近年來,隨著數字經濟的蓬勃發展,數據合規問題更加突出。自《數據安全法》和《個人信息保護法》正式實施以來,也意味著國家對數據安全合規的監管力度正在逐步加強。同時,在數字時代,越來越多的企業在日常業務運營中面臨數據處理的需求,因此數據合規成為近年來IPO審核過程中的高頻問題之一。
Part.1
IPO審核關注的數據合規問題
發行人是否已建立有效的內部控制制度,以確保業務發展所涉及的數據的合規性;
發行人各項業務中所獲取的各類信息數據的具體儲存方式及期限、使用方式及用途,是否存在超出數據獲取協議或隱私政策的情形;
數據交易對手方是否具有獲取、使用、銷售數據的資質,該等數據來源是否合法,該類業務模式是否合規;
在相關產品的推廣、使用過程中,發行人的經營活動、個人信息的處理(含收集、存儲、使用、加工、傳輸、提供、公開、刪除等)、發行人履行的義務是否符合《個人信息保護法》的相關要求及合規性;
公司是否存在關于數據合規方面的負面報道或新聞,請發行人梳理并進一步說明是否有足夠、有效的措施保障公司(及其員工)數據方面的合法合規性。
除了針對一些常規性問題進行問詢外,IPO審核機構還會特別關注:
>>發行人是否涉及跨境或海外數據業務;
>> 發行人與相關主體在數據處理方面是否存在數據合規問題及合作機制,這些數據處理可能涉及發行人以外的數據處理,如供應商和客戶;
>> 以數據收集、處理等活動為經營模式的企業是否會受到《數據安全法》和《個人信息保護法》的影響;
>> 金融、醫療、人工智能等重點行業可能涉及敏感數據的數據安全問題。
Part.2
IPO企業如何應對數據合規審查
結合現行法律法規及IPO審核問詢情況,擬上市公司在日常運營過程中,如涉及數據處理活動,應注意以下事項:
(一)根據法律法規取得資質
企業要確定其在數據安全領域的身份以及基于業務實質收集和使用的數據的性質,需要及時獲得相關資質或進行預審。例如,根據《關鍵信息基礎設施安全保護條例》和《網絡安全審查辦法》,關鍵信息基礎設施運營者應當進行網絡安全審查。
(二)遵循數據處理的基本原則
根據《網絡安全法》、《數據安全法》等相關規定,收集和使用個人信息的,應當遵循合法、正當、必要原則,公開收集、使用規則,明示收集、使用信息的目的、方式和范圍,并經被收集者同意。
(三)完善數據安全管理規范
數據安全涵蓋數據處理的方方面面,包括數據采集、存儲、使用、處理、傳輸、提供等一系列環節,企業應針對每個環節制定有針對性的管理規范,加強數據處理各個環節的合規性,例如:按照“最小必要”原則收集數據和個人信息,建立供應商數據來源審查機制,建立健全數據存儲機制在存儲敏感信息時采用加密等安全措施等。
(四)采用技術防護手段,保證數據安全
企業應當通過技術手段建立對數據的網絡隔離措施、數據權限管理、數據脫敏、數據加密、數據溯源及備份等,保證數據安全。
(五)加強內部人員的管理與培訓
擬上市企業應加強對內部員工在數據安全方面的控制。例如,簽署嚴格、細致的保密協議,請數據安全服務機構進行安全意識培訓,定期開展數據安全應急處理活動等。
數據合規是企業合規的重要組成部分,企業可以進行數據合規體檢,識別整個數據供應鏈的風險, 盡早進行合規整改來應對機構審查與監管。
敏捷科技已累計為近800余家上市公司提供了合法合規的數據安全產品和咨詢服務。未來,在數據安全法等法律法規的嚴格監管下,敏捷將立足于企業需求,發揮自身技術優勢與項目經驗,助力更多企業的數字化轉型與長遠發展。
★ 為助力更多企業建設合法合規、統一高效的數據安全防護體系,敏捷科技現開展數據安全與數據管理系列“公益培訓”,請有意向的相關單位及企業掃描下方敏捷小助手二維碼與我們聯系獲取更多活動細節~
18120179909
關注敏捷小助手,了解更多