2022年5月7日（周六）晚，上海賽博網(wǎng)絡(luò)安全產(chǎn)業(yè)創(chuàng)新研究院聯(lián)合安永(中國)企業(yè)咨詢有限公司主辦「數(shù)安周享會 · Cyber Talk」第三期直播活動。本期以“企業(yè)上市的數(shù)據(jù)合規(guī)之路”為主題，重點探討了企業(yè)上市數(shù)據(jù)合規(guī)監(jiān)管要求、風(fēng)險分析，并為上市或擬上市企業(yè)提出參考建議。

隨著科創(chuàng)版注冊制的推行，越來越多企業(yè)，尤其是中小型的科技型企業(yè)具備較高的上市需求。在此背景下，周旸從實務(wù)案例出發(fā)，站在企業(yè)內(nèi)部的視角，重點分享企業(yè)上市過程中需要開展的合規(guī)準(zhǔn)備工作。

01

典型案例分享

總體合規(guī)挑戰(zhàn)與企業(yè)應(yīng)對目標(biāo)

國內(nèi)企業(yè)上市面臨的合規(guī)風(fēng)險主要源于圍繞網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)的監(jiān)管要求提升、網(wǎng)絡(luò)安全和數(shù)據(jù)合規(guī)相關(guān)的法律法規(guī)快速更新。除此之外，若企業(yè)涉及海外業(yè)務(wù)，需重點關(guān)注數(shù)據(jù)跨境風(fēng)險和海外監(jiān)管風(fēng)險。

為應(yīng)對這些風(fēng)險，建議企業(yè)重點考慮以下五個方向：

1、明確監(jiān)管要求。制作“與時俱進(jìn)”的法律法規(guī)合集，通過建立合規(guī)框架從而把不同的法律要求轉(zhuǎn)化為企業(yè)內(nèi)部的實踐。此外，在開展合規(guī)工作之前，企業(yè)需要做好各種認(rèn)證，奠定基礎(chǔ)。相關(guān)人員與一系列的規(guī)章制度是合規(guī)工作落地執(zhí)行的必要前提，若沒有這些基礎(chǔ)，純粹的技術(shù)工具是無法做好合規(guī)工作的。

2、業(yè)務(wù)屬性決定合規(guī)成本。企業(yè)應(yīng)當(dāng)根據(jù)擬發(fā)行上市涉及的產(chǎn)品或業(yè)務(wù)，結(jié)合國家與地區(qū)的法律法規(guī)、行業(yè)相關(guān)的指導(dǎo)標(biāo)準(zhǔn)，判斷其所適用的具體合規(guī)要求。

3、存量業(yè)務(wù)合規(guī)。新的法律法規(guī)出臺后，不僅影響大企業(yè)正在開展的業(yè)務(wù)數(shù)據(jù)，同樣適用于企業(yè)的歷史存量數(shù)據(jù)。企業(yè)應(yīng)立即開展合規(guī)自查，并對發(fā)現(xiàn)的問題進(jìn)行整改優(yōu)化。

4、合規(guī)內(nèi)控體系。網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)工作必定涉及到企業(yè)的多個組織與部門，而不局限于某單一部門。企業(yè)做好合規(guī)工作，跨部門協(xié)作的組織架構(gòu)是必不可少的，建議成立相關(guān)的委員會進(jìn)行統(tǒng)籌兼顧，融合到企業(yè)內(nèi)控體系中。

5、第三方報告。在企業(yè)上市過程中，往往需要保薦機(jī)構(gòu)出具報告佐證合規(guī)工作的完備性，其報告內(nèi)容對企業(yè)合規(guī)工作的細(xì)致程度要求極高，往往需要多家輔導(dǎo)機(jī)構(gòu)協(xié)作，出具結(jié)論性的正式報告。

網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的方法論及總體概述

為了應(yīng)對網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)風(fēng)險，企業(yè)整個數(shù)據(jù)合規(guī)工作過程可以分為四個階段。其中階段一、階段二、階段四屬于企業(yè)常規(guī)的合規(guī)工作，而階段三則是針對企業(yè)上市過程中需要開展的更深入、更細(xì)致的準(zhǔn)備工作。

階段一：合規(guī)要求梳理。其中包括IPO合規(guī)分析、外部合規(guī)分析、內(nèi)部合規(guī)分析。在此過程中，合規(guī)工作人員需要制定相關(guān)法律法規(guī)的控制清單，并在合規(guī)工作過程中梳理并判斷哪些業(yè)務(wù)是適用這些要求的。

