ARTICLES
专业文章
企业网络安全与数据保护合规建设——从合规运营到香港上市(三)
企业网络安全与数据保护合规建设——从合规运营到香港上市(三)
序言
《企业网络安全与数据保护合规建设 ——从合规运营到香港上市(一)》、《企业网络安全与数据保护合规建设 ——从合规运营到香港上市(二)》梳理了我国网络安全与数据保护领域近期主要立法情况,并分析了拟赴港上市企业运营阶段的数据合规要点,本文将重点关注企业赴海外上市阶段的网络安全审查和赴港上市企业在招股书中对于网络和数据安全的相关披露,为读者整理和分析相关网络安全以及数据保护要求,以期为拟赴港上市的相关企业提供有益的参考。
三
企业运营阶段的数据合规要点
2021年7月,中共中央办公厅、国务院办公厅印发了《关于依法从严打击证券违法活动的意见》,提出完善数据安全、跨境数据流动、涉密信息管理等相关法律法规,并抓紧修订关于加强在境外发行证券与上市相关保密和档案管理工作的规定,压实境外上市公司信息安全主体责任。
(一)网络安全审查制度修订情况
网络安全审查所基于的《网络安全审查办法》于2020年6月实施,其最初仅主要适用于关键信息基础设施运营者采购网络产品和服务的情形。滴滴相关网络安全审查公告发布后,网信办于7月10日发布了《网络安全审查办法(修订草案征求意见稿)》,计划对网络安全审查相关制度进行修订。
2021年12月28日,修订后的《网络安全审查办法》(“《网安办法》”)正式发布并于2022年2月15日起施行,其要求掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。
(二)企业赴港上市与网络安全审查
2021年11月发布的《数安条例(意见稿)》除对相关企业赴国外上市需要申报网络安全审查的情形进行了规定,也同时规定了数据处理者赴香港上市,影响或者可能影响国家安全的,需要申报网络安全审查。
与《数安条例(意见稿)》不同,最终公布的《网安办法》仅对赴国外上市企业应申报网络安全审查的情形进行了规定,但未对企业赴香港上市提出相应明确要求。虽然《数安条例(意见稿)》在效力位阶定位上高于《网安办法》,但考虑到《网安办法》和《数安条例(意见稿)》均由国家网信办组织起草并对外征求意见,且《网安办法》发布于《数安条例(意见稿)》征求意见期满之后,不排除未来《网络数据安全管理条例》会参照《网安办法》统一相关要求的可能。
另一方面,虽然在《网安办法》下企业赴港上市不会必然触发其网络安全审查申报义务,相关企业仍需要关注网络安全审查问题。根据《网安办法》,如果企业相关数据处理活动影响或者可能影响国家安全(不限于赴香港或赴国外上市场景),网络安全审查的相关规定即可能适用,且网络安全审查办公室可依职权启动对相应企业的网络安全审查。因此,我们建议有赴香港上市计划的企业,在日常运营和上市过程中要始终注意自身的数据处理活动是否存在影响或者可能影响国家安全的情形,提早评估并完成所需的网络安全审查,避免相关问题给上市进程带来的潜在不确定性。
(三)网络安全审查的流程和时限
根据《网安办法》,网络安全审查的一般流程和时限要求如下:
(1)确定是否需要审查(10个工作日):网络安全审查办公室自收到符合规定的审查申报材料起,10个工作日内确定是否需要审查并书面通知当事人。
(2)初步审查(30+15个工作日):网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起 30 个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长 15 个工作日。
