作者：通力律师事务所   创新企业法律服务组

根据2018年4月13日中央网信办网站公布信息, 中央网信办、中国证监会于2018年3月30日联合印发《关于推动资本市场服务网络强国建设的指导意见》(以下简称“《意见》”), 提出全面贯彻落实党的十九大精神, 充分发挥资本市场在资源配置中的重要作用, 规范和促进网信企业创新发展, 推进网络强国、数字中国建设。一方面, 《意见》对网信企业IPO将产生实质性利好, 另一方面, 《意见》将进一步加强对拟IPO企业网络安全与信息合规的审查, “围绕资本市场促进网信事业发展主题, 加强网信和证券监管工作的协调联动, 充分发挥资本市场资源配置作用, 促进企业落实主体责任, 深化行业监督管理, 凝聚工作共识, 形成监管合力”。

对于拟IPO企业而言, 企业合规是各项IPO准备工作的重中之重。税务、工商、环保、土地、出资、交易等合规审查历来也都是审查重点。我们同时注意到, 自《网络安全法》颁布以来, 拟IPO企业的网络安全和信息合规也逐渐成为证券监管部门新的关注点。本文旨在以IPO合规审查为背景, 提示企业重视网络安全和信息合规, 切莫让其成为企业成功IPO路上的“拦路虎”。

根据公开市场信息, 我们就证券监管部门审核IPO企业的询问问题进行了梳理, 发现自《网络安全法》颁布以来, 网络安全与信息合规多次成为IPO审核的关注点, 例如:

1.  发审委2018年第57次会议中, 发审委对深信服科技股份有限公司提出如下涉及网络安全、信息合规的询问问题:

1)  发行人是否已经建立完善的防泄密和保障网络安全的内部管理制度, 该等制度的执行是否有效;
2)  对比发行人在业务开展、内部控制等各方面是否符合《网络安全法》相关规定。

2.  创业板发审委2017年第33次会议中, 发审委对北京科锐国际人力资源股份有限公司提出如下涉及网络安全、信息合规的询问问题:

1)  发行人业务涉及个人信息收集、存储及使用。说明发行人人才库所涉及个人信息的收集、存储、使用是否存在侵犯相关个人隐私或其他权益的情形, 发行人就相关个人信息是否存在有效的保密机制, 是否符合相关规定。

2)  此外, 还有多家企业在其IPO审核过程中被问及企业实际控制人的海外居留权是否对企业与金融机构开展业务产生不利影响、企业所开展业务是否存在可能侵犯第三方商业秘密或个人信息安全、企业主要业务的开展是否需要具备安全资质等等具有直接或间接相关性的问题。

值得关注的是, 本次颁布的《意见》更是明确要求: 加强网信和证券监管工作的协调联动, 形成监管合力; 网信部门与证券监督管理部门指导网信企业遵守《中华人民共和国网络安全法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络产品和服务安全审查办法(试行)》等法律法规和制度, 建立健全网络与信息安全保障措施。因此, 对于业务领域涉及用户或客户众多的互联网、云服务、数据收集/存储/处理、金融服务、医疗服务、网络安全等企业而言, 网络安全与信息合规已经成为IPO合规审查中不可或缺的一环, 对项目能否顺利通过将具有重要影响。

根据国家已公布实施的法律法规, 包括证券监管部门在内的各管理部门都已开始重点关注相关企业的网络安全保护、关键信息基础设施保护以及信息合规等内容, 正在征求意见中的数据出境相关法规正式颁布后, 数据出境亦将成为关注重点。根据我们的从业经验, 建议拟IPO企业和IPO辅导机构关注如下网络安全和信息合规要点:

1.  根据网络安全等级保护制度的要求, 履行下列安全保护义务, 保障网络免受干扰、破坏或者未经授权的访问, 防止网络数据泄露或者被窃取、篡改: 

