?

隨著《個(gè)人信息保護(hù)法》的發(fā)布以及《數(shù)據(jù)安全法》于9月1日的正式實(shí)施，有關(guān)數(shù)據(jù)安全的話題再次被廣泛討論。結(jié)合2017年生效的《網(wǎng)絡(luò)安全法》，我國(guó)對(duì)于數(shù)據(jù)安全保護(hù)的基本法律規(guī)范框架已經(jīng)初步形成。

?

上述三部法律及其配套法規(guī)從不同側(cè)面對(duì)數(shù)據(jù)安全進(jìn)行了規(guī)范，其中《網(wǎng)絡(luò)安全法》主要規(guī)定了網(wǎng)絡(luò)的建設(shè)、運(yùn)營(yíng)、維護(hù)和使用過(guò)程中應(yīng)采取的相關(guān)安全保障制度和技術(shù)措施，《數(shù)據(jù)安全法》主要規(guī)定了國(guó)家數(shù)據(jù)安全與發(fā)展的整體制度并明確了數(shù)據(jù)處理和保護(hù)活動(dòng)中相關(guān)主體應(yīng)履行的義務(wù)，《個(gè)人信息保護(hù)法》主要規(guī)定了個(gè)人信息（包含敏感個(gè)人信息）收集、存儲(chǔ)、使用等過(guò)程中應(yīng)遵守的相關(guān)要求以及個(gè)人信息主體的權(quán)利。雖然三部法律各有側(cè)重，但通過(guò)對(duì)相關(guān)條文的研讀，我們不難發(fā)現(xiàn)，這三部法律對(duì)于網(wǎng)絡(luò)安全制度建設(shè)、風(fēng)險(xiǎn)評(píng)估要求、數(shù)據(jù)跨境提供等重點(diǎn)事項(xiàng)均有相應(yīng)規(guī)范，形成了對(duì)數(shù)據(jù)安全既有區(qū)別又相互緊密聯(lián)系的監(jiān)管規(guī)則體系。

?

此外，近期部分在美國(guó)上市的中國(guó)企業(yè)被啟動(dòng)網(wǎng)絡(luò)安全審查，也引發(fā)了大家對(duì)于網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)監(jiān)管的進(jìn)一步關(guān)注。該等關(guān)注不僅限于境內(nèi)，例如美國(guó)證券交易委員會(huì)（SEC）主席蓋斯勒也發(fā)表聲明要求赴美上市中概股公司加強(qiáng)信息披露（特別是與網(wǎng)絡(luò)安全和數(shù)據(jù)安全相關(guān)的內(nèi)容）。這在一定程度上從執(zhí)法層面印證了上述監(jiān)管要求正在逐步落地，也使得投資人愈發(fā)關(guān)注企業(yè)的數(shù)據(jù)安全合規(guī)問(wèn)題，進(jìn)而對(duì)企業(yè)日常運(yùn)營(yíng)以及投融資階段的風(fēng)險(xiǎn)識(shí)別和管控都提出了新的、更高的要求。

?

《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》按照數(shù)據(jù)和網(wǎng)絡(luò)的重要程度，設(shè)置了不同的監(jiān)管要求。
?

《網(wǎng)絡(luò)安全法》規(guī)定了國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。結(jié)合《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》（GB/T25058-2019）及《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2020）等網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0要求（以下簡(jiǎn)稱(chēng)"等保2.0標(biāo)準(zhǔn)"）的相繼落地，等級(jí)保護(hù)對(duì)象（即相關(guān)信息系統(tǒng)）按照其重要程度以及一旦遭到破壞后對(duì)國(guó)家、社會(huì)、企業(yè)或個(gè)人造成危害的程度被劃分為了五個(gè)等級(jí)（第五級(jí)為最高），我們建議相關(guān)企業(yè)和單位按照等保2.0標(biāo)準(zhǔn)妥善完成等級(jí)保護(hù)對(duì)象的定級(jí)與備案、總體安全規(guī)劃、安全設(shè)計(jì)與實(shí)施、安全運(yùn)行維護(hù)等工作。

?

