前言
2021年6月10日,《数据安全法》已由全国人大常委会第二十九次会议审议通过,将于2021年9月1日起施行。与此同时,《个人信息保护法(草案二审稿)》已结束征求意见环节,有待最终的审议表决。从网络安全到数据安全和个人信息保护,数字经济时代下的企业即将面临严格且严密的数据合规监管。这一趋势,在资本市场已有明显的体现。科创板上市审核中,企业数据合规问题多次受到审核问询。问题覆盖了从数据收集、存储、使用、共享、出境到数据安全等多个维度。
据此,我们以科创板上市审核问询为样本,以数据生命周期的不同阶段为节点,分别梳理在特定数据阶段审核问询的焦点,并分析对应的企业案例,进而为企业做好数据治理工作建立合规框架,提供操作指引。
本研究分为五个篇章,分别是数据收集篇、数据存储篇、数据使用篇、数据出境篇和数据安全篇。本文是第五篇,关乎数据安全环节。
一、上市审核对数据安全的问询要点
数据安全贯彻数据全生命周期,其包含设备安全、制度安全、人员安全、存储安全、网络安全、环境安全、管理安全等多个维度。在实践中体现为对关键系统的控制情况、岗位职责设计及分离情况、数据真实性保证,以及与数据供应商等第三方的协议责任分配等具体措施。
在我们检索的科创板上市案例中,发审委对数据安全主要关注以下三类问题:
二、数据安全合规的代表性案例
(一)博睿数据:内部控制制度及其执行情况
根据北京博睿宏远数据科技股份有限公司(“博睿数据”)的招股书,公司是一家为企业级客户提供应用性能管理服务、销售应用性能监测软件及提供其他相关服务的高新技术企业,主营业务属于IT运维管理领域内的重要分支—应用性能管理行业。
报告期内发行人主营业务收入按业务类型分为监测服务、软件销售和其他,因其业务涉及销售及采购相关数据,发审委要求博睿数据说明以下问题:
(1)与发行人业务及财务核算相关的信息系统情况,包括系统名称、系统功能、主要业务数据;
(2)关于与系统数据产生、流转、存储相关的关键系统一般控制和应用控制的设计和执行情况;
(3)对信息系统的信息管理制度建设、信息岗位职责分离、用户权限管理及授权情况;
(4)如何确保信息系统业务数据以及对应的财务数据的真实、准确、完整;如何确保上述信息系统数据不被篡改,报告期内是否出现业务系统数据异常或与财务数据不一致的情形。
对此,保荐机构和律所根据发行人信息系统的架构、主要功能、其关键系统一般控制和应用控制的设计和执行情况、信息岗位的设置情况作了回复,认为博睿数据符合书安全的相关要求。
(二)慧辰资讯:涉及数据供应商时,如何确保供应商的数据安全
根据北京慧辰资道资讯股份有限公司(“慧辰资讯”)的招股书,慧辰资讯是一家根植于数据分析领域,专注于服务以世界500强为主的行业头部型企业与政府机构,提供基于多维度数据分析的专业业务分析与应用及数据智能解决方案的公司。近年来,公司实现快速发展,在国内同行业企业中处于领先地位。
因其业务数据获取途径包括公司向供应商采集的数据,因此发审委要求慧辰资讯说明保障该等数据安全的具体措施。
慧辰资讯就此回复,公司向供应商采集数据前,首先对供应商主体资质进行审核,符合入库资格的供应商均具有持续稳定的经济能力,未受过相关主管机关的处罚,经营状况良好。其次查看供应商数据来源合法性文件,例如供应商与被采集方签署的合同。同时,公司与供应商签署相关数据购买协议/服务委托合同时会要求约定相关条款,由供应商保证该等数据没有侵犯任何第三方的知识产权及其它权益。慧辰资讯随之列出了与数据供应商之间的具体条款说明其尽到了相关义务。
(三)奇安信科:发生网络安全事件时,发行人如何承担责任
根据奇安信科技集团股份有限公司(“奇安信科”)的说明,其专注于网络空间安全市场,主营业务为向政府、企业客户提供新一代企业级网络安全产品和服务。发行人服务于多个行业的政企类客户。
在奇安信科的上市申报中,发审委要求奇安信科说明在终端客户发生网络安全事件时,发行人应承担的具体责任、表现方式及对生产经营的影响,以及是否存在因违反法律法规或合同约定而被行政处罚或承担赔偿责任的情形,必要时进行重大事项提示。
