财新传媒
位置:博客 > 袁立志 > 当资本运作遇到网络安全:尽调该怎么做?

当资本运作遇到网络安全:尽调该怎么做?

本文首发于竞天公诚律师事务所微信公号。首发时有删节,以下为无删节版。

近期,某新三板挂牌公司(“A公司”)的涉嫌非法窃取巨量用户信息的新闻同时引起了网络安全与数据合规律师和资本市场律师的高度关注。前者的关注点不难理解,而资本市场律师的关注点则在于,在投融资、并购重组、挂牌上市等资本运作项目中如何进行网络安全与数据合规的尽职调查,律师如何做才能最大程度地发现风险,并证明其尽职。

在中国法下,“网络安全”一词含义广泛,包括设施安全、运行安全、数据安全和信息安全等多个层面,本文为简化表述,将实务中语义有所不同的“网络安全”、“信息安全”、“个人信息保护”、“数据合规”等统称为“网络安全”。

 

目录

一、发生了什么?

二、问题出在哪?

三、应该怎么做?

四、怎样算尽责?

一、         发生了什么?

根据新闻媒体报道和A公司的公告,事情的原委大致是这样的:

A公司的自身定位为互联网新媒体营销企业,其业务模式是,通过其开设和运营的微博账号、微信公众号、头条账号等自媒体账号,利用粉丝数量优势,通过分享、制作有价值、有趣的资讯内容等手段,向特定用户群体推送营销内容,实现营销目的,收取客户服务费用。

2017年10月底,A公司在股转系统(即“新三板”)挂牌。在挂牌审查过程中,股转系统曾就公司业务是否符合网络安全法的各项规定进行了详细询问,其中一个问题是:“公司开发的软件是否存在非法收集用户信息、侵害用户利益的情形”。为该项目提供法律服务的某律师事务所在回复中确认,公司开发的软件不存在该等情形。

2018年7月20日,A公司主办券商发布公告称,该公司法定代表人、董事及两名监事因涉嫌非法获取计算机信息系统数据罪,被公安机关刑事拘留,刑事调查目前正在进行。随后,A公司的银行账号被冻结,主办券商发布持续经营能力风险提示,公司股票停牌。

根据财新媒体的报道,从2014年开始,A公司与各地的电信、移动、联通等运营商签订营销广告系统服务合同,为其提供精准广告投放系统的开发、维护,从而拿到了运营商服务器的远程登录权限。在业务过程中,A公司人员将自主编写的恶意程序放在运营商的服务器上,当用户的流量经过运营商的服务器时,程序就自动工作,从中采集出用户cookie、访问记录等关键数据,再通过恶意程序将所有数据导出,存放在了该公司的服务器上。获得cookie等数据后,A公司就可以操纵用户的微博、微信、QQ、淘宝和抖音等自媒体账户,在用户不知情的情况下加粉、加群,违规进行营销推广,从而非法获利。

根据股转系统的规定,申请挂牌公司的报告期为至少两个完整的会计年度。律师需要对报告期内公司的经营是否合法合规进行核查,并发表明确意见。A公司的违法行为始于2014年,持续至案发,覆盖了整个报告期。而律师的尽职调查没有发现违法事实,并给出了业务合规的法律意见。显然,有哪里出现了问题。

 

二、         问题出在哪?

从A公司公开披露的文件来看,项目主办律师曾对网络安全事项进行核查,在股转系统反馈询问时也进行了详细披露。从传统的尽职调查标准来看,很难说该项目的律师有明显的疏忽。但是对于该公司利用非法软件窃取用户数据的情况,律师确实没能发现。总结下来,可能有这么几个因素:

1.     传统的尽职调查规范是以工业企业为假想目标的,调查理念和模式不能适应新经济的发展。目前关于尽职调查工作最详尽的指引文件是证监会《保荐人尽职调查工作准则》(以下简称“《尽调工作准则》”),该文件确立了尽职调查的基本框架和模式,中介机构基本上都是按照这个文件的内容和要求开展尽职调查工作。该文件第三条明确说,是针对工业企业的主要特征制定的,其内容是以工业企业为假想目标,围绕典型的工业企业经营管理的各项要素展开调查的,这与中国资本市场的发展历程和特点是一致的。传统的商业、服务业等非工业企业虽有自身特点,但主要风险因素与工业企业基本相同,所以可以参照工业企业的模式开展尽职调查工作,不会有太大问题。

但随着移动互联网、大数据、云计算、人工智能、物联网、区块链等新技术的发展,新经济主体日益崛起,成为资本市场的重要参与者,即使是传统工业企业也越来越多地与工业互联网、智能制造等元素结合。这些新经济主体面临很多新的、非传统的风险因素,与传统工业企业存在本质差异,而传统的尽职调查理念和模式没有及时做出调整,回应新的风险因素,故已经不能适应现实需求。

2.     传统的尽职调查通常不包括对企业网络安全和数据合规状况的彻底核查,或者说没有将网络安全作为一个独立的、重要的、系统性的风险因素进行核查。传统的尽职调查,只是将网络安全与工商、税务、海关、土地管理、环保、消防、安全生产、产品质量等事项一样对待,视为业务经营合规性核查中的一项。这种框架和思路,不能从网络安全角度整体审视企业风险,不能覆盖与之有关的各项风险。

为了应对网络安全的严峻形势,打击数据黑灰产交易链条,近年来国家加大了网络安全立法、执法力度,其中最具标志性的事件是2015年《刑法修正案(九)》及2016年《网络安全法》的出台。《网络安全法》确立了我国网络安全治理的总体框架和基本原则,随后大量配套规则和标准陆续出台,专项执法检查也频繁进行,网络安全已成为企业经营中的重要风险因素。