對(duì)于重要領(lǐng)域或一旦遭到破壞可能?chē)?yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施，《網(wǎng)絡(luò)安全法》進(jìn)一步規(guī)定，在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上，對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施實(shí)行重點(diǎn)保護(hù)。9月1日生效的《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》（以下簡(jiǎn)稱(chēng)"《關(guān)基保護(hù)條例》"）作為《網(wǎng)絡(luò)安全法》的配套行政法規(guī)，明確了相關(guān)行業(yè)的主管部門(mén)、監(jiān)督管理部門(mén)將負(fù)責(zé)結(jié)合行業(yè)實(shí)際情況制定本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則，并根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施。

相關(guān)行業(yè)主管部門(mén)在做出關(guān)鍵信息基礎(chǔ)設(shè)施的認(rèn)定后，會(huì)將結(jié)果通知相應(yīng)運(yùn)營(yíng)者，該等運(yùn)營(yíng)者應(yīng)按照《網(wǎng)絡(luò)安全法》《關(guān)基保護(hù)條例》等要求，在等保2.0標(biāo)準(zhǔn)的基礎(chǔ)上，采取技術(shù)和其他必要措施保障關(guān)鍵信息基礎(chǔ)設(shè)施安全穩(wěn)定運(yùn)行，相關(guān)措施包括但不限于建立健全網(wǎng)絡(luò)安全保護(hù)制度和責(zé)任制、設(shè)置專(zhuān)門(mén)安全管理機(jī)構(gòu)并保障其經(jīng)費(fèi)和人員以及至少每年開(kāi)展一次網(wǎng)絡(luò)安全檢測(cè)和風(fēng)險(xiǎn)評(píng)估等。?

?

承襲《網(wǎng)絡(luò)安全法》的監(jiān)管思路，《數(shù)據(jù)安全法》亦首先明確了國(guó)家建立數(shù)據(jù)分類(lèi)分級(jí)保護(hù)制度。在該等分類(lèi)分級(jí)保護(hù)制度的基礎(chǔ)上，國(guó)家將建立相關(guān)統(tǒng)籌機(jī)制并協(xié)調(diào)相關(guān)部門(mén)制定重要數(shù)據(jù)目錄，加強(qiáng)對(duì)重要數(shù)據(jù)的保護(hù)；對(duì)于關(guān)系國(guó)家安全、國(guó)民經(jīng)濟(jì)命脈、重要民生、重大公共利益等的國(guó)家核心數(shù)據(jù)，實(shí)行更加嚴(yán)格的管理制度。

雖然《數(shù)據(jù)安全法》剛剛生效，相關(guān)配套法規(guī)制度尚不完善，但其規(guī)定的"重要數(shù)據(jù)目錄"及"國(guó)家核心數(shù)據(jù)"制度無(wú)疑為后續(xù)監(jiān)管指明了方向。一旦企業(yè)相關(guān)數(shù)據(jù)被納入"重要數(shù)據(jù)目錄"或"國(guó)家核心數(shù)據(jù)"，則企業(yè)很可能需要在一般數(shù)據(jù)保護(hù)措施的基礎(chǔ)上履行額外的數(shù)據(jù)保護(hù)義務(wù)。對(duì)于業(yè)務(wù)涉及收集、處理、傳輸、利用數(shù)據(jù)等行為的企業(yè)而言，如何在合規(guī)的邊界內(nèi)充分挖掘和實(shí)現(xiàn)數(shù)據(jù)的商業(yè)價(jià)值，將成為企業(yè)的運(yùn)營(yíng)合規(guī)重點(diǎn)之一。

?