(1)  制定内部安全管理制度和操作规程, 确定网络安全负责人, 落实网络安全保护责任;
(2)  采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(3)  采取监测、记录网络运行状态、网络安全事件的技术措施, 并按照规定留存相关的网络日志不少于六个月;
(4)  采取数据分类、重要数据备份和加密等措施;
(5)  法律、行政法规规定的其他义务。

2.  制定网络安全事件应急预案, 及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险; 在发生危害网络安全的事件时, 立即启动应急预案, 采取相应的补救措施, 并按照规定向有关主管部门报告。

3.  为用户提供信息发布、即时通讯等服务, 在与用户签订协议或者确认提供服务时, 应当要求用户提供真实身份信息。用户不提供真实身份信息的, 网络运营者不得为其提供相关服务。

4.  对用户发布的信息的管理。发现法律、行政法规禁止发布或者传输的信息的, 应当立即停止传输该信息, 采取消除等处置措施, 防止信息扩散, 保存有关记录, 并向有关主管部门报告。

1.  收集、使用个人信息, 应当遵循合法、正当、必要的原则, 明示收集、使用信息的目的、方式和范围, 并经被收集者同意。不得违反法律、法规的规定和双方的约定收集、使用信息。

2.  未经当事人同意或者请求, 或者其明确表示拒绝的, 不得向其发送商业性信息。包括但不限于向其固定电话、移动电话或者个人电子邮箱发送商业性电子信息, 以及向其住宅、交通工具等发送广告, 也不得以电子信息方式向其发送广告。

3.  对收集的消费者个人信息必须严格保密, 不得泄露、出售或者非法向他人提供。应当采取技术措施和其他必要措施, 确保信息安全, 防止消费者个人信息泄露、丢失。在发生或者可能发生信息泄露、丢失的情况时, 应当立即采取补救措施, 按照规定及时告知用户并向有关主管部门报告。

1.  构成关键信息基础设施运营者的, 在网络安全等级保护基础上, 还应当履行以下安全保护义务:

(1)设置专门网络管理机构和网络安全管理负责人, 且关键岗位专业技术人员应持证上岗;
(2)定期对从业人员进行网络安全教育、技术培训和技能考核;
(3)对重要系统和数据进行容灾备份, 及时对系统漏洞等安全风险采取补救措施;
(4)制定网络安全事件应急预案并定期进行演练;
(5)法律、行政法规规定的其他义务。

2.  关键信息基础设施的建设应当确保其具有支持业务稳定、持续运行的性能, 并保证安全技术措施同步规划、建设和使用。

3.  关键信息基础设施的运营者采购网络产品和服务, 可能影响国家安全的, 应当通过国家安全审查。

4.  关键信息基础设施运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要, 确需向境外提供的, 应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估; 法律、行政法规另有规定的, 依照其规定。

5.  关键信息基础设施运营者应当建立安全检测评估制度, 对其网络的安全性及可靠性每年至少进行一次评估。

1.  网络运营者向境外提供在中国境内运营中收集和产生的个人信息和重要数据, 应当按照《个人信息和重要数据出境安全评估办法》进行安全评估。

2.  网络运营者根据数据出境的类型、数量、重要程度等, 对数据出境进行安全评估, 保障公众利益、维护国家安全。当数据出境目的、范围、类型、数量等发生较大变化, 数据接收方变更或发生重大安全事件时, 应及时进行安全评估。

3.  数据出境存在下列情况之一的, 应由行业主管或监管部门组织安全评估:

(1)含有50万人以上的个人信息;
(2)包含核设施、化学生物、国防军工、人口健康等领域数据, 大型工程活动、海洋环境、敏感地理信息数据, 以及关键信息基础设施的安全缺陷、具体安全防护措施等网络安全信息;
(3)其他可能影响国家安全和社会公共利益的。

4.  经评估, 存在下列情况之一的, 数据不得出境:

