2021年6月10日,《数据安全法》已由全国人大常委会第二十九次会议审议通过,将于2021年9月1日起施行。与此同时,《个人信息保护法(草案二审稿)》已结束征求意见环节,有待最终的审议表决。从网络安全到数据安全和个人信息保护,数字经济时代下的企业即将面临严格且严密的数据合规监管。这一趋势,在资本市场已有明显的体现。科创板上市审核中,企业数据合规问题多次受到审核问询。问题覆盖了从数据收集、存储、使用、共享、出境到数据安全等多个维度。
据此,我们以科创板上市审核问询为样本,以数据生命周期的不同阶段为节点,分别梳理在特定数据阶段审核问询的焦点,并分析对应的企业案例,进而为企业做好数据治理工作建立合规框架,提供操作指引。
本研究分为五个篇章,分别是数据收集篇、数据存储篇、数据使用篇、数据出境篇和数据安全篇。本文是第二篇,关乎数据存储环节。
一
上市审核对数据存储的问询要点
企业在进行数据收集后,需要进一步履行数据控制者的责任。数据存储关系到数据安全问题,存储不当可能引发大规模的数据泄露。为了更好地保障数据安全,对科创板拟上市企业,发审委往往会关注企业的数据存储方式及其合规性。
通过案例检索,涉及数据存储的问询要点如下:
|
序号 |
问题描述 |
|
1 |
业务开展中是否涉及对客户数据、第三方数据、个人信息等进行存储 |
|
2 |
数据的存储方式及管理情况 |
|
3 |
结合与客户的保密条款约定,说明未保留业务数据的原因及合理性 |
|
4 |
数据平台是否独立,是否存在共用混合的数据池 |
二
数据存储合规的代表性案例
就上述问询要点,我们选取申报上市相关代表性案例分析如下。
据江苏金智教育信息股份有限公司(以下简称“金智教育”)披露,金智教育是高等教育信息化产品和服务提供商,以自主研发的智慧校园运营支撑平台和应用系统为基础,为高等院校和中职学校提供软件开发、运维及服务、系统集成等信息化服务。
因其提供的智慧校园系统、平台等可能涉及学校及师生的具体数据和个人资料等信息,因此,发审委关注相关信息的存储情况。
对此,保荐机构及律师回复:金智教育因提供产品和服务获取的相关信息全部存储在其公有云服务平台的后台,也即金智教育向阿里、华为、腾讯租用的公有云环境内。除按约定用于向客户或用户提供产品和服务外,金智教育不存在超出与客户的合同约定及APP 用户授权范围获取、使用相关信息的行为。
根据北京海天瑞声科技股份有限公司(以下简称“海天瑞声”)公开的招股说明书,海天瑞声是我国领先的 AI 训练数据专业提供商,主营业务包括训练数据定制服务、训练数据产品及训练数据相关的应用服务三大板块。
据海天瑞声披露,其未保留2016年及2017年的业务数据。因此,发审委对海天瑞声未保留业务数据的原因及合理性进行问询。
对此,律师回复:对于数据资源定制服务,海天瑞声在数据库交付验收后,不再长期保留成品数据库文件。其原因及合理性在于:
1.数据资源定制服务完成后,数据库所有权归属客户,在销售时已经转移至客户,海天瑞声不再拥有该等数据资源的所有权。如果仍然长时间保留备份,则存在相关信息失密和侵权的风险。因此,海天瑞声对定制服务数据不予保留。
2.重要客户对于服务完成后不得留存数据有明确要求。海天瑞声的客户包括大型科技公司、人工智能企业和科研机构等,其高度重视数据安全和保密工作,并对其供应商的数据安全和保密作出严格规定,对于海天瑞声定制服务涉及的数据均有相应的保密要求。部分重要客户通过合同或者专项文件、供应商管理制度等形式对服务完成后的数据留存做出了明确要求。
据蚂蚁科技集团股份有限公司(以下简称“蚂蚁科技”)的招股说明书披露,蚂蚁科技与阿里巴巴集团在对等、公平的基础上协商达成了为期50年的《数据共享协议》。
因涉及数据共享,发审委对蚂蚁科技与阿里巴巴集团的数据平台的独立性、是否为共用混合的数据池的问题十分关注。
保荐机构及律师答复:蚂蚁科技的数据平台和数据存储均是独立部署。蚂蚁科技和阿里巴巴集团各自具备独立的计算能力,双方各自采集的数据均各自独立存储,不存在共用的混合数据池。
三
企业数据存储的合规指引
目前,我国《网络安全法》《信息安全技术个人信息安全规范》(GB/T 35273—2020)(以下简称“《个人信息安全规范2020》”)《个人信息和重要数据出境安全评估办法(征求意见稿)》等法律法规、规范性文件都对数据存储相关内容作出规定,企业应注意依照规定处理数据存储问题,降低数据存储阶段的风险。对此,我们提出如下合规建议,供企业参考:
