|
基小律说: 2023年3月7日,根据国务院关于提请审议国务院机构改革方案的议案,我国将组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设。伴随着信息时代的深入发展,数据已然成为企业的重要依仗之一,尤其是以互联网企业为代表的现代化企业,将数据的运用推到了新的高峰;汽车行业、医疗行业等传统行业也在互联网的助力下,焕发出新的行业前景。数据呈几何倍数地增长,在带来新的发展契机的同时,也在一定程度上造成了行业的乱象,数据泄露、个人隐私受侵害等问题时有发生。本文将分为上下两篇,上篇将从数据合规的界定及相关法律法规切入,结合上市公司相关案例,分析监管部门对企业内部管理层面数据合规的关注要点;下篇将在继续介绍外部监管层面的关注要点的基础上,归纳总结对于企业数据合规的建议和PE投资尽调关注要点。张泽传 刘鸿凯 | 作者 (五)关注要点五 网络安全审查
如前文所述,国家安全层面的数据合规主要是指拟上市企业是否符合网络安全审查的要求。根据《关键信息基础设施安全保护条例》的有关规定,拟上市企业如属于“关键信息基础设施运营者”或网络平台运营者,在涉及开展影响或可能影响国家安全的数据处理活动的,需要根据《网络安全审查办法》的要求进行网络安全审查。
小结:从审查主体看,相关问询可以分为“自身是否需要申报网络安全审查”以及“是否可满足配合客户进行网络安全审查的要求”两个层面。拟上市企业自身是否需要申报网络安全审查,首先需要分析其是否属于关键信息基础设施运营者【3】或掌握超过100万用户个人信息的网络平台运营者,进而需要结合企业情况分析,是否存在影响或者可能影响国家安全的数据活动,基于前述两方面,是否需要审查最终将由网络安全审查办公室及有关主管机构进行认定。“是否可满足配合客户进行网络安全审查的要求”则一般是针对服务于关键信息基础设施运营者的软件或网络服务商而言,其虽然不属于关键信息基础设施运营者的范畴,但是其产品需要用于到对应领域并由此产生配合客户进行网络安全审查的义务。【4】对于这一层面的问询,监管部门主要关注点在于其业务的合规性和可持续性,如并行科技在二轮问询中被问及“客观披露若客户要求发行人配合其进行网络安全审查,是否存在无法满足监管要求而影响自身持续经营能力的风险”,其主要从不存在签署包含配合网络安全审查义务的协议的障碍,以及其提供的产品及服务不存在影响国家安全的风险两个角度进行论证。如拟上市企业涉及到境外经营业务,则监管部门可能关注企业是否需要履行数据出境安全评估程序。《数据出境安全评估办法》第四条规定:“数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)数据处理者向境外提供重要数据;(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。”如拟上市企业存在前述情形的,应当向网信部门申报数据出境安全评估。
对于数据出境问题的问询,企业应比对自身情况判断是否属于需要履行安全评估程序的情形,如不属于,则可以从两方面进行论证,一是论述收集的信息不属于重要信息的范畴,二是说明拥有的数据数量或累计已出境的信息数量未达到申报评估的标准。如不属于需要进行安全评估的情形,现行法律规定也对数据出境有一定的要求,企业可以选择通过订立个人信息出境标准合同,或进行个人信息保护认证的方式。从以上关注要点可见,数据出境安全评估与网络安全审查同属政府部门对于国家数据安全的管理方式,二者在适用情形和标准上存在相似之处,二者区分如下:鉴于近年来关于数据合规、信息保护等议题的法律法规体系逐渐完善,现有法律框架下对于数据合规的监管要求也愈发严格。面对外部监管形势的变化,监管部门也对拟上市企业能否适应新的法律法规要求、是否会对其业务构成不利影响给予了重点关注。此外,监管部门还会关注拟上市企业在过往业务经营中,是否存在侵害数据安全的行为并因此受到行政处罚、整改通知的情形,是否存在纠纷或潜在纠纷。
