您的位置 : 环球研究 / 环球评论 / 新闻详情
A股申报中的数据合规关注
2020年05月19日孟洁 | 王程

一、企业申报上市,为什么需要关注数据合规

 

在目前上市申报特别是已受理的企业中,人工智能、大数据、物联网、互联网、云计算等新一代信息技术企业占有近一半的比例,是当之无愧为科创板最强板块。随着越来越多的科创型企业上市,一旦企业出现数据安全风险,不仅会对企业经营和估值造成重大影响,也将成为重大的社会问题、金融问题甚至政治问题。

 

(一)立法趋势

 

首先,数据已经成为国家战略和企业实践层面推动经济发展的新动能。近年来,国家高度重视数据在新常态中推动国家现代化建设的基础性、战略性作用。今年4月,中共中央、国务院《关于构建更加完善的要素市场化配置体制机制的意见》发布,将数据正式列为与土地、劳动力、资本、技术平行的五大要素之一,并明确要求制定数据隐私保护制度和安全审查制度,加强对政务数据、企业商业秘密和个人数据的保护。

 

其次,数据合规是企业公开发行股票的必要条件。数据的收集、使用、共享已经构成许多企业业务至关重要的一环。证监会发布的《首次公开发行股票并上市管理办法》、《首次公开发行股票并在创业板上市管理办法》及今年4月27日刚刚发布的《创业板首次公开发行股票注册管理办法(试行)》(征求意见稿)等文件均明确,发行人生产经营活动应符合(包括数据合规在内的)相关法律、行政法规、产业政策的规定。

 

第三,数据立法呈现密集化、精细化的趋势。自2017年《网络安全法》伊始,我国已在数据合规和网络安全领域出台《信息安全技术 个人信息安全规范》(简称《个人信息安全规范》)、《网络安全等级保护基本要求》、以《移动互联网应用程序(App)收集个人信息基本规范》为便的一系列规制App合法合规收集使用个人信息(包括正面、负面清单等)的规范性文件、《网络安全审查办法》、《儿童个人信息网络安全保护规定》等多部网络及数据安全方面的法律法规。

 

(二)监管趋势

 

虽然目前数据法规频出,但监管也呈现多头、密集、全面覆盖的特点。App专项治理工作组、工信部、公安部、市场监管总局、国家计算机病毒应急处理中心、证监会、消保委、检察院等多方重拳出击,严厉监管数据合规问题。

 

网信办协调统领的四部委成立App专项治理工作小组,在整个2019年督促了问题严重的近300款App进行整改,整改问题多达800余个。[1]

 

工信部2019年前三季度共检测了国内69家手机应用商店上架的12万款App,抽查了284家企业的310余项互联网服务。对存在违规收集使用用户个人信息等问题的83款应用软件和网站,督促整改并公开广播。并集中针对14类用户数量大、下载使用率高的140款App开展数据安全风险滚动式评测,累计下发问题整改通报三期,约谈企业20余家。[2]

 

公安部自2016 年以来,部署全国公安机关开展打击整治网络侵犯公民个人信息犯罪专项行动、打击整治黑客攻击破坏犯罪和网络侵犯公民个人信息犯罪专项行动、“净网 2018”、“净网 2019”、“净网 2020”专项行动,持续重拳打击整治侵犯公民个人信息违法犯罪活动,打掉了一批非法采集、贩卖公民个人信息的公司。此外,公安部还与中央网信办牵头,联合最高法、最高检、工信部、市场监管总局等多单位联合整治,建立打击危害公民个人信息和数据安全违法犯罪长效机制,构建保护公民个人信息和数据安全的社会综合治理体系。[3]

 

市场监管总局自2019年4月1日到9月30日开展了“守护消费及打击侵害消费者个人信息违法行为专项执法行动”,总共立案查办各类侵害消费者个人信息案件1474件,查获涉案信息369.2万余条,罚没款项达1946.4万余元,移送公安机关案件154件,组织执法联动4225次,开展行政约谈3536次。[4]

 

2017年底,江苏省消保委根据《消费者权益保护法》、《最高人民法院关于审理消费民事公益诉讼案件适用法律若干问题的解释》等相关法律,代替消费者对违规公司提起了民事公益诉讼。南京市中院于2018年1月初正式立案,虽然此后涉事公司积极配合并对一系列问题进行了优化,消保委于2018年3月撤诉,但这一案例是全国首例针对个人信息安全提起的公益诉讼,也充分展示了消保委方面对于个人信息安全问题的重视。[5]

 

2020年3 月,上海虹口区检察院对教育培训行业的三名犯罪嫌疑人在以侵犯公民个人信息罪提起刑事诉讼同时附带提起民事公益诉讼获得了胜诉判决,我国首次支持检察机关作为公益诉讼起诉人提出的包括民事公益诉讼赔偿在内的全部诉讼请求,并判决侵害人在国家级新闻媒体上公开赔礼道歉。[6]

 