奇安信科依据相关法律法规、监管文件及与第三方的协议等回复称,当主管部门认定公司在提供相应产品或服务时违反了国家与网络安全和信息安全相关的法律法规时,公司可能承担相应的法律责任,并可能需根据销售合同的约定向客户承担相应的赔偿责任,从而给公司的经营带来一定风险。
三、企业数据安全的合规指引
结合上述案例以及《网络安全法》《数据安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》》等相关规范性文件的规定,在数据安全方面,建议企业结合行业情况,制定数据安全制度;涉及供应商的,使用协议等方式控制第三方行为;并且明确可能承担的责任有哪些,具体来说:
(一)建立具有一定颗粒度的数据安全制度
根据证监会的发函以及保荐人、律所的回复,数据安全制度包含信息管理制度、信息岗位职责分离、以及用户权限管理。就岗位职责分离来说,其要求公司通过规章制度定义各个岗位的职责要求,梳理业务系统中的账号和权限,对不相容的职责进行分离。例如要求公司研发人员只具有研发系统的权限,而不能接触业务系统。又例如操作系统和数据库管理员权责分离,分别授予不同的人员。总体上讲,职责划分的颗粒度应达到在发生安全事件时,可以根据事件特性追究到特定责任人,以此倒推设计岗位的职责分离程度。
再比如用户权限管理及授权,应采取审批制度,控制用户权限。如用户开通或变更系统账号时,需要发起申请,经过领导审批后由系统管理员为其开通账号。与此对应,账号相应权限也应经过审批才能授予。
(二)确保数据供应商等第三方的数据安全
用户数据的商业化使用是较为敏感的数据使用模式,发审委在科创板上市审核过程中也对此重点关注。我们认为,与其他数据使用模式一致,企业在数据商业化变现的过程中,首先应以取得用户的有效授权为前提。需要注意的是,无授权的商业化变现行为可能导致更为严重的法律风险。除了违约和侵权民事责任外,非法的数据交易或其他变现方式甚至可能导致行政违法或刑事犯罪。
依据证监会要求及上述文件规定,数据活动涉及数据供应商等第三方时,企业应确保第三方也符合数据安全要求。在实践中虽然企业可以通过尽调、同业咨询等方式了解第三方的数据安全情况,但限于时间、金钱、交易地位等因素有时并不能取得理想的效果。此时应通过陈述与保证条款、声明条款、违约责任条款等协议方式控制己方的数据安全风险。
就具体协议条款来说,就合规性而言,可以约定如下“乙方应在不违反法律法规的前提下实施调查,收集相关资料,保证按研究要求如实向甲方提供调查资料及结果。如果乙方或乙方的工作人员在实施调查时采取了违法的、侵权的行为,对此产生的责任均由乙方承担,如因此给甲方造成损害,乙方应承担赔偿责任。乙方保证不在任何时间和任何场所诋毁、损害甲方及甲方客户的声誉、名誉。”
就数据的真实性与准确性而言,可以约定如下“乙方应当保证调查结果或数据的真实、准确、完整、合法、及时,如果由于乙方提供的调查结果不符合前述规定,导致甲方向第三方承担了赔偿责任,乙方应当赔偿甲方因此遭受的一切损失,包括但不限于甲方向第三方赔偿的金额、诉讼费、律师费、差旅费、交通费等。”
当然,虽然尽调的实际效果可能不会尽如人意,但尽调过程中取得的第三方数据安全制度的内部文件、相关的公司权力机关决议、制度实际运作的留痕材料都可以作为底稿上交证监会,证明己方在确保第三方数据安全方面已经尽责,以抵消风险。
(三)明确发生网络安全事件时可能承担的责任
企业应从法律法规及监管文件、与数据供应商等第三方就发生网络安全事件时相关协议、以及与客户签订的合同中关于网络安全事件的责任约定三个角度,明确可能承担的责任。
据此,我们整理了《网络安全法》《数据安全法》《深圳经济特区数据条例(征求意见稿)》《关于开展App违法违规收集使用个人信息专项治理的公告》中关于数据安全的相关责任条文,请见下表:
就协议层面来说,企业与数据供应商等第三方的数据安全协议问题在上文已有涉及。而就与客户之间的协议,举例来说,在奇安信科保荐人的回复中,其曾与客户约定:
1. “发行人应保证提供的软硬件系统不得植入后门程序及存在业界公认的重大安全漏洞,使用过程中若发现有安全漏洞,发行人有责任及时免费修复。”
