當資本運作遇到網路安全:盡調該怎麼做?
作者:馮堅堅 袁立志
近期,某新三板掛牌公司(“A公司”)的涉嫌非法竊取巨量使用者資訊的新聞同時引起了網路安全與資料合規律師和資本市場律師的高度關注。前者的關注點不難理解,而資本市場律師的關注點則在於,在投融資、併購重組、掛牌上市等資本運作專案中如何進行網路安全與資料合規的盡職調查,律師如何做才能最大程度地發現風險,並證明其盡職。
在中國法下,“網路安全”一詞含義廣泛,包括設施安全、執行安全、資料安全和資訊保安等多個層面,本文為簡化表述,將實務中語義有所不同的“網路安全”、“資訊保安”、“個人資訊保護”、“資料合規”等統稱為“網路安全”。
Contents 目錄
壹:發生了什麼?
貳:問題出在哪裡?
叄:應該怎麼做?
肆:哪些情形可能會被認為沒有做到勤勉盡責
伍:總結
壹 發生了什麼?
根據新聞媒體報道和A公司的公告,事情的原委大致是這樣的:
A公司的自身定位為網際網路新媒體營銷企業,其業務模式是,通過其開設和運營的微博賬號、微信公眾號、頭條賬號等自媒體賬號,利用粉絲數量優勢,通過分享、製作有價值、有趣的資訊內容等手段,向特定使用者群體推送營銷內容,實現營銷目的,收取客戶服務費用。
2017年10月底,A公司在股轉系統(即“新三板”)掛牌。在掛牌審查過程中,股轉系統曾就公司業務是否符合網路安全法的各項規定進行了詳細詢問,其中一個問題是:“公司開發的軟體是否存在非法收集使用者資訊、侵害使用者利益的情形”。為該專案提供法律服務的某律師事務所在回覆中確認,公司開發的軟體不存在該等情形。
2018年7月20日,A公司主辦券商釋出公告稱,該公司法定代表人、董事及兩名監事因涉嫌非法獲取計算機資訊系統資料罪,被公安機關刑事拘留,刑事調查目前正在進行。隨後,A公司的銀行賬號被凍結,主辦券商釋出持續經營能力風險提示,公司股票停牌。
根據財新媒體的報道,從2014年開始,A公司與各地的電信、移動、聯通等運營商簽訂營銷廣告系統服務合同,為其提供精準廣告投放系統的開發、維護,從而拿到了運營商伺服器的遠端登入許可權。在業務過程中,A公司人員將自主編寫的惡意程式放在運營商的伺服器上,當用戶的流量經過運營商的伺服器時,程式就自動工作,從中採集出使用者cookie、訪問記錄等關鍵資料,再通過惡意程式將所有資料匯出,存放在了該公司的伺服器上。獲得cookie等資料後,A公司就可以操縱使用者的微博、微信、QQ、淘寶和抖音等自媒體賬戶,在使用者不知情的情況下加粉、加群,違規進行營銷推廣,從而非法獲利。
根據股轉系統的規定,申請掛牌公司的報告期為至少兩個完整的會計年度。律師需要對報告期內公司的經營是否合法合規進行核查,並發表明確意見。A公司的違法行為始於2014年,持續至案發,覆蓋了整個報告期。而律師的盡職調查沒有發現違法事實,並給出了業務合規的法律意見。顯然,有哪裡出現了問題。
貳 問題出在哪裡?