此外,据不完全统计,国内数十家企业在申请IPO时接受了证监会关于数据方面的质询,且正朝着更加严格的方向发展。证监会主要关注的问题包括:数据来源的合法性、数据商业化变现的合规性、企业内部控制制度及执行、安全保护措施、是否出现过相关的数据泄露案件或纠纷、监管出现问题后是否及时有效地整改、企业在面对新政策、新法规时的应对能力等涉及数据全生命周期的问题。

 

综上所述,结合现今数据安全立法进程以及执法机关趋严的监管动向后,我们并不意外的发现,证监会已逐渐将数据合规列为企业上市申报时的审查要点之一:数据治理和合规不再只是可有可无的加分项,而是实实在在的扣分项,它会影响企业的融资、并购、上市,应当引起企业的高度关注。在上市申报前,企业应梳理数据资产,分析公司现有业务存在的风险与问题,再针对这些问题有针对性地进行有效整改,以达到上市时/后无后患之忧。俗话说,数据合规非一日之功,建议有规划上市的企业需尽早着手准备。

 

二、哪些企业一定要关注数据合规

 

 

总体来讲,数据合规是所有企业都必须持续关注的领域。但是,对于依赖数据为企业运营“血液”的App运营者、SDK提供方、AI企业、IoT企业、大数据公司、IDC/云服务企业、互联网金融企业以及其他科技型公司来说,数据治理更应该是合规的重中之重。下文我们将从不同类型的企业入手展开分析,梳理企业应当重点参考的相关法律法规,以便相关企业在落实数据合规时起到参考或借鉴作用。

 

(一) App及小程序运营者/SDK提供方

 

首先,由于数据拥有具有潜在的巨大价值,往往App运营者会通过App隐蔽收集用户个人信息、超出用户心理预期获取个人信息、误导用户同意收集个人信息、强制授权、过度索权,同时也存在App账号注销难以及第三方SDK存在安全风险等典型问题。国家计算机病毒中心于2019年9月15日发布的《移动App违法违规问题及治理举措》指出了目前App和SDK存在:远程控制、恶意扣费等恶意行为;涉嫌侵犯公民个人隐私;涉嫌超范围采集公民个人隐私等六大类问题。

 

同时,企业也不应忽视SDK的运营或使用:2015年10月,一款名为“*米”的第三方广告SDK被发现收集了用户的个人身份信息,包括Apple ID邮件地址、设备识别码,以及安装在手机上的App列表信息。最后,导致嵌入该SDK的256款App被苹果应用商店下架。此外,2020年3月,因疫情原因远程会议服务软件 Zoom 的用户数量随之大幅增加,但却因为被连续曝出存在隐私和安全问题而引起了广泛关注,如Zoom 隐私政策内容不甚明确,未披露第三方 SDK接入情况。

 

对小程序运营的监管,也将成为今年的治理重点。今年3月27日全国信安标委发布《移动互联网应用程序(App)个人信息安全防范指引(征求意见稿)》,首次将小程序明确以成文形式纳入监管文件中,要求合规比照App标准执行。早在2018年12月初,工信部因小程序存在未公示用户个人信息收集使用规则、默认开通 12306 畅行会员协议等问题约谈了某知名旅游网络公司。2020 年 3 月中旬,天津市委网信办第一期疫情防控 App专项治理通报显示:7 款违法违规收集使用个人信息的应用程序中 4 款为小程序。

 

(二)AI企业/IoT企业

 

AI和IoT企业由于其本身应用场景丰富,因此在隐私安全的问题也层出不穷。比如,某著名人工智能公司旗下一家公司研发的智能门铃被曝出,公司员工允许观看用户门铃摄像头拍摄的视频;某著名人工智能公司被爆监听用户和Alexa的对话,部分员工能在一分钟之内根据Alexa用户地理坐标查找到用户的家庭地址;某著名移动智能硬件公司推出一款智能电视,用户可以通过语音识别软件,对电视“下指令”,但录音期间“一切响动”都会被记录;另有某人工智能公司的扫地机器人利用摄像头扫描周围环境,黑客利用漏洞伪装成用户本人登录,对扫地机器人进行远程遥控,实时观看用户家中情况。

 

这些新闻的爆出,让我们在感慨高科技给生活带来便利的同时,也感到有点不自在与不安心。企业如果没有做好数据合规,不但会对用户的隐私带来侵害,同时还会阻碍自身的发展。比如,2019年2月,深圳某科技公司被爆发生大规模数据泄露事件。超过250万人的数据可被获取,680万条记录泄露,其中包括身份证信息,人脸识别图像及捕捉地点等。这个事件导致其控股公司或全面退出或减资,对企业造成了严重的负面影响。

 

而此前更轰动的是某知名人工智能领头羊企业,被查处特大侵犯公民个人信息事件,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000G,涉及数据隐私性极高,包含了手机号、上网基站代码等40余项信息要素,还记录了手机用户具体的上网行为,甚至部分数据能够直接进入公民个人账号主页。因此,导致多名犯罪嫌疑人入网,股东接受调查,多名高管被诉。对公司经济也造成了严重的负面影响,股票转让价格动荡、新三板停牌、复牌后股票价格下跌,损失惨重。