《個(gè)人信息保護(hù)法》則在《網(wǎng)絡(luò)安全法》和《數(shù)據(jù)安全法》的基礎(chǔ)上，進(jìn)一步細(xì)化了處理個(gè)人信息的相關(guān)要求，并規(guī)定了敏感個(gè)人信息處理和個(gè)人信息跨境提供的規(guī)則?！秱€(gè)人信息保護(hù)法》延續(xù)和擴(kuò)展了《網(wǎng)絡(luò)安全法》有關(guān)處理個(gè)人信息應(yīng)遵循的"合法、正當(dāng)、必要"和明示同意的原則，要求相關(guān)企業(yè)在處理個(gè)人信息過(guò)程中遵循合法、正當(dāng)、必要和誠(chéng)信原則，并且應(yīng)取得相應(yīng)個(gè)人充分知情前提下的自愿、明確同意（法律另有規(guī)定的情形除外）。

此外，《個(gè)人信息保護(hù)法》也針對(duì)互聯(lián)網(wǎng)出海企業(yè)最為關(guān)注的敏感個(gè)人信息的處理以及個(gè)人信息的跨境提供制定了更為細(xì)致和明確的規(guī)則，我們將在本文的下一部分中對(duì)這兩個(gè)方面進(jìn)行相應(yīng)展開(kāi)說(shuō)明。

?

在當(dāng)前數(shù)據(jù)安全的新要求下，我們建議企業(yè)對(duì)照相關(guān)最新法律法規(guī)和技術(shù)規(guī)范的要求，完善自身數(shù)據(jù)安全建設(shè)，對(duì)企業(yè)的相關(guān)系統(tǒng)、制度和產(chǎn)品進(jìn)行全面梳理，為后續(xù)能夠順利獲取融資，進(jìn)行資本運(yùn)作或業(yè)務(wù)拓展打下良好的基礎(chǔ)。結(jié)合《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》的相關(guān)要求，企業(yè)可以率先從以下幾個(gè)方面入手對(duì)自身數(shù)據(jù)安全合規(guī)進(jìn)行一次全面梳理和評(píng)估：

?

1. 內(nèi)部系統(tǒng)與制度完善。企業(yè)內(nèi)部的系統(tǒng)安全和制度保障是實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)的基石，《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》及《個(gè)人信息保護(hù)法》均要求企業(yè)對(duì)相關(guān)數(shù)據(jù)采取相應(yīng)的技術(shù)措施（例如，加密、反病毒、反網(wǎng)絡(luò)入侵等）保障數(shù)據(jù)安全，并制定相應(yīng)內(nèi)部管理制度、操作規(guī)程和安全應(yīng)急預(yù)案。我們也建議企業(yè)按照相關(guān)法律要求定期開(kāi)展網(wǎng)絡(luò)安全事件應(yīng)急演練，以測(cè)試相關(guān)技術(shù)措施和制度流程的有效性。

?

2. 敏感個(gè)人信息的處理和保護(hù)。《個(gè)人信息保護(hù)法》將敏感個(gè)人信息定義為"一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息"，其主要包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。?

?

向個(gè)人客戶提供商品或服務(wù)的互聯(lián)網(wǎng)和/或高科技企業(yè)，在諸多業(yè)務(wù)場(chǎng)景中均可能涉及到敏感個(gè)人信息的處理?！秱€(gè)人信息保護(hù)法》要求處理敏感個(gè)人信息必須滿足"具有特定的目的和充分的必要性"這一前提，而這一點(diǎn)也是企業(yè)在評(píng)估其相關(guān)產(chǎn)品和服務(wù)方案時(shí)較容易忽視的重要一環(huán)。此外，《個(gè)人信息保護(hù)法》還進(jìn)一步要求企業(yè)就處理敏感個(gè)人信息取得個(gè)人客戶的單獨(dú)同意，并且還應(yīng)當(dāng)向個(gè)人客戶告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響。

3. 數(shù)據(jù)跨境提供。《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》要求企業(yè)跨境提供重要數(shù)據(jù)和/或個(gè)人信息前應(yīng)履行必要的程序。

?

