4月2日,，證監(jiān)會就《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定（征求意見稿）》（以下簡稱《規(guī)定》）公開征求意見，為境外上市涉及的相關(guān)保密和檔案管理工作提供更加清晰的指引,，明確上市公司信息安全主體責(zé)任,，完善跨境監(jiān)管合作安排，為安全高效開展跨境監(jiān)管合作提供制度保障,。

此次《規(guī)定》是對2009年原文件的升級,，縱覽全文及其修訂內(nèi)容，此次修訂集中體現(xiàn)了加強(qiáng)國家信息安全管理,、提高效率,、明晰責(zé)任、兼顧統(tǒng)籌發(fā)展與安全的理念,。本文著重分析《規(guī)定》關(guān)于信息安全主體責(zé)任的內(nèi)涵和要求,，分享對應(yīng)的合規(guī)思路和措施，為廣大企業(yè)提供參考,。

01

嚴(yán)格履行程序明確企業(yè)保密責(zé)任

為使企業(yè)切實擔(dān)負(fù)信息安全的主體責(zé)任,，修訂后的《規(guī)定》將要求企業(yè)在境外發(fā)行上市過程中向中介機(jī)構(gòu)及境外監(jiān)管機(jī)構(gòu)提供、披露資料時,，需要遵守保密相關(guān)法律法規(guī),，做好書面說明和備查工作（詳見《規(guī)定》第三,、四、五條）,。

從境內(nèi)企業(yè)赴境外上市的實際情況來看,，企業(yè)經(jīng)營活動中產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)，以及采集的客戶數(shù)據(jù),，如個人信息等,，不應(yīng)該在未經(jīng)得客戶同意的情況下提供給中介機(jī)構(gòu)，更不會被納入審計底稿,。此次《規(guī)定》修訂所增加的程序性要求,，將避免不必要的涉密或敏感信息進(jìn)入審計底稿，對確因?qū)徲嬓枰M(jìn)入底稿的涉密敏感信息依法依規(guī)做好全流程的記錄和履行必要的程序,。

特別地,，企業(yè)經(jīng)營活動中涉及的數(shù)據(jù)安全受到我國相關(guān)法律政策的有效監(jiān)管。對于必要的數(shù)據(jù)出境活動,，我國相關(guān)監(jiān)管機(jī)構(gòu)正在對其持續(xù)完善及規(guī)范,，如國家互聯(lián)網(wǎng)信息辦公室于2021年10月29日發(fā)布了《數(shù)據(jù)出境安全評估辦法（征求意見稿）》，已經(jīng)明確對于國家信息安全,、數(shù)據(jù)安全方面予以規(guī)定,，和本次《規(guī)定》的要求互為補(bǔ)充，分別從不同角度對不同行為予以規(guī)管,。

本次修訂實質(zhì)上重申了企業(yè)及中介機(jī)構(gòu)應(yīng)當(dāng)審慎對待有關(guān)國家安全的涉密敏感信息,，如非絕對必要且經(jīng)過主管部門批準(zhǔn)，涉密信息不能進(jìn)入審計底稿,，加強(qiáng)國家安全信息保護(hù)和明確責(zé)任,。同時體現(xiàn)了統(tǒng)籌發(fā)展和安全的要求，既要維護(hù)好企業(yè)所在地數(shù)據(jù)安全,，又要適應(yīng)上市地審計監(jiān)管要求，為企業(yè)依法依規(guī)開展境外上市活動提供了準(zhǔn)繩,。

02

企業(yè)落實《規(guī)定》的可行性建議

企業(yè)落實《規(guī)定》條款,，需要避免涉密敏感信息不當(dāng)對外提供及進(jìn)入審計底稿，即使少量敏感信息確因?qū)徲嬓枰M(jìn)入底稿,，也須在提供,、保存和接受檢查的全鏈條上按相關(guān)規(guī)定加以管理和保護(hù)。

這將要求企業(yè)：首先,，需要非常清楚地掌握自身的數(shù)據(jù)資產(chǎn)情況,，包括業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù)，能夠準(zhǔn)確定義并標(biāo)注數(shù)據(jù)的敏感級別和涉密情況,。同時,，需要非常清晰地掌握敏感信息的流動及變化過程,，以杜絕涉密敏感信息意外地或不受控地對外提供。另外,，對于必須進(jìn)入底稿的敏感信息,，通過技術(shù)手段提供相適應(yīng)的防護(hù)措施，履行程序性要求,，加強(qiáng)安全管理,。

基于數(shù)安行在數(shù)據(jù)安全領(lǐng)域的長期實踐，分享幾點關(guān)于合規(guī)及安全保護(hù),、管理的可行性建議,。

1、對于數(shù)據(jù)資產(chǎn)的梳理盤點是數(shù)據(jù)利用,、數(shù)據(jù)治理以及數(shù)據(jù)安全保護(hù)的基礎(chǔ),，盤點工作包括發(fā)現(xiàn)及識別組織內(nèi)的數(shù)據(jù)資產(chǎn)類型、數(shù)量,、分布位置以及敏感級別,。對于企業(yè)而言，難點在于數(shù)據(jù)量大并且持續(xù)新增,，數(shù)據(jù)來源廣泛,，劃分?jǐn)?shù)據(jù)類別以及確定敏感級別缺少可參考的標(biāo)準(zhǔn)和依據(jù)。使用自動化的數(shù)據(jù)盤點工具代替人工操作是目前的主流趨勢,，企業(yè)在選擇過程中需要考慮是否支持結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù),，數(shù)據(jù)模型的行業(yè)覆蓋度是否齊全，是否支持識別足夠豐富的數(shù)據(jù)格式,。

