涓涓不壅,终为江河——企业数安宜疏不宜堵
涓涓不壅,终为江河——企业数安宜疏不宜堵
导语
一、
企业面临运营合规与投融资风险识别和管控的新挑战
随着《个人信息保护法》的发布以及《数据安全法》于9月1日的正式实施,有关数据安全的话题再次被广泛讨论。结合2017年生效的《网络安全法》,我国对于数据安全保护的基本法律规范框架已经初步形成。
上述三部法律及其配套法规从不同侧面对数据安全进行了规范,其中《网络安全法》主要规定了网络的建设、运营、维护和使用过程中应采取的相关安全保障制度和技术措施,《数据安全法》主要规定了国家数据安全与发展的整体制度并明确了数据处理和保护活动中相关主体应履行的义务,《个人信息保护法》主要规定了个人信息(包含敏感个人信息)收集、存储、使用等过程中应遵守的相关要求以及个人信息主体的权利。虽然三部法律各有侧重,但通过对相关条文的研读,我们不难发现,这三部法律对于网络安全制度建设、风险评估要求、数据跨境提供等重点事项均有相应规范,形成了对数据安全既有区别又相互紧密联系的监管规则体系。
此外,近期部分在美国上市的中国企业被启动网络安全审查,也引发了大家对于网络安全和数据安全相关监管的进一步关注。该等关注不仅限于境内,例如美国证券交易委员会(SEC)主席盖斯勒也发表声明要求赴美上市中概股公司加强信息披露(特别是与网络安全和数据安全相关的内容)。这在一定程度上从执法层面印证了上述监管要求正在逐步落地,也使得投资人愈发关注企业的数据安全合规问题,进而对企业日常运营以及投融资阶段的风险识别和管控都提出了新的、更高的要求。
二、
厘清数据安全基本制度体系,梳理企业合规义务边界
《网络安全法》《数据安全法》及《个人信息保护法》按照数据和网络的重要程度,设置了不同的监管要求。
《网络安全法》规定了国家实行网络安全等级保护制度。结合《信息安全技术 网络安全等级保护实施指南》(GB/T25058-2019)及《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等网络安全等级保护2.0要求(以下简称“等保2.0标准”)的相继落地,等级保护对象(即相关信息系统)按照其重要程度以及一旦遭到破坏后对国家、社会、企业或个人造成危害的程度被划分为了五个等级(第五级为最高),我们建议相关企业和单位按照等保2.0标准妥善完成等级保护对象的定级与备案、总体安全规划、安全设计与实施、安全运行维护等工作。
对于重要领域或一旦遭到破坏可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,《网络安全法》进一步规定,在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。9月1日生效的《关键信息基础设施安全保护条例》(以下简称“《关基保护条例》”)作为《网络安全法》的配套行政法规,明确了相关行业的主管部门、监督管理部门将负责结合行业实际情况制定本行业的关键信息基础设施认定规则,并根据认定规则负责组织认定本行业的关键信息基础设施。
相关行业主管部门在做出关键信息基础设施的认定后,会将结果通知相应运营者,该等运营者应按照《网络安全法》《关基保护条例》等要求,在等保2.0标准的基础上,采取技术和其他必要措施保障关键信息基础设施安全稳定运行,相关措施包括但不限于建立健全网络安全保护制度和责任制、设置专门安全管理机构并保障其经费和人员以及至少每年开展一次网络安全检测和风险评估等。
承袭《网络安全法》的监管思路,《数据安全法》亦首先明确了国家建立数据分类分级保护制度。在该等分类分级保护制度的基础上,国家将建立相关统筹机制并协调相关部门制定重要数据目录,加强对重要数据的保护;对于关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,实行更加严格的管理制度。
虽然《数据安全法》刚刚生效,相关配套法规制度尚不完善,但其规定的“重要数据目录”及“国家核心数据”制度无疑为后续监管指明了方向。一旦企业相关数据被纳入“重要数据目录”或“国家核心数据”,则企业很可能需要在一般数据保护措施的基础上履行额外的数据保护义务。对于业务涉及收集、处理、传输、利用数据等行为的企业而言,如何在合规的边界内充分挖掘和实现数据的商业价值,将成为企业的运营合规重点之一。
《个人信息保护法》则在《网络安全法》和《数据安全法》的基础上,进一步细化了处理个人信息的相关要求,并规定了敏感个人信息处理和个人信息跨境提供的规则。《个人信息保护法》延续和扩展了《网络安全法》有关处理个人信息应遵循的“合法、正当、必要”和明示同意的原则,要求相关企业在处理个人信息过程中遵循合法、正当、必要和诚信原则,并且应取得相应个人充分知情前提下的自愿、明确同意(法律另有规定的情形除外)。
此外,《个人信息保护法》也针对互联网出海企业最为关注的敏感个人信息的处理以及个人信息的跨境提供制定了更为细致和明确的规则,我们将在本文的下一部分中对这两个方面进行相应展开说明。
三、
完善企业数据安全建设,为后续融资/上市或业务拓展打下基础
在当前数据安全的新要求下,我们建议企业对照相关最新法律法规和技术规范的要求,完善自身数据安全建设,对企业的相关系统、制度和产品进行全面梳理,为后续能够顺利获取融资,进行资本运作或业务拓展打下良好的基础。结合《网络安全法》《数据安全法》及《个人信息保护法》的相关要求,企业可以率先从以下几个方面入手对自身数据安全合规进行一次全面梳理和评估:
1. 内部系统与制度完善。企业内部的系统安全和制度保障是实现数据安全合规的基石,《网络安全法》《数据安全法》及《个人信息保护法》均要求企业对相关数据采取相应的技术措施(例如,加密、反病毒、反网络入侵等)保障数据安全,并制定相应内部管理制度、操作规程和安全应急预案。我们也建议企业按照相关法律要求定期开展网络安全事件应急演练,以测试相关技术措施和制度流程的有效性。
