作者：吴丹君律师 张振君律师助理

2019年10月11日，中国证券监督管理委员会第十八届发行审核委员会2019年第142次发审委会议召开，北京墨迹风云科技股份有限公司（以下简称“墨迹科技”）首发申请未予通过。《第十八届发审委2019年第142次会议审核结果公告》（以下简称“《公告》”）详述了发审委会议对墨迹科技提出的四个主要问题，其中互联网信息服务和数据合规是问询中的重要内容。

墨迹科技目前的主要产品为墨迹天气APP，公司主要通过墨迹天气APP软件产品为用户提供免费的综合气象服务、为广告客户提供互联网广告信息服务，公司业务模式稳定。根据易观智库《中国天气应用市场季度监测报告2016年第1季度》显示，发行人的墨迹天气APP在2016年第一季度中国天气应用市场中的用户覆盖率为55.7%。然而，天气类应用开发门槛偏低，尽管墨迹天气APP用户规模大，但迁移成本低，一旦有了更吸引用户的同类型应用，用户即可能立即放弃原应用。发审委会议亦于《公告》中要求墨迹科技说明“报告期推广下载或激活平台的具体情况，该等载体如华为等是否已经具备自行开发的气象软件，发行人是否存在未来无法获得稳定持续下载量或者激活量的风险”。

在业务模式单一，可替代性强的市场环境下，墨迹科技所拥有的最大优势是庞大用户规模及海量用户数据。墨迹科技一方面靠精准的互联网信息服务提高用户粘性与用户价值；另一方面则通过庞大的用户规模获取流量转化效益。互联网信息服务和个人信息使用是墨迹科技成功的关键，而恰恰正是这两个方面存在的不合规情况成了墨迹科技IPO之路的“拦路虎”。

一、互联网信息服务合规要求

发审委在《公告》中指出，“发行人运营的网站、‘墨迹天气APP’存在未经其许可违规发布互联网新闻信息，被责令限期整改的情形；发行人存在在取得《互联网药品信息服务资格证书》之前，发布药品广告的情形。发行人现有的APP存在视频节目与游戏节目，以及发布医院广告。”墨迹科技发布上述信息需符合以下要求：

因此，建议从事或计划从事上述互联网信息服务业务的网络运营者及时核查其是否具备各类必备经营资质或履行必要备案手续，对是否存在取得相关资质、许可证书前未合规经营等可能的合规风险进行排查，制定并执行相应的应对方案，尽可能降低后续被要求整改或行政处罚等影响业务持续运行的潜在风险。

二、数据合规要求

前已述及，墨迹科技相较于其他天气类APP的最大优势在于庞大用户规模和海量用户数据。墨迹科技在其招股说明书中提及“墨迹天气APP利用用户浏览资讯的喜好判断用户兴趣，通过对海量用户数据的收集，可以深入了解用户兴趣和需求，实现精准服务”；“通过基于用户画像的精准营销以及广告的产品化定制化等方式，将广告展示和流量引导进一步融入到产品服务中，能够在保证用户使用体验的情况下为天气应用厂商带来更加良好的广告投放效果，从而提高天气类应用的盈利能力”，这体现了数据生命周期的两个重要环节——数据收集与数据使用。

（一）数据收集合规要求

发审委在《公告》中提出问询：“发行人获取用户数据及标签的过程及方法，是否对用户有明示提示，用户授权在法律上是否完备，是否明确告知收集信息的范围及使用用途，发行人获取用户数据的手段及方式是否合法合规。”

在目前法律体系中，个人信息主体的同意是网络运营者收集个人信息的正当性基础。根据《网络安全法》（以下简称“《网安法》”）第四十一条，网络运营者收集个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意，不得违反法律、行政法规的规定和双方的约定收集个人信息。

同时，网络运营者收集个人信息时应遵循“最小够用”原则。《网安法》第四十一条规定，网络运营者不得收集与其提供的服务无关的个人信息。《信息安全技术个人信息安全规范》（以下简称“《个人信息安全规范》”）明确规定收集个人信息“最小够用”原则：第一，收集的个人信息类型应与实现产品或服务的业务功能有直接关联；第二，自动采集个人信息的频率应是实现产品或服务的业务功能所必需的频率；第三，间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