 

(三)大数据公司

 

虽然大数据技术及其相关产业的发展前所未有地改变着个人信息收集和使用的方式,但与此同时,自2019年以来,大数据安全合规方面也不断有事件曝出。

 

2019年9月,一家位于杭州的大数据风控平台被警方控制,高管被带走,相关服务暂时瘫痪。同日,另一家提供大数据风控服务的科技人工智能公司的高管被警方带走协助调查。据相关人士了解到,被警方带走协助调查的原因是这些公司涉嫌利用网络爬虫技术侵犯个人隐私。短时间内,与此业务相关的一大批公司又卷入风波。

 

此外,浙江省的另一家提供基于大数据的移动互联网综合服务科技企业,在2018年9月首次上市前,发审委会议重点关注了涉及其使用用户个人数据的业务,要求企业说明其数据收集、使用、处理是否获得了用户有效授权、是否符合相关法律法规以及企业内部针对信息安全的控制制度以及是否具备应对监管和政策变动的能力。

 

可见,大数据企业由于业务本身与数据、个人信息有着密不可分的关系,更需对数据合规问题引起高度重视。大数据企业不仅需要注意业务过程中收集、使用数据的合规性,还需要特别对合作中的供应链安全、采购合同等数据安全要点进行重点关注。

 

(四)IDC/云服务企业

 

作为当前高速发展的业务模式,监管机关的步伐也在步步紧逼。因此,IDC以及云服务企业更加不能忽视数据合规问题。比如,作为国内领先的中立第三方云计算服务商某科技股份有限公司,即使它是工信部可信云服务认证的首批企业之一,但在2019年5月申请上市时,证监会就质询并明确要求该公司说明:数据安全相关制度及措施(包括但不限于数据备份、加密、防窃取、防泄露、到期数据处理机制)以及数据安全事故历史。如果在上市前,没有准备全面和稳妥,必将对企业的发展造成一定的阻碍。

 

关于该部分企业如何具体执行数据合规相关措施,我们近期的《建设数据中心涉及的数据合规要点探讨》一文将进行详细介绍。

 

(五)银行/互联网金融企业

 

我国对银行/互联网金融领域的监管态度也愈发严格。2020年5月6日,脱口秀演员池子在微博平台发布长文,控诉自己老东家**文化公司违约,并且寄回给他的案件材料中包括他在**银行的个人账户交易明细。**银行将其个人账户流水提供给池子原东家的这一行为池子事先并不知情,同时也并未做出任何授权行为。这一事件在网络上激发了群众热烈讨论及社会关注。5月9日下午,中国银保监会消费者权益保护局对这一事件直面出击,公开通报**银行涉嫌违法、违规,宣布将依法依规启动立案调查程序。根据《商业银行法》第29条规定,商业银行办理个人储蓄存款业务,应当为存款人保密。并且,根据《个人信息安全规范》附录A的内容,个人银行账户的交易明细属于典型的个人财产信息。《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的可以追究责任人的刑事责任。

 

从本次事件来引发出,人们对于互联网金融企业个人信息保护工作的关注。近日,有机构对20款常用银行App进行了测评,发现存在强制用户授权、披露第三方合作伙伴不清等问题。金融领域个人信息具有特殊性,与其他个人信息相比,其与个人的资产、信用状况等高度相关,一旦泄露对受害者的财产安全将造成很大威胁,相关立法和监管机构也在加紧步伐,严厉打击违法违规行为。由此,我们建议相关企业参考互金行业在坚守个人信息及数据保护一般性要求的同时,严抓银监会、证监会等金融机构出台的特殊规定,比如2020年2月20日,中国人民银行印发的《个人金融信息保护技术规范》,2019年12月份中国人民银行出台的《金融消费者权益保护实施办法(征求意见稿)》。另外,央行也已向部分银行下发《个人金融信息(数据)保护试行办法》,待征求意见结束后将正式对外发布。互联网金融企业应密切关注立法风向标,切实将个人信息保护做到实处。

 

(六)其他科技型公司

 

2018年11月,北京某科技公司因涉及非法窃取用户个人信息30亿条于新三板终止挂牌。2019年10月,绍兴市越城区人民法院宣判该企业因触犯非法获取计算机信息系统数据罪,判处罚金人民币1000万元,公司法定代表人及涉案员工共七人分别被判处2年至3年6个月不等刑期,并处罚金。

 

此外,去年10月某知名天气类互联网公司首发申请IPO未获得通过一事也引起了公众和法律业界的广泛关注,“天气App第一股”梦碎。证监会发审委会议提出的四类主要质询问题中,数据安全问题格外引人注目。针对数据安全方面,证监会主要提出了五个问题,分别是针对数据的收集、数据的使用(特别是商业变现的合规性)、内部控制制度、行业监管及个人隐私保护政策对发行人业务的影响及相关应对措施,以及该公司因此前被App专项治理工作组点名整改的效果。这是证监会针对上市企业数据安全与合规质询比较全面的一次提问。

 

