易坊好文馆

  1. 首页 > 玩科技 >

问题|IPO信息系统专项核查之关注数据隐私保护

监管部门 保护 信息 个人 企业 消息资讯 问题 隐私 数据 处理 互联网公司 安永 信息系统 核查


问题|IPO信息系统专项核查之关注数据隐私保护
文章图片

在这个信息爆炸的大数据时代 , 数据窃取、信息泄露、“大数据杀熟”等数据隐私安全问题层出不穷 。
企业生产经营以及个人日常活动过程中产生的海量数据 , 既存在无法估量的商业价值 , 也可能存在潜在的数据隐私安全风险 。 随着监管部门对于个人信息保护与数据隐私安全的监管要求日趋严格 , 针对相关IPO企业的数据隐私保护能力的核查也显得尤为重要 。 如何确保企业在上市前已进行了充分的数据隐私保护 , 成为当下的热点议题之一 。
我们多年以来为众多企业提供IT审计咨询服务 , 尤其针对互联网公司提供数据式尽调(信息系统专项核查)服务 , 致力于为提升行业信息系统内控水平、提升管理效率和效益提供持续的洞察和见解 。 更多往期信息请参考:
【科创板】科创型企业上市该如何做数据式尽职调查?
【安永观察】洞悉企业经营业绩风险:数据式尽调进阶篇
【安永观察】数字化时代的IT审计如何服务IPO及投资并购项目?
1. 什么是数据隐私保护 每个企业都拥有敏感数据 , 例如商业机密、知识产权、关键业务数据、客户个人信息等 。 广义来说 , 企业的数据隐私保护即为企业的信息安全管理 , 依据ISO27001信息安全管理体系等行业标准的指导 , 涉及安全方针、访问控制、密码学、物理与环境安全、信息系统开发维护与业务连续性等多个方面 。 狭义上 , 大多数法律法规中提到的数据隐私保护 , 主要指的是针对个人信息的保护 。
近年来 , 影响力较大的个人信息保护法规当属欧盟的《通用数据保护条例》(General Data Protection Regulation , 简称GDPR) 。 作为1995年欧盟《数据保护指令》(Data Protective Directive)的升级 , GDPR于2018年5月25日正式生效 , 面向所有处理和持有欧盟居民个人资料的公司(从而包含了涉及处理欧盟居民个人数据的跨境企业) , 针对其个人信息处理程序提出了更高的责任要求 。 数月前 , 美国在2020年1月生效的《加州消费者隐私法案》(California Consumer Privacy Act)的基础上修订了《加州隐私权法案》(California Privacy Rights Act) , 将对违反相关数据隐私规定的公司处以更严厉的罚款 。 我国也有近40部法律、30部法规涉及个人信息保护 , 如《电子商务法》《消费者权益保护法》《网络安全法》《刑法修正案(九)》等 。
2021年1月1日起施行的《中华人民共和国民法典》中对“个人信息”有着明确的定义——“个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息 , 包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等” 。 在个人信息的收集、存储、使用、加工、传输、提供、公开等过程中 , 信息处理者应当遵循合法、正当、必要的原则 , 并征得该自然人或者其监护人同意 , 公开处理信息的规则 , 明示处理信息的目的、方式和范围 , 同时不违反法律、行政法规的规定和双方的约定 。
2. 相关IPO企业关注数据隐私保护的必要性【问题|IPO信息系统专项核查之关注数据隐私保护】2019年 , 某互联网搜索引擎公司因个人数据的处理违反GDPR条例 , 被处以5000万欧元的罚款 。 该条例生效至今 , 还有服装零售商、通信运营商、航空公司、连锁酒店品牌等多个行业巨头 , 因违反GDPR条例 , 而被处以高额罚款以及其他相应处罚 。
不论是电商物流、旅游酒店、视频游戏、在线教育或是社区生活服务平台 , “用户”都是企业发展的核心驱动力之一 。 从事C端业务 , 甚至部分B端、G端业务的企业 , 大多参与到了个人信息的处理流程中 。 由此 , 该批企业的数据隐私保护工作也无可避免地受到了上述法律法规的监管与约束 。 在IPO阶段及时开展数据隐私保护与个人信息安全治理 , 可以提前规避因个人信息处理不合规导致的问题 , 甚至是法律风险和相应处罚 。
工业和信息化部自2018年以来通报并监督整改了多批涉及违规收集个人信息、违规使用个人信息、超范围收集个人信息等存在侵害用户权益问题的App 。 2019年7月 , APP专项治理工作组指出了共40款App存在个人信息收集使用不当等问题 , 个别互联网公司也在IPO过程中因此类问题而被驳回了首发申请 。
随着App侵害用户隐私权益的问题越来越受到工信部、发审委等监管部门的重视 , 企业的数据隐私保护的议题也被不断提及 。 2020年12月16日 , 新京报贝壳财经举办的“新发展新格局——资本市场再出发高峰论坛”上 , 中国证监会科技监管局局长姚前提出 , “数据资源共享是生态平台的核心 。 数据标准、数据模型、接口协议等数据治理因此成为平台治理的关键内容 。 同时 , 平台上的数据安全、数据隐私保护、数据跨境流动等亦成为监管部门的监管重点” 。 IPO企业及时关注有效的数据隐私保护 , 从而能够在确保数据机密性、完整性与可用性的前提下 , 更合规、更安全、更高效地将生产数据发挥出更高的商业价值 。
3. IT核查过程中数据隐私保护的核查与应用 在IT核查过程中 , 安永也与券商、律师等共同关注IPO企业的数据隐私保护以及个人信息收集使用情况 。

