数据隐私和网络安全
专栏
作者:冯坚坚 袁立志
(本文全长7826字,全文阅读约需15分钟)
近期,某新三板挂牌公司(“A公司”)的涉嫌非法窃取巨量用户信息的新闻同时引起了网络安全与数据合规律师和资本市场律师的高度关注。前者的关注点不难理解,而资本市场律师的关注点则在于,在投融资、并购重组、挂牌上市等资本运作项目中如何进行网络安全与数据合规的尽职调查,律师如何做才能最大程度地发现风险,并证明其尽职。
在中国法下,“网络安全”一词含义广泛,包括设施安全、运行安全、数据安全和信息安全等多个层面,本文为简化表述,将实务中语义有所不同的“网络安全”、“信息安全”、“个人信息保护”、“数据合规”等统称为“网络安全”。
Contents
目录
﹀
﹀
﹀
壹:发生了什么?
贰:问题出在哪里?
叁:应该怎么做?
肆:哪些情形可能会被认为没有做到勤勉尽责
伍:总结
﹀
﹀
﹀
发生了什么?
根据新闻媒体报道和A公司的公告,事情的原委大致是这样的:
A公司的自身定位为互联网新媒体营销企业,其业务模式是,通过其开设和运营的微博账号、微信公众号、头条账号等自媒体账号,利用粉丝数量优势,通过分享、制作有价值、有趣的资讯内容等手段,向特定用户群体推送营销内容,实现营销目的,收取客户服务费用。
2017年10月底,A公司在股转系统(即“新三板”)挂牌。在挂牌审查过程中,股转系统曾就公司业务是否符合网络安全法的各项规定进行了详细询问,其中一个问题是:“公司开发的软件是否存在非法收集用户信息、侵害用户利益的情形”。为该项目提供法律服务的某律师事务所在回复中确认,公司开发的软件不存在该等情形。
2018年7月20日,A公司主办券商发布公告称,该公司法定代表人、董事及两名监事因涉嫌非法获取计算机信息系统数据罪,被公安机关刑事拘留,刑事调查目前正在进行。随后,A公司的银行账号被冻结,主办券商发布持续经营能力风险提示,公司股票停牌。
根据财新媒体的报道,从2014年开始,A公司与各地的电信、移动、联通等运营商签订营销广告系统服务合同,为其提供精准广告投放系统的开发、维护,从而拿到了运营商服务器的远程登录权限。在业务过程中,A公司人员将自主编写的恶意程序放在运营商的服务器上,当用户的流量经过运营商的服务器时,程序就自动工作,从中采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在了该公司的服务器上。获得cookie等数据后,A公司就可以操纵用户的微博、微信、QQ、淘宝和抖音等自媒体账户,在用户不知情的情况下加粉、加群,违规进行营销推广,从而非法获利。
根据股转系统的规定,申请挂牌公司的报告期为至少两个完整的会计年度。律师需要对报告期内公司的经营是否合法合规进行核查,并发表明确意见。A公司的违法行为始于2014年,持续至案发,覆盖了整个报告期。而律师的尽职调查没有发现违法事实,并给出了业务合规的法律意见。显然,有哪里出现了问题。
问题出在哪里?
从A公司公开披露的文件来看,项目主办律师曾对网络安全事项进行核查,在股转系统反馈询问时也进行了详细披露。从传统的尽职调查标准来看,很难说该项目的律师有明显的疏忽。但是对于该公司利用非法软件窃取用户数据的情况,律师确实没能发现。总结下来,可能有这么几个因素:
熟悉网络安全法规。网络安全是一个总体概念,网络安全法的内容很广泛,涵盖基础设施安全、网络运行安全、数据安全和信息安全等多个层面。为了落实网络安全管理,国家已经或正在建立网络安全等级保护制度、关键信息基础设施保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络信息内容管理制度、网络安全事件应急响应制度等,每项制度都有配套的细则或国家标准。此外,根据每个行业的特点,各行业主管部门还出台了针对特定行业的网络安全管理细则。
鉴于网络安全法日渐成为一个独立的法律领域,且体系日趋复杂,项目尽职调查团队中宜配备通晓网络安全法的律师,该律师应当熟悉网络安全法的整体体系、各项具体规范和标准及行业特殊要求,专责网络安全事项核查,以确保尽职调查全面覆盖,避免重大遗漏。
除了核查ICP许可证等证照之外,还应关注网络安全测评、评估和认证等情况。传统的尽职调查会关注ICP许可证、SP许可证、网络视听许可证、网络文化经营许可证等业务证照,这些证照解决的是市场准入问题。而对于企业经营过程中的网络安全风险,可以通过核查网络安全测评、评估、认证情况来掌握,包括网络安全等级保护测评、数据出境安全评估、ISO27001认证、个人信息安全影响评估(PIA),以及欧盟GDPR项下的数据保护认证(针对可能受GDPR管辖的企业)等(部分制度和规则尚处于征求意见阶段,需要企业和律师随时关注)。
网络安全等级保护制度是网络安全法下的一项基础性制度,等级保护测评报告是在网络依法定级的基础上,有资质的测评机构依法对网络安全保护状况进行的评估,是网络符合等级保护各项要求的证明。除满足合规要求外,等级保护测评可以在相当程度上反映企业的整体网络安全保护水平。
ISO27001认证则是由经过认可的认证机构,对一个组织的信息安全水平和能力满足信息安全管理体系国际标准ISO/IEC27001要求的证明,可以全面反映企业的网络安全管理水平。
数据出境安全评估则是个人信息或重要数据出境前,企业或主管部门组织的安全评估,可以反映出境或拟出境个人信息或重要数据的安全情况。
个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。
GDPR项下数据保护认证适用于从事涉欧业务的企业,是有资格的认证机构对企业的数据处理行为符合GDPR规定的证明,也能在一定程度上反映企业的网络安全保护水平。
通过核查上述有公信力的证明以及企业内部建立相应评估机制的情况,可以比较直观地掌握企业网络安全保护情况。
哪些情形可能会被认为没有做到勤勉尽责
根据竞天公诚同事的研究(参见刘思远、赵枫:中介机构尽调会因何被罚?),法律对律师等中介机构的要求是勤勉尽责。结合他们的研究成果,就网络安全事项尽职调查而言,以下情形很可能被认为没有做到勤勉尽责:
没有穷尽合理的调查手段。法律没有要求律师核查必须发现所有风险,特别是,如果企业刻意隐瞒,有些风险确实不是律师能够发现的,但是律师应当尽其所能地进行调查,如果穷尽所有合理的核查手段后仍然不能发现风险,则律师应当免责。比如在上述A公司的案例中,A公司之所以能够在运营商的服务器上架设非法软件,是因为运营商有内鬼。这样隐蔽的作案手法确实不易发现,但是,运营商是A公司的主要合作伙伴,就网络安全问题对运营商进行走访或者函证,是核查的“规定动作”。如果律师没有做出“规定动作”,或者“规定动作”不到位,就很难说已经勤勉尽责。
总结
传统的尽职调查模式应当做出改进,改进之道在于:在尽职调查团队中配备熟悉网络安全法的律师,根据新经济的特点,围绕企业经营中的数据流,综合业务、技术、法务、财务、人事等各方面的信息,运用新的调查手段和方式,定位网络安全风险因素。
律师在涉及网络安全事项的尽职调查中应做到勤勉尽责,秉持足够的职业谨慎,穷尽了合理的调查手段,对网络安全事项进行了全面深入的核查。
