涉數據公司業務合規及數據類公司上市合規監管與分析(二)
作者:詹磊 董凱華 沈慧力 李東陽 2022-05-05結合我們整理的數據合規上市問詢反饋的相關內容以及《涉數據公司業務合規及數據類公司上市合規監管與分析(一)》,我們繼續如下分析和探討:
三、關于防范數據風險的內控制度及其合規性 (一)關于防范數據風險內控制度的合規性分析及總結 建立健全企業的內控制度是防范數據安全風險最為有效的做法之一,也是《數據安全法》第二十七條規定的具體舉措之一。如果企業涉及處理個人信息的,《個人信息保護法》第五十一條也作出了明確的規定,企業應當積極履行法定義務。我們曾在多個投資并購項目中看到相類似情況:涉及需處理用戶個人信息的企業,雖明知法律法規有著明確的要求,但遲遲不采取行動開展內控制度的建設,在業務中對于數據處理的具體操作方式缺乏必要的統一規范,往往采取個別管理、階段性收緊或一刀切等方式,這樣的企業在面對收購方、投資方就企業業務數據合規的盡職調查時,往往會因為內控制度執行頻繁變化、沒有內控制度或內控制度未能完全執行,成為整體交易中受到關注的法律風險,影響投資或并購的進程,企業往往需要就規范數據制度和執行數據安全管理等進行整改或作出嚴格的承諾后,交易才可能繼續推進。因而不僅沒能節省必要的工作量,還可能因為短期目標達成的壓力,造成企業自身業務步驟的混亂或導致交易、投資無法如期或切實達成。 近年來,越來越多的互聯網大數據企業通過取得信息安全管理體系認證證書等方式,向監管部門展示自身數據保護所做出的努力,顯然這是一種行之有效的方法。但我們在法律服務業務中同樣發現,不少企業雖然聘請專業機構制作了一系列的內控管理制度,但卻在實際執行過程中與內控制度嚴重脫節。我們也了解到,造成這種局面的原因是多方面的,如企業為追求效率、為應付監管部門審批備案要求、為應對監管部門已經發現或提出的問詢、風險點等,這些都是企業為追求短期收益的臨時補救措施,其并未把數據安全作為企業穩健合規、長期安全的層面來對待。需要重點提示的是,有關數據安全的內控制度,完全可以通過技術手段進行審計或分析。發生問題后,制度是否實際執行到位將與最終是否認定違法違規的后果緊密聯系。另外,從上市問詢問題的角度,我們也能側面了解到目前對數據安全執行中就制度是否有效執行的關注,僅有制度文件但缺少落實制度的底層依據將難以應對上市問詢,同樣也無法應對監管機構的監督管理。 (二)關于防范數據風險內控制度合規性的問詢及規范思路(列舉) 四、關于防范數據泄露 (一)關于防范數據泄露及補救措施有效性的分析總結 近年來,知名企業發生數據泄露的報道屢見不鮮,我們也曾多次協助客戶處置應對數據泄露事件。事實上,數據泄露事件會以多種形式發生,并會因企業泄露數據規模不同而造成不同程度的影響。可以這樣講,企業開展數據合規及數據安全工作的重要目的之一,就是為了避免發生數據泄露等數據安全事件。雖然許多企業非常關注數據安全,也制定了極為嚴格的管理制度,并不斷提升數據安全管理的水平,卻依然無法絕對的避免數據泄露事件的發生。但是,相較于忽視數據安全、合規意識不強的企業來說,積極作為的企業發生數據泄露的風險將遠低于前者。 以上市反饋問詢環節的問題作為參考,我們發現,即使企業申請上市的申請文件中已經作出了對數據安全保護的披露內容,數據泄露問題仍是大數據企業上市中的必問題和必答題。