由此,我们认为企业首先应当充分认识数据合规工作的重要性,特别是企业在进行IPO、重组、投融资时应当注重构建数据合规体系,从而保证公司为数据资产提供全生命周期的安全保护。在上市或完成重组或上市后,还应当持续关注我国关于数据以及个人信息的立法动态,及时完善公司的数据合规策略,并在企业进行数据共享、转让、公开披露,发生重大安全事件或者公司业务模式、信息系统、运行环境发生重大变更时,及时进行个人信息安全影响评估。对整个制度以及机制的落实情况,也建议要随着上市过程、投融资进展,审查是否完整落实,针对于一些不合适的地方,还要考虑不断进行调整与优化。另外,还需要组织人员进行培训,对梳理出来的问题、整改情况与法律法规的动态变化,进行比对并进一步复盘并更新完善,最后构成一个有效的合规闭环。

 

三、企业应重点关注的数据合规问题

 

 

我们认为企业进行数据安全与合规,主要可以遵循两条主线-即个人信息部分与非个人信息部分-分别有针对性的治理上市前企业面临的数据合规问题,以求更全面有效地应对审核机关可能提出的质疑或问询。

 

(一)个人信息部分

 

1. 个人信息的全生命周期

 

举个实例来看,上述提及的2019年10月首发上市未通过的天气类App,主要通过自主收集及第三方途径获取用户数据及标签,并利用数据进行商业化变现。被证监会主要质询的四大主要问题,其中主要的一个合规方面就是关于用户数据的收集、使用以及处理。在数据的收集方面,证监会质询:“发行人获取用户数据及标签的过程及方法,是否对用户有明示提示,用户授权在法律上是否完备,是否明确告知收集信息的范围及使用用途,发行人获取用户数据的手段及方式是否合法合规。” 此问题主要是针对用户数据的收集过程,收集行为作为整个数据生命周期的前端,其合规性直接影响数据后续使用过程的合规性。

 

根据《网络安全法》第22条,网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。而根据《信息安全技术 个人信息安全规范》(2020版)(简称“《个人信息安全规范》”)条款5.4中的规定,个人信息控制者收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意。同时,App专项治理小组发布的《App违法违规收集使用个人信息自评估指南》中评估项5和6也将App是否向用户明示收集、使用个人信息的目的、方式、范围,同时收集使用个人信息是否经过用户自主选择同意,是否存在强制捆绑授权行为作为评估要点之一。

 

具体而言,App专项治理小组在《App违法违规收集使用个人信息行为认定方法》中明确指出了可被认定为“未公开收集使用规则”的行为:即在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则;在App首次运行时未通过弹窗等明显方式提示用户阅读隐私政策等收集使用规则;隐私政策等收集使用规则难以访问,如进入App主界面后,需多于4次点击等操作才能访问到;以及隐私政策等收集使用规则难以阅读,如文字过小过密、颜色过淡、模糊不清,或未提供简体中文版等。

 

数据收集作为整个数据全生命周期的起点,使得数据收集合规工作对整个数据合规工作具有巨大的意义。从案例中我们可以看出,数据收集的核心焦点在于保证所收集数据来源的合法性。对于企业直接收集的数据,企业则须履行告知义务并征得用户同意。企业履行告知义务的具体要求和方式方法又因业务场景的不同有所区分。不同场景如个人信息的收集、个人敏感信息的收集以及将个人信息与第三方的共享等情形下的告知义务法律均有不同的要求。在数据的使用方面,证监会质询:“发行人使用用户数据是否合法合规,尤其是商业化变现的合规性,结合相关媒体报道的该天气类App上传用户隐私等情况,对照《网络安全法》、《关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》等法规和司法解释,说明报告期发行人是否存在侵犯用户隐私或数据的情况,是否存在法律风险或潜在法律风险。”在此问题中,证监会重点关注了当数据进行商业化变现时的合规性问题。数据作为企业的重要资产,其合理的使用,能够给企业创造巨大的价值,但其使用也应当依据法律法规受到相关限制,突破这些限制就可能引发侵犯用户隐私的风险。

 

根据《网络安全法》第41条的规定,使用个人信息要遵守合法、正当和必要的原则。《个人信息安全规范》第7.3条也规定,“使用个人信息时,不应超出与收集个人信息时所声称的目的具有直接或合理关联的范围。因业务需要,确需超出上述范围使用个人信息的,应再次征得个人信息主体明示同意。”由此可以看出,使用个人信息的范围应当遵循个人信息主体授权同意的范围。事实上除了上述科技企业之外,许多企业在进行重组或者上市时,数据使用问题都成为了审批部门关注的问题。

 

综上,我们建议企业在收集用户个人信息之前,一方面应当充分利用隐私政策、用户协议、PBD(Privacy By Design)来履行告知义务,详细说明其所收集的个人信息,及其方式和目的,搭建企业数据合规工作的基石;另一方面,对于通过合作、委托处理等方式间接获取的数据,则需采取必要、适当的手段、措施进行数据合法性的核实,并且要求第三方签订承诺函等方式保证数据来源的合法性。

 

