作者：薯條三兄弟

來源：大隊長金融（ID:captain_financial)

防范數(shù)據(jù)風險的難點在于，數(shù)據(jù)處理的每個節(jié)點：收集、存儲、使用、加工、傳輸、提供、公開、刪除都可能成為數(shù)據(jù)安全的雷點。

監(jiān)管部門顯然也意識到了這一點。

2021年，《個人信息保護法》和《數(shù)據(jù)安全法》相繼實施，與《網(wǎng)絡(luò)安全法》共同構(gòu)建了個人信息保護、數(shù)據(jù)與網(wǎng)絡(luò)安全的監(jiān)管框架；在此基礎(chǔ)上，各類配套法規(guī)、國家標準、技術(shù)指南不斷提升監(jiān)管的精細度。

對于通過互聯(lián)網(wǎng)平臺(如APP、小程序、軟件開發(fā)應(yīng)用包(SDK))或者智能硬件設(shè)備等方式收集及處理個人信息的企業(yè)而言，數(shù)據(jù)泄露的風險顯著高于其他行業(yè)。從工信部2021年通報的1680款A(yù)PP及網(wǎng)信辦2021年通報的695款A(yù)PP案例來看，網(wǎng)絡(luò)安全的監(jiān)管部門最為關(guān)注的也是這類企業(yè)。其中需要重點關(guān)注的包括互聯(lián)網(wǎng)消費平臺、金融科技平臺、先進制造業(yè)企業(yè)。

在涉及這類企業(yè)的投資并購中，我們需要對個人信息流轉(zhuǎn)的全鏈路予以重點關(guān)注。

實踐中容易忽視的一個技術(shù)細節(jié)是“數(shù)據(jù)處理者”的識別。出于ICP經(jīng)營資質(zhì)和分散風險的考慮，互聯(lián)網(wǎng)平臺的運營及平臺上的產(chǎn)品提供，往往由集團內(nèi)的多個法人主體分工完成。另一種常見的情形，出于數(shù)據(jù)融合的考慮，集團內(nèi)多個法人主體收集個人信息后，再委托同一個主體(往往是體系內(nèi)科技公司)進行深度處理。界定“共同處理”、“委托處理”的數(shù)據(jù)鏈路，識別主要的“數(shù)據(jù)處理者”是厘清數(shù)據(jù)盡調(diào)對象，提升項目效率的關(guān)鍵步驟。

另外，國家標準化管理委員會制定的“國家標準”及行業(yè)主管部門制定的“技術(shù)規(guī)范”也會成為重要的法律依據(jù)。例如《個人金融信息保護技術(shù)規(guī)范》對于“個人身份信息”和“金融交易信息”進行了界定，兩者在“數(shù)據(jù)共享和委托處理”中會適用不同的合規(guī)要求，在盡調(diào)中對個人信息的內(nèi)容和對應(yīng)的個人信息處理場景就需要仔細甄別；再比如國標文件《信息安全技術(shù)汽車采集數(shù)據(jù)的安全要求》正在征求意見的階段，對于智能汽車采集的數(shù)據(jù)，細分為車外數(shù)據(jù)及座艙數(shù)據(jù)。當車外數(shù)據(jù)包含了外部環(huán)境的人臉、車牌等個人信息時，這類數(shù)據(jù)的處理也會受到更嚴格的要求。

最后，綜合《網(wǎng)絡(luò)安全審查辦法》、《互聯(lián)網(wǎng)平臺分類分級指南(征求意見稿)》、《互聯(lián)網(wǎng)平臺落實主體責任指南(征求意見稿)》的規(guī)定，對于年度活躍用戶不低于5000萬的目標企業(yè)(大型互聯(lián)網(wǎng)平臺)或者處理掌握超過100萬用戶個人信息的目標企業(yè)，適用的數(shù)據(jù)合規(guī)義務(wù)也會顯著提高，相應(yīng)地也需要提高數(shù)據(jù)盡調(diào)的顆粒度。

從事數(shù)據(jù)挖掘、分析處理并輸出數(shù)據(jù)服務(wù)的企業(yè)

市場中的另一類玩家，并不直接收集用戶的個人信息，也不面向個人用戶提供產(chǎn)品，這類企業(yè)通常面向機構(gòu)用戶提供軟件服務(wù)、云平臺服務(wù)、數(shù)據(jù)咨詢等基于數(shù)據(jù)的行業(yè)解決方案。其中需要重點關(guān)注的包括生命醫(yī)療行業(yè)(比如新藥研發(fā)，CXO，互聯(lián)網(wǎng)醫(yī)療，醫(yī)療人工智能等等)和大數(shù)據(jù)(人工智能)行業(yè)。

