作者：薯條三兄弟

來源：大隊長金融（ID:captain_financial)

防范數據風險的難點在于，數據處理的每個節(jié)點：收集、存儲、使用、加工、傳輸、提供、公開、刪除都可能成為數據安全的雷點。

監(jiān)管部門顯然也意識到了這一點。

2021年，《個人信息保護法》和《數據安全法》相繼實施，與《網絡安全法》共同構建了個人信息保護、數據與網絡安全的監(jiān)管框架；在此基礎上，各類配套法規(guī)、國家標準、技術指南不斷提升監(jiān)管的精細度。

對于通過互聯網平臺(如APP、小程序、軟件開發(fā)應用包(SDK))或者智能硬件設備等方式收集及處理個人信息的企業(yè)而言，數據泄露的風險顯著高于其他行業(yè)。從工信部2021年通報的1680款APP及網信辦2021年通報的695款APP案例來看，網絡安全的監(jiān)管部門最為關注的也是這類企業(yè)。其中需要重點關注的包括互聯網消費平臺、金融科技平臺、先進制造業(yè)企業(yè)。

在涉及這類企業(yè)的投資并購中，我們需要對個人信息流轉的全鏈路予以重點關注。

實踐中容易忽視的一個技術細節(jié)是“數據處理者”的識別。出于ICP經營資質和分散風險的考慮，互聯網平臺的運營及平臺上的產品提供，往往由集團內的多個法人主體分工完成。另一種常見的情形，出于數據融合的考慮，集團內多個法人主體收集個人信息后，再委托同一個主體(往往是體系內科技公司)進行深度處理。界定“共同處理”、“委托處理”的數據鏈路，識別主要的“數據處理者”是厘清數據盡調對象，提升項目效率的關鍵步驟。

另外，國家標準化管理委員會制定的“國家標準”及行業(yè)主管部門制定的“技術規(guī)范”也會成為重要的法律依據。例如《個人金融信息保護技術規(guī)范》對于“個人身份信息”和“金融交易信息”進行了界定，兩者在“數據共享和委托處理”中會適用不同的合規(guī)要求，在盡調中對個人信息的內容和對應的個人信息處理場景就需要仔細甄別；再比如國標文件《信息安全技術汽車采集數據的安全要求》正在征求意見的階段，對于智能汽車采集的數據，細分為車外數據及座艙數據。當車外數據包含了外部環(huán)境的人臉、車牌等個人信息時，這類數據的處理也會受到更嚴格的要求。

最后，綜合《網絡安全審查辦法》、《互聯網平臺分類分級指南(征求意見稿)》、《互聯網平臺落實主體責任指南(征求意見稿)》的規(guī)定，對于年度活躍用戶不低于5000萬的目標企業(yè)(大型互聯網平臺)或者處理掌握超過100萬用戶個人信息的目標企業(yè)，適用的數據合規(guī)義務也會顯著提高，相應地也需要提高數據盡調的顆粒度。

從事數據挖掘、分析處理并輸出數據服務的企業(yè)

市場中的另一類玩家，并不直接收集用戶的個人信息，也不面向個人用戶提供產品，這類企業(yè)通常面向機構用戶提供軟件服務、云平臺服務、數據咨詢等基于數據的行業(yè)解決方案。其中需要重點關注的包括生命醫(yī)療行業(yè)(比如新藥研發(fā)，CXO，互聯網醫(yī)療，醫(yī)療人工智能等等)和大數據(人工智能)行業(yè)。

回溯數據鏈路的上游，我們會發(fā)現這類企業(yè)一方面可能通過爬蟲等技術獲取其他機構的公開數據，另一方面可能與其他機構建立合作獲取數據，再基于自身的大數據分析和算法模型，形成特定行業(yè)的解決方案。

在涉及這類企業(yè)的投資并購中，我們需要對數據鏈路的上游予以特別關注。

最后，隨著《關于加強互聯網信息服務算法綜合治理的指導意見》及相關規(guī)定的頒布，算法的安全治理、分類分級和備案制度也會逐步確立，算法自身的合規(guī)性也會成為數據盡調中的新的關注事項。

涉及關鍵信息基礎設施的企業(yè)

根據2021年《關鍵信息基礎設施安全保護條例》的定義，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業(yè)等重要行業(yè)和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統(tǒng)等。

事實上，2016年《網絡安全法》第一次提出關鍵信息基礎設施的概念時，市場普遍缺乏直觀的認識。經過近幾年的摸索實踐，今年已有部分金融機構向我們反饋，其接到了行業(yè)主管部門和公安部門的認定，成為了關鍵信息基礎設施的運營者(CIIO)。由此我們預計CIIO認定工作在上述的各個重要行業(yè)和領域會逐步落地。

