作者：薯?xiàng)l三兄弟

來(lái)源：大隊(duì)長(zhǎng)金融（ID:captain_financial)

防范數(shù)據(jù)風(fēng)險(xiǎn)的難點(diǎn)在于，數(shù)據(jù)處理的每個(gè)節(jié)點(diǎn)：收集、存儲(chǔ)、使用、加工、傳輸、提供、公開(kāi)、刪除都可能成為數(shù)據(jù)安全的雷點(diǎn)。

監(jiān)管部門(mén)顯然也意識(shí)到了這一點(diǎn)。

2021年，《個(gè)人信息保護(hù)法》和《數(shù)據(jù)安全法》相繼實(shí)施，與《網(wǎng)絡(luò)安全法》共同構(gòu)建了個(gè)人信息保護(hù)、數(shù)據(jù)與網(wǎng)絡(luò)安全的監(jiān)管框架；在此基礎(chǔ)上，各類配套法規(guī)、國(guó)家標(biāo)準(zhǔn)、技術(shù)指南不斷提升監(jiān)管的精細(xì)度。

對(duì)于通過(guò)互聯(lián)網(wǎng)平臺(tái)(如APP、小程序、軟件開(kāi)發(fā)應(yīng)用包(SDK))或者智能硬件設(shè)備等方式收集及處理個(gè)人信息的企業(yè)而言，數(shù)據(jù)泄露的風(fēng)險(xiǎn)顯著高于其他行業(yè)。從工信部2021年通報(bào)的1680款A(yù)PP及網(wǎng)信辦2021年通報(bào)的695款A(yù)PP案例來(lái)看，網(wǎng)絡(luò)安全的監(jiān)管部門(mén)最為關(guān)注的也是這類企業(yè)。其中需要重點(diǎn)關(guān)注的包括互聯(lián)網(wǎng)消費(fèi)平臺(tái)、金融科技平臺(tái)、先進(jìn)制造業(yè)企業(yè)。

在涉及這類企業(yè)的投資并購(gòu)中，我們需要對(duì)個(gè)人信息流轉(zhuǎn)的全鏈路予以重點(diǎn)關(guān)注。

實(shí)踐中容易忽視的一個(gè)技術(shù)細(xì)節(jié)是“數(shù)據(jù)處理者”的識(shí)別。出于ICP經(jīng)營(yíng)資質(zhì)和分散風(fēng)險(xiǎn)的考慮，互聯(lián)網(wǎng)平臺(tái)的運(yùn)營(yíng)及平臺(tái)上的產(chǎn)品提供，往往由集團(tuán)內(nèi)的多個(gè)法人主體分工完成。另一種常見(jiàn)的情形，出于數(shù)據(jù)融合的考慮，集團(tuán)內(nèi)多個(gè)法人主體收集個(gè)人信息后，再委托同一個(gè)主體(往往是體系內(nèi)科技公司)進(jìn)行深度處理。界定“共同處理”、“委托處理”的數(shù)據(jù)鏈路，識(shí)別主要的“數(shù)據(jù)處理者”是厘清數(shù)據(jù)盡調(diào)對(duì)象，提升項(xiàng)目效率的關(guān)鍵步驟。

另外，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)制定的“國(guó)家標(biāo)準(zhǔn)”及行業(yè)主管部門(mén)制定的“技術(shù)規(guī)范”也會(huì)成為重要的法律依據(jù)。例如《個(gè)人金融信息保護(hù)技術(shù)規(guī)范》對(duì)于“個(gè)人身份信息”和“金融交易信息”進(jìn)行了界定，兩者在“數(shù)據(jù)共享和委托處理”中會(huì)適用不同的合規(guī)要求，在盡調(diào)中對(duì)個(gè)人信息的內(nèi)容和對(duì)應(yīng)的個(gè)人信息處理場(chǎng)景就需要仔細(xì)甄別；再比如國(guó)標(biāo)文件《信息安全技術(shù)汽車采集數(shù)據(jù)的安全要求》正在征求意見(jiàn)的階段，對(duì)于智能汽車采集的數(shù)據(jù)，細(xì)分為車外數(shù)據(jù)及座艙數(shù)據(jù)。當(dāng)車外數(shù)據(jù)包含了外部環(huán)境的人臉、車牌等個(gè)人信息時(shí)，這類數(shù)據(jù)的處理也會(huì)受到更嚴(yán)格的要求。