通过对上述的讨论,我们不难看出监管机构的落脚点始终为保障个人信息主体的权利。早在2018年,证监会就曾在华坤道威重组北京某通信技术公司的项目中要求公司说明目标公司对用户信息的收集、传输、保存及应用的现状是否符合2018年5月1日实施的《个人信息安全规范》的要求。由此可以预测,在2020年3月6日正式发布的《个人信息安全规范》会成为证监会重点审查个人信息的合规标准之一。

 

2. 个人信息主体的权利保障

 

根据《个人信息安全规范》第8条,个人信息主体的权利包括个人信息查询权、更正权、删除权、撤销同意权、注销账户权、获取个人信息副本权,同时个人信息控制者要求相应个人信息主体的请求并建立投诉管理机制和投诉跟踪流程,在合理的时间内对投诉进行相应响应与处理。同时,2019年3月发布的《App违法违规收集使用个人信息自评估指南》中第三部分将“App运营者对用户授权利的保证”作为评估点之一,其中明确指明了App是否支持用户注销账号、更正或删除个人信息、及时反馈用户申诉这些评估标准。

 

根据2019年11月发布的《App违法违规收集使用个人信息行为认定方法》中第六项内容,以下行为均可被认定为“未按法律规定提供删除或更正个人信息功能”或“未公布投诉、举报方式等信息”:未提供有效的更正、删除个人信息及注销用户账号功能;为更正、删除个人信息或注销用户账号设置不必要或不合理条件;虽提供了更正、删除个人信息及注销用户账号功能,但未及时响应用户相应操作,需人工处理的;未在承诺时限内(承诺时限不得超过15个工作日,无承诺时限的,以15个工作日为限)完成核查和处理;更正、删除个人信息或注销用户账号等用户操作已执行完毕,但App后台并未完成的;以及未建立并公布个人信息安全投诉、举报渠道等。

 

尤其在“账号注销”方面,2020年3月刚出台的新《个人信息安全规范》对这一点做出了更加明确和细化的要求。根据《个人信息安全规范》第8.5 a)条,为了实现用户的“账号注销权”,企业至少需要在用户可感知的网络产品交互层面为用户提供“简便易操作”的账号注销方式。何为“简便易操作”的账户注销方式?《个人信息安全规范》第8.7 b)条建议:在网站、移动互联网应用程序、客户端软件交互式页面直接设置并提供功能或选项,便于个人信息主体在线行使其注销账号等权利。

 

由此可见,相比于将保障个人信息权利的主旨暗示在分散的条文中,近期出台的法律法规反而将个人信息权利单独名列出来以确保企业保持警醒,并将保障该等权利落在实处。

 

3. 个人信息安全能力建设

 

为落实保障个人信息主体权利,企业应将建设自身个人信息安全能力作为合规重点之一。根据《网络安全法》及配套的法律规范,建议企业建设个人信息安全能力时,首先将重点放在网络安全等级保护测评和定级备案、内部权限划分及规范以及数据存储安全三大方面。以下将分别进行介绍:

 

1)网络等级保护制度

 

企业应当按照《网络安全法》与“等保2.0”国家标准的规定开展网络安全等级保护测评工作。《网络安全法》第21条提出,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。而《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)也为企业实践中开展等级保护测评工作提供了指导意义。

 

2)内部权限设定

 

建设个人信息安全能力的同时也离不开内部人员访问数据库和使用个人信息的权限规范。根据《个人信息安全规范》第7.1条,个人信息控制者对被授权访问个人信息的人员,应建立最小授权的访问控制策略,使其只能访问职责所需的最小必要的个人信息,且仅具备完成职责所需的最少的数据操作权限;同时需要对安全管理人员、数据操作人员、审计人员的角色进行分离设置;当确因工作需要,需授权特定人员超权限处理个人信息的,应经个人信息保护责任人或个人信息保护工作机构进行审批,并记录在册;而在个人敏感信息方面,对这类信息的访问、修改等操作行为,宜在对角色权限控制的基础上,按照业务流程的需求触发操作授权。例如,当收到客户投诉,投诉处理人员才可访问该个人信息主体的相关信息。

 

3)数据存储安全

 

证监会早前曾在某著名提供网络安全软件企业的非公开发行股票项目中询问:公司对提供产品、服务过程中掌握的个人信息及国家安全信息所采取哪些防泄密措施。由此可见,数据存储安全也是不可忽略的合规方向。根据《民法典(草案)》第1038条规定,信息收集者、控制者应当采取技术措施和其他必要措施,确保其收集、存储的个人信息安全,防止信息泄露、篡改、丢失;发生或者可能发生个人信息泄露、篡改、丢失的,应当及时采取补救措施,依照规定告知被收集者并向有关主管部门报告。在具体操作方面,企业可参考《个人信息安全规范》的相关规定第6.2条:收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开存储,并加强访问和使用的权限管理;而第6.3条要求,个人信息控制者在传输和存储个人敏感信息时,应采用加密等安全措施。同时企业需要注意在采用密码技术时宜遵循密码管理相关国家标准。

 

