企业动态

    近日，证监会官网连续发布了《境外发行上市备案补充材料要求公示》，正谋求港股上市的多家企业被要求补充提交说明材料，内容涵盖数据安全、个人信息保护等多个关键信息点。

    证监会对这几家企业数据安全和用户隐私保护问题进行了“追问”，要求这些企业说明开发、运营的网站、APP、小程序等产品情况，收集和存储用户信息规模、数据收集使用情况，是否存在向第三方提供信息的情形，以及上市前后个人信息保护和数据安全的安排或措施。

    数据合规是企业经营的“生命线”

    近年来，国家已有多部规定规范企业境外上市，其中数据、个人信息、档案安全等成为关注重点。

    “合规已成为企业经营和发展的‘生命线’。”奇安信数据安全专家表示，随着各种围绕数据相关的新的立法和司法实践不断涌现，数据安全合规成为了企业经营的“必答题”。一旦不合乎规定，轻则面临罚款，APP下架、上市受阻等，重则吊销营业执照，这对于任何企业而言都是难以承受之重。

    有分析人士指出，自2021年某出行巨头赴美上市以来，运营主体在境内的企业进行境外上市的数据安全、个人信息保护等问题持续受到关注，《办法》属系列规范动作中的一环。例如2021年12月24日，中国证监会发布《国务院关于境内企业境外发行证券和上市的管理规定（草案征求意见稿）》（以下简称《管理规定》），其中提到，“境内企业境外发行上市涉及向境外提供个人信息和重要数据的，应当符合国家法律法规和有关规定。”

    而到2022年，国家互联网信息办公室、国家发展和改革委员会等十三部门联合修订发布《网络安全审查办法》（以下简称《办法》），自2022年2月15日起施行。《办法》明确掌握超过100万用户个人信息的网络平台运营者赴国外上市必须向网络安全审查办公室申报网络安全审查。

    同时，围绕APP侵权整治，也是国家相关部门的工作重点。2021年， 工信部出台《移动互联网应用程序个人信息保护管理暂行规定》，提出以“知情同意”和“最小必要”作为APP个人信息保护的两大基本准则，对APP隐私乱象进行了重拳出击。2023年2月，工业和信息化部印发《关于进一步提升移动互联网应用服务能力的通知》，综合了近年来针对APP服务领域的各项法律法规，围绕提升用户服务感知、提升行业管理能力，共提出26条具体措施，制定了APP全流程、全链条管理规范，并进一步细化了个人信息保护，对企业APP运营进行更全面的合规约束。

    亚太网络法律研究中心、北京师范大学法学院教授、博士生导师刘德良在接受媒体采访时表示，在大数据时代，大型企业掌握了海量的个人数据，这些数据对于国家安全、民众福祉可能带来利益，也可能潜藏隐患。随着法律法规的不断完善，企业涉及到数据收集处理的，必须得有安全意识，采取安全措施，守好合规红线。

    如何做好数据安全合规这道“必答题”？

    “依靠简单部署几套产品就可以应付合规的时代已经一去不复返了。”奇安信数据安全专家认为，数据安全合规建设是一项非常复杂的工程，仅建立制度和管理层面的静态体系是远远不够的，必须借助技术手段实现覆盖数据全生命周期和业务全流程的安全与合规管控，实现动态以及持续性的实质性合规。

    以个人信息保护的合规建设为例，个人数据的处理是大部分企业会面临到的问题，对于企业而言，一方面要加强技术自查，及时补齐数据安全、个人信息保护、APP隐私管理的短板；另一方面，更需要体系化、长期的合规建设规划，如定期开展数据安全以及合规风险评估和建设工作，并借助技术手段，将数据合规和安全贯穿于数据处理活动的全过程，确保在合法合规的框架下，安全、可靠的释放数据要素价值。

    与此同时，主体责任未压实是企业频踩合规红线的重要原因，奇安信数据安全专家认为，企业“一把手”成为数据安全第一责任人，对于压实责任具有非常重大的意义。组建“数据安全合规专项工作组”，数据合规通过一把手领导牵头，建立一个横跨公司管理、法务、技术、业务等多个部门的综合组织，才能将数据安全合规工作责任落到实处，满足监管需求，并避免安全和业务相脱节。

    产品方面，由奇安盘古隐私安全团队推出的隐私卫士，它立足解决企业的个人信息保护合规风险问题，针对安卓App、iOSApp、小程序、IoT设备进行隐私合规检测与分析，帮助企业对相关业务应用进行全方位的隐私安全合规检测，提前发现合规隐患，避免由此带来的数据泄漏、资产损失、监管处罚等风险，帮助政府、研究机构、企业等更好履行其在个人信息保护方面的责任和义务。而奇安信发布数据跨境卫士，不仅能解决企业跨境传输的数据能满足《数据安全法》、《个人信息保护法》、数据跨境监管等合规要求，还能对个人信息等敏感数据的跨境流动情况，进行全局、清晰和直观的掌控。

    总体来看，随着《网络安全法》《数据安全法》《个人信息保护法》等相关法律法规的出台，我国对于提升移动互联网应用服务质量、维护用户正当权益、强化个人信息保护的保障持续推进。企业也迫切需要对数据安全、个人信息保护进行“未雨绸缪”，提前规避因合规隐患给企业战略发展造成的重大风险。