情况 3．数据供应商使用数据合规问题 4．数据内容侵犯个人隐私或其他权益风险 5．监管政策对行业产生的影响

十、典型案例：某智教育

申报时间	2021年3月
所属领域	教育科技
问询要点
公司为高等教育信息化服务提供商。请发行人说明：（1）发行人是否可以通过向客户提供公司主要产品及服务而直接或间接获得相关学校、师生的具体数据和个人资料等信息，如是，请说明获取条件、获取方式和信息范围；（2）述数据和信息获取方式是否合法合规，是否符合相关监管要求或保密约定；（3）发行人对相关信息的储存及使用情况，是否存在转授权或流转给第三方的情况，是否存在相关信息泄露的情况，是否存在侵犯用户隐私及数据的情况，是否存在法律风险、纠纷或潜在纠纷；（4）发行人关于信息安全与数据保护的相关内部控制制度及执行情况，必要时请完善相关风险提示。请发行人律师对上述（2）（3）（4）事项进行核查并发表明确意见。
数据合规关注要点
1．数据获取合规性 2．数据存储和使用情况 3．数据流转第三方情况 4．数据泄露风险 5．是否侵犯用户隐私 6．数据合规法律风险、纠纷 7．信息安全和数据保护内控制度

十一、典型案例：某木科技

申报时间	2021年3月
所属领域	电商运营服务
问询要点
1．数据采集过程是否获得客户许可，是否存在违规使用用户数据、侵犯用户权益的情形； 2．对消费者相关信息数据的采集、使用是否符合互联网用户数据使用及数据安全方面的法律、法规及规章制度； 3．是否存在消费者个人信息过度利用、侵犯消费者隐私权的法律风险
数据合规关注要点
1．数据收集合规问题 2．数据使用合规问题 3．数据安全合规问题 4．侵犯隐私风险

十二、典型案例：某智连

申报时间	2021年6月
所属领域	电商运营服务
问询要点
关于数据使用。根据申报材料，发行人利用如阿里巴巴数据银行、京东数坊等平台工具及定制的 SCRM 系统（社交化客户关系管理系统），整合来自不同渠道的用户资源，实现对目标客群的定位及全流程会员管理，为运营及品效营销业务开展提供解决方案支持。请发行人：（1）说明发行人自电商平台获取数据的主要类型（如用户个人信息、订单管理信息、平台运营信息等），是否取得相关数据的所有权。（2）说明发行人运用电商平台相关数据向客户（主要指品牌商及代理授权商）提供服务的主要模式，对相关数据的运用是否需要经由电商平台、个人消费者或其他相关方授权同意。（3）说明发行人在保护消费者个人信息方面所采取的措施，报告期内是否存在与数据使用相关的争议纠纷、违法违规情形，是否存在法律风险。请保荐人、发行人律师发表明确意见。
数据合规关注要点
1．数据获取合规 2．数据所有权问题 3．第三方数据使用授权许可问题 4．保护个人信息的措施

十三、典型案例：某米科技

申报时间	2021年6月
所属领域	物联网
问询要点
根据问询回复，发行人在Android基础上形成了SUNMI OS的平台，与开发者、集成商及终端商户等合作伙伴共同形成了商业物联网生态。请发行人说明： 1．发行人、开发者、集成商、终端客户在技术、业务及产品(或服务)中涉及到数据采集、管理、运用的具体环节；不同环节涉及的数据的具体类型；发行人SUNMI OS与SAAS层的数据交换、数据存储情况； 2．发行人的产品(或服务)中涉及到用户的个人数据的采集情况，该等数据的运用、管理及合规性；是否存在侵犯用户隐私或不当收集、使用、转让、共享、公开披露用户数据的情况； 3．发行人自身核心技术是否涉及大量的数据的分析应用，如是，相关数据的来源及其合规性； 4．发行人数据采集、管理、运用等各方面的合规防控的技术措施，与开发者、集成商、终端客户就数据采集运用的相关协议约定； 5．发行人是否存在数据合规相关争议纠纷或媒体质疑；请发行人结合上述情况、数据行业监管及个人隐私保护法规政策，从技术措施及协议层面，说明发行人是否存在数据合规风险，未来立法对发行人业务的潜在影响及相关应对措施。请发行人律师核查并发表明确意见。
数据合规关注要点
1．数据采集、管理、运用的具体情形 2．数据交还和数据存储情况 3．个人数据采集、运用、管理及其合规性 4．数据来源及其合规性 5．数据合规防控技术措施 6．数据采集相关协议约定 7．数据合规争议纠纷或舆论风险 8．数据合规风险 9．未来立法对业务的影响