最后，綜合《網(wǎng)絡(luò)安全審查辦法》、《互聯(lián)網(wǎng)平臺(tái)分類分級(jí)指南(征求意見(jiàn)稿)》、《互聯(lián)網(wǎng)平臺(tái)落實(shí)主體責(zé)任指南(征求意見(jiàn)稿)》的規(guī)定，對(duì)于年度活躍用戶不低于5000萬(wàn)的目標(biāo)企業(yè)(大型互聯(lián)網(wǎng)平臺(tái))或者處理掌握超過(guò)100萬(wàn)用戶個(gè)人信息的目標(biāo)企業(yè)，適用的數(shù)據(jù)合規(guī)義務(wù)也會(huì)顯著提高，相應(yīng)地也需要提高數(shù)據(jù)盡調(diào)的顆粒度。

從事數(shù)據(jù)挖掘、分析處理并輸出數(shù)據(jù)服務(wù)的企業(yè)

市場(chǎng)中的另一類玩家，并不直接收集用戶的個(gè)人信息，也不面向個(gè)人用戶提供產(chǎn)品，這類企業(yè)通常面向機(jī)構(gòu)用戶提供軟件服務(wù)、云平臺(tái)服務(wù)、數(shù)據(jù)咨詢等基于數(shù)據(jù)的行業(yè)解決方案。其中需要重點(diǎn)關(guān)注的包括生命醫(yī)療行業(yè)(比如新藥研發(fā)，CXO，互聯(lián)網(wǎng)醫(yī)療，醫(yī)療人工智能等等)和大數(shù)據(jù)(人工智能)行業(yè)。

回溯數(shù)據(jù)鏈路的上游，我們會(huì)發(fā)現(xiàn)這類企業(yè)一方面可能通過(guò)爬蟲(chóng)等技術(shù)獲取其他機(jī)構(gòu)的公開(kāi)數(shù)據(jù)，另一方面可能與其他機(jī)構(gòu)建立合作獲取數(shù)據(jù)，再基于自身的大數(shù)據(jù)分析和算法模型，形成特定行業(yè)的解決方案。

在涉及這類企業(yè)的投資并購(gòu)中，我們需要對(duì)數(shù)據(jù)鏈路的上游予以特別關(guān)注。

最后，隨著《關(guān)于加強(qiáng)互聯(lián)網(wǎng)信息服務(wù)算法綜合治理的指導(dǎo)意見(jiàn)》及相關(guān)規(guī)定的頒布，算法的安全治理、分類分級(jí)和備案制度也會(huì)逐步確立，算法自身的合規(guī)性也會(huì)成為數(shù)據(jù)盡調(diào)中的新的關(guān)注事項(xiàng)。

涉及關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)

根據(jù)2021年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》的定義，關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

事實(shí)上，2016年《網(wǎng)絡(luò)安全法》第一次提出關(guān)鍵信息基礎(chǔ)設(shè)施的概念時(shí)，市場(chǎng)普遍缺乏直觀的認(rèn)識(shí)。經(jīng)過(guò)近幾年的摸索實(shí)踐，今年已有部分金融機(jī)構(gòu)向我們反饋，其接到了行業(yè)主管部門(mén)和公安部門(mén)的認(rèn)定，成為了關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者(CIIO)。由此我們預(yù)計(jì)CIIO認(rèn)定工作在上述的各個(gè)重要行業(yè)和領(lǐng)域會(huì)逐步落地。

如果目標(biāo)企業(yè)成為關(guān)鍵信息基礎(chǔ)設(shè)施的運(yùn)營(yíng)者，那么對(duì)應(yīng)的數(shù)據(jù)合規(guī)義務(wù)會(huì)升格成最高等級(jí)，例如CIIO在中國(guó)境內(nèi)運(yùn)營(yíng)中收集和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)需要在境內(nèi)存儲(chǔ)，如果確需向境外提供的，需要按照國(guó)家網(wǎng)信等部門(mén)制定的辦法進(jìn)行安全評(píng)估。因此，境外投資者進(jìn)入中國(guó)市場(chǎng)，除了考慮外商投資產(chǎn)業(yè)準(zhǔn)入的要求，現(xiàn)在還需要進(jìn)一步考慮被投企業(yè)的“數(shù)據(jù)身份”，預(yù)判數(shù)據(jù)跨境流動(dòng)是否可行。要特別注意，采用VIE結(jié)構(gòu)的協(xié)議控制，也需要遵循數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)。

02/ 如何進(jìn)行專項(xiàng)數(shù)據(jù)盡調(diào)?——以生命醫(yī)療行業(yè)數(shù)據(jù)合規(guī)盡調(diào)為例

