企业网络安全与数据保护合规建设 ——从合规运营到香港上市

序言

《企业网络安全与数据保护合规建设 ——从合规运营到香港上市(一)》梳理了我国网络安全与数据保护领域近期主要立法情况,本文将着重分析拟赴港上市企业运营阶段的数据合规要点以期为拟赴港上市的相关企业提供有益的参考。

企业运营阶段的数据合规要点

如果把企业从创立到IPO比作一场大考准备周期,那么申请IPO无疑是检验企业运营情况的重要考试,而企业运营所涉及的日常合规建设和相应的安全评估则构成了企业“赶考IPO”过程中必不可少的一系列基础学习和摸底测验。在目前监管趋紧的大背景下,企业日常运营中数据合规建设的规范程度将直接关系到企业IPO过程顺利与否。

(一)网络安全保护合规建设

基于《网络安全法》关于国家实行网络安全等级保护制度的要求,等保2.0标准将等级保护对象按照其重要程度以及一旦遭到破坏后对国家、社会、企业或个人造成危害的程度被划分为了五个等级(第五级为最高)。在确定等级保护对象具体适用的安全保护等级时,等保2.0标准要求就“受侵害的客体”以及“对客体的侵害程度”两个要素,对定级对象业务信息安全和系统服务安全两方面进行评估,综合确定定级对象的安全保护等级。定级要素与安全保护等级的关系如下图所示:

图片
点击可查看大图

等级保护对象定级工作流程分为如下步骤:确定定级对象、初步确定等级、专家评审、主管部门审核以及备案审核。安全保护等级初步确定为第一级的等级保护对象,其网络运营者可依据相应标准自行确定最终安全保护等级;初步确定为第二级及以上的,其网络运营者需要组织进行专家评审、主管部门核准和备案审核,最终确定其安全保护等级。基于不同的安全保护等级,等保2.0标准对等级保护对象的设计安全、等级评测和运行维护等方面均提出了相应的技术和管理要求。

对于重要领域或一旦遭到破坏可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,《网络安全法》进一步规定,在网络安全等级保护制度的基础上,对关键信息基础设施实行重点保护。9月1日生效的《关基保护条例》作为《网络安全法》的配套行政法规,明确了相关行业的主管部门、监督管理部门将负责结合行业实际情况制定本行业的关键信息基础设施认定规则,并根据认定规则负责组织认定本行业的关键信息基础设施。企业被认定为关键信息基础设施运营者后,需要在等保2.0标准的基础上,进一步采取技术和其他必要措施保障关键信息基础设施安全稳定运行,相关措施包括但不限于建立健全网络安全保护制度和责任制、设置专门安全管理机构并保障其经费和人员以及至少每年开展一次网络安全检测和风险评估等。

此外,《数安条例(意见稿)》要求处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。

(二)数据安全保护合规建设

《数据安全法》所规定的相关数据保护制度的核心是数据分类分级保护制度,而企业也应相应关注其日常运营中产生和处理的数据,是否涉及核心数据或重要数据。

《数安条例(意见稿)》对于核心数据的描述与《数据安全法》保持了一致,即“是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据”。对于重要数据,《数安条例(意见稿)》则基于相关数据的来源、性质和行业特点等维度,对重要数据进行了相应的列举说明,其中与一般企业业务密切相关数据的主要包括:出口管制数据,重点行业和领域(例如业、电信、能源、交通、水利、金融等)安全生产、运行的数据,达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据,关键信息基础设施建设运行及其安全数据等。

各地区及各部门将会依据《数据安全法》等相关规定制定和完善相应地区、部门及相关行业、领域重要数据和核心数据目录。目前我国国家标准《信息安全技术 重要数据识别指南》正在制定过程中,相信未来随着《网络数据安全管理条例》的最终发布和实施,相应国家和行业重要数据识别指南体系也将会逐步完善,从而为企业判断其业务是否涉及重要数据提供相对明确的指导标准。

在《数据安全法》及《数安条例(意见稿)》所构成的框架下,若企业在日常业务中涉及到处理相关重要数据,企业在遵守一般数据保护义务的基础上,还需要额外遵守如下主要义务:

