4月2日，證監(jiān)會(huì)就《關(guān)于加強(qiáng)境內(nèi)企業(yè)境外發(fā)行證券和上市相關(guān)保密和檔案管理工作的規(guī)定（征求意見稿）》（以下簡(jiǎn)稱《規(guī)定》）公開征求意見,，為境外上市涉及的相關(guān)保密和檔案管理工作提供更加清晰的指引,，明確上市公司信息安全主體責(zé)任，完善跨境監(jiān)管合作安排,，為安全高效開展跨境監(jiān)管合作提供制度保障,。

此次《規(guī)定》是對(duì)2009年原文件的升級(jí)，縱覽全文及其修訂內(nèi)容,，此次修訂集中體現(xiàn)了加強(qiáng)國家信息安全管理,、提高效率、明晰責(zé)任,、兼顧統(tǒng)籌發(fā)展與安全的理念,。本文著重分析《規(guī)定》關(guān)于信息安全主體責(zé)任的內(nèi)涵和要求，分享對(duì)應(yīng)的合規(guī)思路和措施,，為廣大企業(yè)提供參考,。

01

嚴(yán)格履行程序明確企業(yè)保密責(zé)任

為使企業(yè)切實(shí)擔(dān)負(fù)信息安全的主體責(zé)任，修訂后的《規(guī)定》將要求企業(yè)在境外發(fā)行上市過程中向中介機(jī)構(gòu)及境外監(jiān)管機(jī)構(gòu)提供,、披露資料時(shí),，需要遵守保密相關(guān)法律法規(guī)，做好書面說明和備查工作（詳見《規(guī)定》第三,、四、五條）,。

從境內(nèi)企業(yè)赴境外上市的實(shí)際情況來看,，企業(yè)經(jīng)營活動(dòng)中產(chǎn)生的各種業(yè)務(wù)數(shù)據(jù)，以及采集的客戶數(shù)據(jù),，如個(gè)人信息等,，不應(yīng)該在未經(jīng)得客戶同意的情況下提供給中介機(jī)構(gòu)，更不會(huì)被納入審計(jì)底稿,。此次《規(guī)定》修訂所增加的程序性要求,，將避免不必要的涉密或敏感信息進(jìn)入審計(jì)底稿，對(duì)確因?qū)徲?jì)需要進(jìn)入底稿的涉密敏感信息依法依規(guī)做好全流程的記錄和履行必要的程序,。

特別地,，企業(yè)經(jīng)營活動(dòng)中涉及的數(shù)據(jù)安全受到我國相關(guān)法律政策的有效監(jiān)管。對(duì)于必要的數(shù)據(jù)出境活動(dòng)，我國相關(guān)監(jiān)管機(jī)構(gòu)正在對(duì)其持續(xù)完善及規(guī)范,，如國家互聯(lián)網(wǎng)信息辦公室于2021年10月29日發(fā)布了《數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》,，已經(jīng)明確對(duì)于國家信息安全、數(shù)據(jù)安全方面予以規(guī)定,，和本次《規(guī)定》的要求互為補(bǔ)充,，分別從不同角度對(duì)不同行為予以規(guī)管。

本次修訂實(shí)質(zhì)上重申了企業(yè)及中介機(jī)構(gòu)應(yīng)當(dāng)審慎對(duì)待有關(guān)國家安全的涉密敏感信息,，如非絕對(duì)必要且經(jīng)過主管部門批準(zhǔn),，涉密信息不能進(jìn)入審計(jì)底稿，加強(qiáng)國家安全信息保護(hù)和明確責(zé)任,。同時(shí)體現(xiàn)了統(tǒng)籌發(fā)展和安全的要求,，既要維護(hù)好企業(yè)所在地?cái)?shù)據(jù)安全，又要適應(yīng)上市地審計(jì)監(jiān)管要求,，為企業(yè)依法依規(guī)開展境外上市活動(dòng)提供了準(zhǔn)繩,。