(3)机制单位回复意见(15个工作日):网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起 15 个工作日内书面回复意见;意见不一致的,则进入特别审查程序。
(4)特别审查程序(90个工作日):特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。
基于以上流程和相应审查时限,若网络安全审查办公室确定需要对企业进行网络安全审查,则一般程序可能在企业提交网络安全审查申报材料起3个月左右完成;若进入特别审查程序,则可能需要额外90个工作日以完成全部审查工作。需要特别注意的是,该等审查时限不包含企业按照网络安全审查办公室要求补充材料的时间。
此外,中国证监会于2021年12月24日发布了《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》以及《境内企业境外发行证券和上市备案管理办法(征求意见稿)》(“《备案办法(意见稿)》”),对于境内企业赴境外上市提出了相应的备案要求。根据《备案办法(意见稿)》,企业(发行人)应当在向境外提交首次公开发行上市申请文件后3个工作日内,向中国证监会提交相应备案材料,其中即包括适用网络安全审查情形下,网络安全审查部门出具的相关评估审查意见。
四
赴港上市企业在招股书中对于网络和数据安全的相关披露
由于网络安全和数据保护在赴港上市企业(特别是互联网和科技相关企业)的运营过程中扮演着日益重要的角色,且联交所对相关问题的关注和审查程度也在不断加深,近期赴港上市企业(“申请人”)通常会选择在其招股书中对其网络安全保护措施、数据处理和安全保护等情况以及相应的潜在风险进行披露。我们在本部分对联交所的相关披露要求和近期赴港上市企业(以中国互联网企业和科技企业为例)的相关风险披露情况进行了梳理,以期为计划赴港上市企业在风险披露方面提供参考。
(一)申请人披露情况概览
申请人通常会在其招股书的如下章节就相关网络安全和数据保护情况进行披露:
(1)在“概要”章节中,申请人主要对近期网络安全和数据保护监管趋势以及申请人在记录期内和截至实际可行日的相关合规情况进行披露;
(2)在“风险因素”章节中,申请人通常对其运营过程中存在的重大网络安全和数据保护方面的潜在风险进行披露;
(3)在“监管概览”章节中,申请人通常就其运营中需遵守的重大网络安全和数据保护相关法律法规进行梳理和披露;
(4)在“业务”章节中,申请人主要基于其业务模式和业务运营情况,对其运营过程中所采取的网络安全和数据保护内控措施进行披露。
在上述相关招股书章节的披露中,申请人通常需要在“监管概览”和“风险因素”两个章节中,根据联交所指引信GL86-16的相关要求,对其需要遵守的相关法律法规以及与之相关的风险进行集中披露。
在监管概览章节中,申请人不仅需披露其现时需遵守的重大法律法规,也需就未来预期将对其业务有重大影响的法律法规进行披露。目前我国《网络安全法》《数据安全法》和《个人信息保护法》均已生效,但与该等法律相关的部分配套监管规定仍处于征求意见阶段,例如《数据出境安全评估办法(征求意见稿)》以及《数安条例(意见稿)》。该等已经公开征求意见但尚未生效的重要文件可能构成预期会对申请人业务产生重大影响的法律法规,因此,申请人一般也需要基于该等征求意见稿就近年来的相关监管趋势作出披露,并说明相关未来法律法规可能对申请人造成的潜在影响。