4. 数据安全事件处理

 

一旦发生个人信息泄露,不仅会阻碍企业上市,同时也会严重影响企业的声誉,因此除了上述几点以外,企业同时需要做到正确有效地应对数据安全事件的处理。根据《网络安全法》第25条以及《个人信息规范》第10条的规定,企业应:

 

1)事前- 制定个人信息安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;

2)事中- 定期(至少每年一次)组织内部相关人员进行应急响应培训和应急演练,使其掌握岗位职责和应急处置策略和规程;

3)事后- 在发生危害网络安全事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。

 

5. 内外部政策与协议制定

 

1)隐私政策、用户服务协议

 

正如上文所提及,目前执法机关愈发关注网络运营者的隐私政策及用户服务协议的内容规范以及展示规则是否符合法律法规要求。比如,2018年10月30日中国证监会出具的《关于请做好XXX有限公司发审委会议准备工作的函》中曾质询:“抽样头部 APP 产品的《用户协议》、《隐私政策》中部分表述基于提升本 App 服务之目的而收集用户数据并向第三方共享该数据,发行人链路共享是否属于“提升本App 服务之目的”。无论是对于用户还是对于监管机构,像隐私政策和用户协议等外部契约,是其展示自身合规水准的第一层标签。做好外部制度的建设,也是规避法律风险的第一道屏障。企业应当参考《个人信息规范》、《App违法违规收集使用个人信息自评估指南》、《App违法违规收集使用个人行为认定方》以及《民法典(草案)》的相关内容,落实隐私政策及用户协议的内容以及获取同意的方式合法合规,同时还应就不同数据的使用场景,尤其当涉及到如市场营销等场景时,制定相应完善的隐私政策及用户协议方案。

 

2)内部制度

 

对于个人信息保护的监管,不限于对隐私政策等外部协议文件的监管,还包括对企业个人信息保护内部控制制度的监管。同样以上述天气类App为例,证监会在公告中质询:“数据获取、使用、处理等过程的内部控制制度及执行情况,对数据安全和个人隐私的保护措施与手段,是否出现过个人信息、隐私泄露事件,是否存在纠纷或潜在纠纷。”

 

首先,《个人信息安全规范》第5.5条规定,个人信息控制者制定的个人信息保护政策应当包括“遵循个人信息安全基本原则,具备数据安全能力,以及采取个人信息安全保护措施,必要时,可公开数据安全和个人信息保护相关合规证明。同时,正如上文所讨论的内部权限部分,企业应对个人信息访问制定控制措施,要求对被授权访问个人信息的人员,建立最小授权的访问控制策略,并对安全管理人员、数据操作人员、审计人员角色分离设置相关制度及流程等。

 

由此可见,内部制度建设是防止信息安全事件发生的很重要的一个环节。从数据内部使用的审批制度,到数据每一个收集使用环节的审计制度,到发生信息安全事件时的应急响应制度,每一个步骤都应达到相应的合规标准,才能增强企业对个人信息的整体保护能力。企业要注重加强在内部管理(包括HR、IT等部门)上的文化和制度建设,以避免潜在的信息安全事件。《个人信息安全规范》第5.5条没有阐述公开数据安全和个人信息保护相关的“必要”合规证明的具体情景,根据司法实践,此情景可能发生在用户提出要求,监管部门进行核查或者发生数据安全事件时作为免责事由的证明等。无论在何种情境中,企业内部的合规建设都有着重要的作用。企业内部数据安全内控制度建设的完成情况,同样也是审批部门重点关注的问题。

 

因此,我们建议拟上市企业构建和完善企业内部管理制度,企业可以从领导决策、人员管理、安全技术方面的管理制度以及风险管理制度三个维度入手,建立安全有效的内部管理与控制制度。

 

3)与第三方的合作协议

 

不同于隐私政策等“外部契约”,第三方合作协议是企业与和其业务有关联的第三方合作方所签订的相关契约。因为数据流转是数据生命周期中非常重要的一个环节,也是企业进行投资以求获得商业价值的关键流程。当企业从第三方获取数据,需要第三方保障数据来源的合法性;如果是企业向第三方共享数据,则需要确保获得用户的授权同意、对第三方的安全能力提前进行安全评估,并且对共享后第三方处理数据的行为进行合理审计。2018年,北京某数据科技公司(首发)未通过的其中一个阻碍,就是企业与第三方经营数据相关的业务方面遭到了证监会质询:“与客户所签署业务合同的业务内容条款和保密条款是否存在协助或变相协助客户、第三方开展可能侵犯第三方商业秘密或个人信息安全的行为。”企业在与第三方签订合作协议时,应明确双方在数据合规及保护方面的相应责任义务,尽量避免可能造成侵犯第三方商业秘密或其他合法权益的争议条款,此外,企业应针对不同的合作模式、业务类型、场景分别设计有针对性的合作协议,避免一味采用格式条款或模板合同,易造成对合规承诺、责任分配等的疏漏。

 

(二)非个人信息部分

 

1. 业务连续性管理

 