问题|IPO信息系统专项核查之关注数据隐私保护
文章图片

在信息系统公司控制评估过程中 , 将对信息安全管理制度、信息系统战略规划、组织架构、人力资源等方面进行评估 , 从而判断公司的信息安全管理与信息系统建设的战略方向 。 在信息系统一般控制核查过程中 , 将通过信息系统开发或升级时的变更管理 , 用户密码、账号与权限的访问管理 , 系统灾备及日常运维管理这三方面的核查 , 展现出企业关键业务与财务信息系统的全貌 , 衡量出企业的信息安全管理水平 。
此外 , 安永还协助发行人律师 , 针对个人信息的全生命周期处理过程进行核查验证 。

问题|IPO信息系统专项核查之关注数据隐私保护
文章图片

进一步核查 , 将从个人信息的收集、存储、使用、加工、传输、提供、公开至销毁全流程着手 , 确定公司向用户收集其个人信息的范围 , 识别数据库中包含个人信息的表单 , 梳理包含个人信息的系统数据流向 , 判断公司对个人信息的分析处理逻辑 , 鉴定个人信息的系统间传输手段 , 观察敏感信息的脱敏完成情况 , 以及已注销用户的个人信息销毁处理情况 。
在此基础上 , 针对公司不同App的产品属性 , 拟定适合的抽样原则 , 并利用安永抽样工具 , 选择出相应数量的样本逐个进行核查 , 为发行人律师出具的专业意见提供技术与数据支撑 , 从而实现对IPO企业信息安全管理水平的宏观分析 , 以及对企业的个人信息保护能力的精准验证 。
4. 从公司管理层角度审视数据隐私保护 企业的敏感数据泄露途径可能包括但不限于(1)不法分子利用网站漏洞入侵存储敏感信息的数据库;(2)系统平台或数据库用户账号密码简单 , 认证管理不严 , 不法分子“暴力破解”或“越权”访问;(3)系统前台展示的数据或数据仓库中存储的数据未进行脱敏 , 过多人员接触到高敏感级信息;(4)人为因素 , 即掌握了信息的员工主动倒卖信息 。
在设计层面 , 企业应及时搭建数据隐私保护体系框架 , 完善数据隐私安全及客户敏感信息安全管理制度 。 从执行层面 , 可按照公司实际情况 , 对不同敏感级的数据分别实行数据隐私保护手段 , 比如 , 要求信息系统与数据安全管理部门定期对涉及客户敏感信息的数据库表单进行梳理 , 并依照外法内规要求 , 对于用户姓名、身份证号、电话号码、住址等信息 , 需按规则进行前后台的数据脱敏 。
与此同时 , 管理层可通过开展内部审计 , 利用审计手段 , 对公司自身的数据隐私保护能力与敏感信息管理情况进行自查 。 例如 , 通过分析大数据平台的接口调用日志 , 识别高频访问敏感数据的用户账号 , 并通过客户端IP地址溯源技术 , 定位到违规获取企业隐私数据的组织或个人 。
本文是为提供一般信息的用途所撰写 , 并非旨在成为可依赖的会计、税务、法律或其他专业意见 。 请向您的顾问获取具体意见 。

    推荐阅读


    上一篇:天文|探索夜空,人类文明最古老的浪漫

    下一篇:电源|手机充电先插手机还是电源真的有差别吗?答案:差别很大!