企业网络安全与数据保护合规建设 ——从合规运营到香港上市(一)
企业网络安全与数据保护合规建设 ——从合规运营到香港上市(一)
随着《网络数据安全管理条例(征求意见稿)》以及修订后的《网络安全审查办法》相继发布,有关赴国外以及赴香港上市网络安全审查和数据合规的话题近期持续被广泛讨论。
一方面,在 IPO 场景下,中国、美国及香港证券业监管机构和交易所,对于企业上市过程中涉及的企业网络安全和数据保护方面的披露要求和核查深度正在逐步增加;另一方面,由《网络安全法》《数据安全法》以及《个人信息保护法》构成的我国网络安全与数据保护新监管框架,对企业网络安全、数据安全、个人信息处理和保护以及相关数据跨境传输等均提出了新的、更高的要求。
本系列文章在梳理我国网络安全与数据保护领域近期主要立法情况的基础上,将以拟赴港上市企业日常运营、网络安全审查以及上市申请三个阶段为线索,为读者整理和分析相关网络安全以及数据保护要求,以期为拟赴港上市的相关企业提供有益的参考。
一、我国网络安全与数据保护领域主要立法情况概览
2021 年内《数据安全法》和《个人信息保护法》相继生效,结合 2017 年生效的《网络安全法》,我国关于网络安全和数据保护的基本法律规范体系已经形成。
这三部法律从不同侧面对网络安全和数据保护进行了规范,其中《网络安全法》主要从网络空间整体安全保护的维度,对网络运行安全、网络信息安全及国家网络安全监测预警和信息通报制度等方面提出了相应规范要求;《数据安全法》主要规定了国家数据安全与发展的整体制度并明确了数据处理和保护活动中相关主体应履行的义务;《个人信息保护法》则主要规定了个人信息(包含敏感个人信息)收集、存储、使用等过程中相关方应遵守的合规要求以及个人信息主体的权利。虽然三部法律各有侧重,但通过对相关条文的研读,我们不难发现,这三部法律对于相关安全制度建设、风险评估要求、个人信息保护、数据跨境提供等重点事项均有相应规范,形成了对网络/数据安全保护既有区别又相互紧密联系的监管规则体系。
(一)网络安全相关要求
《国家安全法》第二十五条确立了“维护国家网络空间主权、安全和发展利益”总体要求,《网络安全法》作为维护国家网络空间主权和网络空间安全的专门基础性法律之一,其在第一条亦即明确了“为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,……,制定本法”,并从网络运行安全、网络信息安全及相关网络安全风险事件应急处置机制等方面进一步细化和落实了《国家安全法》有关维护国家网络空间主权、安全和发展利益的要求。
在网络运行安全方面,《网络安全法》首先明确了国家实行网络安全等级保护制度,并设专节对于关键信息基础设施提出了更严格的保护要求。结合《信息安全技术 网络安全等级保护实施指南》(GB/T25058-2019)及《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)等网络安全等级保护2.0要求(“等保2.0标准”)的相继落地,以及《关键信息基础设施安全保护条例》(“《关基保护条例》”)的生效,我国对于相关信息系统安全保护要求的整体监管框架已经初步形成。
在网络信息安全方面,《网络安全法》作为我国第一部网络空间方面的综合性法律,其对网络运营者收集、使用个人信息提出了“合法、正当、必要”的基础原则,并建立了“告知-同意”、公开透明、个人信息安全等规则,为《个人信息保护法》实施前相关监管规则的制定和网络运营者处理个人信息提供了基础,并为《个人信息保护法》的制定提供了有益的立法和实践参考。此外,《网络安全法》也就网络空间内信息的发布、传播和管理等对网络服务使用者及网络运营者提出了相关使用和监督管理要求,为国家相关监管部门依法执法提供了法律基础和依据。
(二)数据安全相关要求