從A公司公開披露的檔案來看,專案主辦律師曾對網路安全事項進行核查,在股轉系統反饋詢問時也進行了詳細披露。從傳統的盡職調查標準來看,很難說該專案的律師有明顯的疏忽。但是對於該公司利用非法軟體竊取使用者資料的情況,律師確實沒能發現。總結下來,可能有這麼幾個因素:
1、傳統的盡職調查通常不包括對企業網路安全和資料合規狀況的徹底核查,或者說沒有將網路安全作為一個獨立的、重要的、系統性的風險因素進行核查。傳統的盡職調查,只是將網路安全與工商、稅務、海關、土地管理、環保、消防、安全生產、產品質量等事項一樣對待,視為業務經營合規性核查中的一項。這種框架和思路,不能從網路安全形度整體審視企業風險,不能覆蓋與之有關的各項風險。
為了應對網路安全的嚴峻形勢,打擊資料黑灰產交易鏈條,近年來國家加大了網路安全立法、執法力度,其中最具標誌性的事件是2015年《刑法修正案(九)》及2016年《網路安全法》的出臺。《網路安全法》確立了我國網路安全治理的總體框架和基本原則,隨後大量配套規則和標準陸續出臺,專項執法檢查也頻繁進行,網路安全已成為企業經營中的重要風險因素。
對新經濟企業而言,網路安全不僅是合規問題,而且與企業的基本商業模式、核心技術高度相關。資料是這些企業最重要的資產(雖然在資產負債表上暫時沒有名分),資料採集是最主要的“採購”方式,資料處理是最主要的“生產”方式,基於資料提供服務是最主要的“銷售”方式,最主要的利潤來源是基於資料產生的直接或間接收入,最大的風險是網路安全風險;公司治理結構也可能與傳統企業不同,設有資料安全官等新型職位;企業內部控制需要結合網路安全等級保護的要求等。這些都要求律師在進行盡職調查時,把網路安全作為一個獨立的、重要的、系統性風險進行核查。
2、傳統的盡職調查手段不利於充分發現網路安全風險。傳統的盡職調查手段包括審閱檔案、訪談人員、查詢檔案、走訪政府部門或行業組織、實地察看、函證等,這些核查手段是與核查物件相適應的。對於企業的股權、資產、負債、業務、財務、管理、人員等事項進行核查,這些核查手段通常是有效的,但是,當核查物件是網路安全事項時,這些核查手段就顯得力不從心。
網路是虛擬空間,網路本身和網路上的資料和資訊都是無形的,雖有物理載體,但並不能直觀察看,存在雲端的資料連物理載體也難以確定。這都是傳統核查手段難以應對的。再加上技術日益進步,特定網路包含的物理環境、硬體裝置、軟體、人員、管理制度以及所承載的資訊和資料等各種要素繁多,結構複雜,憑藉傳統核查手段難以窺其全貌。
比如,上述A公司通過非法軟體採集使用者的cookie資料,就很難通過審閱檔案和訪談發現。如果其違法行為尚未被主管部門所發現,也很難通過查詢公示資訊或走訪主管部門得知。
3、律師對網路安全盡職調查存在畏難情緒,企業對此也有牴觸情緒。網路安全涉及技術和管理兩個層面,而且技術因素相對更重。而傳統上,律師不是技術專家,兼具技術和法律雙重背景的律師非常少,網際網路、大資料、雲端計算、區塊鏈、人工智慧、物聯網等都超出了律師的常規知識範圍,一些新的概念、術語和技術原理理解起來並不容易,這就使得許多從事盡職調查工作的律師有畏難情緒,從內心不願意涉足網路安全事項;即使不得不核查,也不願意深入核查;甚至認為技術上的事,不屬於律師的核查範圍。
從企業的角度而言,對於律師的核查有可能存在牴觸情緒。一則深入核查可能涉及企業的核心商業機密,除非迫不得已,企業不願意讓外部人員接觸;二則企業認為律師是法律專家,不是技術專家,沒有能力核查網路安全事項。即使企業不存在問題,也不願意全力配合律師核查;如果存在嚴重違法行為,企業就更不可能配合律師核查。
綜上,由於傳統的盡職調查理念和框架沒有將網路安全作為重要的調查物件,調查手段與其風險特點不匹配,而且律師主觀上有畏難情緒,企業也有牴觸心理,故傳統的盡職調查模式不利於充分發現網路安全風險。
叄 應該怎麼做?
