四:任何一家企业上市,需要经历自查-整改-他查-答复-应对-证明-整改等过程,但总的来说,需要特别注意以下具体事项:
1.认证资质:认证周期正常来说数月不等,包括等保、ISO、备案、合规检测等,有些事情可以刀到脖子再缩脖子,有些真的来不及。我们都知道等级保护是硬性要求,当需要的时候再去做等保,至少会影响整个进程。另外资质知证书比解释说明更有说服力,拿港股上市来说,一个ISO27001比一万字的信息安全体系说明有价值,也更有说服力。
2.组织架构:安全委员会、数据合规委员会需要提前建立,并且要在重要会议体现纪要,包括人员、工作安排、意识贯彻、资源投入等,重点说三遍:有任命书、有制度文件、有会议记录;需要有专门数据安全责任人和组织机构。
3.合规和隐私:合规和隐私肯定是上市需要重点对待的,全球都把隐私作为了重点治理对象,基本是一票否决;例如直播,要么下掉要么符合直播啊要求;网站,要么有备案,要么消失;隐私保护更是贯彻整个产品周期。务必提前关注,因为合规和隐私设计产品的设计、研发、测试、上线,需要更多的时间和资源,提前关注更有助于推动上市进程。
4.数据安全:数据安全是基本要求了,一般包括两大类密码技术,加密、脱敏;然后会对数据的分类分级管理、隔离、使用、全生命周期管理、协作等提出管理性要求。
5.安全技术防线:应该采取多种网络安全技术措施,包括加密技术、防火墙、入侵检测和防范系统、防病毒、WAF、漏扫等等基础安全能力,体现企业对安全的关注和义务。
6.制定网络安全管理制度并开展网络安全意识教育:应该针对不同岗位的员工,开展网络安全意识教育和培训,提高员工对网络安全的认识和保护意识,并推广相关制度流程的贯彻。
1)网络安全通报:例如来自网信办、工信部、通管局等的app合规风险、数据泄露等通报。
2)知识产权纠纷:在上市阶段,各种想打秋风的企业会出现,这里不点名了,相信经历过上市的都知道,需要提前做准备,也需要强势、善于沟通的人依据企业实情去进行协调。知识产权侵权风险排查包括产品专利侵权风险、商业秘密纠纷、软件著作权,最多的风险还是办公软件侵权,在公司运营中相当普遍,尤其是对软件下载管理不严格的公司。企业可通过定期监测内部办公软件的使用情况,持续加大对企业员工使用正版软件的宣传教育来解决,相比较其他,概率高,但风险小,可通过小成本解决。但如果公司主要产品遭遇大规模专利侵权诉讼,发行人将面临核心技术停止使用、承受巨额损失等风险,公司上市进程也将放缓甚至暂停。
3)劳动仲裁:劳动仲裁对企业上市基本没多大影响,在某些情境下会对上市公司是有一定影响的,这种影响是民事权利义务上的影响而一般不涉及行政或者刑事。员工如果因为与公司存在劳动争议而向劳动仲裁委申请劳动仲裁,则仲裁委受理后,公司将成为劳动仲裁的被申请人,需要参与到仲裁当中,并且受到劳动仲裁的裁决的约束。可能会需要对劳动者进行经济上的补偿、赔偿或其他。
4)商业纠纷:经济纠纷肯定或多或少会影响公司上市,尤其是纠纷对公司的正常经营或者未来收益产生很大影响的话,就更会耽误公司上市,是需要重点管控的。
五、拟赴港上市企业的其他数据合规要点总结(此部分主要参考孟洁律师团队文刊):
根据监管实践,拟赴香港上市的企业主体除关注可能面临网络安全审查的风险外,还应关注以下要点,尽早打造符合企业自身情况的合规计划。
(一)完善数据安全与内控管理体系
对于拟赴港上市的企业主体而言,建立健全数据安全与内控管理体系是监管机构的关注重点。例如,上市审查机构在数据内控体系方面的部分问询示例如下:(1)请发行人说明数据获取、使用、处理等内部控制制度及执行情况;(2)发行人是否就业务所涉及的个人隐私信息、数据等建立了完整的制度,有效确保所管理信息的合规使用;(3)发行人是否建立完善的防泄漏和保障网络安全的内部管理制度,制度是否有效。
有鉴于此,拟赴港上市企业主体应当建立包括但不限于以下网络安全、数据安全与个人信息保护的有关制度,同时完善自身内控体系:数据保护组织架构及职责管理制度、网络安全、数据安全、个人信息安全事件应急响应制度、数据处理权限管控制度、数据分类分级保护制度、数据(包括个人信息)共享(包括向第三方提供、从第三方获取)管理制度、数据(包括个人信息)出境管理制度、数据(包括个人信息)审计制度、重要数据保护制度、个人信息保护管理制度、个人信息安全影响评估制度等。
(二)将制度落实到具体的业务流程
除建立健全有关制度外,监管机构及上市审查机构均对制度的具体落实情况给予了重视,例如对部分发行人上市申请的审查问询中直接问及“内部控制制度执行情况”以及“公司是否建立数据保护影响评估流程,并将该评估流程引入任何新的业务流程或系统。”
随着公司业务的逐渐信息化,几乎所有公司的相关业务均涉及网络和数据的处理。以往的传统公司,例如酒类、奶粉、成衣类,也已纷纷推出自己的App、小程序来适应当前人们的购物习惯。而针对科技公司而言,其处理的个人数据量级往往更大、处理的字段、目的与方式更具备多样性,则可能需要额外考虑所掌握的数据量级上是否会触发认定为重要数据、字段类型上需要额外考虑是否会涉及敏感个人信息、生物识别信息等、处理个人信息的目的是否涉及自动化决策、算法等具有额外规定的情况。此外,对于拟赴港上市的企业应当注意在实际运营中落实公司制定的数据安全及内控制度,并根据各业务线具体情况推行制度落地。
