网络安全可以为企业上市做点什么? | 企业上市的网络安全与合规系列(上) - 新鲜讯息

作者从业十四年，曾服务过超大型国企，为国企第一支专职网安队伍创立者，也服务于多个上市公司，包括三个国内甚至全球首个行业垂直领域上市企业。经历过国内上市、美股、港股的流程和安全审查、合规隐私审查、尽职调查等，虽然美股、港股、国内各板块略有差别，但在网络安全、数据安全、合规、隐私保护、法律符合性等要求上重合度很高，也通过本文章，像大家简单描述需要注意的问题，如何通过提前布局来应对各种审查审计。

2021年年底发布的《网络数据安全管理条例（征求意见稿）》以及2022年年初正式实施《网络安全审查办法》，一方面区分了赴“国外上市”与赴“香港上市”的不同情形；另一方面，也要求拟赴港上市的企业主体切实思考如何在实践中落实有关网络安全审查的义务、如何应对监管部门有关网络安全审查的问询，以及如何在招股书中披露自身情况。

网络安全的概念不需要赘述，很多供应商、科研机构、高校、从业者都有自己的理解和认知。但在当下，网络安全已经成为上市公司不可忽视的重要问题，也是提交IPO材料所必须的构成部分。上市公司和非上市公司的区别不在于是否拥有大量的商业机密、客户信息以及财务数据等重要资产，而在于在某些场景下，所需要负责和汇报的对象发生了变化，监管部门有了新增，虽然行政处罚、合规风险、信息泄露或者遭到黑客攻击会产生声誉受损、法律责任、经济损失等负面影响，但影响的群体包括了新的群体-股民，也就要求企业的网络安全状态必然要有新的体现。同时，网络安全事件的发生也会使公司面临业务中断、数据丢失等风险，影响到公司的正常运营和发展，也会对股民的利益产生影响。

《关键信息基础设施安全保护条例》印发期间，国家网信办副主任盛荣华表示，积极支持网信企业依法依规融资发展，企业上市必须符合国家的法律法规；必须确保国家的网络安全、关键信息基础设施的安全、个人信息保护的安全等。

《关键信息基础设施安全保护条例》于今年7月30日公布，9月1日印发。《条例》明确，重点行业和领域重要网络设施、信息系统属于关键信息基础设施，国家对关键信息基础设施实行重点保护，采取措施，监测、防御、处置来源于境内外的网络安全风险和威胁，保护关键信息基础设施免受攻击、侵入、干扰和破坏，依法惩治违法犯罪活动。《条例》还对关键信息基础设施运营者落实网络安全责任、建立健全网络安全保护制度、设置专门安全管理机构、开展安全监测和风险评估、报告网络安全事件或网络安全威胁、规范网络产品和服务采购活动等作了规定。《条例》对关键信息基础设施运营者未履行安全保护主体责任、有关主管部门以及工作人员未能依法依规履行职责等情况，明确了处罚、处分、追究刑事责任等处理措施。对实施非法侵入、干扰、破坏关键信息基础设施，危害其安全活动的组织和个人，依法予以处罚。

在接下来的章节里，从自查和尽调、专项法律意见书、答质询等角度进行描述网络安全在IPO阶段所需准备的内容和注意事项：

一、进入IPO规划阶段的首要动作起--自查

在本阶段，是IPO进入规划起最重要的阶段，要从所上市场、所在行业、服务客户、安全现状等各阶段重点来说需要对如下部分进行自查：

1、企业所需遵循的法律法规，行业特性是否有独立要求？以医疗健康行业为例，除了基础法律《网络安全法》、《密码法》、《数据安全法》、《个人信息保护法》、《民法典》、《基本医疗卫生与健康促进法》、《生物安全法》等，还需要去符合实践规定和相关标准要求，例如《GB-T39725健康医疗数据安全指南等

表1:（数据医疗行业所需遵循法律及标准表（部分））

2、如有APP（当然，当下所有企业都有移动服务终端，包括APP、小程序、公众号、视频号等），需要对APP进行专门的备案，并符合APP合规要求，如果条件允许，最好对APP进行独立的等级保护备案，在此阶段的工作对IPO报告的书写和质询的举证都有前瞻性意义，以APP侵害用户权益角度的具体自查工作包括违规收集个人信息、超范围收集个人信息、违规使用个人信息、强制用户使用定向推送功能、APP强制、频繁、过度索取权限等：

表2:（APP用户权益专项自查表）

3、APP角度还包括合规隐私的自查以及隐私政策设计的评估（详见下表），但整体来说，APP合规检测需要遵循更多的法律条款和要求（见下表），是合规的集合体，既要遵循技术安全要求，又要符合合规风险的要求，还要对个人信息专项整治：

表3:（APP收集使用个人信息合规自查）

表4:（APP合规政策标准依据）

4、如果需要美股上市，那么对行业有其他要求，例如健康医疗行业的HIPPA符合性等，《健康保险可携性和责任法案》（HIPAA）保护敏感的病人健康信息在未经病人同意或知情的情况下被披露，并包含了个人了解和控制其健康信息使用方式的权利标准，HIPPA隐私规制在取得了一种平衡，既允许信息的重要用途，又保护了寻求护理和治疗的人的隐私。确保个人的健康信息得到适当的保护，同时允许健康信息的流动，以提供和促进高质量的医疗服务，并保护公众的健康和权益。从管辖范围、保护对象、同意（授权）原则的适用、无须授权的情形、最小必要原则的适用、最小必要原则的特殊规定6个方面提出要求。

在HIPPA范围内，认为医疗服务提供者，无论规模大小，只要以电子方式传输与某些交易有关的健康信息，就是一个受管辖的实体：

表5:（HIPPA自查清单）

5、最后，还需要通过如下如下自查内容，需要从企业的安全管理体系、数据安全技术能力、网络安全防护能力、安全事件的发生与否、符合要求的安全审查和流程、是否有或曾经有的行政处罚或调查问询，另外如果在国外上市，对是否是符合关键基础设施，以及是否会有呗国外政府控制、影响、利用等情况进行说明，在某滴被处罚之后，上市必经步骤是需要企业联系网络安全审查办公室对企业是否符合关键信息基础设施、是否需要进行网络安全审查进行咨询，以明确答复为宜，详情如下：

表6:（港股上市自查总表）

...未完待续...

作者介绍

张坤，ID：破天，UAB硕士研究生，硕士研究生导师。公众号、星球：kksecurity。从业十五年，曾就职于国企、证券银行业、出行行业、健康医疗行业等，曾就职于多家上市企业，擅长企业安全及合规性治理、企业安全能力建设等，丰富的规划、建设、运营、优化能力，经历多家企业上市之路，持有二十余认证，参与主导多个国标、行标、团标编写，持有多个安全相关专利、软著。

关于安全村

安全村始终致力于为安全人服务，通过博客、文集、专刊、沙龙等形态，交流最新的技术和资讯，增强互动与合作，与行业人员共同建设协同生态。

投稿邮箱：info@sec-un.org