回溯數(shù)據(jù)鏈路的上游，我們會發(fā)現(xiàn)這類企業(yè)一方面可能通過爬蟲等技術(shù)獲取其他機構(gòu)的公開數(shù)據(jù)，另一方面可能與其他機構(gòu)建立合作獲取數(shù)據(jù)，再基于自身的大數(shù)據(jù)分析和算法模型，形成特定行業(yè)的解決方案。

在涉及這類企業(yè)的投資并購中，我們需要對數(shù)據(jù)鏈路的上游予以特別關(guān)注。

最后，隨著《關(guān)于加強互聯(lián)網(wǎng)信息服務(wù)算法綜合治理的指導意見》及相關(guān)規(guī)定的頒布，算法的安全治理、分類分級和備案制度也會逐步確立，算法自身的合規(guī)性也會成為數(shù)據(jù)盡調(diào)中的新的關(guān)注事項。

涉及關(guān)鍵信息基礎(chǔ)設(shè)施的企業(yè)

根據(jù)2021年《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》的定義，關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的，以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等。

事實上，2016年《網(wǎng)絡(luò)安全法》第一次提出關(guān)鍵信息基礎(chǔ)設(shè)施的概念時，市場普遍缺乏直觀的認識。經(jīng)過近幾年的摸索實踐，今年已有部分金融機構(gòu)向我們反饋，其接到了行業(yè)主管部門和公安部門的認定，成為了關(guān)鍵信息基礎(chǔ)設(shè)施的運營者(CIIO)。由此我們預(yù)計CIIO認定工作在上述的各個重要行業(yè)和領(lǐng)域會逐步落地。

如果目標企業(yè)成為關(guān)鍵信息基礎(chǔ)設(shè)施的運營者，那么對應(yīng)的數(shù)據(jù)合規(guī)義務(wù)會升格成最高等級，例如CIIO在中國境內(nèi)運營中收集和產(chǎn)生的個人信息和重要數(shù)據(jù)需要在境內(nèi)存儲，如果確需向境外提供的，需要按照國家網(wǎng)信等部門制定的辦法進行安全評估。因此，境外投資者進入中國市場，除了考慮外商投資產(chǎn)業(yè)準入的要求，現(xiàn)在還需要進一步考慮被投企業(yè)的“數(shù)據(jù)身份”，預(yù)判數(shù)據(jù)跨境流動是否可行。要特別注意，采用VIE結(jié)構(gòu)的協(xié)議控制，也需要遵循數(shù)據(jù)跨境傳輸?shù)暮弦?guī)義務(wù)。

02/ 如何進行專項數(shù)據(jù)盡調(diào)?——以生命醫(yī)療行業(yè)數(shù)據(jù)合規(guī)盡調(diào)為例

• 準備盡調(diào)問卷
• 盡調(diào)訪談和溝通
• 核查盡調(diào)資料
• 出具盡調(diào)報告(含合規(guī)差距分析及整改建議)
• 協(xié)助目標企業(yè)完成整改

通常情況下，完整的專項數(shù)據(jù)盡調(diào)問卷會涵蓋“個人信息保護”、“數(shù)據(jù)合規(guī)”與“網(wǎng)絡(luò)安全”三個部分，如下圖所示，我們常用的主表一共31頁，約9700字，另有其他附件表格配套使用。

我們也充分考慮到不同投資項目對于盡調(diào)時間和業(yè)務(wù)偏重的關(guān)注不同，可以將該問卷進行模塊化拆拼和調(diào)整（類似樂高組建的插拔），針對不同的行業(yè)適配本行業(yè)業(yè)務(wù)特點的盡調(diào)問卷，實現(xiàn)高效率發(fā)現(xiàn)未來影響投資項目退出路徑的重大合規(guī)瑕疵并為后續(xù)交易文件起草和交割條件設(shè)置提供工作基礎(chǔ)。

與傳統(tǒng)法律盡調(diào)稍有不同，在專項數(shù)據(jù)盡調(diào)的訪談和溝通環(huán)節(jié)，通常需要邀請目標企業(yè)內(nèi)部的法律合規(guī)、信息/網(wǎng)絡(luò)安全、產(chǎn)品、營銷、科技研發(fā)、運營等團隊共同參與。