2. “发行人应采取必要的内控措施,健全网络安全和信息安全内控管理制度,落实各项安全保护技术措施,严格按照国家相关法律法规做好网络安全和信息安全工作。”
3. “在合同履行过程中,若发生重大网络安全事件或信息科技突发事件时,发行人应立即采取应急措施并及时向客户报告,配合客户查找原因,提供处置和纠正措施。”
4. “在合同履行过程中发行人及其交付的产品应遵守和符合与网络安全相关的法律法规、行业规范、技术指引及客户内部的相关要求,如因发行人违反相关规定导致的安全问题,发行人应立即修补、清除或者采用其他手段消除安全问题,同时承担相关损失。”
可见,企业的数据合规责任可能来源自法律法规、与客户协议、与数据供应商等第三方的协议,企业在披露责任时应注意不要遗漏,应特别注意散落在与客户协议之间的约定责任。
2021年6月10日,《数据安全法》已由全国人大常委会第二十九次会议审议通过,将于2021年9月1日起施行。与此同时,《个人信息保护法(草案二审稿)》已结束征求意见环节,有待最终的审议表决。从网络安全到数据安全和个人信息保护,数字经济时代下的企业即将面临严格且严密的数据合规监管。这一趋势,在资本市场已有明显的体现。科创板上市审核中,企业数据合规问题多次受到审核问询。问题覆盖了从数据收集、存储、使用、共享、出境到数据安全等多个维度。
据此,我们以科创板上市审核问询为样本,以数据生命周期的不同阶段为节点,分别梳理在特定数据阶段审核问询的焦点,并分析对应的企业案例,进而为企业做好数据治理工作建立合规框架,提供操作指引。
本研究分为五个篇章,分别是数据收集篇、数据存储篇、数据使用篇、数据出境篇和数据安全篇。本文是第五篇,关乎数据安全环节。
一、上市审核对数据安全的问询要点
数据安全贯彻数据全生命周期,其包含设备安全、制度安全、人员安全、存储安全、网络安全、环境安全、管理安全等多个维度。在实践中体现为对关键系统的控制情况、岗位职责设计及分离情况、数据真实性保证,以及与数据供应商等第三方的协议责任分配等具体措施。
在我们检索的科创板上市案例中,发审委对数据安全主要关注以下三类问题:
| 序号 | 问题描述 |
| 1 | 发行人内部控制制度及其执行情况 |
| 2 | 涉及数据供应商时,其内部控制制度如何,是否落地执行 |
| 3 | 发生网络安全事件时,发行人如何承担责任 |
二、数据安全合规的代表性案例
(一)博睿数据:内部控制制度及其执行情况
根据北京博睿宏远数据科技股份有限公司(“博睿数据”)的招股书,公司是一家为企业级客户提供应用性能管理服务、销售应用性能监测软件及提供其他相关服务的高新技术企业,主营业务属于IT运维管理领域内的重要分支—应用性能管理行业。
报告期内发行人主营业务收入按业务类型分为监测服务、软件销售和其他,因其业务涉及销售及采购相关数据,发审委要求博睿数据说明以下问题:
(1)与发行人业务及财务核算相关的信息系统情况,包括系统名称、系统功能、主要业务数据;
(2)关于与系统数据产生、流转、存储相关的关键系统一般控制和应用控制的设计和执行情况;
(3)对信息系统的信息管理制度建设、信息岗位职责分离、用户权限管理及授权情况;
(4)如何确保信息系统业务数据以及对应的财务数据的真实、准确、完整;如何确保上述信息系统数据不被篡改,报告期内是否出现业务系统数据异常或与财务数据不一致的情形。
对此,保荐机构和律所根据发行人信息系统的架构、主要功能、其关键系统一般控制和应用控制的设计和执行情况、信息岗位的设置情况作了回复,认为博睿数据符合书安全的相关要求。
(二)慧辰资讯:涉及数据供应商时,如何确保供应商的数据安全
根据北京慧辰资道资讯股份有限公司(“慧辰资讯”)的招股书,慧辰资讯是一家根植于数据分析领域,专注于服务以世界500强为主的行业头部型企业与政府机构,提供基于多维度数据分析的专业业务分析与应用及数据智能解决方案的公司。近年来,公司实现快速发展,在国内同行业企业中处于领先地位。
因其业务数据获取途径包括公司向供应商采集的数据,因此发审委要求慧辰资讯说明保障该等数据安全的具体措施。