• 準(zhǔn)備盡調(diào)問(wèn)卷
• 盡調(diào)訪談和溝通
• 核查盡調(diào)資料
• 出具盡調(diào)報(bào)告(含合規(guī)差距分析及整改建議)
• 協(xié)助目標(biāo)企業(yè)完成整改

通常情況下，完整的專項(xiàng)數(shù)據(jù)盡調(diào)問(wèn)卷會(huì)涵蓋“個(gè)人信息保護(hù)”、“數(shù)據(jù)合規(guī)”與“網(wǎng)絡(luò)安全”三個(gè)部分，如下圖所示，我們常用的主表一共31頁(yè)，約9700字，另有其他附件表格配套使用。

我們也充分考慮到不同投資項(xiàng)目對(duì)于盡調(diào)時(shí)間和業(yè)務(wù)偏重的關(guān)注不同，可以將該問(wèn)卷進(jìn)行模塊化拆拼和調(diào)整（類似樂(lè)高組建的插拔），針對(duì)不同的行業(yè)適配本行業(yè)業(yè)務(wù)特點(diǎn)的盡調(diào)問(wèn)卷，實(shí)現(xiàn)高效率發(fā)現(xiàn)未來(lái)影響投資項(xiàng)目退出路徑的重大合規(guī)瑕疵并為后續(xù)交易文件起草和交割條件設(shè)置提供工作基礎(chǔ)。

與傳統(tǒng)法律盡調(diào)稍有不同，在專項(xiàng)數(shù)據(jù)盡調(diào)的訪談和溝通環(huán)節(jié)，通常需要邀請(qǐng)目標(biāo)企業(yè)內(nèi)部的法律合規(guī)、信息/網(wǎng)絡(luò)安全、產(chǎn)品、營(yíng)銷、科技研發(fā)、運(yùn)營(yíng)等團(tuán)隊(duì)共同參與。

一方面，數(shù)據(jù)合規(guī)涉及大量的互聯(lián)網(wǎng)技術(shù)細(xì)節(jié)，需要專業(yè)背景的團(tuán)隊(duì)理解相關(guān)問(wèn)題并做出準(zhǔn)確回復(fù)，其中法律合規(guī)團(tuán)隊(duì)熟悉制度流程及協(xié)議約定，信息/網(wǎng)絡(luò)安全、科技研發(fā)團(tuán)隊(duì)熟悉系統(tǒng)架構(gòu)和數(shù)據(jù)安全管理，產(chǎn)品及營(yíng)銷團(tuán)隊(duì)熟悉數(shù)據(jù)的流轉(zhuǎn)和使用過(guò)程，三者相互印證才能反映實(shí)際情況；另一方面，數(shù)據(jù)合規(guī)需要排查數(shù)據(jù)在所有業(yè)務(wù)場(chǎng)景下的處理情況，邀請(qǐng)相關(guān)的各個(gè)團(tuán)隊(duì)一起參與訪談，才能對(duì)目標(biāo)企業(yè)數(shù)據(jù)治理形成全景圖。

以醫(yī)療企業(yè)盡調(diào)為例，由于醫(yī)療企業(yè)部門(mén)眾多，且醫(yī)療數(shù)據(jù)種類繁雜，數(shù)據(jù)盡調(diào)首先需要與企業(yè)溝通，大致了解企業(yè)處理和使用數(shù)據(jù)的主要場(chǎng)景、場(chǎng)景下涉及的數(shù)據(jù)種類以及企業(yè)內(nèi)的主要數(shù)據(jù)處理部門(mén)有哪些。比如，醫(yī)療企業(yè)的數(shù)據(jù)處理場(chǎng)景可能包括注冊(cè)臨床、科研合作、大數(shù)據(jù)應(yīng)用研發(fā)、跨境數(shù)據(jù)合作等，涉及的數(shù)據(jù)種類可能包括臨床數(shù)據(jù)、健康醫(yī)療大數(shù)據(jù)、遺傳資源數(shù)據(jù)等多種類型。

盡調(diào)訪談可以重點(diǎn)關(guān)注人類遺傳資源數(shù)據(jù)出境、臨床試驗(yàn)研究活動(dòng)中知情同意書(shū)的條款完備性、醫(yī)療企業(yè)內(nèi)部患者數(shù)據(jù)管控平臺(tái)完善程度、科研與營(yíng)銷活動(dòng)中公開(kāi)去標(biāo)識(shí)化患者數(shù)據(jù)是否存在風(fēng)險(xiǎn)、用于注冊(cè)的醫(yī)療數(shù)據(jù)是否可以回溯并按規(guī)定保存等等。