2. 敏感个人信息的处理和保护。《个人信息保护法》将敏感个人信息定义为“一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息”,其主要包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。
向个人客户提供商品或服务的互联网和/或高科技企业,在诸多业务场景中均可能涉及到敏感个人信息的处理。《个人信息保护法》要求处理敏感个人信息必须满足“具有特定的目的和充分的必要性”这一前提,而这一点也是企业在评估其相关产品和服务方案时较容易忽视的重要一环。此外,《个人信息保护法》还进一步要求企业就处理敏感个人信息取得个人客户的单独同意,并且还应当向个人客户告知处理敏感个人信息的必要性以及对个人权益的影响。
3. 数据跨境提供。《网络安全法》《数据安全法》和《个人信息保护法》要求企业跨境提供重要数据和/或个人信息前应履行必要的程序。
关键信息基础设施的运营者向境外提供重要数据前,应当按照相关规定进行安全评估;其他数据处理者的重要数据出境安全管理办法,由国家网信部门会同国务院有关部门制定。
个人信息处理者因业务等需要,确需向境外提供个人信息的,应当具备下列条件之一:(1)通过国家网信部门组织的安全评估;(2)按照国家网信部门的规定经专业机构进行个人信息保护认证;(3)按照国家网信部门制定的标准合同与境外接收方订立合同;或者(4)法律、行政法规或者国家网信部门规定的其他条件。关键信息基础设施运营者和处理个人信息达到一定规模的个人信息处理者,向境外提供个人信息前,应当通过国家网信部门组织的安全评估(法律法规和国家网信部门另有规定的除外)。
4. 拟上市企业的合规审查和风险披露。《网络安全审查办法(修订草案征求意见稿)》公布时引发了一场不小的讨论,其不仅拟将网络安全审查扩展适用至“数据处理者”(即涵盖了非关键信息基础设施运营者),其中有关“掌握超过100万用户个人信息的运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的规定也将使申报网络安全审查成为相关中概股企业赴国外上市的前提条件之一。
有关企业香港上市是否能够因香港非属“国外”而豁免网络安全审查、100万用户个人信息具体如何界定,以及在SEC主席要求中概股加强信息披露的大环境下如何能够妥当安排企业融资以及上市进程的问题,成为了各家创业公司,尤其是拟赴海外上市的各家互联网公司和高科技公司,最为关注的话题。
针对上述问题,由于《网络安全审查办法》的修订尚未正式落地,相关监管部门目前也并未给出具体的监管指引。在目前数据安全监管的新趋势下,考虑到相关监管部门有关数据安全的问询已经愈发细致和深入,同时参考部分赴美上市企业被启动网络安全审查的案例,我们建议企业的最佳实践应当是首先对于数据安全的整体监管架构有一个清晰的理解,随后在了解自身业务和数据安全合规现状的基础上,对于本企业所面临的数据安全监管要求及本企业面临的风险敞口和可用的风险缓释措施(包括技术、内控制度及法律安排层面)有一个全面的了解,并根据本企业的实际情况制定出可行的数据安全合规解决方案。
随着企业对相关监管要求和本企业数据安全合规情况理解的不断深入,企业才能够妥善应对来自投资人和监管机构的问询、可能的网络安全审查以及企业上市后的持续披露义务。
四、
加强投资过程中的数据安全尽职调查
除融资外,我们也建议企业在对外投资时(特别是投资互联网企业或高科技企业时),考虑在一般的法律尽职调查基础上,视情况补充进行专门的数据安全相关的尽职调查(无论是从法律层面还是从技术层面),以识别被投企业数据安全相关风险,完善投资风险管控。
就法律层面的数据安全尽职调查而言,其一般应建立在对被投企业业务充分理解的基础上,有针对性地了解被投企业产品、内控制度、信息系统等方面的数据安全合规情况,并且一般应涵盖:
1、企业系统/项目/产品基本情况;
2、数据收集和处理(包括存储、使用、加工、传输、提供等)情况;
3、数据安全技术措施和内控制度;
4、相关资质获取和备案完成情况;以及
5、是否涉及数据出境。
数据安全法律尽职调查可以采用尽职调查问卷、数据保护制度和流程审查、协议文件和资质证照审阅、现场人员(包括高级管理人员、技术人员、内控合规人员)访谈以及系统实际访问等方式。
而针对数据安全尽职调查过程中发现的问题,投资人应在充分理解相关问题所带来的风险的基础上,了解可以采取的相关技术和法律措施以及实施该等措施所需的时间和资金成本,在与被投企业充分沟通的前提下,考虑结合相关专业机构的咨询意见,与被投企业共同寻求解决方案,并综合考量双方可投入的资源和交易时间表,制定出能够满足双方要求的交易方案和步骤。
此外,在投资交易文件的起草阶段,我们建议投资人考虑要求将数据安全尽职调查的相关发现和风险缓释措施、交易条件等写入相关交易文件中,并视情况将部分重要措施或条件作为交割先决条件或交割后承诺,以尽可能控制或减轻被投企业合规风险可能给投资人的利益造成的不利影响。
结语
在新的数据安全要求下,有关数据安全的监管正在逐步加码,企业无疑需要加强对相关法律法规和政策的掌握,不断规范自身业务和企业运营。我们相信当前的数据安全治理是我国数字经济发展夯实基础的重要一步,当市场规范逐步建立后,数据要素的流通必将成为数字经济发展的重要支撑,因此企业在遵守当前数据安全合规要求的同时,应当保持本企业数据对外开放和整合的能力,跟随市场动态不断调整和优化自身业务,实现数据安全风险合理管控基础上的业务可持续发展。