分享
世辉观点 | 企业境外上市过程面临的数据合规问题和相关风险 2021版
输入“/”快速插入内容
世辉观点 | 企业境外上市过程面临的数据合规问题和相关风险 2021版
🔗 原文链接:
https://mp.weixin.qq.com/s/qQlJw0rKHIAVgVkQNSU7_Q
⏰ 剪存时间:2022-09-26 21:37:17 (UTC+8)
✂️ 本文档由
飞书剪存
一键生成
📋
《世辉律师事务所》
2021-11-18 09:49
以下文章来源于网安寻路人 ,作者王新锐,罗为
编者按
“网安寻路人”于2019年4月9日发布了【
企业上市过程面临的数据合规问题和相关风险:境外篇(DPO社群成员观点)
】,对中国企业境外上市公开文件中披露的重大风险进行翻译与整合,总结出在网络安全和数据保护方面境外上市公司的普遍性合规风险和相关行业的特殊性合规风险。
本文在上一版的基础上,结合上文发布至今两年来中国公司境外上市的相关资料,对相关数据合规风险进行了更新。根据近年参与境外上市的经验,我们发现无论是上市公司,还是监管机构与交易所,均加强了对数据合规的关注程度,足见数据合规在境外上市中不断提升的重要性。欢迎大家指正,并一起深入讨论。本文作者为王新锐和罗为。
普遍性合规风险
数据安全方面
•
·任何安全漏洞和数据解密,包括网络攻击、未经授权的访问和使用、计算机病毒、硬件或系统软件被入侵或类似的破坏或中断,都可能导致公司的保密技术遭受损害或破坏、用户数据和保密信息泄露、降低用户体验、侵犯用户隐私等后果,从而导致公司声誉受损、合同提前终止、诉讼、监管调查或公司面临其他责任的后果。
•
公司自身、应用程序开发商以及客户所使用的数据安全措施可能因第三方操作失误、员工工作失误、渎职或其他原因而遭到破坏,公司技术基础设施中的设计缺陷可能被暴露和利用,从而可能导致他人未经授权访问开发人员、客户以及终端用户的机密信息。
•
未经授权访问和攻击系统的技术正在不断变化和发展,并且其在发起攻击前通常难以被识别,公司可能无法预测这些技术,难以实施适当的预防措施,因而存在安全漏洞。
•
公司无法保证公司的员工将来不会违反保密协议或以其他方式泄露公司所掌握的数据及其他信息。
•
如果公司未能保护客户数据和隐私,客户可能会察觉到公司的第三方渠道泄漏或滥用客户数据。
•
如果公司未能遵守隐私政策和数据安全措施,不当使用或披露数据,则可能导致未经授权发布或传输个人身份信息或导致其他用户信息泄露,从而可能导致诉讼、监管调查、声誉受损等不利后果。
•
第三方保险安排未必足以涵盖因个人信息泄露产生的亏损。
数据立法和监管对业务的影响
•
中国的个人信息保护相关法律法规和标准的解释和适用仍然处于不确定状态,并在不断调整中。相关政府部门可能会以对公司不利的方式解释或实施法律法规。公司无法保证根据中国的《网络安全法》及其配套法规,公司已经采取或将要采取的措施是完全充分的,中国不断发展的隐私保护监管框架可能会要求公司改变目前的业务实践。
•
《中华人民共和国网络安全法》要求关键信息基础设施的经营者,包括公共通信和信息服务业和金融业等重要行业和领域,应当将在中国境内经营活动中收集和产生的个人信息和重要数据存储在中国境内。因商业需求需要向境外传输信息和数据的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估。但是,对于如何进行此类安全评估,目前还没有公布详细的措施。这可能对拥有多个数据中心、可能需要在不同地点之间传输某些个人数据的公司造成影响。
•