生命醫(yī)療企業(yè)內(nèi)由于使用數(shù)據(jù)的部門(mén)條線眾多，部門(mén)間可能存在數(shù)據(jù)混用的情形。比如，醫(yī)療企業(yè)內(nèi)可能存在不顧及數(shù)據(jù)主體具體授權(quán)范圍，將不同科研項(xiàng)目中取得的研究數(shù)據(jù)混用，后期可能造成數(shù)據(jù)超范圍使用等一系列合規(guī)問(wèn)題。另外，醫(yī)療企業(yè)不同部門(mén)間也可能出現(xiàn)對(duì)同一數(shù)據(jù)應(yīng)用場(chǎng)景的描述不一致的情況。比如，醫(yī)療企業(yè)內(nèi)可能有多個(gè)研發(fā)部門(mén)聘用了第三方臨床外包機(jī)構(gòu)進(jìn)行試驗(yàn)數(shù)據(jù)處理，部分外包機(jī)構(gòu)性質(zhì)為CRO，部分為SMO，但由于研發(fā)部門(mén)無(wú)法區(qū)分外包機(jī)構(gòu)數(shù)據(jù)處理角色的異同，造成訪談中描述情況不清晰或有矛盾。因此，盡調(diào)訪談后需及時(shí)以數(shù)據(jù)映射表的形式整理主要數(shù)據(jù)處理場(chǎng)景和每個(gè)場(chǎng)景中涉及的數(shù)據(jù)合規(guī)點(diǎn)，并通過(guò)法律合規(guī)團(tuán)隊(duì)進(jìn)一步核實(shí)事實(shí)或取得書(shū)面材料。

其次，審查數(shù)據(jù)處理相關(guān)文件也是數(shù)據(jù)盡調(diào)的重要組成部分。審查生命醫(yī)療企業(yè)數(shù)據(jù)文本應(yīng)至少?gòu)臄?shù)據(jù)制度、數(shù)據(jù)授權(quán)和數(shù)據(jù)協(xié)議三方面衡量數(shù)據(jù)保護(hù)措施的充分性和合理性。數(shù)據(jù)制度（如健康數(shù)據(jù)管理制度、AI數(shù)據(jù)使用制度等）一般能反映醫(yī)療企業(yè)數(shù)據(jù)治理的整體框架；數(shù)據(jù)授權(quán)（如知情同意書(shū)等）是醫(yī)療企業(yè)直接采集數(shù)據(jù)的合法性基礎(chǔ)；數(shù)據(jù)協(xié)議（如數(shù)據(jù)處理協(xié)議等）則是醫(yī)療企業(yè)管控?cái)?shù)據(jù)合作方或合法間接收集數(shù)據(jù)的重要機(jī)制。

特別需要注意的是，在生命醫(yī)療行業(yè)，醫(yī)藥或者醫(yī)療器械企業(yè)在大多數(shù)情況下無(wú)法與患者直接接觸并獲取個(gè)人信息授權(quán)，即使發(fā)起藥物臨床實(shí)驗(yàn)研究活動(dòng)可以獲得參試者的知情同意，但是使用范圍和目的依然有限。因此，如何探索去標(biāo)識(shí)化技術(shù)并在滿足一定效果等級(jí)的基礎(chǔ)上使用統(tǒng)計(jì)數(shù)據(jù)，既能滿足企業(yè)的業(yè)務(wù)需要，同時(shí)又能保護(hù)患者的隱私。目前國(guó)內(nèi)企業(yè)大多借鑒美國(guó)HIPAA推薦的規(guī)則對(duì)患者18項(xiàng)識(shí)別信息進(jìn)行去標(biāo)識(shí)化處理，但是該方法是否符合中國(guó)法律與監(jiān)管規(guī)定，以及如何在此基礎(chǔ)上進(jìn)行優(yōu)化，以期達(dá)到《信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化效果分級(jí)評(píng)估規(guī)范》規(guī)定的匿名化標(biāo)準(zhǔn)（醫(yī)療數(shù)據(jù)受限數(shù)據(jù)集）值得我們重點(diǎn)關(guān)注。

最后，盡調(diào)報(bào)告應(yīng)總結(jié)數(shù)據(jù)盡調(diào)中發(fā)現(xiàn)的合規(guī)差距點(diǎn)，并從制度層面、授權(quán)協(xié)議文本層面和技術(shù)保護(hù)層面提出初步整改建議。改進(jìn)措施的落實(shí)也將從這三方面展開(kāi)。措施落地過(guò)程中，需要與法律合規(guī)團(tuán)隊(duì)、技術(shù)研發(fā)團(tuán)隊(duì)不斷溝通，在數(shù)據(jù)合規(guī)要求和企業(yè)業(yè)務(wù)需求間找到合適的平衡點(diǎn)。

03/ 如果目標(biāo)企業(yè)未來(lái)有境外上市計(jì)劃，專項(xiàng)數(shù)據(jù)盡調(diào)應(yīng)該前置做些什么?