十四、典型案例：某视科技

申报时间	2021年9月
所属领域	人工智能
问询要点
1．请发行人补充披露：公司在人工智能伦理方面的组织架构、核心原则、内部控制及执行情况。请发行人说明：（1）公司在研发和业务开展过程中落实相关责任、遵守伦理相关规范和标准的措施及执行情况；（2）结合境内外法律法规、技术规范、行业共识等，进一步分析公司在保证人工智能技术可控、符合伦理规范的措施和规划，公司在技术开发和业务开展过程所面临的伦理风险。请保荐机构核查并就发行人是否在人工智能伦理方面建立有效的内部控制，是否在研发和业务开展过程中落实相关责任，是否遵守伦理相关规范和标准发表明确意见。 2．根据招股说明书，发行人的 AI 核心技术中包括系统层及算法层，涉及数据的处理、清洗和管理能力，算力的共享、调度和分布式能力，以及算法的训练、推理及部署能力。请发行人说明：（1）发行人技术、业务及产品（或服务）中涉及到数据采集、清洗、管理、运用的具体环节；不同环节涉及的数据的具体类型，文字、图像、视频等具体情况；（2）发行人自身核心技术（如算法的训练、系统的搭建等）是否涉及大量的数据的应用，如是，相关数据的来源及其合规性；（3）发行人对外提供的产品（或服务）是否涉及数据的采集运用，如是，说明数据的来源及其合法合规性；（4）发行人保证数据采集、清洗、管理、运用等各方面的合规措施；（5）发行人的数据来源中是否包含向供应商采购，如是，请说明是否在相关合同中约定数据合规的条款或措施，并结合《民法典》《网络安全法》和《个人信息安全规范》《数据安全法（草案）》《个人信息保护法（草案）》等相关规定，说明相关措施是否能切实保证发行人不出现数据合规风险或法律纠纷；（6）结合发行人的产品交付及部署模式，说明发行人的产品（或服务）中涉及到用户的个人数据的情形和场景，该等数据的运用、管理及其合规性；（7）发行人产品至今是否面临数据合规方面的诉讼或纠纷；并请结合相关公开报道，说明发行人数据的合规性。请保荐机构、发行人律师核查并发表明确意见。
数据合规关注要点
1．人工智能伦理责任落实情况 2．技术开发和业务开展面临的伦理风险 3．人工智能伦理内部控制 4．人工智能伦理规范和标准遵守情况 5．数据采集、清洗、管理和运用的具体环节 6．数据来源及其合规性 7．数据采集的合法合规性 8．数据采集、清洗、管理和运用的合规措施 9．数据供应商之间的数据合规条款或措施 10．数据合规风险防控措施 11．个人数据运用、管理及其合规性 12．数据合规相关涉诉问题及媒体舆论

十五、典型案例：某点有数

申报时间	2021年9月
所属领域	数据决策服务
问询要点
招股说明书披露，发行人业务所用数据包括独立采集数据和大数据，其中独立采集数据包括样本调查数据、巡查数据、交互数据，大数据包括外购大数据和客户内部大数据。发行人不存在未经授权获取用户数据的情况，且获取个人数据时已对用户进行明确提示。招股说明书披露，2016年-2018年，发行人采购关联方马蹄铁 25 万元人脸识别设备，是对为汽车客户店面运营管理基于新零售提供数据分析和决策支持服务的探索。（1）以发行人通过人脸识别设备为汽车客户店面运营提供数据分析和决策支持服务为例，说明发行人为该汽车客户提供服务及产品的具体内容，发行人采集信息的途径，是否取得了被采集信息用户的明确同意，是否存在未经授权获取用户数据的情况；通过人脸识别设备提供数据分析及决策支持属于招股说明书披露的何种数据类型及数据来源，发行人是否存在使用类似途径获得数据信息的情形。（2）发行人制定的《零点有数隐私政策》明确告知用户，“调查中获取的直接识别信息进行匿名化处理之后使用。但是，当此类直接识别信息或联系信息必要时，经与您进行适当的沟通（包括预先作出特殊注意通知），零点有数和/或客户可在该项具体调查中收集和使用此类直接识别符或联系信息。”发行人是否存在将授权范围内收集的直接识别信息出售给客户的情形；发行人在提供服务过程中，是否适用《电信和互联网用户个人信息保护规定》等相关法律法规，如适用，请说明是否符合相关法律法规的规定。（3）发行人在提供服务过程中，是否存在自身或外购数据供应商侵害用户人身权益等侵权行为，是否出现过个人信息、隐私泄露事件，是否存在相关纠纷或潜在纠纷。请保荐机构、发行人律师核查并发表明确意见。
数据合规关注要点
1．采集信息的方式 2．采集信息的合规性 3．数据来源的情形 4．隐私政策合规性问题 5．是否出售识别信息 6．是否侵害用户人身权益 7．个人信息泄露事件 8．数据合规相关纠纷

