世辉观点 | 境内外上市企业的数据合规策略

🔗 原文链接： https://mp.weixin.qq.com/s/FDLSFfmQ...

⏰ 剪存时间：2022-09-26 23:14:11 (UTC+8)

✂️ 本文档由飞书剪存一键生成

📋

《世辉律师事务所》 2022-05-17 10:16

本文首发于“网安寻路人”

作者：王新锐，卢璟

企业在境内外上市过程中，数据合规问题已成为监管机构关注的重点。我们在《企业境外上市过程面临的数据合规问题和相关风险2021版》一文中，梳理了中国企业境外上市公开文件中披露的重大风险，总结出在网络安全和数据保护方面在境外上市公司的普遍性合规风险和相关行业的特殊性合规风险。

了解监管机构和交易所关注的风险只是企业上市数据合规工作的第一步。我们从境内外数十份上市企业的招股书中提炼了有代表性的数据合规策略和措施，并按照数据生命周期、管理控制措施进行分类总结，为企业开展数据合规工作提供参考。​

数据收集

对于数据收集环节，上市公司采取了以下策略：

直接从用户获取数据：

•
制定严格的数据收集及处理政策并实施一系列程序及软件控制以保证用户个人信息及隐私。根据该政策，任何用户数据处理均需通过以下评估程序：（1）明确通知用户收集及使用其数据的原因及方式；（2）为用户提供多阶段退出或登录选择；（3）作出合理努力，防止任何用户数据丢失或泄露；（4）允许用户查阅所持有的所有资料。​

•
保留数据收集的相关证据，例如保留用户授权公司收集个人信息的同意书。​

•
定期进行专项合规检查，检查是否已获得其收集数据的适当授权​

从第三方获取数据：

•
签订协议，要求第三方在协议中明确确认其从合法来源获取数据，且其已获得将该等数据用于协议规定的目的的权利。在协议中明确双方权利义务范围，数据使用的范围等内容。​

•
根据使用数据的具体需求，要求第三方提供匿名化处理后的数据或要求提供经过转化后的数据，避免获取用户姓名、身份证号码、电话号码等个人隐私信息，以及商业秘密等用户数据。​

获取公开数据：

•
考虑数据的开放程度以及被收集方的意愿，根据具体情况收集数据。​

•
检查所获取的数据类型，获得授权之前，不获取个人资料、知识产权内容（包括文章、图片及视频）或商业秘密。​

•
严格规范数据收集方式，不违反网站安全政策的情况下获取必要权限，不违反加密规则或绕过强制性认证机制。​

•
控制收集数据的总量，考虑公共利益，评估数据收集是否会承受公关风险及是否会损害声誉。​

数据存储

对于数据的存储环节，上市公司采取以下策略中的一项或几项管控数据合规风险：​

•
开发内部数据管理系统将不同来源的数据实时同步到该系统，以供存储、管理和保护。​

•
对于客户提供数据的场景，将不同客户进行数据分开存储，严格按照协议约定对数据进行加工后再返还给客户。​

•
通过业务合作伙伴收集的数据可由业务合作伙伴设定一个生命周期，并且任何到期数据将只按业务合作伙伴设定的生命周期永久且不可撤销地从系统中删除。​

•
通过私有云存储用于训练AI算法模型及以图片和视频形式呈现的数据。​

•
建立数据安全屋架构，客户物理存储的数据将被逻辑隔离，客户数据不得被移出安全屋，并将根据法律法规制定的生命周期删除。​

•
建立含有个人信息的数据的销毁流程。建立内部数据库管理者与信息安全委员会的架构，数据库管理者将向信息安全委员会提交数据销毁的书面申请，并于获得审批后执行该等任务。在信息安全委员会的监督下，相关数据将永久销毁，相关数据的所有历史备份将被删除。数据库管理者将于完成有关程序并确认已销毁的数据无法恢复后，向信息安全委员会提交内部报告。​

数据使用

对于数据的使用环节，上市公司采取以下策略中的一项或几项管控数据合规风险：​

•
数据库仅允许符合资格人士进入内网运营，且仅可通过支持特定解决方案的服务器查阅。​

•
允许同时访问客户数据的雇员不超过2名，且只能通过指定查阅流程查阅数据，且查阅该等数据的行为将被记录。​

•
制定允许系统访问的极少数的IP地址白名单，仅允许授权员工通过白名单IP地址访问系统；对访问授权的任何变更均由首席执行官批准。​

•
根据机密级别对数据进行分类，并在在处理之前进行去标识化及匿名化处理。​

世辉观点 | 境内外上市企业的数据合规策略​

世辉观点 | 境内外上市企业的数据合规策略