承袭《网络安全法》的监管思路,《数据安全法》亦首先明确了国家建立数据分类分级保护制度。在该等分类分级保护制度的基础上,国家将建立相关统筹机制并协调相关部门制定重要数据目录,加强对重要数据的保护;对于关系国家安全、国民经济命脉、重要民生、重大公共利益等的国家核心数据,实行更加严格的管理制度。
11月14日颁布的《网络数据安全管理条例(征求意见稿)》(“《数安条例(意见稿)》”),也重申了国家对个人信息和重要数据进行重点保护,并设专章对于重要数据安全予以规定,其中包括要求重要数据处理者就其所识别的重要数据向网信部门备案、向他人提供重要数据应征得相关主管部门或网信部门同意、应每年开展一次数据安全评估并向网信部门报告等。
就具体核心数据和重要数据的识别,各地区、各部门将按照国家有关要求和标准,组织识别相关重要数据和核心数据、制定相关重要数据和核心数据目录,并报国家网信部门。目前已有《基础电信企业重要数据识别指南》正式实施,国家标准《信息安全技术 重要数据识别指南》以及其他各行业的重要数据识别标准正在陆续制定中。
(三)个人信息保护相关要求
《个人信息保护法》在《网络安全法》和《数据安全法》的基础上,进一步细化了处理个人信息的相关要求,并规定了敏感个人信息处理和个人信息跨境提供的规则,同时详细规定了个人信息主体的相关权利。
《个人信息保护法》延续和扩展了《网络安全法》有关处理个人信息应遵循的“合法、正当、必要”的原则,要求相关企业在处理个人信息过程中遵循合法、正当、必要和诚信原则,并且应取得相应个人充分知情前提下的自愿、明确同意(法律另有规定的情形除外)。此外,《个人信息保护法》还特别对于处理相关个人信息提出了两个“评估”的要求,即个人信息出境安全评估和个人信息保护影响评估。
对于个人信息出境安全评估,《个人信息保护法》第四十条要求,关键信息基础设施运营者和处理个人信息达到网信部门规定数量的个人信息处理者向境外提供个人信息的,应当通过网信部门组织的安全评估,但法律、行政法规和网信部门规定可以不进行安全评估的情况除外。同时,《个人信息保护法》第三十八条也将该等安全评估作为了数据处理者向境外提供个人信息的前提条件之一[1]。
对于个人信息保护影响评估,《个人信息保护法》第五十五条要求个人信息处理者处理敏感个人信息、利用个人信息进行自动化决策、向他人提供或公开个人信息或向境外提供个人信息的,应当事前进行个人信息保护影响评估,并对处理情况进行记录。
(四)人工智能和算法合规相关要求
人工智能(Artificial Intelligence,“AI”)技术依托于新时代数字经济和算法科技的发展,是以此为基础对人类智能的模拟乃至超越,其已经成为新一轮科技革命和产业变革的核心驱动力,正在对全球经济发展、社会进步和人民生活产生极其深刻的影响。中国、欧盟和美国等全球主要经济体均高度重视AI产业的发展,将促进AI发展作为一项重要国家/地区战略。
与此同时,AI产业的快速发展也给相关监管机构和企业带来了数据安全、个人信息保护和社会伦理等方面的挑战,有关人工智能和算法合规方面的监管要求也在随着AI产业的发展而不断完善。
在基础立法层面,我国《数据安全法》要求开展数据处理活动以及研究开发数据新技术应当有利于促进经济社会发展,增进人民福祉,符合社会公德和伦理;《个人信息保护法》也规定了国家网信部门统筹协调有关部门针对人工智能等新技术、新应用,制定专门个人信息保护规则、标准。
在AI社会伦理和算法推荐服务监管细则方面,网信办等九部委于2021年9月底联合发布了《关于加强互联网信息服务算法综合治理的指导意见》,明确要求企业应建立算法安全责任制度和科技伦理审查制度,健全算法安全管理组织机构,加强风险防控和隐患排查治理,同时要求企业树立算法正确导向,规范算法应用行为,秉持公平、公正原则,促进算法公开透明。《互联网信息服务算法推荐管理规定》也要求算法推荐服务者应当加强用户模型和用户标签管理,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。
[注]
下篇预告