今天这篇文章的作者是世辉律师事务所的王新锐律师和卢璟律师。

企业在境内外上市过程中,数据合规问题已成为监管机构关注的重点。我们在《企业境外上市过程面临的数据合规问题和相关风险 2021版》一文中,梳理了中国企业境外上市公开文件中披露的重大风险,总结出在网络安全和数据保护方面在境外上市公司的普遍性合规风险和相关行业的特殊性合规风险。

了解监管机构和交易所关注的风险只是企业上市数据合规工作的第一步。我们从境内外数十份上市企业的招股书中提炼了有代表性的数据合规策略和措施,并按照数据生命周期、管理控制措施进行分类总结,为企业开展数据合规工作提供参考。

数据收集

对于数据收集环节,上市公司采取了以下策略:

直接从用户获取数据:

  • 制定严格的数据收集及处理政策并实施一系列程序及软件控制以保证用户个人信息及隐私。根据该政策,任何用户数据处理均需通过以下评估程序:(1)明确通知用户收集及使用其数据的原因及方式;(2)为用户提供多阶段退出或登录选择;(3)作出合理努力,防止任何用户数据丢失或泄露;(4)允许用户查阅所持有的所有资料。

  • 保留数据收集的相关证据,例如保留用户授权公司收集个人信息的同意书。

  • 定期进行专项合规检查,检查是否已获得其收集数据的适当授权。

从第三方获取数据:

  • 签订协议,要求第三方在协议中明确确认其从合法来源获取数据,且其已获得将该等数据用于协议规定的目的的权利。在协议中明确双方权利义务范围,数据使用的范围等内容。

  • 根据使用数据的具体需求,要求第三方提供匿名化处理后的数据或要求提供经过转化后的数据,避免获取用户姓名、身份证号码、电话号码等个人隐私信息,以及商业秘密等用户数据。

获取公开数据:

  • 考虑数据的开放程度以及被收集方的意愿,根据具体情况收集数据。

  • 检查所获取的数据类型,获得授权之前,不获取个人资料、知识产权内容(包括文章、图片及视频)或商业秘密。

  • 严格规范数据收集方式,不违反网站安全政策的情况下获取必要权限,不违反加密规则或绕过强制性认证机制。

  • 控制收集数据的总量,考虑公共利益,评估数据收集是否会承受公关风险及是否会损害声誉。

数据存储

对于数据的存储环节,上市公司采取以下策略中的一项或几项管控数据合规风险:

  • 开发内部数据管理系统将不同来源的数据实时同步到该系统,以供存储、管理和保护。

  • 对于客户提供数据的场景,将不同客户进行数据分开存储,严格按照协议约定对数据进行加工后再返还给客户。

  • 通过业务合作伙伴收集的数据可由业务合作伙伴设定一个生命周期,并且任何到期数据将只按业务合作伙伴设定的生命周期永久且不可撤销地从系统中删除。

  • 通过私有云存储用于训练AI算法模型及以图片和视频形式呈现的数据。

  • 建立数据安全屋架构,客户物理存储的数据将被逻辑隔离,客户数据不得被移出安全屋,并将根据法律法规制定的生命周期删除。

  • 建立含有个人信息的数据的销毁流程。建立内部数据库管理者与信息安全委员会的架构,数据库管理者将向信息安全委员会提交数据销毁的书面申请,并于获得审批后执行该等任务。在信息安全委员会的监督下,相关数据将永久销毁,相关数据的所有历史备份将被删除。数据库管理者将于完成有关程序并确认已销毁的数据无法恢复后,向信息安全委员会提交内部报告。

数据使用

对于数据的使用环节,上市公司采取以下策略中的一项或几项管控数据合规风险:

  • 数据库仅允许符合资格人士进入内网运营,且仅可通过支持特定解决方案的服务器查阅。

  • 允许同时访问客户数据的雇员不超过2名,且只能通过指定查阅流程查阅数据,且查阅该等数据的行为将被记录。

  • 制定允许系统访问的极少数的IP地址白名单,仅允许授权员工通过白名单IP地址访问系统;对访问授权的任何变更均由首席执行官批准。

  • 根据机密级别对数据进行分类,并在在处理之前进行去标识化及匿名化处理。

  • 对于AI模型训练,训练平台会在处理前自动对输入数据进行脱敏处理。

提供数据产品或服务

对于上市公司对外提供数据产品或服务的场景,上市公司采取以下策略中的一项或几项管控数据合规风险:

  • 通过协议约束其他方,要求其他方遵守适用数据保护法律及法规以及要求其他方不会将相关产品与技术用于不道德或不适当的目的,并保留在在发现该等事件时终止合同的权利。

  • 在客户现场部署数据服务,且所有数据均在客户现场处理。

  • 提供实时处理服务时,在授权范围内在公共云服务器上处理包含个人信息的最终用户数据,而不会将有关数据下载至公司本身的数据平台。

  • 产品在推出或交付进行数据隐私评估及安全测试。

  • 针对产品进行回访,以进行数据安全评估。

其他管控措施

对于其他内部控制措施,上市公司采取以下策略中的一项或几项管控数据合规风险:

组织措施:

  • 成立数据安全委员会及数据安全工作小组等个人信息保护机构,并指定了个人信息保护负责人。

  • 大数据团队的每一个成员除签署标准保密协议外,还需签署有关保护用户数据的附加协议。

  • 提供对任何信息系统资源的访问权之前,向第三方人员(即来自网络设备及计算供应商的售后服务人员)获取已签署的安全责任条款或保密协议。此外,第三方人员进入访问受限制区域(比如主机房及重要的服务器及设备)需要书面申请的批准。批准后必须有获授权人员全程陪同或监督,并将访问情况记录在案。

  • 制定有关处理包含用户数据资料的具体内部程序,并设定有关用户数据保护的道德标准。违反相关要求的行为可通过系统事件日志进行追踪。获取及控制资料的程度视员工职能及职级的相关性而定。倘若出现违反信息安全的行为,公司会开展调查并实施损害控制措施。

  • 内部控制团队对数据安全合规状态进行专项审核。

  • 委聘外部顾问以就数据保护政策及持续遵守适用法律法规的情况提供建议并定期更新政策及程序。

  • 定期对数据安全落实情况进行审查,出具数据安全保护审查报告,并根据数据安全审计自查情况,及时总结并整改不符合要求的主要问题。

  • 购买商业保险以保障个人数据及银行账户外泄的风险。

  • 对于人工智能企业,建立了项目立项、科学研究、技术开发、产品应用、方案落地、数据运维、信息系统建设等各环节进行人工智能伦理审查的总体原则及具体程序。

技术措施:

  • 建立独立的数据库,并且不会与其他第三方共享客户或终端用户的个人信息。

  • 服务器系统进行增强的安全级别保护,定期对服务器运营进行用户账户审核及监控。

  • 对操作系统和数据库系统设置密码复杂度要求,采用SSH安全协议进行远程管理,并严格限制对默认账户的访问。

  • 对应用系统设置了身份认证、用户身份唯一性验证、基于角色的访问控制以及其他安全控制机制,并使用HTTPS协议进行安全通信。

  • 网络采用内外网分离,并对相关组织的U盘、光驱等接口进行封锁,防火墙采用白名单模式,只有经过许可的电脑或网络才能上外网,同时内网部署态势感知系统,针对内外流量进行探测,对危险行为使用EDR杀毒软件进行查杀。

  • 异常访问及操作将触发数据平台的自动警告或警示。如果数据平台发出任何自动警告或警示,数据安全委员会会及时调查事件,并评估影响。

  • 建立综合运营及维护系統以及多中心的灾难备份架构,以承载中国不同地点的主要信息技术基建。平台采取模组建筑结构,由多个相连部件组成,各自可进行个别升级及更换而不会影响其他部件的功能。

  • 采用软件系统自动侦测及保障系统免受外来攻击。

办理相关认证:

  • 产品及隐私政策进行Trust Arc认证。

  • 根据ISO 27001国际框架建立信息安全管理体系,从安全政策及技术控制等多方面管理及保护信息安全。

特殊种类数据处理:

对于涉及处理国家秘密、国家安全、社会公共利益、商业秘密和个人隐私的敏感科学数据,采取下述内部控制措施:

  • 对科学数据的脱敏、收集、使用、复制、存储及传输采取严格的要求。

  • 定期向高级管理人员及雇员提供培训,以提高对有关保护敏感科学数据的适用法律及法规的了解。

  • 禁止转让任何敏感科学数据,并要求向国外或国外人士转让科学数据(包括但不限于与临床试验结果有关的数据)时需提交董事会以事先批准。

  • 向任何第三方转让所有科学数据前对其进行脱敏处理。

声明:本文来自网安寻路人,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。