結合專案經驗,我們認為,律師在盡職調查中對網路安全事項的核查,應當做到以下幾點:
1、熟悉網路安全法規。網路安全是一個總體概念,網路安全法的內容很廣泛,涵蓋基礎設施安全、網路執行安全、資料安全和資訊保安等多個層面。為了落實網路安全管理,國家已經或正在建立網路安全等級保護制度、關鍵資訊基礎設施保護制度、個人資訊和重要資料保護制度、網路產品和服務管理制度、網路資訊內容管理制度、網路安全事件應急響應制度等,每項制度都有配套的細則或國家標準。此外,根據每個行業的特點,各行業主管部門還出臺了針對特定行業的網路安全管理細則。
鑑於網路安全法日漸成為一個獨立的法律領域,且體系日趨複雜,專案盡職調查團隊中宜配備通曉網路安全法的律師,該律師應當熟悉網路安全法的整體體系、各項具體規範和標準及行業特殊要求,專責網路安全事項核查,以確保盡職調查全面覆蓋,避免重大遺漏。
2、結合行業特點和業務模式梳理企業的資料流,找到關鍵風險節點,進行合規差距分析。傳統工業企業的生產經營週期是研發-設計-採購-生產-銷售,重點是貨物流和資金流,風險蘊含在這些環節中。新經濟企業的業務經營都是圍繞資料展開的,重點是資料流,風險蘊含在資料的收集-儲存-使用-共享-刪除等資料生命週期的各環節中。對新經濟企業進行盡職調查時,應當結合行業特點和業務模式,對企業經營中的資料流進行盤點和梳理,根據資料生命週期,找到關鍵風險節點,然後針對關鍵節點進行深入調查,分析合規差距,制定整改方案。
比如,資料收集環節是資料進入企業的入口,目前是風險高發地帶,應當重點核查。是直接向個人使用者收集資料還是從其他資料控制者獲取資料?如果是前者,合法性基礎是使用者授權同意還是其他?如果是後者,資料提供方是如何獲取資料的?其合法性基礎是什麼?雙方的協議是否完善?是否存在買賣資料的行為?通過對這些問題的深挖,往往能夠發現風險所在。同樣,資料的使用環節和對外提供環節也存在大量風險,律師有大量的核查工作需要展開。
3、綜合業務、技術、法務和財務等各部門的資料和反饋,進行交叉比對,找出疑點,深入核查。新經濟企業的業務圍繞資料展開,資料處理能力是企業的核心技術,資料的收集、儲存、委託處理、共享等需要一系列的協議來安排相關各方的權利義務,最終體現都為企業的財務收入和利潤,而人員管理是網路安全管理的主要抓手之一。因此,網路安全核查涉及企業的業務、技術、法務、財務和人事等多個部門。律師應當對各個部門進行調查,綜合各部門的資料和反饋,進行交叉比對和複核,發現互相矛盾或不能解釋之處,應當進一步核查,如果仍然不能消除疑點,可能就是風險所在。
比如,有些資料企業宣稱主營業務是網際網路精準廣告營銷,但在業務合同並沒有大額的廣告服務合同,廣告服務收入佔比也不高,或者業務合同的約定及收入科目寫得非常含糊,無法準確界定業務性質。業務與法務、財務脫節,說明企業可能另有其他業務。越是有意隱瞞的業務,違法嫌疑就越高。
再比如,企業的法務人員法律意識比較強,聲稱公司獲取個人資訊的方式完全合法,但從技術人員或業務人員的反饋中則可能看出企業非法獲取個人資訊的蛛絲馬跡。
4、除了審閱資料、訪談人員等傳統調查方式之外,還應當通過現場演示、註冊登入、應急演練等方式進行核查。企業通常有多個內部網路和外部網路,傳統的盡職調查通常只是從資產角度進行核查,覆蓋的只是機房、裝置等硬體設施和軟體、域名、賬號等無形資產,沒有將網路整體作為核查物件。律師對網路進行核查時,應當要求企業列出所有內部和外部網路的清單,畫出網路結構圖(拓撲圖)。對於重要的業務網路,應當要求技術人員和業務人員進行現場演示,說明各項功能和運用;不但要演示客戶端、APP等前臺程式,還應當演示中後臺程式。
對於面向C端使用者的網路,律師可以使用者身份註冊登入,查閱其隱私政策、使用者協議,檢視其cookie設定,稽核其營銷宣傳、服務模式、客戶管理及釋出內容等是否違規。
對新經濟企業而言,網路安全突發事件已成為其經營中的重大風險。因為發生大規模資料洩露或其他極端事件,引起網路輿情和政府監管措施,有時甚至能決定一家新經濟企業的生死。面對這種非傳統風險,企業應當建立突發事件應急機制。應急預案的關鍵不在於文案多麼完美,而在於其可操作性。律師在核查時,可以模擬網路安全突發事件,組織企業進行應急演練,協助企業從彙報流程、應急策略、人員安排、部門配合、資訊釋出、政企互動等方面查漏補缺。
