作者:薯条三兄弟
来源:大队长金融(ID:captain_financial)
防范数据风险的难点在于,数据处理的每个节点:收集、存储、使用、加工、传输、提供、公开、删除都可能成为数据安全的雷点。
监管部门显然也意识到了这一点。
2021年,《个人信息保护法》和《数据安全法》相继实施,与《网络安全法》共同构建了个人信息保护、数据与网络安全的监管框架;在此基础上,各类配套法规、国家标准、技术指南不断提升监管的精细度。
对于通过互联网平台(如APP、小程序、软件开发应用包(SDK))或者智能硬件设备等方式收集及处理个人信息的企业而言,数据泄露的风险显著高于其他行业。从工信部2021年通报的1680款APP及网信办2021年通报的695款APP案例来看,网络安全的监管部门最为关注的也是这类企业。其中需要重点关注的包括互联网消费平台、金融科技平台、先进制造业企业。
在涉及这类企业的投资并购中,我们需要对个人信息流转的全链路予以重点关注。
实践中容易忽视的一个技术细节是“数据处理者”的识别。出于ICP经营资质和分散风险的考虑,互联网平台的运营及平台上的产品提供,往往由集团内的多个法人主体分工完成。另一种常见的情形,出于数据融合的考虑,集团内多个法人主体收集个人信息后,再委托同一个主体(往往是体系内科技公司)进行深度处理。界定“共同处理”、“委托处理”的数据链路,识别主要的“数据处理者”是厘清数据尽调对象,提升项目效率的关键步骤。
另外,国家标准化管理委员会制定的“国家标准”及行业主管部门制定的“技术规范”也会成为重要的法律依据。例如《个人金融信息保护技术规范》对于“个人身份信息”和“金融交易信息”进行了界定,两者在“数据共享和委托处理”中会适用不同的合规要求,在尽调中对个人信息的内容和对应的个人信息处理场景就需要仔细甄别;再比如国标文件《信息安全技术汽车采集数据的安全要求》正在征求意见的阶段,对于智能汽车采集的数据,细分为车外数据及座舱数据。当车外数据包含了外部环境的人脸、车牌等个人信息时,这类数据的处理也会受到更严格的要求。
最后,综合《网络安全审查办法》、《互联网平台分类分级指南(征求意见稿)》、《互联网平台落实主体责任指南(征求意见稿)》的规定,对于年度活跃用户不低于5000万的目标企业(大型互联网平台)或者处理掌握超过100万用户个人信息的目标企业,适用的数据合规义务也会显著提高,相应地也需要提高数据尽调的颗粒度。
从事数据挖掘、分析处理并输出数据服务的企业
市场中的另一类玩家,并不直接收集用户的个人信息,也不面向个人用户提供产品,这类企业通常面向机构用户提供软件服务、云平台服务、数据咨询等基于数据的行业解决方案。其中需要重点关注的包括生命医疗行业(比如新药研发,CXO,互联网医疗,医疗人工智能等等)和大数据(人工智能)行业。
回溯数据链路的上游,我们会发现这类企业一方面可能通过爬虫等技术获取其他机构的公开数据,另一方面可能与其他机构建立合作获取数据,再基于自身的大数据分析和算法模型,形成特定行业的解决方案。
在涉及这类企业的投资并购中,我们需要对数据链路的上游予以特别关注。
最后,随着《关于加强互联网信息服务算法综合治理的指导意见》及相关规定的颁布,算法的安全治理、分类分级和备案制度也会逐步确立,算法自身的合规性也会成为数据尽调中的新的关注事项。
涉及关键信息基础设施的企业
根据2021年《关键信息基础设施安全保护条例》的定义,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。
事实上,2016年《网络安全法》第一次提出关键信息基础设施的概念时,市场普遍缺乏直观的认识。经过近几年的摸索实践,今年已有部分金融机构向我们反馈,其接到了行业主管部门和公安部门的认定,成为了关键信息基础设施的运营者(CIIO)。由此我们预计CIIO认定工作在上述的各个重要行业和领域会逐步落地。
如果目标企业成为关键信息基础设施的运营者,那么对应的数据合规义务会升格成最高等级,例如CIIO在中国境内运营中收集和产生的个人信息和重要数据需要在境内存储,如果确需向境外提供的,需要按照国家网信等部门制定的办法进行安全评估。因此,境外投资者进入中国市场,除了考虑外商投资产业准入的要求,现在还需要进一步考虑被投企业的“数据身份”,预判数据跨境流动是否可行。要特别注意,采用VIE结构的协议控制,也需要遵循数据跨境传输的合规义务。
02/ 如何进行专项数据尽调?——以生命医疗行业数据合规尽调为例
准备尽调问卷 尽调访谈和沟通 核查尽调资料 出具尽调报告(含合规差距分析及整改建议) 协助目标企业完成整改
通常情况下,完整的专项数据尽调问卷会涵盖“个人信息保护”、“数据合规”与“网络安全”三个部分,如下图所示,我们常用的主表一共31页,约9700字,另有其他附件表格配套使用。
我们也充分考虑到不同投资项目对于尽调时间和业务偏重的关注不同,可以将该问卷进行模块化拆拼和调整(类似乐高组建的插拔),针对不同的行业适配本行业业务特点的尽调问卷,实现高效率发现未来影响投资项目退出路径的重大合规瑕疵并为后续交易文件起草和交割条件设置提供工作基础。
与传统法律尽调稍有不同,在专项数据尽调的访谈和沟通环节,通常需要邀请目标企业内部的法律合规、信息/网络安全、产品、营销、科技研发、运营等团队共同参与。
