连连数字赴港IPO备案通过,剖析跨境支付服务商数据安全与合规三大焦点
导读:近日,中国证监会官网公布了关于连连数字科技股份有限公司(以下简称“连连数字”)境外发行上市备案通知书,连连数字拟发行不超过2.06亿股境外上市普通股并在香港联合交易所上市。
记者 郑雪 北京报道
近日,中国证监会官网公布了关于连连数字科技股份有限公司(以下简称“连连数字”)境外发行上市备案通知书,连连数字拟发行不超过2.06亿股境外上市普通股并在香港联合交易所上市。
连连数字赴港IPO备案通过,意味着其赴港上市更近一步。与此同时,业内多家跨境支付服务商也在备战IPO。行业IPO窗口期悄然临近,数据议题越发重要,跨境支付服务商又该如何回应安全与合规之问?
对于备战IPO的企业而言,数据安全与合规有着迫切的现实需要。如本次连连数字IPO过程中,2023年8月,中国证监会国际部要求其就境外发行上市备案补充材料。包括收集和存储用户信息规模、数据收集使用情况,是否存在向第三方提供信息内容的情形,以及上市前后个人信息保护和数据安全的安排或措施。
上述问题,不只在问连连数字,也需跨境支付服务商行业予以回应。在数据安全及合规议题越发重要的当下,连连数字或许提供了观察行业的一个切入口。
根据招股说明书,连连数字主要向商户和企业提供数字支付服务和增值服务。数字支付服务主要包括收款、付款、收单、汇兑、虚拟银行卡及聚合支付。增值服务包括商业服务及技术服务。其中,商业服务包括数字化营销、运营支持及引流服务;技术服务包括账户、电子钱包以及软件开发服务。
客户主要包括中国跨境商户及企业、境外商户及企业以及境内企业。招股说明书显示,截至去年9月30日,连连数字已累计服务了约320万家来自电商、服务业及制造业等各行业的商户及企业。
结合上述具体业务,个人隐私、数据安全、数据跨境成为跨境支付服务商不可回避的问题。具体拆解来看:
一、连连数字收集哪些信息?如何存储?
金融数据往往和特定个人隐私紧密相连,随着隐私保护意识的不断增强,越来越多的人关切个人信息的收集和处理。跨境支付服务往往存在多个场景,如何保障安全?
2021年11月正式施行的《个人信息保护法》为个人信息保护提供了法律依据。具体金融行业监管方面,2024年5月即将施行的《非银行支付机构监督管理条例》为行业数据安全和合规提供参考。
作为跨境支付服务商的连连数字,又收集了哪些信息?如何存储?
招股说明书显示,连连数字主要收集两部分信息,一是主要收集及存储与客户背景信息有关的数据,如通过KYC/KYB程序(分别指获取和验证客户信息、业务信息的程序)取得的地址、联络信息及执照等商户及企业识别信息,二是提供数字支付服务时的交易数据,包括支付时间、地点、金额、渠道、交易类型及终端、身份认证及交易授权信息。
本地化存储方面,据悉,连连数字的绝大部分电脑硬件及大部分线上服务目前均位于中国;已经启动两个本地数据中心;利用云数据中心及云服务提供商为不受本地化要求约束的业务提供日常运维服务。
二、数据跨境如何合规?数据会被分享转移吗?
数据跨境流动是全球数字经济发展的重要议题,数据在流动中创造价值;但是特定数据无序流动又将影响安全。
当前数据跨境流动存在三条路径:安全评估、专业认证和标准合同,分别对应不同情形。
2023年9月国家网信办发布的《规范和促进数据跨境流动规定(征求意见稿)》(以下简称《征求意见稿》),明确了特定情形下无需申报数据出境的情形。其中为订立、履行个人作为一方当事人的合同所必需,如跨境购物等,必须向境外提供个人信息的,便属于无需申报的情况。但目前,《征求意见稿》尚未正式出台。
目前来看,数据跨境政策相关细节仍待进一步理清。对于企业而言,跨境问题的焦点在于上述三条路径究竟走哪条?是否需要进行安全评估?
根据招股说明书,连连数字已向国家网信办提交有关跨境支付和汇兑服务的数据出境安全评估申请材料,并已获得批准。值得注意的是,连连数字同时表示,中国法律顾问告知其无需申报网络安全审查。
连连数字的供应商包括商业银行、清算机构及渠道合作方,如何处理与第三方之间的数据共享、转移等相关问题,亦成为关注重点。
数据分享和转移方面,连连数字在招股说明书中设置数据分享与转移章节,表示不会向任何人分享或转移所保存的资料和数据,除非获得事先明确同意。
三、连连数字如何保障安全?
随着全球数字化进程的加快,安全成为数字生活和工作不可缺少的防线。数据安全保障方面,连连数字在招股说明书中,通过隐私与数据安全、数据保护、数据安全意识、网络安全风险管理等章节予以回应。
具体来看,连连数字认为从数据输入到数据销毁的生命周期数据管理非常重要,并采用加密存储、去标识化、完全备份与增量备份相结合等多种手段保护数据安全。此外,还采取保密协议、场景化管理、授权使用等措施保护隐私与数据安全。
连连数字只是当下众多跨境支付服务商冲击IPO的一员。目前来看,连连数字出台了多项措施、采用多种技术以保障数据安全和合规,但相关措施如何落地、真正的执行效果如何,仍有待时间检验。