2021年，境內(nèi)企業(yè)在赴港上市過(guò)程中，個(gè)人信息保護(hù)、數(shù)據(jù)合規(guī)與網(wǎng)絡(luò)安全的事宜也越發(fā)受到聯(lián)交所的關(guān)注，上市企業(yè)的招股說(shuō)明書(shū)也補(bǔ)充了風(fēng)險(xiǎn)披露事項(xiàng)。

網(wǎng)易云音樂(lè) (9899.HK，2021年11月23日)在招股書(shū)風(fēng)險(xiǎn)章節(jié)中，對(duì)可能涉及的個(gè)人信息保護(hù)與網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)的風(fēng)險(xiǎn)進(jìn)行詳細(xì)披露，包括：(1)安全漏洞及攻擊，(2)個(gè)人信息保護(hù)、網(wǎng)絡(luò)與數(shù)據(jù)安全相關(guān)的立法征求意見(jiàn)稿適用可能性，(3)因違反個(gè)人信息保護(hù)與網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)合規(guī)義務(wù)而可能導(dǎo)致的行政處罰風(fēng)險(xiǎn)與品牌聲譽(yù)風(fēng)險(xiǎn)。

2021年12月24日，《國(guó)務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定（草案征求意見(jiàn)稿）》公開(kāi)征求意見(jiàn)，可以預(yù)見(jiàn)，未來(lái)證監(jiān)會(huì)在境外上市備案審查中將提高網(wǎng)絡(luò)安全審查的關(guān)注程度。

2022年2月15日《網(wǎng)絡(luò)安全審查辦法》(國(guó)家互聯(lián)網(wǎng)信息辦公室令第8號(hào))正式生效，進(jìn)一步明確網(wǎng)絡(luò)安全審查的適用情形。綜合來(lái)看，不屬于CIIO，也不涉及重要數(shù)據(jù)的企業(yè)，在赴港上市中無(wú)須主動(dòng)申報(bào)網(wǎng)絡(luò)安全審查，但這并不能完全排除被動(dòng)審查的風(fēng)險(xiǎn)。

結(jié)合網(wǎng)絡(luò)安全審查的要求，除數(shù)據(jù)盡調(diào)的工作內(nèi)容外，對(duì)未來(lái)計(jì)劃境外上市的目標(biāo)企業(yè)，提前進(jìn)行網(wǎng)絡(luò)安全評(píng)估，對(duì)于是否存在“影響或可能影響國(guó)家安全的情形”形成專項(xiàng)分析報(bào)告。

04/ 結(jié)語(yǔ)

長(zhǎng)期以來(lái)，龐大的數(shù)據(jù)既是投資標(biāo)的企業(yè)的“護(hù)城河”，也是核心競(jìng)爭(zhēng)力之一。但是近年來(lái)不斷加強(qiáng)的數(shù)據(jù)立法與執(zhí)法監(jiān)管活動(dòng)，不但抬高數(shù)據(jù)優(yōu)勢(shì)維持成本，同時(shí)也使得傳統(tǒng)的業(yè)務(wù)模式面臨嚴(yán)峻的合規(guī)挑戰(zhàn)，稍有不慎，可能埋下新的“雷點(diǎn)”。與其他領(lǐng)域法律合規(guī)有所不同的是，數(shù)據(jù)合規(guī)的難點(diǎn)從來(lái)不在于法律文件的解讀。如何能讓企業(yè)內(nèi)的各部門(mén)都意識(shí)到，防守就是進(jìn)攻，合規(guī)是為了合理的挖掘數(shù)據(jù)，釋放數(shù)據(jù)所蘊(yùn)含的巨大商業(yè)價(jià)值，這才是每個(gè)從業(yè)者的初心。

注：文章為作者獨(dú)立觀點(diǎn)，不代表資產(chǎn)界立場(chǎng)。

題圖來(lái)自 Pexels，基于 CC0 協(xié)議

本文由“大隊(duì)長(zhǎng)金融”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權(quán)歸原作者所有，未經(jīng)授權(quán)，請(qǐng)勿轉(zhuǎn)載，謝謝！

原標(biāo)題： 數(shù)據(jù)不安全，投資有風(fēng)險(xiǎn)