02

企業(yè)落實(shí)《規(guī)定》的可行性建議

企業(yè)落實(shí)《規(guī)定》條款，需要避免涉密敏感信息不當(dāng)對(duì)外提供及進(jìn)入審計(jì)底稿,，即使少量敏感信息確因?qū)徲?jì)需要進(jìn)入底稿,，也須在提供、保存和接受檢查的全鏈條上按相關(guān)規(guī)定加以管理和保護(hù),。

這將要求企業(yè)：首先,，需要非常清楚地掌握自身的數(shù)據(jù)資產(chǎn)情況，包括業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù),，能夠準(zhǔn)確定義并標(biāo)注數(shù)據(jù)的敏感級(jí)別和涉密情況,。同時(shí)，需要非常清晰地掌握敏感信息的流動(dòng)及變化過程,，以杜絕涉密敏感信息意外地或不受控地對(duì)外提供,。另外，對(duì)于必須進(jìn)入底稿的敏感信息,，通過技術(shù)手段提供相適應(yīng)的防護(hù)措施,，履行程序性要求，加強(qiáng)安全管理,。

基于數(shù)安行在數(shù)據(jù)安全領(lǐng)域的長期實(shí)踐,，分享幾點(diǎn)關(guān)于合規(guī)及安全保護(hù)、管理的可行性建議,。

1,、對(duì)于數(shù)據(jù)資產(chǎn)的梳理盤點(diǎn)是數(shù)據(jù)利用、數(shù)據(jù)治理以及數(shù)據(jù)安全保護(hù)的基礎(chǔ),，盤點(diǎn)工作包括發(fā)現(xiàn)及識(shí)別組織內(nèi)的數(shù)據(jù)資產(chǎn)類型,、數(shù)量、分布位置以及敏感級(jí)別。對(duì)于企業(yè)而言,，難點(diǎn)在于數(shù)據(jù)量大并且持續(xù)新增,，數(shù)據(jù)來源廣泛，劃分?jǐn)?shù)據(jù)類別以及確定敏感級(jí)別缺少可參考的標(biāo)準(zhǔn)和依據(jù),。使用自動(dòng)化的數(shù)據(jù)盤點(diǎn)工具代替人工操作是目前的主流趨勢(shì),，企業(yè)在選擇過程中需要考慮是否支持結(jié)構(gòu)化和非結(jié)構(gòu)化的數(shù)據(jù)，數(shù)據(jù)模型的行業(yè)覆蓋度是否齊全,，是否支持識(shí)別足夠豐富的數(shù)據(jù)格式,。

在滿足盤點(diǎn)通用數(shù)據(jù)的基礎(chǔ)上，針對(duì)不同企業(yè)各自特有的業(yè)務(wù)數(shù)據(jù),，需要使用人工智能分析工具自學(xué)習(xí)并生成敏感數(shù)據(jù)分類模型進(jìn)行梳理,。數(shù)安行的實(shí)踐經(jīng)驗(yàn)證明，小數(shù)據(jù)機(jī)器學(xué)習(xí)在少量樣本支撐下即可實(shí)現(xiàn)特有數(shù)據(jù)的精細(xì)分類標(biāo)注,，降低了企業(yè)配合門檻,，更具有可落地性。

2,、避免涉密敏感信息不當(dāng)對(duì)外提供及進(jìn)入審計(jì)底稿并非意味著持續(xù)嚴(yán)密地控制數(shù)據(jù)的使用,。眾所周知，數(shù)據(jù)需要保持流動(dòng)才能發(fā)揮應(yīng)有的價(jià)值,，安全保障不應(yīng)該成為業(yè)務(wù)發(fā)展的阻力,，《規(guī)定》統(tǒng)籌發(fā)展和安全即要求企業(yè)在正常的數(shù)據(jù)流動(dòng)過程中嵌入安全屬性，實(shí)時(shí)掌握敏感數(shù)據(jù)的潛在安全威脅,?；跀?shù)據(jù)資產(chǎn)盤點(diǎn)的清單，通過對(duì)敏感數(shù)據(jù)運(yùn)行軌跡,、數(shù)據(jù)版本以及形態(tài)變化進(jìn)行全流程跟蹤標(biāo)注,，可以實(shí)時(shí)感知數(shù)據(jù)違規(guī)使用及流轉(zhuǎn)風(fēng)險(xiǎn)。這里的重點(diǎn)在于不受數(shù)據(jù)存儲(chǔ)位置,、格式,、形態(tài)的改變而丟失數(shù)據(jù)軌跡及數(shù)據(jù)血親關(guān)系，真正定位于數(shù)據(jù)本身及其生命周期進(jìn)行跟蹤溯源,。