在滿足盤點通用數(shù)據(jù)的基礎(chǔ)上,，針對不同企業(yè)各自特有的業(yè)務(wù)數(shù)據(jù)，需要使用人工智能分析工具自學(xué)習(xí)并生成敏感數(shù)據(jù)分類模型進(jìn)行梳理,。數(shù)安行的實踐經(jīng)驗證明,，小數(shù)據(jù)機(jī)器學(xué)習(xí)在少量樣本支撐下即可實現(xiàn)特有數(shù)據(jù)的精細(xì)分類標(biāo)注，降低了企業(yè)配合門檻,，更具有可落地性,。

2、避免涉密敏感信息不當(dāng)對外提供及進(jìn)入審計底稿并非意味著持續(xù)嚴(yán)密地控制數(shù)據(jù)的使用,。眾所周知,，數(shù)據(jù)需要保持流動才能發(fā)揮應(yīng)有的價值，安全保障不應(yīng)該成為業(yè)務(wù)發(fā)展的阻力,，《規(guī)定》統(tǒng)籌發(fā)展和安全即要求企業(yè)在正常的數(shù)據(jù)流動過程中嵌入安全屬性,，實時掌握敏感數(shù)據(jù)的潛在安全威脅。基于數(shù)據(jù)資產(chǎn)盤點的清單,，通過對敏感數(shù)據(jù)運(yùn)行軌跡,、數(shù)據(jù)版本以及形態(tài)變化進(jìn)行全流程跟蹤標(biāo)注，可以實時感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風(fēng)險,。這里的重點在于不受數(shù)據(jù)存儲位置,、格式、形態(tài)的改變而丟失數(shù)據(jù)軌跡及數(shù)據(jù)血親關(guān)系,，真正定位于數(shù)據(jù)本身及其生命周期進(jìn)行跟蹤溯源,。

3、針對可能存在的潛在安全風(fēng)險,，給予足夠細(xì)粒度的安全措施是很關(guān)鍵的,。在不影響數(shù)據(jù)正常流轉(zhuǎn)效率及業(yè)務(wù)正常運(yùn)行的前提下，最精準(zhǔn),、最適宜的防護(hù)手段需要根據(jù)風(fēng)險級別,、使用環(huán)境、流轉(zhuǎn)環(huán)節(jié)以及用戶角色等差異來提供,?；跓o感數(shù)據(jù)安全沙箱以及微隔離存儲等技術(shù)，可以建立多種安全級別的應(yīng)用系統(tǒng)訪問及數(shù)據(jù)使用環(huán)境,，建立應(yīng)用系統(tǒng)與用戶之間的零信任數(shù)據(jù)安全通道,。精準(zhǔn)識別用戶身份，動態(tài)定義應(yīng)用系統(tǒng)訪問邊界,，自適應(yīng)調(diào)整應(yīng)用系統(tǒng)訪問權(quán)限,，防控各種越權(quán)訪問、身份仿冒,、違規(guī)下載等危險行為,，保證業(yè)務(wù)數(shù)據(jù)在線使用及流出安全。

待《規(guī)定》發(fā)布后,，企業(yè)和中介機(jī)構(gòu)也需要進(jìn)一步完善內(nèi)部規(guī)則和流程,，高度重視和加強(qiáng)數(shù)據(jù)安全，持續(xù)提升審計質(zhì)量,?！兑?guī)定》的落實，將提升企業(yè)維護(hù)數(shù)據(jù)安全和防范法律風(fēng)險的能力,，促進(jìn)企業(yè)依法合規(guī)開展境外發(fā)行上市活動。

（本文作者：北京數(shù)安行科技有限公司 郭靈）

北京卓越同舟咨詢有限公司成立于2002年,經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會批準(zhǔn)設(shè)立的專業(yè)企業(yè)認(rèn)證及咨詢機(jī)構(gòu)(批準(zhǔn)號: CNCA-Z-01Q-2006-038),，能為各種行業(yè),、各種規(guī)模的組織提供ISO9001 質(zhì)量管理體系、IATF16949汽車生產(chǎn)件及相關(guān)服務(wù)件組織的質(zhì)量管理體系要求、ISO14001環(huán)境管理體系,、 ISO45001職業(yè)健康安全 管理體系,、ISO22000/HACCP食品安全管理體系/危害分析與關(guān)鍵控制點ISO/IEC27001信息安全管理體系、ISO/IEC200001T服務(wù)管理體系,、ISO22301業(yè)務(wù)連續(xù)性管理體系等管理體系認(rèn)證咨詢,、產(chǎn)品認(rèn)證咨詢、企業(yè)資質(zhì)認(rèn)證咨詢,、企業(yè)管理咨詢(組織設(shè)計,、流程優(yōu)化、成本審計,、品控管理,、顧客滿意度測評、5S管理等)及相關(guān)培訓(xùn)服務(wù),。