在风险因素披露方面,根据联交所指引信GL86-16,相关风险披露应满足以下要求:(i)申请人应在披露中量化风险可能造成的影响;(ii)披露的风险需是申请人难以纾减及一旦触发会对申请人造成重大影响的事件;以及(iii)披露的风险需根据不同申请人的具体情况量体裁衣。联交所在该指引信中还特别指出,除非有真正的特定原因导致申请人不能确定其是否能够符合相关法律法规,否则申请人将其“可能无法遵守法律规定”列为风险因素进行披露是不恰当的,我们认为该等规定在网络安全和数据保护方面的内涵在于,申请人在披露其可能无法遵守网络安全和数据保护相关法律法规的风险时,应对当前的相关立法情况以及其业务特点进行充分披露,对其“不能确定其能否合规”的特定原因进行说明。
基于上述联交所要求,我们理解申请人需就其所面临的网络安全和数据保护相关风险的具体风险事项、重大程度以及该等风险对申请人和投资人的潜在影响进行评估,以最终确定是否需要在招股书中对相关风险事项进行披露。如需披露,则申请人应结合相关立法以及其自身业务、运营、管理等情况对相关风险的来龙去脉以及其性质进行充分说明,并应量化相关风险的潜在影响。
(二)披露要点和解读
基于对近期申请赴港上市的互联网企业和科技企业所提交的招股书的整体梳理和分析,我们将该等企业与网络安全和数据保护相关的披露划分为惯常披露内容和特殊披露内容两部分。其中,惯常披露内容是指多数申请人在其招股书中披露的具有相对普适性的风险和事项;特殊披露内容是指不同申请人因其所处行业以及所受监管规则的不同,其根据自身行业特点在招股书中进行的量体裁衣式披露。
1、惯常披露要点和解读
多数中国互联网和科技企业在其招股书中就网络安全和数据保护进行了如下惯常披露:
惯常披露要点 | 披露概要和解读 |
因申请人未能遵守现行的网络安全和数据保护相关法律法规而存在被处罚的风险 | 虽然目前《网络安全法》《数据安全法》和《个人信息保护法》已相继生效,但考虑到该等法律施行时间还相对较短,各地区和行业主管部门对于法律适用的理解可能存在差异。 基于上述背景,申请人可能会在其招股书中就相关合规风险进行披露,例如:由于各地以及各行业主管部门对该等法律法规在执行和解释层面可能存在差异和不确定性,申请人若未能在其日常运营中完全遵守现行网络安全和数据保护法律法规及相关监管部门要求,则其存在被监管机构处罚的风险,进而可能对申请人的声誉和品牌造成负面影响。 |
因申请人未能及时调整网络安全和数据保护策略以适应未来监管环境而存在的潜在合规风险 | 随着《网络安全法》《数据安全法》和《个人信息保护法》的相继生效,相关部门目前正就网络安全和数据保护制定新的配套监管规定,例如《数安条例(意见稿)》和《网安办法(修订意见稿)》,且随着立法工作的深入推进,相关配套监管规则可能会逐步增多并趋于细化。 基于上述情况,申请人可能会在其招股书就相关风险进行披露,例如:若申请人未及时关注监管动态,以致其未能在相关监管规则正式实施后及时采取相应的网络安全和数据保护策略以符合新的监管要求的,则申请人可能在未来存在潜在合规风险。 此外,如本部分第(一)点(申请人披露情况概览)所提示,联交所指引信GL86-16明确指出,若申请人计划披露其可能存在无法遵守未来颁布的相关法律法规的风险,则申请人可能需要进一步结合其业务情况充分说明其可能无法遵守未来颁布的相关法律法规的“特定原因”。 |
如申请人同时涉及境外运营,其需相应遵守境外有关司法管辖区的网络安全和数据保护相关法律法规 | 针对在不同司法管辖区存在的网络安全和数据保护合规要求和风险,申请人可能会在如下方面进行惯常披露: * 如申请人计划将其业务从境内延伸至境外(例如拓展海外用户群体),则其同时需遵守境内外的网络安全和数据保护法律法规。针对该等情况,申请人可能会披露:为确保遵守其运营所涉及的各司法管辖区的数据保护规则,申请人预期其合规成本会增加,其中包括配备相应的境外数据合规团队的成本; * 就境外相关法律法规的遵守及展业情况,申请人可能会披露:如其未能及时按照其运营所涉及的各司法管辖区的相关法律法规要求执行网络安全和数据保护措施,其境外业务扩张计划可能因此受阻; * 申请人可能亦会披露违反境外网络安全和数据保护法律法规的相关法律后果,例如:涉及在欧盟运营的申请人可能会披露,若其违反欧盟目前施行的《通用数据保护条例》(“GDPR”),则可能导致申请人面临高额罚款。 |