十六、典型案例：某合信息

申报时间	2021年9月
所属领域	人工智能
问询要点
1．根据招股说明书：（1）公司的大数据获取主要有两种途径，分别是向供应商（包括个人）采购的企业数据、自动化访问获取的企业数据；（2）为保障数据采购的供应商数据来源的合法合规性，公司采取了制定管理规范、通过多种方式调查供应商等措施。根据申报材料，报告期内，公司存在数据管理相关内控制度有待进一步完善、与部分数据供应商的合作协议中数据供应商未明确承诺数据来源合法合规、App 用户隐私协议中未明确约定采集数据的使用范围等问题。 2．请发行人说明：（1）发行人各项业务及研发分别获取、存储、使用哪些数据，对应的数据来源、数据权属，是否存在销售数据的情形；（2）发行人向个人供应商采购数据的主要内容、比例及原因，价格公允性，该等个人是否与发行人及其客户、其他供应商存在关联关系或利益安排；（3）发行人来源于供应商采购和自主获取的大数据的区别及报告期内占比，自动化访问获取的企业数据如何确保来源合法性，发行人调查供应商及数据来源合法性的具体方式及有效性；（4）报告期内发行人数据管理不完善的具体情形、影响范围、严重程度，是否存在侵权行为、纠纷、潜在纠纷或可能被处罚的情形，目前发行人针对该等不完善情形的具体整改情况及效果，发行人数据合规纠纷的解决机制；（5）发行人关于获取、存储、使用数据的相关制度规范的制定时间、主要内容、执行情况，是否能够有效保障数据安全及业务合法合规；（6）近年关于数据安全、个人信息保护等立法对发行人研发、采购、销售等的影响，发行人业务开展是否符合该等法律法规规定，是否存在本次发行上市未履行的前置程序或其他障碍，相关风险揭示是否充分。请保荐机构、发行人律师：（1）对上述事项进行核查并发表明确意见；（2）核查并说明发行人境外业务开展是否遵守当地个人信息和数据安全保护的相关规定，是否存在被境外主管机构处罚的情况或潜在风险。
数据合规关注要点
1．数据管理内控制度 2．供应商数据来源合法合规 3．隐私政策合规问题 4．数据来源及其权属 5．数据销售问题 6．数据采购交易安排 7．自动化访问获取数据合法合规性 8．调查供应商及数据来源合法性的具体方式 9．数据管理不完善的侵权、涉诉或被处罚情形 10．数据合规纠纷解决机制 11．数据安全的保障措施 12．数据安全、个人信息等立法对业务的影响 13．境外业务的个人信息和数据安全保护问题 14．被境外主管机构处罚风险