關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者向境外提供重要數(shù)據(jù)前，應(yīng)當(dāng)按照相關(guān)規(guī)定進(jìn)行安全評(píng)估；其他數(shù)據(jù)處理者的重要數(shù)據(jù)出境安全管理辦法，由國(guó)家網(wǎng)信部門(mén)會(huì)同國(guó)務(wù)院有關(guān)部門(mén)制定。

?

個(gè)人信息處理者因業(yè)務(wù)等需要，確需向境外提供個(gè)人信息的，應(yīng)當(dāng)具備下列條件之一：（1）通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估；（2）按照國(guó)家網(wǎng)信部門(mén)的規(guī)定經(jīng)專(zhuān)業(yè)機(jī)構(gòu)進(jìn)行個(gè)人信息保護(hù)認(rèn)證；（3）按照國(guó)家網(wǎng)信部門(mén)制定的標(biāo)準(zhǔn)合同與境外接收方訂立合同；或者（4）法律、行政法規(guī)或者國(guó)家網(wǎng)信部門(mén)規(guī)定的其他條件。關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者和處理個(gè)人信息達(dá)到一定規(guī)模的個(gè)人信息處理者，向境外提供個(gè)人信息前，應(yīng)當(dāng)通過(guò)國(guó)家網(wǎng)信部門(mén)組織的安全評(píng)估（法律法規(guī)和國(guó)家網(wǎng)信部門(mén)另有規(guī)定的除外）。

4. 擬上市企業(yè)的合規(guī)審查和風(fēng)險(xiǎn)披露。《網(wǎng)絡(luò)安全審查辦法（修訂草案征求意見(jiàn)稿）》公布時(shí)引發(fā)了一場(chǎng)不小的討論，其不僅擬將網(wǎng)絡(luò)安全審查擴(kuò)展適用至"數(shù)據(jù)處理者"（即涵蓋了非關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者），其中有關(guān)"掌握超過(guò)100萬(wàn)用戶個(gè)人信息的運(yùn)營(yíng)者赴國(guó)外上市，必須向網(wǎng)絡(luò)安全審查辦公室申報(bào)網(wǎng)絡(luò)安全審查"的規(guī)定也將使申報(bào)網(wǎng)絡(luò)安全審查成為相關(guān)中概股企業(yè)赴國(guó)外上市的前提條件之一。

有關(guān)企業(yè)香港上市是否能夠因香港非屬"國(guó)外"而豁免網(wǎng)絡(luò)安全審查、100萬(wàn)用戶個(gè)人信息具體如何界定，以及在SEC主席要求中概股加強(qiáng)信息披露的大環(huán)境下如何能夠妥當(dāng)安排企業(yè)融資以及上市進(jìn)程的問(wèn)題，成為了各家創(chuàng)業(yè)公司，尤其是擬赴海外上市的各家互聯(lián)網(wǎng)公司和高科技公司，最為關(guān)注的話題。?

?

針對(duì)上述問(wèn)題，由于《網(wǎng)絡(luò)安全審查辦法》的修訂尚未正式落地，相關(guān)監(jiān)管部門(mén)目前也并未給出具體的監(jiān)管指引。在目前數(shù)據(jù)安全監(jiān)管的新趨勢(shì)下，考慮到相關(guān)監(jiān)管部門(mén)有關(guān)數(shù)據(jù)安全的問(wèn)詢(xún)已經(jīng)愈發(fā)細(xì)致和深入，同時(shí)參考部分赴美上市企業(yè)被啟動(dòng)網(wǎng)絡(luò)安全審查的案例，我們建議企業(yè)的最佳實(shí)踐應(yīng)當(dāng)是首先對(duì)于數(shù)據(jù)安全的整體監(jiān)管架構(gòu)有一個(gè)清晰的理解，隨后在了解自身業(yè)務(wù)和數(shù)據(jù)安全合規(guī)現(xiàn)狀的基礎(chǔ)上，對(duì)于本企業(yè)所面臨的數(shù)據(jù)安全監(jiān)管要求及本企業(yè)面臨的風(fēng)險(xiǎn)敞口和可用的風(fēng)險(xiǎn)緩釋措施（包括技術(shù)、內(nèi)控制度及法律安排層面）有一個(gè)全面的了解，并根據(jù)本企業(yè)的實(shí)際情況制定出可行的數(shù)據(jù)安全合規(guī)解決方案。