慧辰资讯就此回复,公司向供应商采集数据前,首先对供应商主体资质进行审核,符合入库资格的供应商均具有持续稳定的经济能力,未受过相关主管机关的处罚,经营状况良好。其次查看供应商数据来源合法性文件,例如供应商与被采集方签署的合同。同时,公司与供应商签署相关数据购买协议/服务委托合同时会要求约定相关条款,由供应商保证该等数据没有侵犯任何第三方的知识产权及其它权益。慧辰资讯随之列出了与数据供应商之间的具体条款说明其尽到了相关义务。
(三)奇安信科:发生网络安全事件时,发行人如何承担责任
根据奇安信科技集团股份有限公司(“奇安信科”)的说明,其专注于网络空间安全市场,主营业务为向政府、企业客户提供新一代企业级网络安全产品和服务。发行人服务于多个行业的政企类客户。
在奇安信科的上市申报中,发审委要求奇安信科说明在终端客户发生网络安全事件时,发行人应承担的具体责任、表现方式及对生产经营的影响,以及是否存在因违反法律法规或合同约定而被行政处罚或承担赔偿责任的情形,必要时进行重大事项提示。
奇安信科依据相关法律法规、监管文件及与第三方的协议等回复称,当主管部门认定公司在提供相应产品或服务时违反了国家与网络安全和信息安全相关的法律法规时,公司可能承担相应的法律责任,并可能需根据销售合同的约定向客户承担相应的赔偿责任,从而给公司的经营带来一定风险。
三、企业数据安全的合规指引
结合上述案例以及《网络安全法》《数据安全法》《个人信息和重要数据出境安全评估办法(征求意见稿)》》等相关规范性文件的规定,在数据安全方面,建议企业结合行业情况,制定数据安全制度;涉及供应商的,使用协议等方式控制第三方行为;并且明确可能承担的责任有哪些,具体来说:
(一)建立具有一定颗粒度的数据安全制度
根据证监会的发函以及保荐人、律所的回复,数据安全制度包含信息管理制度、信息岗位职责分离、以及用户权限管理。就岗位职责分离来说,其要求公司通过规章制度定义各个岗位的职责要求,梳理业务系统中的账号和权限,对不相容的职责进行分离。例如要求公司研发人员只具有研发系统的权限,而不能接触业务系统。又例如操作系统和数据库管理员权责分离,分别授予不同的人员。总体上讲,职责划分的颗粒度应达到在发生安全事件时,可以根据事件特性追究到特定责任人,以此倒推设计岗位的职责分离程度。
再比如用户权限管理及授权,应采取审批制度,控制用户权限。如用户开通或变更系统账号时,需要发起申请,经过领导审批后由系统管理员为其开通账号。与此对应,账号相应权限也应经过审批才能授予。
(二)确保数据供应商等第三方的数据安全
用户数据的商业化使用是较为敏感的数据使用模式,发审委在科创板上市审核过程中也对此重点关注。我们认为,与其他数据使用模式一致,企业在数据商业化变现的过程中,首先应以取得用户的有效授权为前提。需要注意的是,无授权的商业化变现行为可能导致更为严重的法律风险。除了违约和侵权民事责任外,非法的数据交易或其他变现方式甚至可能导致行政违法或刑事犯罪。
依据证监会要求及上述文件规定,数据活动涉及数据供应商等第三方时,企业应确保第三方也符合数据安全要求。在实践中虽然企业可以通过尽调、同业咨询等方式了解第三方的数据安全情况,但限于时间、金钱、交易地位等因素有时并不能取得理想的效果。此时应通过陈述与保证条款、声明条款、违约责任条款等协议方式控制己方的数据安全风险。
就具体协议条款来说,就合规性而言,可以约定如下“乙方应在不违反法律法规的前提下实施调查,收集相关资料,保证按研究要求如实向甲方提供调查资料及结果。如果乙方或乙方的工作人员在实施调查时采取了违法的、侵权的行为,对此产生的责任均由乙方承担,如因此给甲方造成损害,乙方应承担赔偿责任。乙方保证不在任何时间和任何场所诋毁、损害甲方及甲方客户的声誉、名誉。”
就数据的真实性与准确性而言,可以约定如下“乙方应当保证调查结果或数据的真实、准确、完整、合法、及时,如果由于乙方提供的调查结果不符合前述规定,导致甲方向第三方承担了赔偿责任,乙方应当赔偿甲方因此遭受的一切损失,包括但不限于甲方向第三方赔偿的金额、诉讼费、律师费、差旅费、交通费等。”
当然,虽然尽调的实际效果可能不会尽如人意,但尽调过程中取得的第三方数据安全制度的内部文件、相关的公司权力机关决议、制度实际运作的留痕材料都可以作为底稿上交证监会,证明己方在确保第三方数据安全方面已经尽责,以抵消风险。