十七、典型案例：某瀚深度

申报时间	2021年12月
所属领域	网络智能系统
问询要点
根据申报材料：发行人产品需运用 DPI 等技术对海量数据进行采集、识别、分析、管控、处理和深度信息挖掘等，如数据合成和内容还原系统、用户行为日志留存系统、精细化市场运营支撑系统等。此外，发行人也提供数据分析等技术服务。请发行人说明：（1）发行人产品研发、生产、销售及使用过程中涉及到的数据采集、处理、使用等情况及其合规性，数据内容是否涉及个人隐私或涉密信息，是否获得相关数据主体或主管部门的明确授权许可，是否存在使用范围、主体或期限等方面的限制，发行人是否存在超出上述限制使用数据的情形；（2）发行人是否存在获取、使用相关数据时侵犯个人隐私或其他合法权益的情形，发行人为维护数据安全所采取的措施，是否发生过泄密行为或受到相关行政处罚；（3）发行人业务开展是否符合《数据安全法》《网络安全法》《个人信息保护法》《电信和互联网用户个人信息保护规定》等数据安全及信息保护相关法律法规的规定，是否存在纠纷或潜在纠纷，相关风险是否充分揭示。请保荐机构、发行人律师对上述事项进行核查并发表明确意见。
数据合规关注要点
1．数据收集、使用的情况及其合规性 2．是否涉及个人隐私或涉密信息 3．数据主体授权许可情况 4．获取、使用数据侵犯个人隐私的风险 5．数据安全措施 6．数据合规涉诉情况

十八、典型案例：某某深瞳

申报时间	2022年1月
所属领域	人工智能
问询要点
1．发行人数据安全及科学伦理相关的内部控制及合规性情况； 2．公司训练数据的获取方式及其合规性，发行人是否存在超出相关授权许可主体许可使用范围、期限使用数据的情形； 3．公司业务中“技术服务”的具体内容，提供技术服务过程中是否存在违规获取或处理相关数据，侵犯个人隐私或其他合法权益的情形
数据合规关注要点
1．数据安全内控制度及其合规性 2．科学伦理内控制度及其合规与 3．数据获取及其合规性 4．数据使用许可情况 5．违规获取或处理数据情况

十九、典型案例：某比某光

申报时间	2022年1月
所属领域	3D视觉感知
问询要点
根据招股说明书，近期部分地方立法对个人信息采集和人脸识别应用范围进行约束，对企业在数据应用合规性、数据安全技术上提出更高要求。请发行人说明：（1）公司技术（如算法的训练、系统的搭建等）、业务及产品（或服务）中是否涉及到个人信息、大量数据的采集和运用，若是，请进一步说明存在该等情形的业务环节，相关数据的来源及其合法合规性；（2）公司保证相关信息、数据采集、清洗、管理、运用等各方面的合规措施，并结合相关法律法规，进一步说明相关措施的有效性，是否能切实保证发行人不出现数据合规风险或法律纠纷；（3）公司是否曾存在数据合规方面的诉讼或纠纷；（4）“近期部分地方立法对个人信息采集和人脸识别应用范围进行约束”的具体情况，是否已对公司业务造成影响；（5）结合上述问题，进一步分析说明行业法规政策变动对公司业务的影响，并充分揭示相关风险。请发行人律师核查问题（1）-（5）并发表明确意见。”
数据合规关注要点
1．数据采集、运用具体环节 2．数据来源及其合规性 3．数据采集、清洗、管理和运用的合规措施 4．数据合规涉诉问题 5．个人信息和人脸识别限制立法对业务影响 6．航而言法规政策对业务影响

二十、典型案例：某特斯

申报时间	2022年2月
所属领域	网络基础设施
问询要点
根据招股书及问询回复，发行人的客户主要为国家电网集团、三大电信运营商集团等。请发行人：（1）对照《网络安全法》《数据安全法》《关键信息基础设施安全保护条例》及《网络安全审查办法》，说明发行人提供主要产品服务是否需配合网络安全审查及过往配合网络安全审查的情况，是否属于《关键信息基础设施安全保护条例》规定的安全可信的网络产品和服务，是否存在不满足监管要求的风险；（2）说明在当前强化网络和数据安全监管的背景下，发行人主要客户国网及运营商的招标和采购政策是否发生变化，是否对发行人影响，是否存在因不具备相关资质而导致客户流失的情形。
数据合规关注要点
1．网络安全审查问题 2．网络产品和服务监管风险 3．采购政策对业务影响 4．数据相关资质问题

二十一、典型案例：某美科技

申报时间	2022年3月
所属领域	医药研发
问询要点
1．关于发行人主要产品及核心技术涉及的数据的相关情况及发行人是否存在侵犯患者隐私的情况； 2．关于发行人符合《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关规定的情况、是否存在超出授权范围使用数据的情形； 3．发行人是否建立有效的内部控制制度确保业务开展中涉及的数据合规性；
数据合规关注要点
1．数据采集、使用侵犯隐私的风险 2．超范围使用数据风险 3．数据合规内控制度