|
基小律说: 2023年3月7日,根据国务院关于提请审议国务院机构改革方案的议案,我国将组建国家数据局,负责协调推进数据基础制度建设,统筹数据资源整合共享和开发利用,统筹推进数字中国、数字经济、数字社会规划和建设。伴随着信息时代的深入发展,数据已然成为企业的重要依仗之一,尤其是以互联网企业为代表的现代化企业,将数据的运用推到了新的高峰;汽车行业、医疗行业等传统行业也在互联网的助力下,焕发出新的行业前景。数据呈几何倍数地增长,在带来新的发展契机的同时,也在一定程度上造成了行业的乱象,数据泄露、个人隐私受侵害等问题时有发生。本文将分为上下两篇,上篇将从数据合规的界定及相关法律法规切入,结合上市公司相关案例,分析监管部门对企业内部管理层面数据合规的关注要点;下篇将在继续介绍外部监管层面的关注要点的基础上,归纳总结对于企业数据合规的建议和PE投资尽调关注要点。张泽传 刘鸿凯 | 作者 根据《中华人民共和国数据安全法》第三条的定义,“数据,是指任何以电子或者其他方式对信息的记录”;“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。由此可见,数据是各类信息的记录,不仅包括个人信息,也涵盖关系国家安全、社会稳定的重要信息;前者对应到现实中多体现为个人信息的保护,后者则匹配网络安全、关键信息基础设施的数据安全保护等。因此数据安全包括个人信息保护,同时与网络安全下的网络数据安全有所重叠【1】。基于此,不妨对数据合规进行初步界定,即数据合规是指包括个人信息、网络数据安全等重点领域下的数据搜集、存储、使用活动的合规性管理。本文主要围绕数据合规这一核心议题,从拟上市公司在数据合规方面的审核问询入手,分析监管部门的关注要点,以期为业内人士提供参考。 我国关于数据合规相关的法律法规体系主要包括三个层级,《中华人民共和国民法典》(以下简称《民法典》)明确个人信息受法律保护的原则,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国网络安全法》(以下简称《数据安全法》《个人信息保护法》《网络安全法》)等法律规定国家层面和个人层面数据合规的各方面要求,其余各行业的规定、条例及国家标准则从实操层面细化监管要求。从具体行业分布看,互联网企业产品运用过程中往往前置要求个人电话、邮箱、用户名等隐私信息的授权使用,汽车行业、生物医药企业在业务运营过程中也常与个人的行踪轨迹、医疗健康状况等敏感个人信息密切关联,前述行业的企业掌握大量的数据,因而也存在相对细化的行业监管办法或国家标准。
经笔者检索、汇总上市公司(含预披露)相关案例,基于行业的差异,被问询到数据合规问题的拟上市企业以软件、互联网行业居多,其他行业如半导体、生物医药因其在新时代环境下与数据信息具有一定的关联性,也存在数据合规相关的问询。监管部门对于数据合规领域的关注要点主要包括内部和外部两个层面,内部层面的业务合规性、数据来源、数据使用和数据安全,外部层面的网络安全审查、数据出境安全评估及数据立法与监管七个方面,从企业业务模式到数据的生命周期(来源、使用和储存),再到外部监管,涵盖了企业完整的业务流程,显现出监管部门对于数据合规要求的关注度。对于拟上市公司,监管部门首先会基于公司的业务模式对合法合规性进行发问,关注公司相关业务经营是否符合《个人信息保护法》《数据安全法》《网络安全法》等法律法规的规定,根据业务复杂程度也会相对具体地问询信息的内容和表现形式、数据数量、是否需要授权等。这一问题出发点在于了解公司主营业务情况,是否涉及到相关数据安全、信息保护等领域,作为进一步问询的基础。