建设和维持有效而良好的业务连续性管理是企业开展数据合规不可小觑的方面。根据《网络安全法》第22条、第23条,企业建设关键信息基础设施,保证其应具有业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用;同时企业应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。由此可见,良好的业务连续性管理是数据安全的基础,如果企业忽视这一点,可以预见数据安全必然会出现漏洞从而导致企业的发展受到阻碍。

 

2. 组织及人员管理

 

企业应当在建立人员组织管理的同时,明确网络安全负责人,并设立相应的数据安全治理机构(或小组),以更好地应对数据合规要求。根据《网络安全法》第34条以及《网络安全等级保护条例(征求意见稿)》第20、21条,企业应当按照国家法律法规的规定和相关国家标准的强制性要求,设置专门的网络安全管理机构和网络安全管理负责人,对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度。执证上岗具体规定由国务院人力资源社会保障部门会同国家网信办等部门制定。此外,企业应当确定网络安全等级保护工作责任人,建立网络安全等级保护工作责任制,落实责任追究制度。

 

此外,如果企业以经营为目的收集重要数据,则应根据《数据安全管理办法(征求意见稿)》第17条和第18条的规定,明确数据安全责任人,数据安全责任人由具有相关管理工作经历和数据安全专业知识的人员担任,参与有关数据活动的重要决策,直接向网络运营者的主要负责人报告工作。同时,数据安全责任人应当履行以下职责:1) 组织制定数据保护计划并督促落实;2) 组织开展数据安全风险评估,督促整改安全隐患;3) 按要求向有关部门和网信部门报告数据安全保护和事件处置情况;4) 受理并处理用户投诉和举报。企业应当为数据安全责任人提供必要的资源,保障其独立履行职责。

 

3. 数据安全管理

 

企业在数据安全管理方面首先应当注意《网络安全法》第10条下的原则性要求:依照法律、行政法规的规定和国家标准的强制性要求,采取技术保障措施和其他必要措施,维护网络数据的完整性、保密性和可用性。这要求企业依照《网络安全法》第37条、《网络安全等级保护条例(征求意见稿)》第31条、《数据安全管理办法(征求意见稿)》第15条、第24条、第32条、对数据的收集、使用、处理、存储、委托处理等方面分别有针对性的进行管理。此外,为了更好的进行数据安全管理,企业同样不能忽视安全技术管理与物理环境安全管理,确保根据相关法律法规达到一定的安全标准。

 

4. 密码及通信安全管理

 

2020年3月26日,《关于开展商用密码检测认证工作的实施意见》发布,作为细化市场可操作性的指引,我们不难推测密码及通信安全管理也将愈发收到监管机构的重视。我们建议企业根据《网络安全等级保护条例(征求意见稿)》第4条的规定,在网络建设过程中,同步规划、同步建设、同步运行网络安全保护、保密和密码保护措施。如果企业网络不涉密,则应当依据第47条、第48条的内容,按照国家密码管理法律法规和标准的要求,使用密码技术、产品和服务。如果企业网络定级为第三级以上,应当采用密码保护,并使用国家密码管理部门认可的密码技术、产品和服务。公司应当履行密码安全管理职责,加强密码安全制度建设,完善密码安全管理措施,规范密码使用行为。

 

在密码产品的引进和使用方面,企业应当依据《商用密码管理条例》第13条、第14条的规定,在进口密码产品以及含有密码技术的设备或者出口商用密码产品时,必须报经国家密码管理机构批准。企业及企业员工只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制但未经认可的或者境外生产的密码产品。此外,企业及企业员工不得销售境外的密码产品。

 

5. 风险评估和审计管理

 

达成风险评估和审计管理的重要方面之一,就是落实网络安全等级保护制度。证监会曾在某企业发行可转债项目中询问:“发行人开展现有业务、本次募投项目是否需要进行信息安全等级保护测评?”由此可见,如果无法落实网络等级保护制度,也会对企业的发展无可避免地造成一定程度的阻碍。根据《网络安全等级保护条例(征求意见稿)》第33条的规定,企业建设、运营、维护和使用网络,向社会公众提供需取得行政许可的经营活动的,相关主管部门应当将网络安全等级保护制度落实情况纳入审计、审核范围。根据拟定的不同等级,企业应当遵守的责任和义务也有不同。

 

关于风险控制和审计管理的相关要求,建议企业通过安全审计员对系统各个组成部分的安全审计进行集中管理,包括根据安全审计策略对各类网络安全信息进行分类记录;对各类审计记录分类存储、管理、查询和分析,并根据分析结果及时处理;系统对各类安全报警和日志信息进行关联分析,生成统一审计报告,提取出概括性的重要安全事件或发掘隐藏的攻击规律,进行重点报警和分析,并对全局存在类似风险的系统进行安全预警。同时,应对安全审计员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作。在进行云计算平台安全设计时,还应对云服务器、云数据库、云存储等云服务的创建、删除等操作行为进行审计,通过运维审计系统对管理员的运维行为进行安全审计;通过租户隔离机制,确保审计数据隔离的有效性。

 

6. 安全事件与应急管理

 

