数据泄露、信息暴露成为信息年代不可避免的问题,数据信息在数字经济领域具有举足轻重的作用。我国近年来逐步颁布并实施相关法律法规、部门规章,包括《数据安全法》《个人信息保护法》《网络安全法》等,逐渐建立完善相关法律框架体系。
本文通过梳理近期数家已上市或正在上市过程中的企业实际案例,以法律法规入手,结合相关行业分析,论证问询实例涉及数据合规制度建设、数据收集使用与储存等方面,总结针对上市公司在数据合规方面的问询侧重点,并尝试提出合规性建议。
一、是否符合相关法律法规
(一)问询问题实例
合法合规是企业的内核,针对拟上市公司的数据合规,监管机关的问询问题如“是否符合某几部法律的规定”的问询范围较大,审查主要根据《数据安全法》《个人信息保护法》《网络安全法》《网络安全审查办法》等法律法规进行审查;针对特殊行业或领域的公司,亦需注意主管部门制定的特殊规定,如关键信息基础运营者需关注《关键信息基础设施安全保护条例》,电信/互联网行业需关注《电信和互联网用户个人信息保护规定》等。
(二)法律法规举例
二、数据合规的制度建设
内部控制是保证企业稳健经营的基础,数据管理的相关内控合规建设毫无例外地成为监管部门问询的要点之一。
(一)问询问题实例
企业在业务开展过程中,是否已建立完善从数据获取到存储这一完整路径的数据合规制度,是监管部门问询的首要内容,再据此引申出未完善制度是否曾经导致不良后果,或对潜在风险的预估,并需公司对相关风险提出解决机制。当然,针对涉及数据较多的行业跟领域,监管问询时更细化。
三、数据的收集、使用与储存
(一)数据的收集
数据来源是数据合规的源头,根据《数据安全法》第三十二条,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”
数据的来源一般分为自行收集与第三方提供,第三方提供又包括客户提供、供应商采购等。第三方提供数据并不能免除公司对数据来源的审查义务,反而会接受更多的问询,从第三方提供数据的比例、第三方是否拥有相关资质、数据来源途径、第三方获取及销售数据是否有充分授权等,进而延申到该类数据的收集是否存在合规性风险。自行收集涉及的问询问题会相对简单,主要是数据的来源权属及是否合规。
(二)数据的使用
有数据收集的公司,必然存在数据的使用,根据《个人信息保护法》第七条,信息处理者应当公开个人信息处理规则,明示处理的目的、方式和范围,因此使用数据是否经过用户同意是最常见的问询问题。同时,针对目前个人信息泄露的普遍现象,是否会超出用户授权使用信息、是否销售数据信息、是否存在信息泄露的风险也成为监管部门问询的重点。
(三)数据的储存
作为掌握重要数据的公司,依据《网络安全法》《数据安全法》等,发行人需论证处理数据的合规性,如在业务开展过程中是否储存数据、是否妥善保管数据均是较为重要的问询问题,发行人需确保采取有效措施防止涉密信息和个人信息泄露、确保数据安全,包括在技术上进行加密、制定完善相关制度、对相关员工进行培训并与签订保密协议等,全方位多维度维护数据的安全、提高数据安全的合规性。
四、关键信息基础运营者的数据合规
作为从事公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等特殊行业和领域的公司,由于其所掌握数据信息对国家安全的特殊性和重要性,对数据安全往往有更高的保护义务,在上市过程中,证监会、交易所对此类发行人的数据合规问询问题会更加重视。
(一)什么是“关键信息基础运营者”?
根据《关键信息基础设施安全保护条例》第二条及第十条,关键信息基础设施,是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等;涉及的重要行业和领域的主管部门、监督管理部门是负责根据认定规则负责组织认定本行业、本领域的关键信息基础设施,及时将认定结果通知运营者。
(二)关键信息基础运营者在上市中关于数据合规方面的问询重点
2.1安全审查
根据《网络安全法》第三十五条,“关键信息基础设施的运营者采购网络产品和服务,可能影响国家安全的,应当通过国家网信部门会同国务院有关部门组织的国家安全审查。”《数据安全法》第二十四条,“国家建立数据安全审查制度,对影响或者可能影响国家安全的数据处理活动进行国家安全审查。依法作出的安全审查决定为最终决定。”及《网络安全审查办法(2021)》第二条,“关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。”
故发行人是否需配合进行网络安全审查是不可避免的问题。同时也会进一步被问到过往配合安全审查的情况。因此,若发行人从事相关特殊行业或领域,或被相关负责关键信息基础设施安全保护工作的部门通知认定为关键信息基础设施运营者、为前述运营者提供产品或服务,需结合相关通知或要求积极配合进行相关网络安全审查。
2.2数据来源
数据来源是数据合规的源头,根据《数据安全法》第第三十二条,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。”
关键信息基础运营者的数据来源较为特殊,以政府部门提供数据见多,因此发行人产品是否获取相关数据、获取方式是否合法合规也是需要注意的问题之一。关键信息基础运营者需注意相关信息是否涉及国家秘密、授权主体是否适格、授权范围是否明确等,相比与普通的信息运营者具有更高的注意义务,也是论证数据合规的重点。
2.3数据储存及使用
根据《数据安全法》第四十条,“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。”关键信息基础运营者作为可能掌控更机密数据的主体,在数据的储存及使用相关问询上并未有特别之处。
从前述分析可以看到,企业在上市过程中,不仅仅包括互联网、信息或者网络安全相关领域的行业,涉及数据合规的问询还包括其他行业。其次,监管针对数据合规的问询深度广度不断加深,回复相关问题的时候,有赖于结合企业的经营实质,辅佐中介结构的核查意见,包括引进除券商、律师事务所、会计师事务所之外的第三方技术支持机构,以论证合法合规运营。
随着各方对数据合规重视程度愈来愈高,国家对相关法律制度体系的建设愈加完善,企业应当积极采取措施,尽早建立并完善相关合规制度,积极配合相关部门或客户进行合规审查,突出数据合规在公司建设中的重要地位,确保数据的安全性和合规性可以满足监管要求。
参考资料:
特别声明:
大成律师事务所严格遵守对客户的信息保护义务,本篇所涉客户项目内容均取自公开信息或取得客户同意。全文内容、观点仅供参考,不代表大成律师事务所任何立场,亦不应当被视为出具任何形式的法律意见或建议。如需转载或引用该文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源。未经授权,不得转载或使用该等文章中的任何内容。