(1)不符合国家法律、行政法规、部门规章等有关规定的;
(2)个人信息出境未经个人信息主体同意, 或可能侵害个人利益;
(3)可能损害公众和国家利益的个人信息出境;
(4)数据出境给国家政治、国土、军事、经济、文化、社会、科技、国防等安全带来风险, 可能影响国家安全、损害社会公共利益、信息、生态、资源、核设施等安全;
(5)其他经国家网信部门、公安部门、安全部门等有关部门认定不能出境的

根据《意见》以及相关IPO审核案例, 下述企业受网络安全及个人信息保护法规影响较大, 在IPO 的进程中需要格外关注网安及信息合规问题。

上文提及的人力资源类公司, 以及电商、外卖、旅游等平台类公司属于此类企业。这类企业的业务涉及大量个人信息的收集、存储及使用, 并对个人信息存在高度依赖。

此类企业对于包括个人信息在内的各类数据进行收集、分析、处理, 并对经过分析处理的数据进行再利用, 个人数据安全问题与其直接相关。

此类企业主要依托互联提供行云技术相关的服务, 包括数据保护、云存储、网络流量管理、媒体交付及网络运营商等。此类企业的网络安全关乎其所有客户的数据及网络安全, 该行业中的申请上市企业的网络安全等级保护极可能是发审委关注的重点。

此类企业的业务主要依靠互联网技术进行, 业务对于互联网络的依赖程度很高, 例如游戏平台公司, 出行平台公司等。此类企业的网络安全等级保护将是被关注的重点。

此类企业以提供基于互联网或其他公共网络的信息服务、医疗服务、金融服务为主, 其收集和掌握的数据从宏观层面上可能涉及公共利益, 从微观层面上与个人利益息息相关。此类企业应重点落实网络信息安全相关措施及内控制度。

此类企业产品对互联网和通信业务安全具有基础性作用, 尤其要重点落实相关国家标准的强制性要求、数据出境(重要数据)以及《网络产品和服务安全审查办法(试行)》等法律法规的合规性要求。

由于《网络安全法》对网络运营者作出宽泛的界定, 拟IPO企业应当谨慎核查自身是否构成网络运营者并受《网络安全法》的相关规制。从长远趋势看, 随着数据技术、互联网技术与各行业企业的进一步融合, 同时创新企业登陆资本市场受到越来越多的支持(相关内容参见通力创新企业法律服务组近期执笔的《境内资本市场对接创新企业的十个焦点问题》), 预计将会有更多拟IPO企业需要落实《意见》所述的“主体责任”, 其业务开展中的网络安全与信息合规必然成为通向资本市场之路的工作要点。与此同时, 随着《网络安全法》及其配套法律法规的完善, 证券监管部门对于网络安全和信息合规的审查也将常态化。

因此, 无论是拟申请IPO的企业及相关IPO辅导机构, 在准备期以及报请审核过程中都应做好相应准备, 不应抱有侥幸心理, 避免因网络安全和信息合规问题影响IPO的进程:

1.  拟IPO企业应当及早关注企业本身的网络安全与信息合规情况, 对照法律法规的要求, 建立完善相应制度, 采取安全技术措施。

2.  IPO辅导机构应当在合规审查和辅导中, 将网络安全和信息合规作为审查和辅导的重点, 并帮助企业建立完善制度、落实相关措施。经评估, 符合法律法规的合规要求的, 可以在《招股说明书》、《公开发行证券的法律意见书和律师工作报告》等申报文件中主动体现, 并积极做好证券监管部门对网络安全和信息合规反馈意见的答复工作。

联系人：

长按下图识别二维码关注我们

© 通力律师事务所

本微信所刊登的文章仅代表作者本人观点, 不代表通力律师事务所的法律意见或建议。我们明示不对任何依赖该等文章的任何内容而采取或不采取行动所导致的后果承担责任。如需转载或引用该等文章的任何内容, 请注明出处。