网络安全和数据保护内控措施及外部风险披露 | 内控制度及技术措施的惯常披露 申请人可能会在招股书中披露其在整个数据生命周期所采取的相关内控措施,包括从数据收集、使用、存储、传输直至销毁等各个环节的数据合规情况。 具体而言,申请人在招股书中披露的数据保护内控措施主要包括数据分类、访问限制、数据备份、恢复、加密及脱敏,以及申请人在防止个人信息泄露、不当使用、损坏、丢失及被盗用等方面所采取的内控措施。 除上述数据保护内控措施外,申请人可能也会在其招股书中披露其存储和处理数据所使用的信息网络系统、该等系统所采用的信息技术标准以及该等系统是否采取了软硬件层面的安全措施以防止第三方网络攻击和系统安全漏洞等内容。 对于外部风险的惯常披露 鉴于部分申请人在其开展业务过程中会收集、使用并存储大量用户、业务伙伴及雇员的数据和个人信息,尽管该等申请人采取了一系列内控措施以保障数据安全,但申请人仍可能面临超出其合理控制范围的外部风险。 例如,部分申请人在其招股书中披露,如申请人采取的数据保护措施无法始终有效地避免数据被未经授权地使用或访问,则可能构成申请人对数据安全相关法律法规或其与用户相关服务协议的违反,进而招致监管机构的处罚和/或用户诉讼。 针对第三方网络攻击及由于第三方提供的信息网络基础设施出现故障而引起的风险,申请人可能会进一步作出如下披露:如申请人的信息网络系统和软件产品遭到第三方恶意攻击(例如入侵用户账户盗取信息)或第三方提供的信息网络基础设施出现故障,上述事件可能导致申请人的服务或系统中断、延迟或关停,并可能造成申请人的数据丢失或泄露。 |
申请人与第三方合作情况及相关风险披露 | 如申请人与第三方存在数据和网络资源方面的合作(例如申请人委托第三方数据中心托管及管理服务器资源、向第三方采购云服务、或向第三方数据供应商采购数据等行为),申请人可能会披露其与该等第三方合作伙伴签订的合作协议主要条款。 尽管申请人与上述第三方合作伙伴签订的合作协议中可能包括网络安全和数据保护相关条款,但申请人可能仍然无法完全确保第三方合作伙伴依照协议约定履行相关网络安全和数据保护义务。针对与第三方合作给申请人带来的网络安全和数据保护方面的潜在风险,申请人在招股书中的惯常披露主要包括: * 如第三方云服务商未经授权访问申请人的用户数据或处理该等数据,上述行为可能会对申请人在业内的声誉及用户满意度造成不利影响,进而影响申请人的业务表现,并且可能导致申请人因此面临潜在数据合规风险。 * 如第三方数据供应商向申请人提供的数据在收集过程中存在瑕疵或者缺陷(例如未取得个人信息主体的适当同意即收集的相关个人信息),申请人可能会因使用该等瑕疵数据而面临潜在数据合规风险。 |
2、特殊披露的要点和解读
除上文所述惯常披露外,我们在下文中分别对SaaS企业、互联网医疗企业、人工智能企业和C端APP运营企业在其招股书中进行的与其所处行业相关的网络安全和数据保护特殊披露进行了梳理和分析。
由于特殊披露的内容与相关企业所从事的实际业务和运营情况密切相关,下表所列示的特殊披露仅体现了我们调研范围内部分行业的申请人招股书披露情况。实践中,拟赴港上市企业在评估特殊披露范围时,应结合联交所要求及其自身具体业务模式和运营情况,以作具体分析。
特殊披露要点 | 披露概要和解读 |
1、SaaS企业 | |