小结:对于监管部门对于这一问题的问询,可考虑从以下几方面进行回复:1)分析论证公司业务中数据搜集和使用不存在违反新近出台的数据合规法律法规的情形,公司现有产品与服务合法合规;2)结合现行法律法规和现有的公司数据合规制度,论述其不需要对业务模式、内部管理制度进行调整,因而不会对发行人业务产生重大不利影响;3)最后,可考虑辅以主管部门的合规证明,强调以往业务开展中不存在受处罚或监管措施的情形。 如前所述,监管部门拟上市公司数据合规的关注要点涵盖业务合规性、数据来源、数据使用、数据安全、网络安全审查、数据出境安全评估及数据立法与监管七个方面,相应地这些关注点也应是企业在业务经营中需要着重关注的问题。企业内部对于数据合规的管理,笔者认为可从以下几方面进行着手和完善。
(1)全面梳理企业业务经营和内部管理中涉及到的数据处理活动,匹配数据处理活动与所对应的合规要求。(2)关于个人信息授权。根据《个人信息保护法》的规定,涉及个人信息的收集、使用的,应当取得当事人知情同意。基于合理性、必要性的原则,建议企业在用户协议中明确约定个人信息的收集范围、处理方式、处理目的以及保存期限;如处理目的、处理方式和收集范围发生变化的,应当重新获取当事人的同意。此外,企业还应当提供便捷的撤回同意的渠道,对于拒绝提供非必要个人信息的用户不拒绝提供服务。(3)明确外部数据来源的责任划分。根据《个人信息保护法》第二十条【5】规定多方共同处理个人信息的,应当清晰约定双方的权利义务;造成个人信息权益受损失的,应当由共同处理方承担连带责任。因此如企业在业务流程中涉及从外部获取数据的,建议在合作协议中明确双方权责划分,对己方而言建议要求对方承诺其提供的数据来源合法合规,包括不存在通过爬虫等技术手段违规收集信息的情形,涉及到个人信息的承诺已取得当事人的知情同意。基于此,可考虑在合作协议中增加如“因对方提供的数据不符合现有法律规定,导致企业或第三方利益受损或因此产生纠纷的,由对方承担相应的损害赔偿责任”或类似的表述,以维护己方利益。此外,对于外部来源的数据,还需要关注提供方业务的合规性,是否曾受到数据合规相关处罚或监管措施;建议企业在上海数据交易所、北京国际大数据交易中心等规范化的场合进行数据交易,借由交易所强化数据交易审核,避免因上游数据问题导致自身业务处于法律风险之中。(4)构建完善的数据合规内控制度。数据合规内控制度可从机构设置、人员安排及软件硬件层面进行构建,包含设置专门的数据安全管理机构,合理配置各层级人员对于不同密级数据的接触权限并定期开展数据安全教育培训,关注技术层面上对于软硬件的规范、采取必要的技术手段进行加密;此外还可考虑制定相应的信息泄露应急管理预案、定期风险自测排查方案,防范于未然。对于数据处理活动属于核心业务范畴的企业,可根据自身需求考虑进行数据管理能力成熟度DCMM认证和网络安全等级保护评测。(5)关注网络安全审查问题。这一问题分为两个层面,一是企业自身是否需要进行网络安全审查,企业需要分析自身是否属于关键信息基础设施运营者【6】或掌握超过100万用户个人信息的网络平台运营者,是否存在影响或者可能影响国家安全的数据活动,在符合前述两个条件情形下应当申请网络安全审查,但最终是否需要审查仍需由网络安全审查办公室及有关主管机构进行认定。此外,需提示的是,网络安全审查流程最短需55个工作日,最长需160个工作日或更多;因此如企业有境外(不含港澳台)上市安排,则应当充分考虑网络安全审查需要的时间,尽早申请。二是配合客户进行网络安全审查,如客户属于关键信息基础设施运营者且企业提供的软件或信息服务属于前述范畴,企业则有配合进行网络安全审查的义务,企业需要确保其提供的网络产品和服务满足《关键信息基础设施安全保护条例》规定的安全可信的要求【7】。(6)关注数据出境相关政策要求。如企业在业务经营中存在数据出境的情形,应当根据公司具体情况选择恰当的出境路径。对于符合《数据出境安全评估办法》中规定情形的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估。不属于前述情形的,可以根据企业实际情况选择订立个人信息出境标准合同,或进行个人信息保护认证以满足出境要求。除对企业内部管理视角下的数据合规建议外,拟上市企业在监管问询中的关注要点亦可以参考为PE投资尽调中的关注侧重。标的公司,尤其是数据处理对其业务影响较大的企业,在数据合规层面是否合法合规,应是法律尽调过程中需要予以充分关注的方面。建议从以下几方面对企业数据合规情况进行核查。以下核查方向仅供参考,实际核查范围及深度仍需以企业实际情况、尽调需求而定。