同时,拟赴港上市企业应当格外重视法律法规所规定的有关制度落实的合规要求,此点也为各业务线落实数据合规制度的重中之重。例如,在涉及《个人信息保护法》所规定的相应情形时(如处理敏感个人信息、向第三方处理者提供个人信息),切实地推进个人信息保护影响评估,落实法律规定及自身制度要求。又如,按照《个人信息保护法》与审计制度要求,定期对企业各业务线的个人信息处理活动根据法律、行政法规的要求进行合规审计。
(三)关注国内外形势以及相关监管政策变化
近年来,有关网络安全、数据安全与个人信息保护的各层级规范性文件频繁发布,拟赴港上市企业在关注自身合规建设的同时,应当关注监管部门对境内外资本市场的政策动向与执法动态。例如,除应当关注自身是否涉及申报网络安全审查,还应当注意业务资质及业务合规性方面是否存在明显瑕疵;对于明显瑕疵,其可能构成相关行业主管部门提供“认可”意见的障碍,因而公司的“披露”并无法彻底解决问题,并可能进而导致公司无法完成境外上市备案。又如,在App的个人信息处理方面,除了需要继续关注“App”的监管要求与合规措施外,根据监管部门已经发布的通报案例以及近期几份监管文件中对“移动互联网应用程序”属性的确认来看,“小程序”也已经受到监管的高度关注。因此,建议相关运营主体也应当参照App监管要求落实小程序个人信息保护合规,以避免在上市前或上市过程中出现因小程序违法违规收集个人信息而被监管机构通报的事件。
同时,拟赴香港上市的企业也应当关注香港的相关法律规则。例如,香港联交所指引信《有关在上市文件中披露不合规事项的指引》(HKEX-GL63-13)将不合规事件分为三类,即“重大不合规事件”、“系统性不合规事件”以及“非重要的不合规事件”,拟上市企业应当根据事件的具体分类采取“披露”或“修正”等应对措施。总之,及时关注我国与拟上市地监管机构的监管动态有利于企业评估潜在风险并作出更好的选择。
(四)加强与监管机构的良性沟通
对于拟赴港上市的企业而言,除关注公开的监管动态与执法案例外,针对自身商业模式开展与监管机构的良性沟通也是明确监管具体要求的重要手段。目前,上市审查机构在审查拟上市公司涉及数据的业务经营风险方面,主要会关注数据使用权益、数据商业化模式的合规性,包括公司数据资产权益边界界定的合法合规性,是否涉及侵犯公民个人信息犯罪,是否协助或变相协助客户侵犯第三方商业秘密或个人信息安全等。
同时,企业应当就所处的行业领域与相关主管部门的监管机构保持沟通,针对不明确的重点难点问题及社会热点问题,主动及时沟通以消除不确定性带来的隐患。例如,汽车行业可能涉及地理位置数据、医药行业涉及人类遗传资源数据、金融行业涉及经济类数据、能源行业涉及国家资源与产能数据。相关领域的企业主体应当注意与网信部门、该企业行业主管部门、拟上市地监管部门以及其他相关部门开展综合性的沟通,以避免因某一环节的遗漏而导致上市计划遇挫或者延期。
“虽然未来藏在迷雾中,叫人看来胆怯,但当你踏足其中,就会云开雾散。”
随着《审查办法》的正式生效并实施以及《网数条例(征求意见稿)》等规范性文件的发布,网络安全审查制度的框架及要求均已逐渐清晰。对于上市企业主体而言,应当注意比照《审查办法》第十条审视自身业务是否涉及国家安全风险因素。网络安全审查已成为拟上市的企业主体的必须面对的新课题,应当引起足够的重视。
此外,企业也不能忽视上市前的数据合规实施工作、完善评估及内外部审计的制度和流程,同时,对监管政策动态的把握以及与监管部门展开积极有效的沟通也是拟上市企业应格外关注和采取的措施。这些工作的有效推进与落实,一方面,可以更好地促进企业在上市过程中与保荐人、中介机构展开沟通,另一方面,整体而全面地开展数据合规工作,可以助力企业较为从容地面对日益强劲且高发的数据合规监管。
总之,网络安全是上市前、中和上市后的公司面临的一项重要挑战。只有通过加强网络安全意识、制定科学合理的网络安全管理制度,以及采取多层次、全方位的网络安全防护措施,上市公司才能更好地保护自己的信息资产和业务系统,提高公司整体的网络安全防御能力。只有保护好自身的网络安全,上市公司才能保持稳定发展,赢得更多投资者的信任和支持。
张坤,ID:破天,UAB硕士研究生,硕士研究生导师。公众号、星球:kksecurity。从业十五年,曾就职于国企、证券银行业、出行行业、健康医疗行业等,曾就职于多家上市企业,擅长企业安全及合规性治理、企业安全能力建设等,丰富的规划、建设、运营、优化能力,经历多家企业上市之路,持有二十余认证,参与主导多个国标、行标、团标编写,持有多个安全相关专利、软著。
安全村始终致力于为安全人服务,通过博客、文集、专刊、沙龙等形态,交流最新的技术和资讯,增强互动与合作,与行业人员共同建设协同生态。
原文始发于微信公众号(安全村SecUN):网络安全可以为企业上市做点什么? | 企业上市的网络安全与合规系列(下)
评论