階段二：業(yè)務(wù)現(xiàn)狀梳理。擬上市企業(yè)，尤其是獨角獸企業(yè)，其外在業(yè)務(wù)通常以數(shù)字化的形式呈現(xiàn)，通過數(shù)據(jù)產(chǎn)生經(jīng)濟(jì)效益與價值。這些數(shù)據(jù)的載體不再是文檔，而更多是字段級的數(shù)據(jù)資產(chǎn)。相較傳統(tǒng)的商業(yè)秘密與知識產(chǎn)權(quán)，這些數(shù)據(jù)的梳理工作需要更為細(xì)致，所花費的時間亦根據(jù)企業(yè)的規(guī)模和產(chǎn)品數(shù)量呈正相關(guān)。該項工作一般會按照數(shù)據(jù)生命周期、不同的載體進(jìn)行全面梳理，從而形成對現(xiàn)狀的全面理解，將發(fā)現(xiàn)的問題對應(yīng)到數(shù)據(jù)各生命周期，以便于針對性地開展整改。

階段三：合規(guī)評估與分析。這個階段最為核心的內(nèi)容是技術(shù)核查，也就是通過技術(shù)手段對人員訪談的結(jié)果進(jìn)行有效性和實質(zhì)性的驗證。這部分的工作與企業(yè)上市審計的嚴(yán)謹(jǐn)性強(qiáng)相關(guān)，使得合規(guī)工作不只是停留在制度規(guī)范與人員意識層面，而是真正落實在企業(yè)的業(yè)務(wù)活動與應(yīng)用系統(tǒng)中。

階段四：整改追蹤與報告。上市過程中，在確認(rèn)風(fēng)險與整改計劃后，其報告的出具需要依據(jù)整改工作的成效，結(jié)合企業(yè)上市的時間表，周期性地出具合規(guī)結(jié)論報告。同時應(yīng)就開展的合規(guī)工作進(jìn)行定期總結(jié)，形成長效機(jī)制，真正做到建立起一套行之有效的合規(guī)體系。

02

其他常見合規(guī)問題

合規(guī)與否，最終是法律問題，因此最終是否合規(guī)的結(jié)論應(yīng)由律師給出。

保薦機(jī)構(gòu)作為項目整體風(fēng)險把控人，也將參與專業(yè)判斷和面對監(jiān)管反饋。

咨詢公司的作用主要是從技術(shù)上、流程上、數(shù)據(jù)上把現(xiàn)狀和歷史上的情況排摸清楚，并進(jìn)行呈現(xiàn)，為保薦機(jī)構(gòu)和律師的最終判斷提供充分的信息。

關(guān)于網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的關(guān)注和問詢，是針對整個首發(fā)申報期間的。關(guān)于網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)的評估，也是針對整個首發(fā)申報期間的。但是，很多歷史情況很可能無法完全還原，主要取決于企業(yè)系統(tǒng)和流程所保存的信息的完整性。

適用的法律法規(guī)，不僅涵蓋首發(fā)申報期間內(nèi)已經(jīng)生效的文件，也會考慮尚未生效但已處于征求意見稿階段的。

兩者都包含，既要看是否建立了適當(dāng)?shù)臄?shù)據(jù)安全與合規(guī)體系，也要看數(shù)據(jù)安全和合規(guī)的實際情況（包括歷史和現(xiàn)在情況）。

流程評估：涉及組織架構(gòu)、流程制度的設(shè)計與執(zhí)行、監(jiān)控與審計等各方面。

技術(shù)評估：包括對企業(yè)相關(guān)的技術(shù)應(yīng)用有效性的評估，以及使用技術(shù)手段對網(wǎng)絡(luò)環(huán)境、數(shù)據(jù)傳輸路徑、存量數(shù)據(jù)等的實質(zhì)性檢查。

整改的目標(biāo)是達(dá)成現(xiàn)狀的合規(guī)，并建立能支持未來持續(xù)合規(guī)的體系和能力。

在體系流程的整改方面，主要是在現(xiàn)狀的基礎(chǔ)上根據(jù)合規(guī)要求和內(nèi)部管理要求，進(jìn)一步提升和完善組織架構(gòu)、制度流程、監(jiān)控與審計等各方面。

對于歷史留存下來的存量數(shù)據(jù)，相關(guān)的數(shù)據(jù)不合規(guī)項，都要進(jìn)行整改，直到根據(jù)當(dāng)前法律法規(guī)要求能達(dá)到合規(guī)。

03

數(shù)據(jù)生命周期合規(guī)治理

總結(jié)：企業(yè)上市開展網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)治理工作，應(yīng)著眼于數(shù)據(jù)生命全周期，制定合規(guī)治理目標(biāo)，分析合規(guī)風(fēng)險，并在上市的各個階段持續(xù)開展合規(guī)治理工作：

上市過程中：開展不同的合規(guī)性審查、合規(guī)差距分析，形成一份完整優(yōu)秀的合規(guī)報告，作為招股說明書的一部分提交至監(jiān)管機(jī)構(gòu)。

上市披露階段：披露合規(guī)信息，接受監(jiān)管問詢，在此過程中不斷完善合規(guī)工作。

成功上市后：在不斷完善網(wǎng)絡(luò)安全與數(shù)據(jù)合規(guī)內(nèi)控制度的同時，通過引入自動化工具平臺，將合規(guī)要求通過技術(shù)工具落地，構(gòu)建全方位的合規(guī)體系，確保持續(xù)滿足合規(guī)要求。