为保障数据存储阶段的安全,企业可采取以下数据存储措施。
(1)去标识化处理。根据《个人信息安全规范2020》,企业在收集个人信息后,个人信息控制者宜立即进行去标识化处理,并采取技术和管理方面的措施,将去标识化后的数据与可用于恢复识别个人的信息分开存储,加强访问和使用的权限管理。
(2)使用加密存储方式。《个人信息安全规范2020》要求对个人敏感信息采用加密措施(个人敏感信息包括身份证件号码、个人生物识别信息、银行账号、通信记录和内容、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息、14 岁以下(含)儿童的个人信息等)。公安部门发布的《互联网个人信息安全保护指南》并未区分是否为个人敏感信息,而要求对收集的个人信息均应采取加密存储等安全措施进行处理。因此,我们建议企业对收集的信息均进行加密存储,而不论是否为个人敏感信息。
(3)建立备份措施。根据《互联网个人信息安全保护指南》规定,企业保存信息的主要设备,应对个人信息数据提供备份和恢复功能,确保数据备份的频率和时间间隔,并使用不少于以下一种的备份手段:
①具有本地数据备份功能;
②将备份介质进行场外存放;
③具有异地数据备份功能。
为避免网络病毒、人为删除、黑客入侵等导致数据丢失,建议企业建立相应的数据备份措施。
《个人信息安全规范2020》规定“个人信息存储时间最小化”原则,即“个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间”,同时在“超出上述个人信息保存期限后,应对个人信息进行删除或匿名化处理”。实务中,“最小化”的落地一般结合企业主营业务特征综合确定。例如为了维护交易和业务记录,以提供售后服务或查询、投诉;或者为了确保提供服务的安全和质量等。
同时,企业需要关注所处行业对存储期限的特定要求。比如,对于电商企业而言,《电子商务法》要求商品和服务信息、交易信息保存时间自交易完成之日起不少于3年;对于教育企业而言,《教育部等六部门关于规范校外线上培训的实施意见》要求,用户行为日志应当留存1年以上。
此外,数据“删除”的动作往往被企业忽视。为降低经营管理风险,企业应注意在存储到期(超出上述必要时间)、停止运营产品或服务以及用户账号注销时,及时删除存储的个人信息或者匿名化处理。
根据《网络安全法》第37条规定:“关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。”
虽然《网络安全法》仅对关键信息基础设施运营者(如面向公众提供网络信息服务或支撑能源、通信、金融、交通、公用事业等重要行业运行的信息系统或工业控制系统)的境内数据存储进行规定,但依照目前的立法趋势,网络运营者很有可能受到数据境内存储的约束。
国家互联网信息办公室发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》,已经将境内存储的适用主体范围从“关键信息基础设施的运营者”扩大到“网络运营者”。《互联网个人信息安全保护指南》也规定“在境内运营中收集和产生的个人信息应在境内存储,如需出境应遵循国家相关规定”。
因此,网络运营者应注意遵循数据境内存储的规定,如确有境外存储需要的,应履行相应的安全评估手续。
个人生物识别信息属于个人敏感信息之一,因其具有高度敏感性,除应采取加密等安全措施外,还应当遵循特别规定。
根据《个人信息安全规范2020》的规定,企业应注意将个人生物识别信息与个人身份信息分开存储。原则上企业不应存储原始个人生物识别信息,具体可采取以下合规措施:
(1)仅存储个人生物识别信息的摘要信息;
(2)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能;
(3)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生物识别信息的原始图像。
本研究下一篇为数据使用篇,我们将总结在数据使用阶段的审核问询要点、代表性案例及合规指引。
相关系列文章:科创板上市审核对企业数据合规的启示——数据收集篇
声明:本微信文章仅为交流探讨之目的,不得视为广悦数据合规研究院或其律师出具的正式法律意见,任何仅依照本文的全部或部分内容而做出的行为及因此带来的后果均由行为人自行负责。如果您需要法律意见或有意就相关议题进一步交流,可以通过电子邮件与我们联系,E-mail:hlw@wjngh.cn 。
