继《数据安全法》、《个人信息保护法》落地,以及《网络安全审查办法(修订草案征求意见稿)》、《网络数据安全管理条例(征求意见稿)》发布后,互联网公司正在迎来最强数据安全监管,相关法律法规也被直接用于互联网企业IPO时的数据监管中。
就在近日,网易云音乐、微博相继在港股上市,两家公司属于新规之后首批上市的互联网公司,其招股书均将网络安全审查与数据安全等相关内容列入风险因素,并说明自身数据安全相关工作。
比如,网易云音乐在风险因素中提到,“我们须遵守与数据安全和隐私有关的各种法律和其他义务”、“我们无法保证我们在日后的融资活动中会否受网络安全审查的限制,抑或日后新颁布的规则或法规会否对我们构成额外合规要求。”微博则在“数据及技术系统风险管理”中提到,“我们实施了加强的数据安全措施和技术,采用数据分类分级制度,提供不同级别的数据保护,严格限制内部对用户数据的访问。”
对此,作为国内领先的数字化安全运营商,三六零(601360.SH)的数据安全专家童磊表示,这是互联网企业在IPO文件中首次如此重视数据安全,网易云音乐与微博,是继《数据安全法》、《网络安全审查办法(修订草案征求意见稿)》、《个人信息保护法》等法律法规出台之后,首批按照相关流程进行IPO的企业,对互联网企业IPO很有借鉴意义。
今年年初,业内预测2021年将是互联网公司IPO大年,但在监管部门于7月份对上半年在美IPO的四家互联网企业启动网络安全审查后,不少互联网公司IPO计划搁浅。综合今年互联网企业IPO情况,童磊认为,互联网企业美国上市数据安全审查周期可能更长,港股相对来说是一个快车道。
但是,在港股IPO并非意味着互联网企业可以放松对数据安全的保护,无论是否跨境,均需要通过相关部门对数据安全的审查。
那么,数据安全审查究竟是审查什么?童磊表示,一方面作为数据处理者的企业要明确应承担的数据安全保护义务并落实相应的安全措施,包括确认收集和处理数据的数量、使用用途、是否涉及跨境等,并开展分类分级工作以及数据全生命周期的安全控制;另一方面要开展数据安全审查评估工作,数据处理者需要自行或委托第三方评估机构开展数据安全评估,并出具数据安全评估报告等。
如何进行数据安全评估?目前,通过国家标准DSMM(数据安全能力成熟度模型)测评,能够帮助企业准确找到数据安全管理和技术方面的差距,助力企业提升数据安全能力和数据安全防护水平。
具体评估操作可以是企业自查,也可以是邀请第三方专业评估机构。业内认为,专业机构能够结合相关法律法规要求与企业实际情况,对数据收集、传输、使用情况等快速做评估,加快互联网企业通过审查审批。
不过,《网络数据安全管理条例(征求意见稿)》发布后,或许将有更多互联网企业邀请第三方专业机构对数据安全成熟度进行评估。原因在于,征求意见稿明确提出,“大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。”这意味着,第三方专业评估机构对互联网企业进行数据安全审查将有法可依。
无疑,2021年是数据安全相关法律法规发布最密集的一年,被称为“数据安全元年”。同时,2021年也是互联网企业IPO最特殊的一年,对于互联网企业来说,数据安全将成为企业的必选项。过去,互联网企业在安全方面的预算主要投入到了防火墙、堡垒机等传统安全产品,但未来互联网企业势必会不断提升在数据安全方面的投入。