小结:对于业务合规性这一关注要点,根据具体问询的方式,拟上市公司可考虑从以下几个方面进行回复:(1)首先,介绍主营业务中涉及数据合规相关的部分及具体形式,论述自身涉及到的有关信息保护和网络安全的具体情形;(2)其次,论述企业内部对于数据合规管理的有效性,主要是以信息安全相关内部管理制度和保护措施为出发点;(3)最后,根据现有的法律法规中对于个人信息保护、网络安全的具体要求,逐项比对分析企业在运营过程中的合法合规性。根据不同的业务模式,企业数据的来源主要可分为三种类型,企业自主收集、供应商采购、客户提供。对于不同类型的数据来源,监管部门的关注核心都在于数据来源的合法合规性,但在具体侧重上略有差别。对于企业自主收集的数据(包括从C端用户或公开渠道),关注是否获得个人的知情同意,采集技术、程序和内容是否合法合规;对于下游客户或供应商提供的数据,除关注是否应当取得知情同意外,还会关注对于外部数据来源的内部保障措施、审核管理方式是否完备。
小结:对于数据来源合规性的问询,根据来源方式的不同,拟上市公司回复的逻辑亦有所差异。(1)对于拟上市公司自主收集的数据,如属于个人信息则需强调已获得用户的明确同意,且遵循《个人信息保护法》的公开、透明原则,在用户知情协议\隐私政策中明确约定了用户数据的收集范围、用途等,不存在侵害个人隐私的情形;对于以公开渠道收集的信息,则需凸显收集的方式和技术手段的合规属性。(2)对于拟上市公司从数据供应商处采购、或是基于业务流程从客户处获取的数据,需要论证外部来源数据的合规性,从提供数据的供应商、客户已取得用户授权同意,合作协议中对方已承诺数据来源合法合规等角度进行说明,明确划分各方在合作中的数据合规责任。企业对于数据的使用可以划分为内部使用和外部共享。内部使用是指企业在其业务流程中使用到其收集的数据,如进行个性化营销宣传、获取定位信息提供出行服务等;外部共享则是根据对外输出及分享相应的数据,如在用户协议中约定第三方共享清单输送给关联企业,或是提供给客户使用。
小结:结合上述案例,无论是内部使用和外部使用,监管部门的关注点在于拟上市企业商业模式中使用数据是否合规,尤其是对于个人信息的使用是否遵循了必要性和合理性的要求,是否存在超出授权范围使用用户数据的情形,自动化授权、定向推送等高风险使用场景是否合法合规等。对于这一问询,拟上市企业可以从以下三方面进行回复:首先,个人数据的使用范围已经通过用户协议进行了明确约定,不存在超出授权范围使用用户数据的情形;其次,从业务层面分析需要使用到数据的业务部分,分论证其商业合理性,如说明使用目的在于“根据用户的兴趣针对性地展示相关内容,提升用户体验”。数据安全涉及到数据的储存、调取使用的权限配置、防范数据泄露等事项,不仅是拟上市企业内部管理制度层面需要关注的核心事项之一,同时也是法律法规监管的重要方面。根据《数据安全法》第二十七条的规定,“开展数据处理活动应当……建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。”《民法典》《个人信息保护法》等相关法律法规也存在对数据安全的明确监管要求【2】。
小结:由上述案例可见,监管部门主要会围绕各项法律法规中对于数据安全的有关规定,了解拟上市企业数据安全的内部控制制度是否完备,包括企业的数据合规制度的制定及和执行情况、数据安全机构是否建立、采取了何种安全保障措施、对人员保密和权限管理情况等。拟上市企业对于数据管理内控制度的设计,应当从机构设置、人员安排及软件硬件层面进行搭建,建议包含数据安全管理机构的设置、各层级人员对于数据的接触权限、技术层面中软硬件的规范、信息泄露的应急管理预案等,保障数据安全。【1】《基小律观点 | PE股权投资应当关注的网络安全问题》【2】《民法典》第一千零三十八条、《个人信息保护法》第五十一条、《网络安全法》第二十一条本书由基小律团队合伙人邹菁律师、张泽传律师、周蒙俊律师著作,内容基于作者多年实务经验,涵盖创业投资基金的募集设立与投资运作的全过程,欢迎各位基小律的朋友订购阅读!
特别声明 本微信文章仅供交流之目的,不代表作者供职单位的法律意见或对法律的解读
|