2019年6月1日发布的《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》对16类APP基本业务功能正常运行所需的必要个人信息进行了规定。2019年8月8日发布的《信息安全技术移动互联网应用（APP）收集个人信息基本规范（草案）》在此基础上再次改进，对21类常用移动互联网应用的最少信息与最小权限范围进行明确列举。

以墨迹天气APP的新闻资讯功能为例，根据《信息安全技术移动互联网应用（APP）收集个人信息基本规范（草案）》，新闻资讯信息服务的最少信息如下：

因此，网络运营者不仅需公示合法适当的用户协议和隐私政策获取用户同意，还需考虑其所运营的APP所具有的业务功能，参考《网络安全实践指南——移动互联网应用基本业务功能必要信息规范》《信息安全技术移动互联网应用（App）收集个人信息基本规范（草案）》等文件，将实际收集的个人信息类型与现有业务功能一一对应，使个人信息的收集在“范围、数量、时间、接触主体”等方面均达到“最少够用”要求。

（二）数据使用合规要求

墨迹科技在其招股说明书中多次提及通过丰富数据和多元技术融合使得公司可以基于用户画像和行为分析实现推荐，依据用户不同的标签组合出不同的应用场景，实现资讯和广告内容的精准推荐和个性化营销服务。可见，墨迹科技主要通过用户画像技术实现个性化服务。

网络运营者在用类似技术使用个人信息时需注意以下几点：

第一，取得个人信息主体同意。根据《网安法》第四十一条，使用个人信息亦需经过个人信息主体的同意，应当遵循合法、正当、必要的原则。同时，《个人信息安全规范》规定“应保障个人信息主体拒绝接收基于其个人信息推送的商业广告的权利”。这说明，网络运营者还需为个人信息主体提供“撤回同意”的途径。

第二，注意用户画像的使用限制。《个人信息安全规范》提到使用用户画像的几点要求，《信息安全技术个人信息安全规范（征求意见稿）》进一步扩充，在7.4从“个人信息主体的特征描述”“用户画像的使用”及“尽可能消除身份指向性”三个方面明确“用户画像的使用限制”。

第三，注意个人信息共享、转让限制。《网安法》第四十二条规定，未经被收集者同意，不得向他人提供个人信息。但是，经过处理无法识别特定个人且不能复原的除外。《个人信息安全规范》亦指出，个人信息经匿名化处理后所得的信息不属于个人信息。因此，当网络运营者需向第三方提供其收集的个人信息时，可以采取两种路径：一是征求用户的明示同意；二是对个人信息进行匿名化处理使其无法识别特定个人且不能复原。需要注意的是，仅仅对个人信息进行“去标识化”处理的仍需在提供给第三方前征求用户同意。

三、网络运营者的互联网信息服务和数据合规制度要求

目前互联网行业欣欣向荣亦充满激烈竞争，网络运营者资质齐备、有效控制资讯内容的合法性并能全面保护个人信息权益是突出重围的关键。企业合规是一项系统性工程，不能仅仅依靠取得某一许可证来实现，而应从全局建立起互联网信息服务和数据合规战略。从底层的设施设备安全到用户终端的个人信息主体自决权益的保护，通过制度的构建和落实来实现保持企业运营合规的目的：

①许可备案工作的定期审查；

②网络安全保护制度构建，包含等级保护制度、平台内容审核制度、网络安全应急处置制度、实名验证制度、网络产品和服务安全审查等；

③网络安全管理制度构建，包括内部安全管理制度和操作规程、网络安全管理负责人或网络安全管理部门部署等；

④数据合规制度构建，包含数据来源、数据跨境传输、数据留存、个人信息保护等。

四、结语

小红书下架、“ZAO爆红风波”中工信部约谈北京陌陌科技有限公司相关负责人、工业和信息化部于《工业和信息化部关于电信服务质量的通告》（2019年第3号）“点名批评”美团外卖、斗鱼直播等软件存在未经用户同意，收集、使用用户个人信息情形等近期热点案例表明，国家对从事互联网信息服务或收集使用个人信息中存在违法违规现象的监管力度日趋严格，此次墨迹科技IPO被否事件正是当下监管形势的最好注脚。而互联网信息服务和数据合规不仅是拟上市企业所需考虑的问题，所有网络运营者亦需在日常运营中增强合规意识，逐步建立和落实合规制度，才能在发展之路走得长远。