3、針對(duì)可能存在的潛在安全風(fēng)險(xiǎn),，給予足夠細(xì)粒度的安全措施是很關(guān)鍵的,。在不影響數(shù)據(jù)正常流轉(zhuǎn)效率及業(yè)務(wù)正常運(yùn)行的前提下，最精準(zhǔn),、最適宜的防護(hù)手段需要根據(jù)風(fēng)險(xiǎn)級(jí)別,、使用環(huán)境、流轉(zhuǎn)環(huán)節(jié)以及用戶角色等差異來提供?；跓o感數(shù)據(jù)安全沙箱以及微隔離存儲(chǔ)等技術(shù),，可以建立多種安全級(jí)別的應(yīng)用系統(tǒng)訪問及數(shù)據(jù)使用環(huán)境，建立應(yīng)用系統(tǒng)與用戶之間的零信任數(shù)據(jù)安全通道,。精準(zhǔn)識(shí)別用戶身份,，動(dòng)態(tài)定義應(yīng)用系統(tǒng)訪問邊界，自適應(yīng)調(diào)整應(yīng)用系統(tǒng)訪問權(quán)限,，防控各種越權(quán)訪問,、身份仿冒、違規(guī)下載等危險(xiǎn)行為,，保證業(yè)務(wù)數(shù)據(jù)在線使用及流出安全,。

待《規(guī)定》發(fā)布后，企業(yè)和中介機(jī)構(gòu)也需要進(jìn)一步完善內(nèi)部規(guī)則和流程,，高度重視和加強(qiáng)數(shù)據(jù)安全,，持續(xù)提升審計(jì)質(zhì)量?！兑?guī)定》的落實(shí),，將提升企業(yè)維護(hù)數(shù)據(jù)安全和防范法律風(fēng)險(xiǎn)的能力，促進(jìn)企業(yè)依法合規(guī)開展境外發(fā)行上市活動(dòng),。

（本文作者：北京數(shù)安行科技有限公司 郭靈）

北京卓越同舟咨詢有限公司成立于2002年,經(jīng)國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)批準(zhǔn)設(shè)立的專業(yè)企業(yè)認(rèn)證及咨詢機(jī)構(gòu)(批準(zhǔn)號(hào): CNCA-Z-01Q-2006-038),，能為各種行業(yè)、各種規(guī)模的組織提供ISO9001 質(zhì)量管理體系,、IATF16949汽車生產(chǎn)件及相關(guān)服務(wù)件組織的質(zhì)量管理體系要求,、ISO14001環(huán)境管理體系、 ISO45001職業(yè)健康安全 管理體系,、ISO22000/HACCP食品安全管理體系/危害分析與關(guān)鍵控制點(diǎn)ISO/IEC27001信息安全管理體系,、ISO/IEC200001T服務(wù)管理體系、ISO22301業(yè)務(wù)連續(xù)性管理體系等管理體系認(rèn)證咨詢,、產(chǎn)品認(rèn)證咨詢,、企業(yè)資質(zhì)認(rèn)證咨詢、企業(yè)管理咨詢(組織設(shè)計(jì),、流程優(yōu)化,、成本審計(jì)、品控管理,、顧客滿意度測(cè)評(píng),、5S管理等)及相關(guān)培訓(xùn)服務(wù)。