与上述个人信息部分第4项数据安全事件处理相似,我们同样可以将非个人信息部分的安全事件应急管理其分为事前、事中以及事后三个阶段,具体如下:

 

1)事前及事中:

 

依据《网络安全法》第22条及第34条、《关键信息基础设施安全保护条例(征求意见稿)》第24条,企业应当按照国家法律法规的规定和相关国家标准的强制性要求,制定网络安全事件应急预案并定期进行演练;当企业发现提供的产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告;当企业发布具体网络和信息系统存在风险、脆弱性情况,应当事先征求网络和信息系统运营者书面意见,但是相关风险、脆弱性已被消除或修复,或已提前30日向网信、电信、公安或相关行业主管部门举报的情况除外。未经政府部门批准和授权,企业及企业员工发布网络安全威胁信息时,标题中不得含有“预警”字样。此外,根据《网络安全等级保护条例(征求意见稿)》第30条规定,对于公司定级在第三级以上的网络,应当建立健全网络安全监测预警和信息通报制度,按照规定向同级公安机关报送网络安全监测预警信息,报告网络安全事件。有行业主管部门的,同时应当向行业主管部门报送和报告。

 

2)事后:

 

当安全事件发生后,对外,企业应根据《网络安全法》第54条及《网络安全等级保护条例(征求意见稿)》第20、32条的规定,对对网络中发生的案事件,应当在二十四小时内向属地公安机关报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。网络安全事件发生的风险增大时,公司应当配合省级以上政府,依据其法定权限及程序,收集报告相关信息,加强网络安全风险监测;对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度。同时,公司处置网络安全事件应当保护现场,记录并留存相关数据信息,并在24小时内向属地县级以上公安机关和行业主管部门报告;泄露国家秘密的,应当同时向属地保密行政管理部门报告。公司应当按照规定进行报告,不得迟报、漏报、瞒报。

 

对内,企业应根据《网络安全法》第25条、第55条的规定,立即启动网络安全事件应急预案,对网络安全事件进行调查和评估,采取相应的补救措施,采取技术措施和其他必要措施消除安全隐患,防止危害扩大,并及时向社会发布与公众有关的警示信息。

 

此外,企业也应依据《网络安全漏洞管理规定(征求意见稿)》针对相关的网络产品、服务、系统采取相应的漏洞修补或防范措施。

 

7. 投诉与举报管理

 

企业应当关注对投诉与举报的相应时间、流程、方式符合法律要求,同时还应及时反馈处理结果。根据《网络安全法》第49条、《电信和互联网用户个人信息保护规定》第12条以及《规范互联网信息服务市场秩序若干规定》第14条,企业应当建立网络信息安全投诉、举报制度,公布投诉、举报方式等信息,及时受理并处理有关网络信息安全的投诉和举报,并自接到投诉之日起十五日内答复投诉人。公司应当配合网信部门和有关部门依法实施的监督检查。

 

四、企业如何构建数据合规体系

 

 

结合上述讨论,概括而言,我们建议企业应当将数据合规的主要治理放在以下四个部分:

 

1. 制定和审查外部政策与协议:

 

这里的外部协议,包括ToC端的平台协议,如产品隐私政策及和用户服务协议及其他单行规则,还可能涉及产品的隐私保护实践方案设计,另外也包括审查公司ToB端与数据合作方面的相关合同、数据处理协议、承诺函等。

 

2. 建设内部数据安全管理控制制度:

 

要求企业在设立内部规则、内部控制制度的同时,有针对性的设计企业员工手册、行为规范以及HR及IT部门的制度文件及规程。此外,企业还应当设计网络安全事件应急预案,定期开展企业内部培训与预警演练。

 

3. 完善网络安全等级与关键信息基础设施保护:

 

要求企业完成网络安全等级保护认证与备案,开展信息网络系统安全保护等级风险评估,同时应结合相关法律法规判断企业是否为关键基础设施运营者,如是应遵守相应的法律责任和义务。

 

4. 建立数据出境合规体系:

 

企业应当建立出境安全评估制度。当涉及数据出境时,企业应对出境数据的情况和目标国家环境进行安全评估,出具出境自评估报告。

 

注释:

[1] 2019年12月30日在北京召开的“App个人信息保护工作研讨会”,具体参见https://www.sohu.com/a/363626474_161795。

[2] 2019年12月30日在北京召开的“App个人信息保护工作研讨会”,具体参见https://www.sohu.com/a/363626474_161795。

[3] 人民公安报,具体请参见https://www.mps.gov.cn/n2254098/n4904352/c7140709/content.html。

[4] 2019年12月30日在北京召开的“App个人信息保护工作研讨会”,具体请参见https://www.sohu.com/a/363626474_161795。

[5] 北京青年报、中国新闻网,具体请参见http://media.people.com.cn/n1/2018/0106/c40606-29748832.html,http://science.china.com.cn/2018-03/14/content_40252422.htm。

[6] 上海检察院官网,具体请参见http://www.shjcy.gov.cn/xwdt/jcdt/58186.jhtml。