4月2日,证监会就《关于加强境内企业境外发行证券和上市相关保密和档案管理工作的规定(征求意见稿)》(以下简称《规定》)公开征求意见,为境外上市涉及的相关保密和档案管理工作提供更加清晰的指引,明确上市公司信息安全主体责任,完善跨境监管合作安排,为安全高效开展跨境监管合作提供制度保障。
此次《规定》是对2009年原文件的升级,纵览全文及其修订内容,此次修订集中体现了加强国家信息安全管理、提高效率、明晰责任、兼顾统筹发展与安全的理念。本文着重分析《规定》关于信息安全主体责任的内涵和要求,分享对应的合规思路和措施,为广大企业提供参考。
01 严格履行程序 明确企业保密责任
为使企业切实担负信息安全的主体责任,修订后的《规定》将要求企业在境外发行上市过程中向中介机构及境外监管机构提供、披露资料时,需要遵守保密相关法律法规,做好书面说明和备查工作(详见《规定》第三、四、五条)。
从境内企业赴境外上市的实际情况来看,企业经营活动中产生的各种业务数据,以及采集的客户数据,如个人信息等,不应该在未经得客户同意的情况下提供给中介机构,更不会被纳入审计底稿。此次《规定》修订所增加的程序性要求,将避免不必要的涉密或敏感信息进入审计底稿,对确因审计需要进入底稿的涉密敏感信息依法依规做好全流程的记录和履行必要的程序。
特别地,企业经营活动中涉及的数据安全受到我国相关法律政策的有效监管。对于必要的数据出境活动,我国相关监管机构正在对其持续完善及规范,如国家互联网信息办公室于2021年10月29日发布了《数据出境安全评估办法(征求意见稿)》,已经明确对于国家信息安全、数据安全方面予以规定,和本次《规定》的要求互为补充,分别从不同角度对不同行为予以规管。
本次修订实质上重申了企业及中介机构应当审慎对待有关国家安全的涉密敏感信息,如非绝对必要且经过主管部门批准,涉密信息不能进入审计底稿,加强国家安全信息保护和明确责任。同时体现了统筹发展和安全的要求,既要维护好企业所在地数据安全,又要适应上市地审计监管要求,为企业依法依规开展境外上市活动提供了准绳。
02 企业落实《规定》的可行性建议
企业落实《规定》条款,需要避免涉密敏感信息不当对外提供及进入审计底稿,即使少量敏感信息确因审计需要进入底稿,也须在提供、保存和接受检查的全链条上按相关规定加以管理和保护。
这将要求企业:首先,需要非常清楚地掌握自身的数据资产情况,包括业务数据和客户数据,能够准确定义并标注数据的敏感级别和涉密情况。同时,需要非常清晰地掌握敏感信息的流动及变化过程,以杜绝涉密敏感信息意外地或不受控地对外提供。另外,对于必须进入底稿的敏感信息,通过技术手段提供相适应的防护措施,履行程序性要求,加强安全管理。
基于数安行在数据安全领域的长期实践,分享几点关于合规及安全保护、管理的可行性建议。
1、对于数据资产的梳理盘点是数据利用、数据治理以及数据安全保护的基础,盘点工作包括发现及识别组织内的数据资产类型、数量、分布位置以及敏感级别。对于企业而言,难点在于数据量大并且持续新增,数据来源广泛,划分数据类别以及确定敏感级别缺少可参考的标准和依据。使用自动化的数据盘点工具代替人工操作是目前的主流趋势,企业在选择过程中需要考虑是否支持结构化和非结构化的数据,数据模型的行业覆盖度是否齐全,是否支持识别足够丰富的数据格式。
在满足盘点通用数据的基础上,针对不同企业各自特有的业务数据,需要使用人工智能分析工具自学习并生成敏感数据分类模型进行梳理。数安行的实践经验证明,小数据机器学习在少量样本支撑下即可实现特有数据的精细分类标注,降低了企业配合门槛,更具有可落地性。
2、避免涉密敏感信息不当对外提供及进入审计底稿并非意味着持续严密地控制数据的使用。众所周知,数据需要保持流动才能发挥应有的价值,安全保障不应该成为业务发展的阻力,《规定》统筹发展和安全即要求企业在正常的数据流动过程中嵌入安全属性,实时掌握敏感数据的潜在安全威胁。基于数据资产盘点的清单,通过对敏感数据运行轨迹、数据版本以及形态变化进行全流程跟踪标注,可以实时感知数据违规使用及流转风险。这里的重点在于不受数据存储位置、格式、形态的改变而丢失数据轨迹及数据血亲关系,真正定位于数据本身及其生命周期进行跟踪溯源。
3、针对可能存在的潜在安全风险,给予足够细粒度的安全措施是很关键的。在不影响数据正常流转效率及业务正常运行的前提下,最精准、最适宜的防护手段需要根据风险级别、使用环境、流转环节以及用户角色等差异来提供。基于无感数据安全沙箱以及微隔离存储等技术,可以建立多种安全级别的应用系统访问及数据使用环境,建立应用系统与用户之间的零信任数据安全通道。精准识别用户身份,动态定义应用系统访问边界,自适应调整应用系统访问权限,防控各种越权访问、身份仿冒、违规下载等危险行为,保证业务数据在线使用及流出安全。
待《规定》发布后,企业和中介机构也需要进一步完善内部规则和流程,高度重视和加强数据安全,持续提升审计质量。《规定》的落实,将提升企业维护数据安全和防范法律风险的能力,促进企业依法合规开展境外发行上市活动。
(本文作者:北京数安行科技有限公司 郭灵)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。