(1)明确数据安全负责人和管理机构,落实数据安全保护责任;

(2)在识别其重要数据后的十五个工作日内向设区的市级网信部门备案;

(3)系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,应使用密码对重要数据进行保护;

(4)共享、交易、委托处理、向境外提供重要数据的,应事先进行安全评估;

(5)共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意;

(6)向境外提供在中华人民共和国境内收集和产生的重要数据,应当通过国家网信部门组织的数据出境安全评估;

(7)制定数据安全培训计划并组织相应培训;

(8)优先采购安全可信的网络产品和服务;以及

(9)自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前上报上一年度数据安全评估报告,风险评估报告应至少保留3年。

除对重要数据的保护外,我们也建议企业对运营过程中处理的一般数据进行分类分级。2021年12月31日发布的《网络安全标准实践指南——网络数据分类分级指引》为企业就一般数据建立分类分级保护体系提供了基础性指导,企业可以参考该指引对所处理的一般数据进行妥当分类分级,并对不同级别的数据采取相适应的数据管理和保护措施。

(三)个人信息保护合规建设

拥有个人用户的各类企业在日常业务中通常会涉及处理大量个人信息,对于个人信息的保护也成为了相关企业在设计和运营相关产品和业务时的关注要点之一。对于个人信息保护合规建设,我们建议企业重点关注以下方面:

1、 充分建立处理个人信息的合法性基础

《个人信息保护法》为企业处理个人信息提供了两类处理个人信息的基础,即基于个人同意的处理,或基于法律授权的处理。在基于法律授权处理个人信息的场景下,企业处理个人信息无需征得个人同意,其中最受广大企业关注的场景是“为订立、履行个人作为一方当事人的合同所必需”。

如何理解上述“必需”对于企业设计其产品交互页面至关重要,直接决定了其产品流程以及用户在使用其产品时的用户体验。由网信办、工信部、公安部及市监总局联合发布并于2021年5月1日起施行的《常见类型移动互联网应用程序必要个人信息范围规定》(“《App必要个人信息规定》”)对于地图导航、网约车、即时通信、网络支付、网上购物等39类App所需必要个人信息(指保障App基本功能服务正常运行所必需的个人信息,缺少该信息App即无法实现基本功能服务)范围进行了规定,该等规定可以为企业判断其“订立、履行个人作为一方当事人的合同所必需”的信息范围提供参考。

但需要注意的是,该等信息范围仅为实现相应App基本功能服务所必需的个人信息范围,实践中App所实现的功能和所服务的业务场景可能是多种多样的,《App必要个人信息规定》所列相关个人信息可能无法满足企业和用户的实际需求。这种情况下,我们建议企业考虑基于特定行业相关法律法规具体要求以及《APP收集使用个人信息最小必要评估规范》等要求,对其业务所必需的个人信息的范围进行充分评估,并留存相应评估记录。

2、妥当落实“告知-同意”要求

《个人信息保护法》要求企业在处理个人信息之前应当以显著方式、清晰易懂的语言真实、准确、完整地向个人告知下列事项:

(1)个人信息处理者的名称或者姓名和联系方式;

(2)个人信息的处理目的、处理方式,处理的个人信息种类、保存期限;

(3)个人行使法律规定权利的方式和程序;以及

(4)法律、行政法规规定应当告知的其他事项。

为配合《个人信息保护法》的实施,工信部于该法生效当日(即11月1日)发布了《工业和信息化部关于开展信息通信服务感知提升行动的通知》(“《524行动通知》”),决定自该通知发布之日起到2022年3月底,开展信息通信服务感知提升行动。《524行动通知》在《个人信息保护法》的基础上进一步要互联网企业应以简洁、清晰、易懂的方式,向用户提供APP产品隐私政策摘要;涉及调用用户终端中相册、通讯录、位置等敏感权限的,还应当以适当方式告知用户调用该权限的目的,充分保障用户知情权。