隨著企業(yè)對(duì)相關(guān)監(jiān)管要求和本企業(yè)數(shù)據(jù)安全合規(guī)情況理解的不斷深入，企業(yè)才能夠妥善應(yīng)對(duì)來(lái)自投資人和監(jiān)管機(jī)構(gòu)的問(wèn)詢(xún)、可能的網(wǎng)絡(luò)安全審查以及企業(yè)上市后的持續(xù)披露義務(wù)。

?

除融資外，我們也建議企業(yè)在對(duì)外投資時(shí)（特別是投資互聯(lián)網(wǎng)企業(yè)或高科技企業(yè)時(shí)），考慮在一般的法律盡職調(diào)查基礎(chǔ)上，視情況補(bǔ)充進(jìn)行專(zhuān)門(mén)的數(shù)據(jù)安全相關(guān)的盡職調(diào)查（無(wú)論是從法律層面還是從技術(shù)層面），以識(shí)別被投企業(yè)數(shù)據(jù)安全相關(guān)風(fēng)險(xiǎn)，完善投資風(fēng)險(xiǎn)管控。?

?

就法律層面的數(shù)據(jù)安全盡職調(diào)查而言，其一般應(yīng)建立在對(duì)被投企業(yè)業(yè)務(wù)充分理解的基礎(chǔ)上，有針對(duì)性地了解被投企業(yè)產(chǎn)品、內(nèi)控制度、信息系統(tǒng)等方面的數(shù)據(jù)安全合規(guī)情況，并且一般應(yīng)涵蓋：

1、企業(yè)系統(tǒng)/項(xiàng)目/產(chǎn)品基本情況；

2、數(shù)據(jù)收集和處理（包括存儲(chǔ)、使用、加工、傳輸、提供等）情況；

3、數(shù)據(jù)安全技術(shù)措施和內(nèi)控制度；

4、相關(guān)資質(zhì)獲取和備案完成情況；以及

5、是否涉及數(shù)據(jù)出境。

?

數(shù)據(jù)安全法律盡職調(diào)查可以采用盡職調(diào)查問(wèn)卷、數(shù)據(jù)保護(hù)制度和流程審查、協(xié)議文件和資質(zhì)證照審閱、現(xiàn)場(chǎng)人員（包括高級(jí)管理人員、技術(shù)人員、內(nèi)控合規(guī)人員）訪談以及系統(tǒng)實(shí)際訪問(wèn)等方式。

而針對(duì)數(shù)據(jù)安全盡職調(diào)查過(guò)程中發(fā)現(xiàn)的問(wèn)題，投資人應(yīng)在充分理解相關(guān)問(wèn)題所帶來(lái)的風(fēng)險(xiǎn)的基礎(chǔ)上，了解可以采取的相關(guān)技術(shù)和法律措施以及實(shí)施該等措施所需的時(shí)間和資金成本，在與被投企業(yè)充分溝通的前提下，考慮結(jié)合相關(guān)專(zhuān)業(yè)機(jī)構(gòu)的咨詢(xún)意見(jiàn)，與被投企業(yè)共同尋求解決方案，并綜合考量雙方可投入的資源和交易時(shí)間表，制定出能夠滿足雙方要求的交易方案和步驟。?

?

此外，在投資交易文件的起草階段，我們建議投資人考慮要求將數(shù)據(jù)安全盡職調(diào)查的相關(guān)發(fā)現(xiàn)和風(fēng)險(xiǎn)緩釋措施、交易條件等寫(xiě)入相關(guān)交易文件中，并視情況將部分重要措施或條件作為交割先決條件或交割后承諾，以盡可能控制或減輕被投企業(yè)合規(guī)風(fēng)險(xiǎn)可能給投資人的利益造成的不利影響。

?