处理的数据类型 | 为满足客户的不同需求,SaaS企业收集、存储和传输的数据类型多种多样,其中个人信息可能包括客户的C端用户个人信息(如姓名、身份证号码、信用卡/借记卡号码、交易历史记录及付款记录等);客户企业信息主要包括邮件、文字/语音信息、电子文档等。 |
数据处理场景 | 一般而言,虽然SaaS企业处理的数据类型和场景多种多样(例如为客户提供云端营销解决方案以及云端数据处理和存储服务),但其通常仅受其客户委托按照客户要求处理相关数据,而不为自身目的处理相关客户数据。 |
数据保护措施相关披露 | 客户数据的访问权限限制 根据部分SaaS企业在其招股书中的披露,为保护客户数据,SaaS企业的客户对于收集、存储、处理、导出、披露和删除存储在SaaS企业云平台的数据享有全部管理权限;除非经客户授权进行常规系统维护、数据分析或技术支持,SaaS企业不享有访问、使用或披露客户存储在SaaS企业云平台的数据的权限。 另外,由于部分SaaS企业申请人可能会向第三方采购云存储空间,该等情况下相关申请人一般会在招股书中进一步披露说明:未经客户授权,该等第三方云服务供应商无权访问、使用或披露客户存储在第三方云端的数据,客户对该等数据仍然享有全权管理权限。 |
境内外数据隔离存储 计划开展境外业务的SaaS企业通常在其招股书中披露:为符合相关境内外数据保护法律法规的要求,其境内外业务相关数据会分别在境内外分开存储,即境外产生的业务相关数据被存储在位于境外的服务器中,而境内产生的业务相关数据则被存储在位于境内的服务器中,并且该等SaaS企业一般会避免在其境内外平台之间进行数据传输。 | |
2、互联网医疗企业 | |
处理的数据范围 | 在互联网医疗企业收集和处理的数据中,患者个人信息通常受到监管部门和联交所的重点关注,该等患者个人信息主要包括患者的姓名、年龄、性别、地址、电话、身份证号码、社保号、医学影像、健康档案、检验报告、交易数据和银行账户信息等。 |
数据处理场景 | 互联网医疗企业的典型数据处理场景主要包括在线分诊、问诊以及开具电子处方。 分诊:初诊患者注册登录互联网医疗企业的在线医疗服务平台,患者通过平台上传其个人信息和病情资料,由平台根据患者具体情况将其分流入对应的专科诊室。 问诊和开具电子处方:通过患者提供的信息和资料,医生在线对患者进行诊断并依诊断结果开具电子处方。 除上述诊断相关服务外,部分互联网医疗企业还利用其信息技术优势,为线下医疗机构搭建线上服务平台,包括为线下医疗机构搭建线上预约平台以及诊疗报告在线查看平台等。在该等场景下,相关互联网医疗企业所提供的服务可能为传统技术服务(即不包括云端相关服务)或云端SaaS服务。在传统技术服务场景中,互联网医疗企业一般不接触线下医疗机构的患者个人信息,其仅为医疗机构提供相关软硬件解决方案和技术服务,由医疗机构自行采购和管理相关服务器。 |
数据保护措施相关披露 | 医疗数据加密和脱密 根据互联网医疗企业在招股书中的披露,互联网医疗企业需要根据《个人信息保护法》、《个人信息安全规范》及其内部政策要求进行相应的医疗数据加密和脱敏处理。 |
医疗数据泄露事件应对 根据互联网医疗企业在招股书中的披露,如发生患者信息和医疗数据泄露事件,互联网医疗企业须及时向卫生健康主管部门报告,并立即采取补救措施。 | |
处理医院产生的数据 互联网医疗企业在其招股书中披露,在其为线下医院提供传统技术服务的场景中,互联网医疗企业事实上不存在处理或存储医院内产生的数据(例如患者在医院就诊的病历)的行为,其仅为医院提供管理和存储医院内部数据的技术。 | |
3、人工智能企业 | |
处理的数据范围 | 人工智能企业根据其业务和人工智能模型训练需求,可能会收集多种多样的数据,其中可能包括:面部识别数据和现实场景的图像及视频等。 |