(1)整体了解企业业务中哪些模块涉及到数据处理,了解数据的内容、表现形式、数量,了解数据的来源、搜集收集的技术手段,关注企业在业务中使用数据的方式,是否存在超出授权范围使用用户数据的情形。(2)关注不同来源的数据的合规性。如为自主搜集的,关注搜集的技术、程序和内容是否合法合规,关注是否取得了个人的授权,授权协议中是否明确约定了个人信息的搜集范围、处理方式、处理目的以及保存期限,敏感个人信息是否取得了单独同意,是否提供了便捷的撤回授权的途径。如为外部主体提供的数据,除关注是否已当取得当事人的知情同意外,还需关注外部数据合规性的内部保障措施,是否在合作协议中约定了数据合规的权责划分。(3)关注企业数据安全,相关内控管理制度是否健全。包括是否制定书面的《数据安全合规管理标准》《数据管理规范》或相关类似制度文件,是否设置了专门的数据合规管理机构和人员岗位,是否对不同密级的数据进行权限管理,是否制定了相应的信息泄露应急管理预案、定期风险自测排查方案等。更为直观的核查方式也包括关注企业的网络安全等级评定,是否取得了《信息系统安全等级保护备案证明》;对于信息技术服务企业,可了解是否进行了数据管理能力成熟度DCMM认证【8】。(4)关注企业是否需要进行网络安全审查。包括企业是否属于关键信息基础设施运营者或掌握超过100万用户个人信息的网络平台运营者,是否存在影响或者可能影响国家安全的数据活动。另外还建议关注,企业的客户是否属于关键信息基础设施运营者,是否需要配合客户进行网络安全审查,企业提供的产品和服务是否符合安全可信的要求等。(5)关注企业业务中是否涉及到数据出境的情形。如有涉及则需重点关注数据出境路径的选择是否适当,是否需要进行数据出境安全评估,是否选择通过其他出境路径(标准合同或认证);对于选择通过数据标准化合同路径的,关注实际签订的合同中是否存在另行约定的条款,是否存在与标准条款相冲突的情形等。(6)关注企业是否因数据合规问题受到监管措施。包含是否被处以相关行政处罚,或被出具相应的整改通知,如关注企业的服务或产品是否曾被列入工信部发布的《关于侵害用户权益行为的APP通报》的软件清单中;此外,还可关注是否存在侵害个人信息权益的纠纷或诉讼等。【3】《关键信息基础设施安全保护条例》第二条 本条例所称关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。【4】《网络安全审查办法》第六条:对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。【5】两个以上的个人信息处理者共同决定个人信息的处理目的和处理方式的,应当约定各自的权利和义务。但是,该约定不影响个人向其中任何一个个人信息处理者要求行使本法规定的权利。个人信息处理者共同处理个人信息,侵害个人信息权益造成损害的,应当依法承担连带责任。【7】《<网络安全法>施行前夕国家互联网信息办公室网络安全协调局负责人答记者问》:安全可信……至少包含三方面含义:一是保障用户对数据可控,产品或服务提供者不应该利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的控制权;二是保障用户对系统可控,产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有、使用设备和系统的控制权;三是保障用户的选择权,产品和服务提供者不应利用用户对其产品和服务的依赖性,限制用户选择使用其他产品和服务,或停止提供合理的安全技术支持,迫使用户更新换代,损害用户的网络安全和利益。【8】DCMM(Data Management Capability Maturity Assessment Model,数据管理能力成熟度评估模型)是我国首个数据管理领域国家标准,将组织内部数据能力划分为八个重要组成部分,描述了每个组成部分的定义、功能、目标和标准。该标准适用于信息系统的建设单位,应用单位等进行数据管理时候的规划,设计和评估。也可以作为针对信息系统建设状况的指导、监督和检查的依据。(http://www./DCMMbzjs/index.jhtml)本书由基小律团队合伙人邹菁律师、张泽传律师、周蒙俊律师著作,内容基于作者多年实务经验,涵盖创业投资基金的募集设立与投资运作的全过程,欢迎各位基小律的朋友订购阅读!
特别声明 本微信文章仅供交流之目的,不代表作者供职单位的法律意见或对法律的解读
|