企业基于个人同意处理个人信息的,应确保该等同意是由个人在充分知情的前提下自愿、明确作出。其中“自愿”即要求企业不得采用强迫、隐瞒等方式获取个人同意,“明确”一般应体现为个人通过书面声明或主动做出肯定性动作,对其个人信息进行特定处理做出明确授权的行为,包括主动勾选、主动点击等。此外,企业不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息;也不得通过“捆绑授权”的方式一次获得用户对于多项服务的授权。

3、处理个人信息的特别要求

(1)处理敏感个人信息。《个人信息保护法》将敏感个人信息定义为一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。企业处理敏感个人信息应遵守如下额外规则:

(i)处理敏感个人信息应具有特定的目的和充分的必要性,并采取严格保护措施;

(ii)事前进行个人信息保护影响评估,并对处理情况进行记录;

(iii)向个人告知处理敏感个人信息的必要性以及对个人权益的影响;以及

(iv)取得个人的单独同意。

(2)向境外提供个人信息。基于《个人信息保护法》及《数安条例(意见稿)》,企业向境外提供在中国境内运营中收集和产生的个人信息,需要遵守如下额外规则:

(i)满足《个人信息保护法》规定的个人信息出境的前提条件(如通过网信部门组织的安全评估、经专业机构认证或与境外信息接收方签订网信部门制定的标准合同等);

(ii)事先进行个人信息保护影响评估,并对处理情况进行记录;

(iii)向个人告知境外接收方的名称或者姓名、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使法律规定权利的方式和程序等事项;

(iv)取得个人的单独同意;

(v)采取必要措施以保障境外接收方处理个人信息的活动达到我国《个人信息保护法》规定的个人信息保护标准;以及

(vi)每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况,并存留相关日志记录和数据出境审批记录三年以上。

针对上述(i)项相关要求,《数安条例(意见稿)》及10月29日发布的《数据出境安全评估办法(征求意见稿)》对于需要通过网信部门组织的数据出境安全评估的情形予以进一步细化,同时《数安条例(意见稿)》也规定了数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的,可以豁免上述第(i)项的相关要求。考虑到《数据出境安全评估办法(征求意见稿)》暂未对网信部门数据出境安全评估明确设置豁免条件,建议相关企业持续关注《数据出境安全评估办法(征求意见稿)》及《数安条例(意见稿)》的立法动态,并结合相关最终规定的要求判断是否需要进行相关数据出境安全评估。

(3)处理大量个人信息。《数安条例(意见稿)》要求:

(i)处理一百万人以上个人信息的数据处理者,应当遵守该条例对重要数据的处理者作出的相关规定;

(ii)对于用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的大型互联网平台运营者,该条例也要求其通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果;以及

(iii)日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。

(四)人工智能和算法合规建设

目前我国对AI监管总体的政策导向虽已就位,但仍缺少具体的落地方案和实施细则,监管发展相对滞后于技术的发展和应用。在我国政府支持和鼓励AI发展、抢占AI发展先机的大背景下,未来一段时间的立法和监管政策可能会更加注重平衡AI产业的发展速度和AI技术所带来的风险,我们可能会看到一些监管政策由粗到细、由缓到急逐步落地。

在AI伦理监管方面,我国在国家层面成立了国家科技伦理委员会,《关于加强互联网信息服务算法综合治理的指导意见》(“《算法治理指导意见》”)也进一步表明国家将建立算法备案制度,有序开展备案工作;该指导意见同时要求企业应建立算法安全责任制度和科技伦理审查制度,对算法应用产生的结果负主体责任。由此可见,我国对于AI社会伦理的监管已经逐步形成了从国家制度层面到企业执行层面的指导原则,结合我国到2023年初步建立人工智能标准体系的目标,相关监管细则要求可能会在未来2-3年内逐步完善和落地。

在AI产品和服务监管方面,《算法治理指导意见》将推进算法分级分类安全管理作为了互联网信息服务算法安全治理基本原则之一。据此理解,我国未来对于AI领域的监管,可能参照《网络安全法》、《数据安全法》和《个人信息保护法》中相关分类分级监管规则,基于AI技术的重要程度以及其一旦遭受破坏或恶意利用可能给国家、社会、企业和个人权益造成的损害程度,在监管层面将AI技术和系统进行分级,以对应不同的监管规则和措施,由此建立对于AI的分级分类监管体系。

