LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

随着数字经济的快速发展和投资者的高度关注,有效的法律尽职调查对数据领域的决策至关重要

随着数字经济的快速发展,该领域成为投资热点,迎来投资高潮。在此背景下,对于相关企业和数据资产开展专业、有效的法律尽职调查有助于投资者做出正确决策从而推动数据领域企业投融资业务高速发展。

不同于传统行业,投资数据领域应当着重关注其业务、数据、应用和技术,四者紧密相关,相互支撑,决定了一个企业能否蓬勃、持续发展,同时也决定其投资价值和投资风险。映射至数据领域法律尽职调查当中,至少应当查明五个主要方面的问题,包括:(1)采集数据来源;(2)采集数据内容;(3)数据储存;(4)数据处理;(5)数据的访问主体。由此将揭露了以下几个常见法律风险。

数据源

Bai Yusi, W&H Law Firm
白宇思
合伙人
炜衡律师事务所
电话: +86 133 0111 0217
电子信箱: baiyusi@weihenglaw.com

在《数据安全法》《个人信息保护法》等法律法规实施后,企业对于数据的合法采集、使用、存储义务空前强化。如未能证明合法收集和使用数据可能会对企业重要产品造成较大冲击或不利于企业持续经营、融资、挂牌交易等,故应着重调查企业数据来源并对其合法合规性发表意见。

当采集的数据属于个人信息,应当依据《个人信息保护法》的各项规定在履行充分告知义务的基础上取得个人合法、有效的授权。在涉及生物识别、医疗健康、金融账户、行踪轨迹、不满14周岁未成年人的个人信息等敏感信息时应进行更为严格的调查和评估。

除个人信息外,如企业存在通过公开渠道爬取的数据,则应当注重调查企业是否存在侵入、非法控制其他计算机信息系统,或使用非法获取其他计算机信息系统数据的程序;如存在购买数据的情况,应严格调查有关数据的内容,查询完整的协议,评估该类数据的合法合规性;如数据属于企业在生产经营过程中自身生成的数据,应从其建设和维护系统的日志,智能设备、传感器等数量和运行情况,日均采集规模等维度进行判断。

数据分级分类及控制措施

《数据安全法》要求建立数据分级分类制度并“采取相应的技术措施和其他必要措施,保障数据安全”,这不仅是企业必须履行的数据合规义务,也是企业在注重安全保障的同时实现经济效益的方法论。将重要性不同的数据采用同样等级的保护措施,实施无差别的保护,可能导致对敏感数据保护力度不足,对普通数据保护力度过剩。而建立起合规合理的数据分级分类制度,区别对待不同业务和数据,采用与之相应的控制措施,并综合业务发展与成本考量,才能实现企业业务发展与数据安全的双赢。故被投资企业是否已经具备分级分类制度并采取相关控制措施,会对交易方案、进度及估值产生影响,应作为法律尽职调查的重点。

数据安全基础核心在于控制资源如何被访问,以使资源免受非授权的篡改和泄露。故在该部分应着重调查企业身份、访问管理步骤和与“I+AAA”(身份标识+身份鉴别、授权机制和问责机制)相关的技术类或其他控制措施情况。如采用的身份标识(identification)是否具有唯一性,是否是非描述性的,发布信息的过程是否安全,信息是否存档;是否采取双因素或三因素身份鉴别(authentication),采用的身份管理技术是否合法合规(例如采用生物识别技术时需获取个人敏感信息);访问规则;授权(authorisation)机制及问责(accountability)机制等。

管理及运营

《数据安全法》要求有关企业在数据全生命周期履行合规义务,确保数据处于有效保护和合法利用的状态,并具备保障持续安全状态的能力。在投融资业务中各方应重点关注以下企业数据管理及运营要点:

  • 在数据管理方面,应重点了解企业数据安全组织架构,责任机制、汇报机制等;核查企业安全策略、标准、基线、指南、程序等安全文档及配套管理流程;了解企业员工安全意识宣贯及培训情况,人员管理机制(如采用职责分离、工作轮换、强制度假、人员离职管理等)情况;调查企业与主要IT供应商之间合作机制及权责现状;了解企业的安全事件、安全事故响应机制;了解企业业务连续性计划情况;了解过往审计情况等。
  • 在数据运营方面,法律规定应关注数据采集、存储、使用、加工、传输、提供、公开、销毁等环节的合规与安全,律师在调查过程中应当关注静态的数据(data at rest)、动态的数据(data in motion)及使用中数据(data in use)的情况,不可遗漏或忽视,如存储敏感数据的介质应当加密、数据应当传输加密、介入应当鉴权并保留有关记录(如云供应商在上载访问或使用云租户的业务数据和关键数据时必须取得云租户的授权,且授权、云供应商对于云客户数据的访问以及操作需保留相关记录),根据实际情况采取消磁、介质销毁、云存储的应用数据加密等有效销毁手段等,并重点调查企业过往一段时间内及现在的网络、业务、内容监测预警情况。

白宇思是炜衡律师事务所合伙人。她的联系方式是电话+86 133 0111 0217以及电邮baiyusi@weihenglaw.com

炜衡律师事务所

北京市海淀区北四环西路66号
中国技术交易大厦A座16层
邮编 100190

电话: +86 10 6268 4688
www.weihenglaw.com

LinkedIn
Facebook
Twitter
Whatsapp
Telegram
Copy link

相关文章MORE FROM AUTHOR

AI regulatory frameworks in South Korea
亚洲视野

韩国AI监管框架分析

作者: Hwan Kyoung Ko、Il Shin Lee 和 Matt Younghoon Mok, Lee & Ko
Data Security Incident Handling Compliance
专家策略

数据泄露事件预防与应对

作者: 段志超和胡敏喆,汉坤律师事务所
Cross-Border Data Regulations Challenges
专家策略

数据出境监管演变与挑战

作者: 彭凯,大成律师事务所