企业网络安全与数据保护合规建设 ——从合规运营到香港上市

序言

《企业网络安全与数据保护合规建设 ——从合规运营到香港上市（一）》梳理了我国网络安全与数据保护领域近期主要立法情况，本文将着重分析拟赴港上市企业运营阶段的数据合规要点以期为拟赴港上市的相关企业提供有益的参考。
二

企业运营阶段的数据合规要点

如果把企业从创立到IPO比作一场大考准备周期，那么申请IPO无疑是检验企业运营情况的重要考试，而企业运营所涉及的日常合规建设和相应的安全评估则构成了企业“赶考IPO”过程中必不可少的一系列基础学习和摸底测验。在目前监管趋紧的大背景下，企业日常运营中数据合规建设的规范程度将直接关系到企业IPO过程顺利与否。

（一）网络安全保护合规建设

基于《网络安全法》关于国家实行网络安全等级保护制度的要求，等保2.0标准将等级保护对象按照其重要程度以及一旦遭到破坏后对国家、社会、企业或个人造成危害的程度被划分为了五个等级（第五级为最高）。在确定等级保护对象具体适用的安全保护等级时，等保2.0标准要求就“受侵害的客体”以及“对客体的侵害程度”两个要素，对定级对象业务信息安全和系统服务安全两方面进行评估，综合确定定级对象的安全保护等级。定级要素与安全保护等级的关系如下图所示：

图片
点击可查看大图

等级保护对象定级工作流程分为如下步骤：确定定级对象、初步确定等级、专家评审、主管部门审核以及备案审核。安全保护等级初步确定为第一级的等级保护对象，其网络运营者可依据相应标准自行确定最终安全保护等级；初步确定为第二级及以上的，其网络运营者需要组织进行专家评审、主管部门核准和备案审核，最终确定其安全保护等级。基于不同的安全保护等级，等保2.0标准对等级保护对象的设计安全、等级评测和运行维护等方面均提出了相应的技术和管理要求。

对于重要领域或一旦遭到破坏可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，《网络安全法》进一步规定，在网络安全等级保护制度的基础上，对关键信息基础设施实行重点保护。9月1日生效的《关基保护条例》作为《网络安全法》的配套行政法规，明确了相关行业的主管部门、监督管理部门将负责结合行业实际情况制定本行业的关键信息基础设施认定规则，并根据认定规则负责组织认定本行业的关键信息基础设施。企业被认定为关键信息基础设施运营者后，需要在等保2.0标准的基础上，进一步采取技术和其他必要措施保障关键信息基础设施安全稳定运行，相关措施包括但不限于建立健全网络安全保护制度和责任制、设置专门安全管理机构并保障其经费和人员以及至少每年开展一次网络安全检测和风险评估等。

此外，《数安条例（意见稿）》要求处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，处理核心数据的系统依照有关规定从严保护。

（二）数据安全保护合规建设

《数据安全法》所规定的相关数据保护制度的核心是数据分类分级保护制度，而企业也应相应关注其日常运营中产生和处理的数据，是否涉及核心数据或重要数据。

《数安条例（意见稿）》对于核心数据的描述与《数据安全法》保持了一致，即“是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。对于重要数据，《数安条例（意见稿）》则基于相关数据的来源、性质和行业特点等维度，对重要数据进行了相应的列举说明，其中与一般企业业务密切相关数据的主要包括：出口管制数据，重点行业和领域（例如业、电信、能源、交通、水利、金融等）安全生产、运行的数据，达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据，关键信息基础设施建设运行及其安全数据等。

各地区及各部门将会依据《数据安全法》等相关规定制定和完善相应地区、部门及相关行业、领域重要数据和核心数据目录。目前我国国家标准《信息安全技术重要数据识别指南》正在制定过程中，相信未来随着《网络数据安全管理条例》的最终发布和实施，相应国家和行业重要数据识别指南体系也将会逐步完善，从而为企业判断其业务是否涉及重要数据提供相对明确的指导标准。

在《数据安全法》及《数安条例（意见稿）》所构成的框架下，若企业在日常业务中涉及到处理相关重要数据，企业在遵守一般数据保护义务的基础上，还需要额外遵守如下主要义务：