如果目標企業(yè)成為關鍵信息基礎設施的運營者，那么對應的數據合規(guī)義務會升格成最高等級，例如CIIO在中國境內運營中收集和產生的個人信息和重要數據需要在境內存儲，如果確需向境外提供的，需要按照國家網信等部門制定的辦法進行安全評估。因此，境外投資者進入中國市場，除了考慮外商投資產業(yè)準入的要求，現在還需要進一步考慮被投企業(yè)的“數據身份”，預判數據跨境流動是否可行。要特別注意，采用VIE結構的協(xié)議控制，也需要遵循數據跨境傳輸的合規(guī)義務。

02/ 如何進行專項數據盡調?——以生命醫(yī)療行業(yè)數據合規(guī)盡調為例

• 準備盡調問卷
• 盡調訪談和溝通
• 核查盡調資料
• 出具盡調報告(含合規(guī)差距分析及整改建議)
• 協(xié)助目標企業(yè)完成整改

通常情況下，完整的專項數據盡調問卷會涵蓋“個人信息保護”、“數據合規(guī)”與“網絡安全”三個部分，如下圖所示，我們常用的主表一共31頁，約9700字，另有其他附件表格配套使用。

我們也充分考慮到不同投資項目對于盡調時間和業(yè)務偏重的關注不同，可以將該問卷進行模塊化拆拼和調整（類似樂高組建的插拔），針對不同的行業(yè)適配本行業(yè)業(yè)務特點的盡調問卷，實現高效率發(fā)現未來影響投資項目退出路徑的重大合規(guī)瑕疵并為后續(xù)交易文件起草和交割條件設置提供工作基礎。

與傳統(tǒng)法律盡調稍有不同，在專項數據盡調的訪談和溝通環(huán)節(jié)，通常需要邀請目標企業(yè)內部的法律合規(guī)、信息/網絡安全、產品、營銷、科技研發(fā)、運營等團隊共同參與。

一方面，數據合規(guī)涉及大量的互聯網技術細節(jié)，需要專業(yè)背景的團隊理解相關問題并做出準確回復，其中法律合規(guī)團隊熟悉制度流程及協(xié)議約定，信息/網絡安全、科技研發(fā)團隊熟悉系統(tǒng)架構和數據安全管理，產品及營銷團隊熟悉數據的流轉和使用過程，三者相互印證才能反映實際情況；另一方面，數據合規(guī)需要排查數據在所有業(yè)務場景下的處理情況，邀請相關的各個團隊一起參與訪談，才能對目標企業(yè)數據治理形成全景圖。

以醫(yī)療企業(yè)盡調為例，由于醫(yī)療企業(yè)部門眾多，且醫(yī)療數據種類繁雜，數據盡調首先需要與企業(yè)溝通，大致了解企業(yè)處理和使用數據的主要場景、場景下涉及的數據種類以及企業(yè)內的主要數據處理部門有哪些。比如，醫(yī)療企業(yè)的數據處理場景可能包括注冊臨床、科研合作、大數據應用研發(fā)、跨境數據合作等，涉及的數據種類可能包括臨床數據、健康醫(yī)療大數據、遺傳資源數據等多種類型。

盡調訪談可以重點關注人類遺傳資源數據出境、臨床試驗研究活動中知情同意書的條款完備性、醫(yī)療企業(yè)內部患者數據管控平臺完善程度、科研與營銷活動中公開去標識化患者數據是否存在風險、用于注冊的醫(yī)療數據是否可以回溯并按規(guī)定保存等等。

生命醫(yī)療企業(yè)內由于使用數據的部門條線眾多，部門間可能存在數據混用的情形。比如，醫(yī)療企業(yè)內可能存在不顧及數據主體具體授權范圍，將不同科研項目中取得的研究數據混用，后期可能造成數據超范圍使用等一系列合規(guī)問題。另外，醫(yī)療企業(yè)不同部門間也可能出現對同一數據應用場景的描述不一致的情況。比如，醫(yī)療企業(yè)內可能有多個研發(fā)部門聘用了第三方臨床外包機構進行試驗數據處理，部分外包機構性質為CRO，部分為SMO，但由于研發(fā)部門無法區(qū)分外包機構數據處理角色的異同，造成訪談中描述情況不清晰或有矛盾。因此，盡調訪談后需及時以數據映射表的形式整理主要數據處理場景和每個場景中涉及的數據合規(guī)點，并通過法律合規(guī)團隊進一步核實事實或取得書面材料。