除了有关个人隐私和数据安全的法律、法规和其他适用规则外,行业团体或其他私人方也可能提出新的和更严格的隐私实践标准。例如,《个人信息安全规范》要求数据控制者必须提供收集和使用个人信息的目的,要求数据控制者对其核心功能与附加功能进行区分,以确保数据控制者只会根据实际需要来收集个人信息。公司无法确保能够满足这些可能不断出现的新标准。
•
在全球市场战略下,公司业务会涉及到不同的司法管辖区,因而公司需受其个人信息保护法律和法规的约束,但公司可能无法及时调整内部政策以同时符合各管辖区的不同要求。例如,如果有欧盟境内的居民安装了装有公司SDK的APP,或公司的其他用户到欧盟境内旅行,则公司可能需要遵守GDPR的相关要求。
•
世界各地的监管机构近期正在制定或酝酿一系列有关数据保护的立法和监管提案,这些立法和监管提案如获通过,其解释和适用除了可能导致公司被罚款外,还可能会要求公司改变目前的数据业务实践,这可能对公司的业务产生不利影响。
•
中国监管机构越来越关注数据安全和数据保护领域的监管,公司预计这些领域将受到监管机构的更多关注,并吸引持续的或更多的公众监督和关注,这可能会增加公司的合规成本,并使公司面临数据安全和保护相关的更高风险和挑战。
•
中国不同监管机构(包括工信部、国家互联网信息办公室、公安部及国家市场监管局)执行的数据私隐和保护法律及法规有不同的标准和实施办法。执行数据私隐和保护法律存在不同标准或使企业难以确保全面遵守,且须耗费时间、动用资源处理各项合规检查,增加营运成本。
•
即使公司使用的是匿名化的设备层面的移动信息,该信息也仍然有可能被认定为中国《网络安全法》下的个人信息,从而需要符合相关规定和要求。中国法律法规中对于个人信息的收集、存储、使用、处理、披露和转移都有相关的规范要求,根据这些法律法规,互联网信息服务提供商在收集用户的个人信息前必须获得用户同意,并且不能收集与其提供的服务无关的个人信息,同时互联网信息服务提供商也必须就信息收集和使用的目的、方式和范围告知用户。
舆论风险
•
一些对公司收集、存储、处理和使用数据的做法的担忧(即使没有实际根据),也可能损害公司的声誉和业务经营。
•
对于公司平台的安全或隐私保护机制和政策的任何负面宣传,以及对公司提出的任何索赔或监管机关对公司的处罚,都会有损公司的公众形象、声誉以及业务发展。
•
如违反公司的网络安全措施,或公司的平台受到攻击而导致用户的个人信息遭受未经授权的入侵,公司的服务可能被视为不安全及不可靠。因此,用户可能会减少或停止使用公司的服务,可能有损公司的业务及经营业绩。
•
除监管规定外,消费者对数据隐私的态度也在不断演变,而消费者对公司收集其资料的忧虑可能对公司获取数据并改进其技术、产品和服务的能力造成不利影响。
第三方对公司的影响
•
公司无法保证其应用开发商和业务合作伙伴所采取的数据保护措施的有效性,其存在的网络安全漏洞可能导致公司客户信息泄露。
•
公司无法控制应用开发商及业务合作伙伴等第三方的具体活动,如果其行为违反了中国《网络安全法》或与保护个人信息相关的其他法律法规,或未能完全遵守与公司达成的服务协议,公司可能也会面临被处罚的风险。
•
第三方网上支付平台的运营安全及其收取费用的行为可能会对公司的业务产生重大不利影响。公司无法控制第三方网上支付供应商的安全措施,而公司所用网上支付系统出现安全漏洞或会令公司面临诉讼,并可能就未能保障客户保密信息产生负债。
•
受网络攻击愈发复杂、技术改进、黑客的专业水平提升、密码学或其他领域的新发现、软件缺陷或其他技术故障、雇员、承包商或供货商出错或渎职等威胁,公司未必能实施充分的预防措施或防止公司的预防措施受到损害或破坏,因此可能因防范或补救网络攻击而产生巨额成本。
•
外部人士可能试图诱骗雇员、用户或其他客户披露敏感信息,以取得公司的数据或公司用户或其他客户的数据或账户的权限,亦可能通过其他方式取得该等数据或账户的权限。
相关行业的特殊性合规风险