企業如在發展過程中發生過數據泄露事件且認定為企業(或主要負責人)責任的,將會增加在融資、上市路途中的難度,企業甚至可能會因此失去幾年內沖擊上市的可能性,錯失重要的發展時機。 因此,企業除了應當做好數據泄露事件事前防范、制定數據泄露安全事件應急預案,更需要在日常的經營中及時依法依規的做好數據泄露的基礎事實認定和合同風險保障。同時,數據泄露事件一旦發生,應當第一時間積極履行補救義務,盡可能將損失及危害降至最低。隨后,應當對數據安全管理中存在的漏洞積極整改,將數據安全工作作為一項重要的議事日程常抓不懈。需要提示的是,企業在完成上述工作的同時還應及時造冊、留檔,做好數據安全事件處置日志的留存及備份,以備接受監管部門對數據安全及數據泄露責任認定的監管和調查,避免出現數據安全責任邊界無法劃分,責任難以認定的情形。 (二)關于防范數據泄露及合規性的問詢及規范思路(列舉) 五、關于數據侵權及數據造假 (一)關于數據侵權及數據造假合規性問題的分析總結 關于數據侵權,交易所問詢主要關注侵犯個人隱私、不實數據影響數據產品質量、自身或外購數據侵害用戶權益、侵犯第三方商業秘密或個人信息等問題。其中,如產品應用中曾存在侵犯用戶個人隱私的,將可能直接導致企業上市被否或無法申報,這同樣也是近年來工信部、市場監管總局、國家網信辦和公安部四大部門重點監管的范圍。此外,針對不實數據,也就是數據造假,亦需要引起足夠的重視。我們曾在某并購項目的盡職調查中關注到被收購方企業為獲取豐厚的廣告流量收益,向廣告主提供帶有一定“水分”的用戶瀏覽量和點擊量數據,我們在對擬投資人反饋盡職調查結果時對上述情況做出了重點的風險提示,并結合不實數據的影響進行合規及法律風險的分析,提示委托方可能面臨的法律合規風險等。我們同樣了解到,這樣的“數據優化”做法在業內并不少見,這與國家對于互聯網大數據企業的監管政策是背道而馳的,數據企業更加應當避免這樣的違規行為。 我們注意到,近期工信部提出將對移動互聯網服務涉及的諸多環節進行全鏈條、全覆蓋監管,主要實現三個“全覆蓋”——對手機、平板各類終端全覆蓋;對應用商店、第三方軟件開發工具包、預置預裝等關鍵的責任鏈環節全覆蓋;對APP技術檢測全覆蓋,讓用戶權益得到全方位保護。但是,仍有大量互聯網大數據企業不斷登上“通報”名單,這其中不乏一些已上市企業。可見,在巨大的商業利益面前,企業的數據合規治理工作依然任重而道遠。 (二)關于數據侵權及數據造假合規性問題的問詢及規范思路(列舉) 綜上,企業開展的數據合規體系建設,必將會對企業業務模式和規范行為模式發生深遠改變。與此同時,在諸多合規行為中,由于企業數據合規方面的業務模式具有多樣性,各企業對數據類型的使用,數據價值的發掘以及保護的程度都有所不同,因此應采取的數據合規方式、手段及程度也會有所差別,數據合規不能簡單的就某一典型案例或同行業可比公司的合規方式進行直接的模仿或套用,還是要根據企業自身情況及特點制定與企業相匹配的合規方案。 另外,在此就數據合規在不同階段所涉及的刑事風險問題進行簡單提示:非法收集數據可能涉及非法獲取計算機信息系統數據罪、侵犯公民個人信息罪、破壞計算機信息系統罪等罪名;數據存儲未履行管理義務,可能涉及拒不履行信息網絡安全管理義務罪;數據的不當使用和流轉,則可能涉嫌侵犯商業秘密罪、侵犯著作權罪、侵犯公民個人信息罪、走私人類遺傳資源材料罪等罪名。 限于篇幅,就數據安全法律法規及對企業業務模式影響等合規性分析,以及數據合規涉及的刑事責任風險等內容,我們近期將在此后的文章中分解和詳述。