其次，審查數據處理相關文件也是數據盡調的重要組成部分。審查生命醫(yī)療企業(yè)數據文本應至少從數據制度、數據授權和數據協(xié)議三方面衡量數據保護措施的充分性和合理性。數據制度（如健康數據管理制度、AI數據使用制度等）一般能反映醫(yī)療企業(yè)數據治理的整體框架；數據授權（如知情同意書等）是醫(yī)療企業(yè)直接采集數據的合法性基礎；數據協(xié)議（如數據處理協(xié)議等）則是醫(yī)療企業(yè)管控數據合作方或合法間接收集數據的重要機制。

特別需要注意的是，在生命醫(yī)療行業(yè)，醫(yī)藥或者醫(yī)療器械企業(yè)在大多數情況下無法與患者直接接觸并獲取個人信息授權，即使發(fā)起藥物臨床實驗研究活動可以獲得參試者的知情同意，但是使用范圍和目的依然有限。因此，如何探索去標識化技術并在滿足一定效果等級的基礎上使用統(tǒng)計數據，既能滿足企業(yè)的業(yè)務需要，同時又能保護患者的隱私。目前國內企業(yè)大多借鑒美國HIPAA推薦的規(guī)則對患者18項識別信息進行去標識化處理，但是該方法是否符合中國法律與監(jiān)管規(guī)定，以及如何在此基礎上進行優(yōu)化，以期達到《信息安全技術個人信息去標識化效果分級評估規(guī)范》規(guī)定的匿名化標準（醫(yī)療數據受限數據集）值得我們重點關注。

最后，盡調報告應總結數據盡調中發(fā)現的合規(guī)差距點，并從制度層面、授權協(xié)議文本層面和技術保護層面提出初步整改建議。改進措施的落實也將從這三方面展開。措施落地過程中，需要與法律合規(guī)團隊、技術研發(fā)團隊不斷溝通，在數據合規(guī)要求和企業(yè)業(yè)務需求間找到合適的平衡點。

03/ 如果目標企業(yè)未來有境外上市計劃，專項數據盡調應該前置做些什么?

2021年，境內企業(yè)在赴港上市過程中，個人信息保護、數據合規(guī)與網絡安全的事宜也越發(fā)受到聯交所的關注，上市企業(yè)的招股說明書也補充了風險披露事項。

網易云音樂 (9899.HK，2021年11月23日)在招股書風險章節(jié)中，對可能涉及的個人信息保護與網絡數據安全相關的風險進行詳細披露，包括：(1)安全漏洞及攻擊，(2)個人信息保護、網絡與數據安全相關的立法征求意見稿適用可能性，(3)因違反個人信息保護與網絡數據安全相關合規(guī)義務而可能導致的行政處罰風險與品牌聲譽風險。

2021年12月24日，《國務院關于境內企業(yè)境外發(fā)行證券和上市的管理規(guī)定（草案征求意見稿）》公開征求意見，可以預見，未來證監(jiān)會在境外上市備案審查中將提高網絡安全審查的關注程度。

2022年2月15日《網絡安全審查辦法》(國家互聯網信息辦公室令第8號)正式生效，進一步明確網絡安全審查的適用情形。綜合來看，不屬于CIIO，也不涉及重要數據的企業(yè)，在赴港上市中無須主動申報網絡安全審查，但這并不能完全排除被動審查的風險。

結合網絡安全審查的要求，除數據盡調的工作內容外，對未來計劃境外上市的目標企業(yè)，提前進行網絡安全評估，對于是否存在“影響或可能影響國家安全的情形”形成專項分析報告。

04/ 結語

長期以來，龐大的數據既是投資標的企業(yè)的“護城河”，也是核心競爭力之一。但是近年來不斷加強的數據立法與執(zhí)法監(jiān)管活動，不但抬高數據優(yōu)勢維持成本，同時也使得傳統(tǒng)的業(yè)務模式面臨嚴峻的合規(guī)挑戰(zhàn)，稍有不慎，可能埋下新的“雷點”。與其他領域法律合規(guī)有所不同的是，數據合規(guī)的難點從來不在于法律文件的解讀。如何能讓企業(yè)內的各部門都意識到，防守就是進攻，合規(guī)是為了合理的挖掘數據，釋放數據所蘊含的巨大商業(yè)價值，這才是每個從業(yè)者的初心。

注：文章為作者獨立觀點，不代表資產界立場。

題圖來自 Pexels，基于 CC0 協(xié)議

本文由“大隊長金融”投稿資產界，并經資產界編輯發(fā)布。版權歸原作者所有，未經授權，請勿轉載，謝謝！

原標題： 數據不安全，投資有風險