自2021年11月15日《北京证券交易所向不特定合格投资者公开发行股票注册管理办法(试行)》施行以来,在北交所公布的诸多《审查问询函》中,均体现了对上市公司尤其是科技公司数据安全及合规性审查。数据安全及合规性审查是企业上市的必备环节,其重要性不言而喻。

 

 

通过梳理《审查问询函》,监管部门对数据安全及合规性的审查要点主要为以下3个方面:一是公司是否存在收集或使用客户数据的情形;二是公司是否存在对外采购原料数据的情形;三是数据安全监管政策变动趋势对发行人的影响。

以此可见,北交所对企业进行上市的具体审查时,数据安全及合规性审查是上市审核的重点之一。在《数据安全法》和《个人信息保护法》中有明确要求:《数据安全法》第三十条 重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。《个人信息保护法》中第五十五条 有下列情形之一的,个人信息处理者应当事前进行个人信息保护影响评估,并对处理情况进行记录:(一)处理敏感个人信息;(二)利用个人信息进行自动化决策;(三)委托处理个人信息、向其他个人信息处理者提供个人信息、公开个人信息;(四)向境外提供个人信息;(五)其他对个人权益有重大影响的个人信息处理活动。

在《数据安全法》第三十条和《个人信息保护法》中第五十五条中均有规定涉及数据运营企业或组织在处理敏感信息、自动化决策、数据出境等情形下需要定期开展风险评估。那么数据处理的企业或组织如何开展数据自评估的工作呢? 第一步,梳理其数据安全评估的需求;第二步,在其内部建立全流程数据安全管理制度;第三步,在其内部明确数据安全自评估活动的负责人和管理机构;第四步,在其内部定期组织开展数据安全管理理论和实践相关培训;第五步,在其内部根据数据安全管理制度定期开展数据安全自评估活动,并向有关主管部门报送风险评估报告;第六步,组织数据安全负责人、重要数据的处理者和关键干系人一起制定数据安全风险解决方案,并监督实施情况。

通过上面六步具体步骤实施,企业或组织在开展数据处理过程中不断发现数据安全防护中的薄弱环节,不断完善防护措施,保障数据资产安全,确保在处理敏感信息、自动化决策、数据出境等情形下,能够快速通过相关部门的审核。

在数据安全自评估方面美亚柏科“亮剑一号”显神通。“亮剑一号”——CS-D100数据安全检查工具箱(以下简称:“亮剑一号”)。美亚柏科凭借多年在大数据和网络空间安全等领域的经验,提炼出了数据安全体检单和各项安全指标,能够快速、有效地检查出数据安全风险,分析根本原因,并给出防护方案。数据如同人体的组织和血液一样,数据安全经营的重要性不言而喻,“亮剑一号”如同数据的医疗体检设备,以法律法规标准为依据,不断积累实际经验数据,结合模板化检查策略和智能算法,为数据的运行环境和数据本身提供综合性安全检查。

核心检查能力:个人信息保护安全检查;未成年人信息保护安全检查;数据共享、公开安全检查;数据资产分类分级安全检查;数据资产出境安全检查;操作系统/数据库/应用服务安全检查。