5、除了核查ICP許可證等證照之外,還應關注網路安全測評、評估和認證等情況。傳統的盡職調查會關注ICP許可證、SP許可證、網路視聽許可證、網路文化經營許可證等業務證照,這些證照解決的是市場準入問題。而對於企業經營過程中的網路安全風險,可以通過核查網路安全測評、評估、認證情況來掌握,包括網路安全等級保護測評、資料出境安全評估、ISO27001認證、個人資訊保安影響評估(PIA),以及歐盟GDPR項下的資料保護認證(針對可能受GDPR管轄的企業)等(部分制度和規則尚處於徵求意見階段,需要企業和律師隨時關注)。
網路安全等級保護制度是網路安全法下的一項基礎性制度,等級保護測評報告是在網路依法定級的基礎上,有資質的測評機構依法對網路安全保護狀況進行的評估,是網路符合等級保護各項要求的證明。除滿足合規要求外,等級保護測評可以在相當程度上反映企業的整體網路安全保護水平。
ISO27001認證則是由經過認可的認證機構,對一個組織的資訊保安水平和能力滿足資訊保安管理體系國際標準ISO/IEC27001要求的證明,可以全面反映企業的網路安全管理水平。
資料出境安全評估則是個人資訊或重要資料出境前,企業或主管部門組織的安全評估,可以反映出境或擬出境個人資訊或重要資料的安全情況。
個人資訊保安影響評估是個人資訊控制者實施風險管理的重要組成部分,旨在發現、處置和持續監控個人資訊處理過程中的安全風險。一般情況下,個人資訊控制者必須在收集和處理個人資訊前開展個人資訊保安影響評估,明確個人資訊保護邊界,根據評估結果實施適當的安全控制措施,降低收集和處理個人資訊的過程對個人資訊主體權益造成的影響;另外,個人資訊控制者還需按照要求定期開展個人資訊保安影響評估,根據業務現狀、威脅環境、法律法規、標準要求等情況持續修正個人資訊保護邊界,調整安全控制措施,使個人資訊處理過程處於風險可控的狀態。
GDPR項下資料保護認證適用於從事涉歐業務的企業,是有資格的認證機構對企業的資料處理行為符合GDPR規定的證明,也能在一定程度上反映企業的網路安全保護水平。
通過核查上述有公信力的證明以及企業內部建立相應評估機制的情況,可以比較直觀地掌握企業網路安全保護情況。
肆 哪些情形可能會被認為沒有做到勤勉盡責
根據競天公誠同事的研究(參見 ofollow,noindex">劉思遠、趙楓:中介機構盡調會因何被罰? ),法律對律師等中介機構的要求是勤勉盡責。結合他們的研究成果,就網路安全事項盡職調查而言,以下情形很可能被認為沒有做到勤勉盡責:
1、沒有將網路安全事項列入核查範圍,或者只核查了部分網路安全事項,存在重大遺漏。由於新技術的日益滲透,傳統企業也越來越多地與網路結合,完全不“觸網”的企業越來越少。在對傳統企業進行盡職調查時,由於思維慣性,律師很可能忽略網路安全事項的核查。比如,根據即將出臺的《網路安全等級保護條例》,企業內網(比如內部辦公系統、業務管理系統)也屬於網路安全等級保護管理範圍,要履行一般安全保護義務,二級以上的內網還需要進行定級備案,進行測試或測評,這是容易忽略的。
再比如,面向B端銷售的傳統企業,不直接接觸個人使用者,但是其人事管理系統中可能沉澱了大量的員工或應聘者的個人資訊,其客戶管理系統中也可能沉澱了大量的聯絡人資訊,這些都涉及個人資訊保安問題。央行上海分行在一份通知中就明確規定,金融機構的機構客戶的法定代表人的姓名、住所、聯絡方式等屬於個人金融資訊。如果律師沒有把網路安全事項納入對這些企業的盡職調查範圍,很可能被認為沒有勤勉盡責。
對於新經濟企業的盡職調查,雖然不會完全忽略網路安全事項,但可能出現重大遺漏。前面已經提及,網路安全的內容很廣泛,包含多個層面和多項管理制度,必須結合業務特點對網路和資料進行全面梳理,逐項核查。如果遺漏重大事項,也可能被認為沒有勤勉盡責。比如,只核查了資料收集的合法性,卻忽略了非法資料交易行為或者資料的濫用行為。