（1）明确数据安全负责人和管理机构，落实数据安全保护责任；

（2）在识别其重要数据后的十五个工作日内向设区的市级网信部门备案；

（3）系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，应使用密码对重要数据进行保护；

（4）共享、交易、委托处理、向境外提供重要数据的，应事先进行安全评估；

（5）共享、交易、委托处理重要数据的，应当征得设区的市级及以上主管部门同意，主管部门不明确的，应当征得设区的市级及以上网信部门同意；

（6）向境外提供在中华人民共和国境内收集和产生的重要数据，应当通过国家网信部门组织的数据出境安全评估；

（7）制定数据安全培训计划并组织相应培训；

（8）优先采购安全可信的网络产品和服务；以及

（9）自行或者委托数据安全服务机构每年开展一次数据安全评估，并在每年1月31日前上报上一年度数据安全评估报告，风险评估报告应至少保留3年。

除对重要数据的保护外，我们也建议企业对运营过程中处理的一般数据进行分类分级。2021年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》为企业就一般数据建立分类分级保护体系提供了基础性指导，企业可以参考该指引对所处理的一般数据进行妥当分类分级，并对不同级别的数据采取相适应的数据管理和保护措施。

（三）个人信息保护合规建设

拥有个人用户的各类企业在日常业务中通常会涉及处理大量个人信息，对于个人信息的保护也成为了相关企业在设计和运营相关产品和业务时的关注要点之一。对于个人信息保护合规建设，我们建议企业重点关注以下方面：

1、充分建立处理个人信息的合法性基础

《个人信息保护法》为企业处理个人信息提供了两类处理个人信息的基础，即基于个人同意的处理，或基于法律授权的处理。在基于法律授权处理个人信息的场景下，企业处理个人信息无需征得个人同意，其中最受广大企业关注的场景是“为订立、履行个人作为一方当事人的合同所必需”。

如何理解上述“必需”对于企业设计其产品交互页面至关重要，直接决定了其产品流程以及用户在使用其产品时的用户体验。由网信办、工信部、公安部及市监总局联合发布并于2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》（“《App必要个人信息规定》”）对于地图导航、网约车、即时通信、网络支付、网上购物等39类App所需必要个人信息（指保障App基本功能服务正常运行所必需的个人信息，缺少该信息App即无法实现基本功能服务）范围进行了规定，该等规定可以为企业判断其“订立、履行个人作为一方当事人的合同所必需”的信息范围提供参考。

但需要注意的是，该等信息范围仅为实现相应App基本功能服务所必需的个人信息范围，实践中App所实现的功能和所服务的业务场景可能是多种多样的，《App必要个人信息规定》所列相关个人信息可能无法满足企业和用户的实际需求。这种情况下，我们建议企业考虑基于特定行业相关法律法规具体要求以及《APP收集使用个人信息最小必要评估规范》等要求，对其业务所必需的个人信息的范围进行充分评估，并留存相应评估记录。

2、妥当落实“告知-同意”要求

《个人信息保护法》要求企业在处理个人信息之前应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项：

（1）个人信息处理者的名称或者姓名和联系方式；

（2）个人信息的处理目的、处理方式，处理的个人信息种类、保存期限；

（3）个人行使法律规定权利的方式和程序；以及

（4）法律、行政法规规定应当告知的其他事项。

为配合《个人信息保护法》的实施，工信部于该法生效当日（即11月1日）发布了《工业和信息化部关于开展信息通信服务感知提升行动的通知》（“《524行动通知》”），决定自该通知发布之日起到2022年3月底，开展信息通信服务感知提升行动。《524行动通知》在《个人信息保护法》的基础上进一步要互联网企业应以简洁、清晰、易懂的方式，向用户提供APP产品隐私政策摘要；涉及调用用户终端中相册、通讯录、位置等敏感权限的，还应当以适当方式告知用户调用该权限的目的，充分保障用户知情权。

企业基于个人同意处理个人信息的，应确保该等同意是由个人在充分知情的前提下自愿、明确作出。其中“自愿”即要求企业不得采用强迫、隐瞒等方式获取个人同意，“明确”一般应体现为个人通过书面声明或主动做出肯定性动作，对其个人信息进行特定处理做出明确授权的行为，包括主动勾选、主动点击等。此外，企业不得以改善服务质量、提升用户体验、研发新产品等为由，强迫个人同意处理其个人信息；也不得通过“捆绑授权”的方式一次获得用户对于多项服务的授权。

3、处理个人信息的特别要求

（1）处理敏感个人信息。《个人信息保护法》将敏感个人信息定义为一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。企业处理敏感个人信息应遵守如下额外规则：