一方面，數(shù)據(jù)合規(guī)涉及大量的互聯(lián)網(wǎng)技術(shù)細節(jié)，需要專業(yè)背景的團隊理解相關(guān)問題并做出準確回復(fù)，其中法律合規(guī)團隊熟悉制度流程及協(xié)議約定，信息/網(wǎng)絡(luò)安全、科技研發(fā)團隊熟悉系統(tǒng)架構(gòu)和數(shù)據(jù)安全管理，產(chǎn)品及營銷團隊熟悉數(shù)據(jù)的流轉(zhuǎn)和使用過程，三者相互印證才能反映實際情況；另一方面，數(shù)據(jù)合規(guī)需要排查數(shù)據(jù)在所有業(yè)務(wù)場景下的處理情況，邀請相關(guān)的各個團隊一起參與訪談，才能對目標企業(yè)數(shù)據(jù)治理形成全景圖。

以醫(yī)療企業(yè)盡調(diào)為例，由于醫(yī)療企業(yè)部門眾多，且醫(yī)療數(shù)據(jù)種類繁雜，數(shù)據(jù)盡調(diào)首先需要與企業(yè)溝通，大致了解企業(yè)處理和使用數(shù)據(jù)的主要場景、場景下涉及的數(shù)據(jù)種類以及企業(yè)內(nèi)的主要數(shù)據(jù)處理部門有哪些。比如，醫(yī)療企業(yè)的數(shù)據(jù)處理場景可能包括注冊臨床、科研合作、大數(shù)據(jù)應(yīng)用研發(fā)、跨境數(shù)據(jù)合作等，涉及的數(shù)據(jù)種類可能包括臨床數(shù)據(jù)、健康醫(yī)療大數(shù)據(jù)、遺傳資源數(shù)據(jù)等多種類型。

盡調(diào)訪談可以重點關(guān)注人類遺傳資源數(shù)據(jù)出境、臨床試驗研究活動中知情同意書的條款完備性、醫(yī)療企業(yè)內(nèi)部患者數(shù)據(jù)管控平臺完善程度、科研與營銷活動中公開去標識化患者數(shù)據(jù)是否存在風險、用于注冊的醫(yī)療數(shù)據(jù)是否可以回溯并按規(guī)定保存等等。

生命醫(yī)療企業(yè)內(nèi)由于使用數(shù)據(jù)的部門條線眾多，部門間可能存在數(shù)據(jù)混用的情形。比如，醫(yī)療企業(yè)內(nèi)可能存在不顧及數(shù)據(jù)主體具體授權(quán)范圍，將不同科研項目中取得的研究數(shù)據(jù)混用，后期可能造成數(shù)據(jù)超范圍使用等一系列合規(guī)問題。另外，醫(yī)療企業(yè)不同部門間也可能出現(xiàn)對同一數(shù)據(jù)應(yīng)用場景的描述不一致的情況。比如，醫(yī)療企業(yè)內(nèi)可能有多個研發(fā)部門聘用了第三方臨床外包機構(gòu)進行試驗數(shù)據(jù)處理，部分外包機構(gòu)性質(zhì)為CRO，部分為SMO，但由于研發(fā)部門無法區(qū)分外包機構(gòu)數(shù)據(jù)處理角色的異同，造成訪談中描述情況不清晰或有矛盾。因此，盡調(diào)訪談后需及時以數(shù)據(jù)映射表的形式整理主要數(shù)據(jù)處理場景和每個場景中涉及的數(shù)據(jù)合規(guī)點，并通過法律合規(guī)團隊進一步核實事實或取得書面材料。

其次，審查數(shù)據(jù)處理相關(guān)文件也是數(shù)據(jù)盡調(diào)的重要組成部分。審查生命醫(yī)療企業(yè)數(shù)據(jù)文本應(yīng)至少從數(shù)據(jù)制度、數(shù)據(jù)授權(quán)和數(shù)據(jù)協(xié)議三方面衡量數(shù)據(jù)保護措施的充分性和合理性。數(shù)據(jù)制度（如健康數(shù)據(jù)管理制度、AI數(shù)據(jù)使用制度等）一般能反映醫(yī)療企業(yè)數(shù)據(jù)治理的整體框架；數(shù)據(jù)授權(quán)（如知情同意書等）是醫(yī)療企業(yè)直接采集數(shù)據(jù)的合法性基礎(chǔ)；數(shù)據(jù)協(xié)議（如數(shù)據(jù)處理協(xié)議等）則是醫(yī)療企業(yè)管控數(shù)據(jù)合作方或合法間接收集數(shù)據(jù)的重要機制。