(三)明确发生网络安全事件时可能承担的责任
企业应从法律法规及监管文件、与数据供应商等第三方就发生网络安全事件时相关协议、以及与客户签订的合同中关于网络安全事件的责任约定三个角度,明确可能承担的责任。
据此,我们整理了《网络安全法》《数据安全法》《深圳经济特区数据条例(征求意见稿)》《关于开展App违法违规收集使用个人信息专项治理的公告》中关于数据安全的相关责任条文,请见下表:
| 法规名称 | 条款 | 内容 |
| 《网络安全法》 | 第二十二条第一款 | 网络产品、服务应当符合相关国家标准的强制性要求。网络产品、服务的提供者不得设置恶意程序;发现其网络产品、服务存在安全缺陷、漏洞等风险时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 |
| 第二十二条第二款 | 网络产品、服务的提供者应当为其产品、服务持续提供安全维护;在规定或者当事人约定的期限内,不得终止提供安全维护。 | |
| 第四十八条第一款 | 任何个人和组织发送的电子信息、提供的应用软件,不得设置恶意程序,不得含有法律、行政法规禁止发布或者传输的信息。 | |
| 第六十条 | 违反本法第二十二条第一款、第二款和第四十八条第一款规定,有下列行为之一的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处五万元以上五十万元以下罚款,对直接负责的主管人员处一万元以上十万元以下罚款:(一)设置恶意程序的;(二)对其产品、服务存在的安全缺陷、漏洞等风险未立即采取补救措施,或者未按照规定及时告知用户并向有关主管部门报告的;(三)擅自终止为其产品、服务提供安全维护的。 | |
| 第二十二条第三款 | 网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意;涉及用户个人信息的,还应当遵守本法和有关法律、行政法规关于个人信息保护的规定。 | |
| 第四十一条 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。 | |
| 第四十二条 | 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。 网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。 | |
| 第四十三条 | 个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的,有权要求网络运营者删除其个人信息;发现网络运营者收集、存储的其个人信息有错误的,有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。 | |
| 第六十四条第一款 | 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 | |
| 《数据安全法》 | 第二十七条 | 开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。利用互联网等信息网络开展数据处理活动,应当在网络安全等级保护制度的基础上,履行上述数据安全保护义务。 重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。 |
| 第二十九条 | 开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。 | |
| 第三十条 | 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。 风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等。 | |