2、盡職調查程式存在明顯瑕疵,如,盡職調查計劃中沒有納入網路安全核查事項,沒有儲存核查記錄,沒有製作規範的工作底稿,或者偽造工作底稿等。需要注意的是,傳統盡職調查的底稿主要體現為紙質檔案形式,但是對於網路和資料的核查,如現場演示或註冊登入,沒有形成紙質檔案,或者難以通過紙質檔案記錄。這種情況下,應當考慮通過錄音、錄影等形式記錄核查過程,並輔之以簡要文字記錄。這樣有利於事後免除責任。
3、缺乏足夠的職業審慎,對於材料中存在的相互矛盾的資訊、有明顯漏洞的資訊、存在瑕疵的資料等,沒有發現;或者對於核查中發現的疑點,沒有進行進一步的核查驗證。比如,企業網路被定為三級,測評機構出具了合格的測評報告,但其中某些測評項沒有達到法律要求(在一定數量內是允許的),這說明企業在這方面存在薄弱環節,律師應當對這些測評項進行重點核查,確認是否屬於重大風險,事後是否及時整改。如果沒有做到這些,律師就可能被認為沒有勤勉盡責。
4、沒有窮盡合理的調查手段。法律沒有要求律師核查必須發現所有風險,特別是,如果企業刻意隱瞞,有些風險確實不是律師能夠發現的,但是律師應當盡其所能地進行調查,如果窮盡所有合理的核查手段後仍然不能發現風險,則律師應當免責。比如在上述A公司的案例中,A公司之所以能夠在運營商的伺服器上架設非法軟體,是因為運營商有內鬼。這樣隱蔽的作案手法確實不易發現,但是,運營商是A公司的主要合作伙伴,就網路安全問題對運營商進行走訪或者函證,是核查的“規定動作”。如果律師沒有做出“規定動作”,或者“規定動作”不到位,就很難說已經勤勉盡責。
伍 總結
1、網路安全法是一個新的法律領域。當資本運作與網路安全相遇,我們發現,傳統的盡職調查理念、框架、範圍和手段都存在一定的侷限性,導致不能充分發現網路安全風險。A公司就是典型一例,但很可能不是最後一例。
2、傳統的盡職調查模式應當做出改進,改進之道在於:在盡職調查團隊中配備熟悉網路安全法的律師,根據新經濟的特點,圍繞企業經營中的資料流,綜合業務、技術、法務、財務、人事等各方面的資訊,運用新的調查手段和方式,定位網路安全風險因素。
3、律師在涉及網路安全事項的盡職調查中應做到勤勉盡責,秉持足夠的職業謹慎,窮盡了合理的調查手段,對網路安全事項進行了全面深入的核查。
作者介紹
馮堅堅
合夥人
021-2613 6221
競天公誠律師事務所合夥人,競天公誠網路安全與資料隱私團隊負責人。
隱私權專家國際協會(International Association of Privacy Professionals)會員,上海市律師協會網際網路業務研究委員會委員,長期專注於網路安全、資料合規及個人資訊保護領域。
袁立志
合夥人
021-2613 6222
袁立志律師先後從上海對外經貿大學和新加坡國立大學取得國際法碩士和國際商法碩士學位。袁律師於2016年底作為合夥人加入競天公誠律師事務所。在此之前,袁律師先後在兩家全國知名的律師事務所執業。
袁律師的執業領域為公司與證券、投融資、併購重組、破產清算、商事仲裁及訴訟。袁律師曾先後主辦數十個私募投融資、併購重組、掛牌上市、破產清算等專案。值得一提的是,袁律師曾主辦某大資料企業在全國中小企業股份轉讓系統(即新三板)掛牌專案,協助該企業從合規角度梳理資料獲取、資料處理及資料應用等整個業務流程,在當時國內相關法規尚不明確的情況下,得到股轉系統對資料安全合規的認可,順利實現掛牌。
宣告 DISCLAIMER
本文觀點僅供參考,不可視為競天公誠律師事務所及其律師對有關問題出具的正式法律意見。如您有任何法律問題或需要法律意見,請與本所聯絡。
This article is for your reference only and not to be deemed as formal legal advice given by Jingtian & Gongcheng or its lawyers. Please contact us directly for formal legal advice or further discussion about the relevant issues.
宣告:本文來自安全內參,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。