特別需要注意的是，在生命醫(yī)療行業(yè)，醫(yī)藥或者醫(yī)療器械企業(yè)在大多數(shù)情況下無法與患者直接接觸并獲取個人信息授權(quán)，即使發(fā)起藥物臨床實驗研究活動可以獲得參試者的知情同意，但是使用范圍和目的依然有限。因此，如何探索去標識化技術(shù)并在滿足一定效果等級的基礎(chǔ)上使用統(tǒng)計數(shù)據(jù)，既能滿足企業(yè)的業(yè)務(wù)需要，同時又能保護患者的隱私。目前國內(nèi)企業(yè)大多借鑒美國HIPAA推薦的規(guī)則對患者18項識別信息進行去標識化處理，但是該方法是否符合中國法律與監(jiān)管規(guī)定，以及如何在此基礎(chǔ)上進行優(yōu)化，以期達到《信息安全技術(shù)個人信息去標識化效果分級評估規(guī)范》規(guī)定的匿名化標準（醫(yī)療數(shù)據(jù)受限數(shù)據(jù)集）值得我們重點關(guān)注。

最后，盡調(diào)報告應(yīng)總結(jié)數(shù)據(jù)盡調(diào)中發(fā)現(xiàn)的合規(guī)差距點，并從制度層面、授權(quán)協(xié)議文本層面和技術(shù)保護層面提出初步整改建議。改進措施的落實也將從這三方面展開。措施落地過程中，需要與法律合規(guī)團隊、技術(shù)研發(fā)團隊不斷溝通，在數(shù)據(jù)合規(guī)要求和企業(yè)業(yè)務(wù)需求間找到合適的平衡點。

03/ 如果目標企業(yè)未來有境外上市計劃，專項數(shù)據(jù)盡調(diào)應(yīng)該前置做些什么?

2021年，境內(nèi)企業(yè)在赴港上市過程中，個人信息保護、數(shù)據(jù)合規(guī)與網(wǎng)絡(luò)安全的事宜也越發(fā)受到聯(lián)交所的關(guān)注，上市企業(yè)的招股說明書也補充了風險披露事項。

網(wǎng)易云音樂 (9899.HK，2021年11月23日)在招股書風險章節(jié)中，對可能涉及的個人信息保護與網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)的風險進行詳細披露，包括：(1)安全漏洞及攻擊，(2)個人信息保護、網(wǎng)絡(luò)與數(shù)據(jù)安全相關(guān)的立法征求意見稿適用可能性，(3)因違反個人信息保護與網(wǎng)絡(luò)數(shù)據(jù)安全相關(guān)合規(guī)義務(wù)而可能導致的行政處罰風險與品牌聲譽風險。

2021年12月24日，《國務(wù)院關(guān)于境內(nèi)企業(yè)境外發(fā)行證券和上市的管理規(guī)定（草案征求意見稿）》公開征求意見，可以預(yù)見，未來證監(jiān)會在境外上市備案審查中將提高網(wǎng)絡(luò)安全審查的關(guān)注程度。

2022年2月15日《網(wǎng)絡(luò)安全審查辦法》(國家互聯(lián)網(wǎng)信息辦公室令第8號)正式生效，進一步明確網(wǎng)絡(luò)安全審查的適用情形。綜合來看，不屬于CIIO，也不涉及重要數(shù)據(jù)的企業(yè)，在赴港上市中無須主動申報網(wǎng)絡(luò)安全審查，但這并不能完全排除被動審查的風險。

結(jié)合網(wǎng)絡(luò)安全審查的要求，除數(shù)據(jù)盡調(diào)的工作內(nèi)容外，對未來計劃境外上市的目標企業(yè)，提前進行網(wǎng)絡(luò)安全評估，對于是否存在“影響或可能影響國家安全的情形”形成專項分析報告。

04/ 結(jié)語

長期以來，龐大的數(shù)據(jù)既是投資標的企業(yè)的“護城河”，也是核心競爭力之一。但是近年來不斷加強的數(shù)據(jù)立法與執(zhí)法監(jiān)管活動，不但抬高數(shù)據(jù)優(yōu)勢維持成本，同時也使得傳統(tǒng)的業(yè)務(wù)模式面臨嚴峻的合規(guī)挑戰(zhàn)，稍有不慎，可能埋下新的“雷點”。與其他領(lǐng)域法律合規(guī)有所不同的是，數(shù)據(jù)合規(guī)的難點從來不在于法律文件的解讀。如何能讓企業(yè)內(nèi)的各部門都意識到，防守就是進攻，合規(guī)是為了合理的挖掘數(shù)據(jù)，釋放數(shù)據(jù)所蘊含的巨大商業(yè)價值，這才是每個從業(yè)者的初心。

注：文章為作者獨立觀點，不代表資產(chǎn)界立場。

題圖來自 Pexels，基于 CC0 協(xié)議

本文由“大隊長金融”投稿資產(chǎn)界，并經(jīng)資產(chǎn)界編輯發(fā)布。版權(quán)歸原作者所有，未經(jīng)授權(quán)，請勿轉(zhuǎn)載，謝謝！

原標題： 數(shù)據(jù)不安全，投資有風險