| 第三十一条 | 关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理,适用《中华人民共和国网络安全法》的规定;其他数据处理者在中华人民共和国境内运营中收集和产生的重要数据的出境安全管理办法,由国家网信部门会同国务院有关部门制定。 | |
| 第三十二条 | 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。 | |
| 第三十三条 | 从事数据交易中介服务的机构提供服务,应当要求数据提供方说明数据来源,审核交易双方的身份,并留存审核、交易记录。 | |
| 第四十四条 | 有关主管部门在履行数据安全监管职责中,发现数据处理活动存在较大安全风险的,可以按照规定的权限和程序对有关组织、个人进行约谈,并要求有关组织、个人采取措施进行整改,消除隐患。 | |
| 第四十五条 | 开展数据处理活动的组织、个人不履行本法第二十七条、第二十九条、第三十条规定的数据安全保护义务的,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 违反国家核心数据管理制度,危害国家主权、安全和发展利益的,由有关主管部门处二百万元以上一千万元以下罚款,并根据情况责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依法追究刑事责任。 | |
| 第四十六条 | 违反本法第三十一条规定,向境外提供重要数据的,由有关主管部门责令改正,给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 | |
| 第四十七条 | 从事数据交易中介服务的机构未履行本法第三十三条规定的义务的,由有关主管部门责令改正,没收违法所得,处违法所得一倍以上十倍以下罚款,没有违法所得或者违法所得不足十万元的,处十万元以上一百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 | |
| 第四十八条 | 违反本法第三十五条规定,拒不配合数据调取的,由有关主管部门责令改正,给予警告,并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 违反本法第三十六条规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 | |
| 《深圳经济特区数据条例(征求意见稿)》 | 第八十二条 | 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,没收违法所得,并按照每处理一个自然人的个人数据处以二百元以上一千元以下的罚款: (一)违反本条例第十二条、第十三条、第十四条、第十六条规定,未经自然人或者其监护人同意处理其个人数据的; (二)违反本条例第十五条规定,处理自然人生物识别数据的; (三)违反本条例第十八条规定,自然人撤回同意后继续处理其个人数据的; (四)违反本条例第二十条、第二十一条规定,未履行告知义务的; (五)违反本条例第二十二条规定,向他人提供处理的个人数据的; (六)违反本条例第二十三条、第二十四条规定,对自然人进行用户画像的; (七)违反本条例第二十七条规定,未及时核实并补充、更正个人数据的; (八)违反本条例第二十八条、第二十九条规定,未删除个人数据的; (九)违反本条例第三十条第二款规定,未依法及时处置相关行使权利申请或者相关投诉举报的; (十)违反本条例第五章规定,未对个人数据采取必要安全保护措施的。 前款规定的违法行为,有下列情形之一的,依照前款规定的罚款额度从重处罚,并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚;构成犯罪的,依法追究刑事责任: (一)违法行为造成数据泄露、损毁、丢失、篡改等数据安全事件的; (二)违法行为涉及敏感个人数据的; (三)违法行为人为提供基础性互联网平台服务的数据处理者的; (四)违法行为涉及未成年个人数据的; (五)法律、法规规定的其他情形。 |