面对AI行业的快速发展,国家层面的敏捷治理或将成为企业合规工作需要面临的新常态,而AI行业相关领域的立法和监管细节尚不成熟,也将导致企业在未来一段时间内会面临监管规则并不完全清晰的困境,这也对企业自主适应能力提出了挑战。此等情形下,企业管理层需要认识到不断变化和深化的监管规则会是未来一段时间内需要持续面对的问题之一。同时,企业要积极搭建企业内部的合规敏捷治理结构,建立不同组织层面的合作机制和沟通桥梁,快速应对不断深化的监管规则,同时对未来更高级AI的潜在风险持续开展研究和预判,做到知己知彼,方可百战不殆。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/10173.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

PatchMatchNet运行eth3d数据集重建 实操教程(图文并茂、超详细)、bash eval.sh脚本文件解释说明

文章目录 1 准备工作1.1 下载源码1.2 测试集下载1.2 配置环境2 eth3d 数据集 重建演示2.1 重建效果查看3 补充 测试列表定义4 Meshlab查看三维点云时 ,使用技巧总结1 Meshlab查看三维点云时 ,换背景颜色2 Meshlab查看三维点云时,点云颜色很暗淡,怎么调亮3 Meshlab和CloudCo…

Jenkins 还可以支持钉钉消息通知?一个插件带你搞定!

Jenkins 作为最流行的开源持续集成平台,其强大的拓展功能一直备受测试人员及开发人员的青睐。大家都知道我们可以在 Jenkins 中安装 Email 插件支持构建之后通过邮件将结果及时通知到相关人员。 但其实 Jenkins 还可以支持钉钉消息通知,其主要通过 Ding…

Log4j源码解析

Log4j源码解析 主要流程 Logger logger Logger.getLogger(Main.class); 1、通过Logger.getLogger(Class clazz) 或 Logger.getLogger(String name)进入。 2、加载LogManager进jvm, 执行静态代码块执行初始化, 创建出RepositorySelector实例及LoggerRepository实例(Hierarchy…

vue3响应式最大的特点

趋于面向对象编程,和Java很像,以前v-model可以使用,但是现在不是了。 let postsreactive({attrs:[],name:列表}) 任何东西,都先扔到一个对象里面 页面使用也不需要posts.name这样一堆点,直接{{name}}可以使用一个很方便的方法甩…

如何提高自动化测试覆盖率

实施自动化测试最重要的就是要保证其可用性,而不少同学写了不少自动化测试用例,但感觉到其可用性不高。究其原因,不是自动化测试本身的问题,是实施自动化测试的时候没有考虑周全。 第一,不合事宜地引入自动化测试 在公…

C语言实现扫雷

今天用C语言写一个扫雷的代码 扫雷其实和我们之前写的三子棋有点相似,首先是打印菜单,进行选择 我们还是像之前一样有三个文件,一个是game.h game.c test.c test.c实现我们的扫雷逻辑 gam.c实现我们的游戏需要的函数 game.h来声明 那么我们首…

轻量级Web报表工具ActiveReportsJS全新发布v4.0,支持集成更多前端框架!

ActiveReportsJS 是一款基于 JavaScript 和 HTML5 的轻量级Web报表工具,采用拖拽式设计模式,不需任何服务器和组件支持,即可在 Mac、Linux 和 Windows 操作系统中,设计多种类型的报表。ActiveReportsJS 同时提供跨平台报表设计、纯…

将Python远控隐藏在文档图片中的行动分析

1、概述 ** **近日,安天CERT通过网络安全监测发现了一起恶意文档释放Python编写的远控木马事件。通过文档内容中涉及的组织信息和其中攻击者设置的诱导提示,安天CERT判断该事件是一起针对阿塞拜疆共和国国家石油公司进行的定向攻击活动。此次事件中&…

godot引擎c++源码深度解析系列二

记录每次研究源码的突破,今天已经将打字练习的功能完成了一个基本模型,先来看下运行效果。 godot源码增加打字练习的demo 这个里面需要研究以下c的控件页面的开发和熟悉,毕竟好久没有使用c了,先来看以下代码吧。 //第一排 显示文本…