一方面,数据合规涉及大量的互联网技术细节,需要专业背景的团队理解相关问题并做出准确回复,其中法律合规团队熟悉制度流程及协议约定,信息/网络安全、科技研发团队熟悉系统架构和数据安全管理,产品及营销团队熟悉数据的流转和使用过程,三者相互印证才能反映实际情况;另一方面,数据合规需要排查数据在所有业务场景下的处理情况,邀请相关的各个团队一起参与访谈,才能对目标企业数据治理形成全景图。
以医疗企业尽调为例,由于医疗企业部门众多,且医疗数据种类繁杂,数据尽调首先需要与企业沟通,大致了解企业处理和使用数据的主要场景、场景下涉及的数据种类以及企业内的主要数据处理部门有哪些。比如,医疗企业的数据处理场景可能包括注册临床、科研合作、大数据应用研发、跨境数据合作等,涉及的数据种类可能包括临床数据、健康医疗大数据、遗传资源数据等多种类型。
尽调访谈可以重点关注人类遗传资源数据出境、临床试验研究活动中知情同意书的条款完备性、医疗企业内部患者数据管控平台完善程度、科研与营销活动中公开去标识化患者数据是否存在风险、用于注册的医疗数据是否可以回溯并按规定保存等等。
生命医疗企业内由于使用数据的部门条线众多,部门间可能存在数据混用的情形。比如,医疗企业内可能存在不顾及数据主体具体授权范围,将不同科研项目中取得的研究数据混用,后期可能造成数据超范围使用等一系列合规问题。另外,医疗企业不同部门间也可能出现对同一数据应用场景的描述不一致的情况。比如,医疗企业内可能有多个研发部门聘用了第三方临床外包机构进行试验数据处理,部分外包机构性质为CRO,部分为SMO,但由于研发部门无法区分外包机构数据处理角色的异同,造成访谈中描述情况不清晰或有矛盾。因此,尽调访谈后需及时以数据映射表的形式整理主要数据处理场景和每个场景中涉及的数据合规点,并通过法律合规团队进一步核实事实或取得书面材料。
其次,审查数据处理相关文件也是数据尽调的重要组成部分。审查生命医疗企业数据文本应至少从数据制度、数据授权和数据协议三方面衡量数据保护措施的充分性和合理性。数据制度(如健康数据管理制度、AI数据使用制度等)一般能反映医疗企业数据治理的整体框架;数据授权(如知情同意书等)是医疗企业直接采集数据的合法性基础;数据协议(如数据处理协议等)则是医疗企业管控数据合作方或合法间接收集数据的重要机制。
特别需要注意的是,在生命医疗行业,医药或者医疗器械企业在大多数情况下无法与患者直接接触并获取个人信息授权,即使发起药物临床实验研究活动可以获得参试者的知情同意,但是使用范围和目的依然有限。因此,如何探索去标识化技术并在满足一定效果等级的基础上使用统计数据,既能满足企业的业务需要,同时又能保护患者的隐私。目前国内企业大多借鉴美国HIPAA推荐的规则对患者18项识别信息进行去标识化处理,但是该方法是否符合中国法律与监管规定,以及如何在此基础上进行优化,以期达到《信息安全技术个人信息去标识化效果分级评估规范》规定的匿名化标准(医疗数据受限数据集)值得我们重点关注。
最后,尽调报告应总结数据尽调中发现的合规差距点,并从制度层面、授权协议文本层面和技术保护层面提出初步整改建议。改进措施的落实也将从这三方面展开。措施落地过程中,需要与法律合规团队、技术研发团队不断沟通,在数据合规要求和企业业务需求间找到合适的平衡点。
03/ 如果目标企业未来有境外上市计划,专项数据尽调应该前置做些什么?
2021年,境内企业在赴港上市过程中,个人信息保护、数据合规与网络安全的事宜也越发受到联交所的关注,上市企业的招股说明书也补充了风险披露事项。
网易云音乐 (9899.HK,2021年11月23日)在招股书风险章节中,对可能涉及的个人信息保护与网络数据安全相关的风险进行详细披露,包括:(1)安全漏洞及攻击,(2)个人信息保护、网络与数据安全相关的立法征求意见稿适用可能性,(3)因违反个人信息保护与网络数据安全相关合规义务而可能导致的行政处罚风险与品牌声誉风险。
2021年12月24日,《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》公开征求意见,可以预见,未来证监会在境外上市备案审查中将提高网络安全审查的关注程度。
2022年2月15日《网络安全审查办法》(国家互联网信息办公室令第8号)正式生效,进一步明确网络安全审查的适用情形。综合来看,不属于CIIO,也不涉及重要数据的企业,在赴港上市中无须主动申报网络安全审查,但这并不能完全排除被动审查的风险。
结合网络安全审查的要求,除数据尽调的工作内容外,对未来计划境外上市的目标企业,提前进行网络安全评估,对于是否存在“影响或可能影响国家安全的情形”形成专项分析报告。
04/ 结语
长期以来,庞大的数据既是投资标的企业的“护城河”,也是核心竞争力之一。但是近年来不断加强的数据立法与执法监管活动,不但抬高数据优势维持成本,同时也使得传统的业务模式面临严峻的合规挑战,稍有不慎,可能埋下新的“雷点”。与其他领域法律合规有所不同的是,数据合规的难点从来不在于法律文件的解读。如何能让企业内的各部门都意识到,防守就是进攻,合规是为了合理的挖掘数据,释放数据所蕴含的巨大商业价值,这才是每个从业者的初心。
注:文章为作者独立观点,不代表资产界立场。
题图来自 Pexels,基于 CC0 协议
本文由“大队长金融”投稿资产界,并经资产界编辑发布。版权归原作者所有,未经授权,请勿转载,谢谢!
原标题: 数据不安全,投资有风险