| 第八十三条 | 违规处理个人数据,有下列情形之一的,由市网信部门责令立即改正,给予警告;拒不改正的,处五万元以上二十万元以下罚款;情节严重的,处二十万元以上一百万元以下罚款:(一)违反本条例第十九条规定,对自然人撤回同意进行不合理限制或者附加不合理条件的; (二)违反本条例第二十六条规定,未及时提供个人数据的查阅方式,或者未按照规定及时、免费提供个人数据的备份的; (三)违反本条例第三十条第一款规定,未建立自然人行使权利申请和投诉举报的受理处理机制的; (四)违反本条例第三十条第一款规定,未采用足以引起注意的特别标识或者其他易获取的方式提供有效的行使权利和投诉举报途径的。 | |
| 第八十四条 | 公共管理和服务机构有下列情形之一的,由上级主管部门或者有关主管部门责令改正;拒不改正或者造成严重后果的,依法追究法律责任: (一)未按照规定处理公共数据的; (二)提供的公共数据不真实、不准确、不完整、不可用的; (三)向自然人、法人或者非法人组织重复收集可以通过数据共享获取的公共数据的; (四)未按照规定编制、更新、报送公共数据资源目录的; (五)未依法履行公共数据安全管理职责的的; (六)法律、法规规定的其他情形。 | |
| 第八十五条 | 违反本条例第五十六条规定交易数据的,由市市场监督管理部门责令立即改正,没收违法所得,交易金额不足一万元的,处五万元以上二十万元以下罚款;交易金额一万元以上的,处二十万元以上一百万元以下罚款;并可以给予暂扣许可证件、降低资质等级、吊销许可证件,限制开展生产经营活动、责令停产停业、责令关闭、限制从业等处罚。 | |
| 第八十七条 | 数据处理者违反本条例第五章规定,未落实数据安全保护责任的,依照有关法律、法规处罚。 | |
| 第八十九条 | 未依照法律、行政法规以及本条例规定落实数据安全保护责任,或者非法处理数据,致使国家利益或者公共利益受到损害的,有关行业组织可以依法提起民事公益诉讼。有关行业组织提起相关民事公益诉讼,人民检察院认为有必要的,可以支持起诉。 前款规定的行业组织未提起民事公益诉讼的,人民检察院可以向人民法院提起民事公益诉讼。 人民检察院在履行职责中发现负有数据领域监督管理职责的行政机关违法行使职权或者不作为,致使国家利益或者公共利益受到损害的,应当向有关行政机关提出监察建议;行政机关不依法履行职责的,人民检察院可以依法向人民法院提起行政公益诉讼。 | |
| 关于开展App违法违规收集使用个人信息专项治理的公告 | 第三条 | 有关主管部门加强对违法违规收集使用个人信息行为的监管和处罚,对强制、过度收集个人信息,未经消费者同意、违反法律法规规定和双方约定收集、使用个人信息,发生或可能发生信息泄露、丢失而未采取补救措施,非法出售、非法向他人提供个人信息等行为,按照《网络安全法》《消费者权益保护法》等依法予以处罚,包括责令App运营者限期整改;逾期不改的,公开曝光;情节严重的,依法暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。 |
就协议层面来说,企业与数据供应商等第三方的数据安全协议问题在上文已有涉及。而就与客户之间的协议,举例来说,在奇安信科保荐人的回复中,其曾与客户约定:
1. “发行人应保证提供的软硬件系统不得植入后门程序及存在业界公认的重大安全漏洞,使用过程中若发现有安全漏洞,发行人有责任及时免费修复。”
2. “发行人应采取必要的内控措施,健全网络安全和信息安全内控管理制度,落实各项安全保护技术措施,严格按照国家相关法律法规做好网络安全和信息安全工作。”
3. “在合同履行过程中,若发生重大网络安全事件或信息科技突发事件时,发行人应立即采取应急措施并及时向客户报告,配合客户查找原因,提供处置和纠正措施。”
4. “在合同履行过程中发行人及其交付的产品应遵守和符合与网络安全相关的法律法规、行业规范、技术指引及客户内部的相关要求,如因发行人违反相关规定导致的安全问题,发行人应立即修补、清除或者采用其他手段消除安全问题,同时承担相关损失。”
可见,企业的数据合规责任可能来源自法律法规、与客户协议、与数据供应商等第三方的协议,企业在披露责任时应注意不要遗漏,应特别注意散落在与客户协议之间的约定责任。