13、ffmpeg使用nvidia显卡对OAK深度相机进行解码和编码

基本思想:简单使用nvidia的硬件解码进行oak相机的编码和解码学习 一、在本机rtx3060配置好显卡驱动和cuda之后进行下面操作50、ubuntu18.04&20.04CUDA11.1cudnn11.3TensorRT7.2/8.6Deepsteam5.1vulkan环境搭建和YOLO5部署_ubuntu18.04安装vulkan_sxj731533730的…

README.md 文档使用 treer 生成树形项目结构

一、前言 前后端编写 README.md 文档的时候,常常需要描写项目的结构,使用 tree 命令生成的目录又不能忽略某个目录,不方便。后来我找到了可以忽略某些目录的 treer命令 ,特此记录一下: 二、使用 treer 生成项目结构 全局安装tr…

Redis 基础知识和核心概念解析:探索 Redis 的数据结构与存储方式

🌷🍁 博主 libin9iOak带您 Go to New World.✨🍁 🦄 个人主页——libin9iOak的博客🎐 🐳 《面试题大全》 文章图文并茂🦕生动形象🦖简单易学!欢迎大家来踩踩~&#x1f33…

攻略|如何成为Moonbeam收集人

Moonbeam与其他PoS机制EVM公链类似,仰赖节点的运营保持网络的顺利运行以及安全。Moonbeam作为同时兼容Substrate和以太坊API的开发平台,同以太坊主网相比仍存在差异。 在Moonbeam的生态中,节点运营者被称为收集人,负责收集来自Mo…

SQLite的应用

2023年7月27日 据我所知,使用了SQLite数据库的软件有: 火狐浏览器Joplin 火狐浏览器 火狐浏览器用SQLite数据库来存储历史记录、访问过的网址等。 Joplin Joplin是GitHub上一个很火的开源记事本软件, Joplin用SQLite来存储笔记里面的文…

Python-Go python模块与包 - GO问题 - GO容量测试

目录 go 模块与包复习(Init函数 - go mod) init函数有什么用?init函数是什么? go.mod文件是什么?有什么作用? python的模块与包 python中包的分类 1、内置模块:不需要安装,直接…

前端工作中常用 CSS 知识点整理

1.1文字溢出省略号 文字单行溢出: overflow: hidden; // 溢出隐藏 text-overflow: ellipsis; // 溢出用省略号显示 white-space: nowrap; // 规定段落中的文本不进行换行 多行文字溢出: overflow: hidden; // 溢出隐藏 text-overflow: …

C# 反汇编 dnSpy

反汇编工具&#xff1a;dnSpy 常见问题&#xff1a; 1、遇到反汇编结果为<PrivateImplementationDetails>&#xff0c;报错不能有尖括号。解决方法&#xff0c;在dnSpy中复制出这个类&#xff0c;就可以去掉尖括号去使用了。 2、componentResourceManager&#xff0c;…

Java电子招投标采购系统源码-适合于招标代理、政府采购、企业采购

功能描述 1、门户管理&#xff1a;所有用户可在门户页面查看所有的公告信息及相关的通知信息。主要板块包含&#xff1a;招标公告、非招标公告、系统通知、政策法规。 2、立项管理&#xff1a;企业用户可对需要采购的项目进行立项申请&#xff0c;并提交审批&#xff0c;查看…

【简单认识MySQL主从复制与读写分离】

文章目录 一、MySQL主从复制1、配置主从复制的原因&#xff1a;2、主从复制原理1、 MySQL的复制类型2、 MySQL主从复制的工作过程;1、 MySQL主从复制延迟2、优化方案&#xff1a;3、 MySQL 有几种同步方式&#xff1a; 三种4、异步复制&#xff08;Async Replication&#xff0…

【宝藏系列】20个常用的Python技巧

【宝藏系列】20个常用的Python技巧 文章目录 【宝藏系列】20个常用的Python技巧&#x1f349;文末推荐【Python之光】 Python的可读性和简单性是其广受欢迎的两大原因&#xff0c;本文介绍20个常用的Python技巧来提高代码的可读性&#xff0c;并能帮助你节省大量时间&#xff0…