（i）处理敏感个人信息应具有特定的目的和充分的必要性，并采取严格保护措施；

（ii）事前进行个人信息保护影响评估，并对处理情况进行记录；

（iii）向个人告知处理敏感个人信息的必要性以及对个人权益的影响；以及

（iv）取得个人的单独同意。

（2）向境外提供个人信息。基于《个人信息保护法》及《数安条例（意见稿）》，企业向境外提供在中国境内运营中收集和产生的个人信息，需要遵守如下额外规则：

（i）满足《个人信息保护法》规定的个人信息出境的前提条件（如通过网信部门组织的安全评估、经专业机构认证或与境外信息接收方签订网信部门制定的标准合同等）；

（ii）事先进行个人信息保护影响评估，并对处理情况进行记录；

（iii）向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法律规定权利的方式和程序等事项；

（iv）取得个人的单独同意；

（v）采取必要措施以保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准；以及

（vi）每年1月31日前编制数据出境安全报告，向设区的市级网信部门报告上一年度以下数据出境情况，并存留相关日志记录和数据出境审批记录三年以上。

针对上述（i）项相关要求，《数安条例（意见稿）》及10月29日发布的《数据出境安全评估办法（征求意见稿）》对于需要通过网信部门组织的数据出境安全评估的情形予以进一步细化，同时《数安条例（意见稿）》也规定了数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的，或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的，可以豁免上述第（i）项的相关要求。考虑到《数据出境安全评估办法（征求意见稿）》暂未对网信部门数据出境安全评估明确设置豁免条件，建议相关企业持续关注《数据出境安全评估办法（征求意见稿）》及《数安条例（意见稿）》的立法动态，并结合相关最终规定的要求判断是否需要进行相关数据出境安全评估。

（3）处理大量个人信息。《数安条例（意见稿）》要求：

（i）处理一百万人以上个人信息的数据处理者，应当遵守该条例对重要数据的处理者作出的相关规定；

（ii）对于用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的大型互联网平台运营者，该条例也要求其通过委托第三方审计方式，每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计，并披露审计结果；以及

（iii）日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的，应当经国家网信部门认定的第三方机构评估，并报省级及以上网信部门和电信主管部门同意。

（四）人工智能和算法合规建设

目前我国对AI监管总体的政策导向虽已就位，但仍缺少具体的落地方案和实施细则，监管发展相对滞后于技术的发展和应用。在我国政府支持和鼓励AI发展、抢占AI发展先机的大背景下，未来一段时间的立法和监管政策可能会更加注重平衡AI产业的发展速度和AI技术所带来的风险，我们可能会看到一些监管政策由粗到细、由缓到急逐步落地。

在AI伦理监管方面，我国在国家层面成立了国家科技伦理委员会，《关于加强互联网信息服务算法综合治理的指导意见》（“《算法治理指导意见》”）也进一步表明国家将建立算法备案制度，有序开展备案工作；该指导意见同时要求企业应建立算法安全责任制度和科技伦理审查制度，对算法应用产生的结果负主体责任。由此可见，我国对于AI社会伦理的监管已经逐步形成了从国家制度层面到企业执行层面的指导原则，结合我国到2023年初步建立人工智能标准体系的目标，相关监管细则要求可能会在未来2-3年内逐步完善和落地。

在AI产品和服务监管方面，《算法治理指导意见》将推进算法分级分类安全管理作为了互联网信息服务算法安全治理基本原则之一。据此理解，我国未来对于AI领域的监管，可能参照《网络安全法》、《数据安全法》和《个人信息保护法》中相关分类分级监管规则，基于AI技术的重要程度以及其一旦遭受破坏或恶意利用可能给国家、社会、企业和个人权益造成的损害程度，在监管层面将AI技术和系统进行分级，以对应不同的监管规则和措施，由此建立对于AI的分级分类监管体系。

面对AI行业的快速发展，国家层面的敏捷治理或将成为企业合规工作需要面临的新常态，而AI行业相关领域的立法和监管细节尚不成熟，也将导致企业在未来一段时间内会面临监管规则并不完全清晰的困境，这也对企业自主适应能力提出了挑战。此等情形下，企业管理层需要认识到不断变化和深化的监管规则会是未来一段时间内需要持续面对的问题之一。同时，企业要积极搭建企业内部的合规敏捷治理结构，建立不同组织层面的合作机制和沟通桥梁，快速应对不断深化的监管规则，同时对未来更高级AI的潜在风险持续开展研究和预判，做到知己知彼，方可百战不殆。