数据处理场景 | 人工智能企业可能会在其进行数据训练的平台(“数据训练平台”)中对其收集的数据进行数据训练,并基于数据训练成果为客户提供定制化功能的AI软件,使得客户能够运用AI技术自动高效地处理海量数据。 例如,人工智能企业在利用交通信息数据完成其人工智能模型训练后,基于该等模型的人工智能软件能够自动捕获交通数据(例如实时路况图片)并识别交通拥堵,对交通异常情况进行实时诊断,从而智能控制交通信号灯以协助管理道路车流量。 |
数据保护措施相关披露 | 人工智能企业在其招股书中主要相关披露包括: * 数据训练平台的相关披露,例如部分申请人披露其数据训练平台采用了严格的信息安全及数据隐私保障措施,包括系统性的访问控制、数据加密和数据自动脱敏技术(例如自动识别并脱敏面部、车牌和个人身份信息的技术)。此外,部分申请人内控措施要求其仅有权在有数据保护监控措施的云服务器上处理该等客户数据,不得将有关数据下载至申请人内部数据平台,以使客户能够监控相关处理过程。 * 使用客户数据情况的相关披露,例如部分申请人披露就客户向其提供的数据(如物业管理公司提供的小区监控录像),其仅有权在客户的监督下且仅为训练升级客户系统中的AI技术之目的而使用该等数据。 |
4、C端APP运营企业 | |
处理的数据范围 | 用户在C端APP运营企业(“C端企业”)网络平台上进行账号注册时,C端企业可能会收集用户的姓名、电子邮件、手机号、年龄和性别等信息。 对于已注册用户,C端企业可能会收集用户过往浏览和操作行为,如点赞、分享、评论、发帖、关注、登录设备信息、付费购买行为等。 |
数据处理场景 | 根据部分C端企业在其招股书中的披露,其可能会收集用户个人信息,并将用户个人信息用于用户注册、实名认证等功能,C端企业亦可能使用人工智能算法对用户在C端APP上产生的账户信息、浏览和操作行为等数据进行自动智能计算分析,以在C端APP内向用户推送个性化内容,增加用户粘性。 |
数据保护措施相关披露 | 用户个人信息保护机制 根据部分C端企业的招股书披露,其在用户个人信息保护上采取的内控措施主要包括制定内部安全管理制度和操作规程、明确信息安全负责人及相关责任、实时监测网络运行安全状态、对用户个人信息可能发生的安全事件采取及时的补救措施和向主管监管部门报告等。 实名认证 根据《移动互联网应用程序信息服务管理规定》的要求(“《管理规定》”),向用户提供信息服务的C端企业需要对其注册用户进行实名认证,该等C端企业通常也会在其招股书中披露其采用的实名认证系统和相关个人实名信息保护情况。 |
平台内容审核相关要求 | 如果C端企业向用户提供相关信息服务(例如允许用户在其APP内发布评论),根据《管理规定》的相关要求,C端企业应对用户在其平台内发布的内容进行监督。 针对上述要求,部分C端企业在招股书中披露其已建立实时内容审核系统以监测APP内的违法内容,并聘请专门的内容审核团队对APP上的文本、图片及视频进行人工监测审核。相应地,该等企业进一步披露,如其内容审核机制存在漏洞,或者未能及时处理APP上的违法内容,则其存在面临罚款、相关功能被停用或APP被下架整改的潜在风险。 |
结语
随着《网络安全法》《数据安全法》以及《个人信息保护法》的相继生效,企业无论是在日常运营还是申请IPO过程中,都面临着不断加深和趋严的监管态势,企业合规压力明显增加。但另一方面,部分配套制度和实施细则还在逐步制定的过程中,相关监管要求在一定程度上仍具有不确定性。在这样的大环境下,我们建议企业持续关注相关监管动态,不断完善企业内部合规敏捷治理结构,并通过日常合规建设与上市合规梳理相结合,为最终成功上市扫清障碍。
点击阅读