对新经济企业而言,网络安全不仅是合规问题,而且与企业的基本商业模式、核心技术高度相关。数据是这些企业最重要的资产(虽然在资产负债表上暂时没有名分),数据采集是最主要的“采购”方式,数据处理是最主要的“生产”方式,基于数据提供服务是最主要的“销售”方式,最主要的利润来源是基于数据产生的直接或间接收入,最大的风险是网络安全风险;公司治理结构也可能与传统企业不同,设有数据安全官等新型职位;企业内部控制需要结合网络安全等级保护的要求等。这些都要求律师在进行尽职调查时,把网络安全作为一个独立的、重要的、系统性风险进行核查。

3.     传统的尽职调查手段不利于充分发现网络安全风险。传统的尽职调查手段包括审阅文件、访谈人员、查询档案、走访政府部门或行业组织、实地察看、函证等,这些核查手段是与核查对象相适应的。对于企业的股权、资产、负债、业务、财务、管理、人员等事项进行核查,这些核查手段通常是有效的,但是,当核查对象是网络安全事项时,这些核查手段就显得力不从心。

网络是虚拟空间,网络本身和网络上的数据和信息都是无形的,虽有物理载体,但并不能直观察看,存在云端的数据连物理载体也难以确定。这都是传统核查手段难以应对的。再加上技术日益进步,特定网络包含的物理环境、硬件设备、软件、人员、管理制度以及所承载的信息和数据等各种要素繁多,结构复杂,凭借传统核查手段难以窥其全貌。

比如,上述A公司通过非法软件采集用户的cookie数据,就很难通过审阅文件和访谈发现。如果其违法行为尚未被主管部门所发现,也很难通过查询公示信息或走访主管部门得知。

4.     律师对网络安全尽职调查存在畏难情绪,企业对此也有抵触情绪。网络安全涉及技术和管理两个层面,而且技术因素相对更重。而传统上,律师不是技术专家,兼具技术和法律双重背景的律师非常少,互联网、大数据、云计算、区块链、人工智能、物联网等都超出了律师的常规知识范围,一些新的概念、术语和技术原理理解起来并不容易,这就使得许多从事尽职调查工作的律师有畏难情绪,从内心不愿意涉足网络安全事项;即使不得不核查,也不愿意深入核查;甚至认为技术上的事,不属于律师的核查范围。

从企业的角度而言,对于律师的核查有可能存在抵触情绪。一则深入核查可能涉及企业的核心商业机密,除非迫不得已,企业不愿意让外部人员接触;二则企业认为律师是法律专家,不是技术专家,没有能力核查网络安全事项。即使企业不存在问题,也不愿意全力配合律师核查;如果存在严重违法行为,企业就更不可能配合律师核查。

综上,由于传统的尽职调查理念和框架以工业企业为假想目标,没有将网络安全作为重要的调查对象,调查手段与其风险特点不匹配,而且律师主观上有畏难情绪,企业也有抵触心理,故传统的尽职调查模式不利于充分发现网络安全风险。

 

三、         应该怎么做?

结合项目经验,我们认为,律师在尽职调查中对网络安全事项的核查,应当做到以下几点:

1.     熟悉网络安全法规。网络安全是一个总体概念,网络安全法的内容很广泛,涵盖基础设施安全、网络运行安全、数据安全和信息安全等多个层面。为了落实网络安全管理,国家已经或正在建立网络安全等级保护制度、关键信息基础设施保护制度、个人信息和重要数据保护制度、网络产品和服务管理制度、网络信息内容管理制度、网络安全事件应急响应制度等,每项制度都有配套的细则或国家标准。此外,根据每个行业的特点,各行业主管部门还出台了针对特定行业的网络安全管理细则。

鉴于网络安全法日渐成为一个独立的法律领域,且体系日趋复杂,项目尽职调查团队中宜配备通晓网络安全法的律师,该律师应当熟悉网络安全法的整体体系、各项具体规范和标准及行业特殊要求,专责网络安全事项核查,以确保尽职调查全面覆盖,避免重大遗漏。

2.     结合行业特点和业务模式梳理企业的数据流,找到关键风险节点,进行合规差距分析。传统工业企业的生产经营周期是研发-设计-采购-生产-销售,重点是货物流和资金流,风险蕴含在这些环节中。新经济企业的业务经营都是围绕数据展开的,重点是数据流,风险蕴含在数据的收集-保存-使用-共享-删除等数据生命周期的各环节中。对新经济企业进行尽职调查时,应当结合行业特点和业务模式,对企业经营中的数据流进行盘点和梳理,根据数据生命周期,找到关键风险节点,然后针对关键节点进行深入调查,分析合规差距,制定整改方案。

比如,数据收集环节是数据进入企业的入口,目前是风险高发地带,应当重点核查。是直接向个人用户收集数据还是从其他数据控制者获取数据?如果是前者,合法性基础是用户授权同意还是其他?如果是后者,数据提供方是如何获取数据的?其合法性基础是什么?双方的协议是否完善?是否存在买卖数据的行为?通过对这些问题的深挖,往往能够发现风险所在。同样,数据的使用环节和对外提供环节也存在大量风险,律师有大量的核查工作需要展开。

3.     综合业务、技术、法务和财务等各部门的资料和反馈,进行交叉比对,找出疑点,深入核查。新经济企业的业务围绕数据展开,数据处理能力是企业的核心技术,数据的收集、存储、委托处理、共享等需要一系列的协议来安排相关各方的权利义务,最终体现都为企业的财务收入和利润,而人员管理是网络安全管理的主要抓手之一。因此,网络安全核查涉及企业的业务、技术、法务、财务和人事等多个部门。律师应当对各个部门进行调查,综合各部门的资料和反馈,进行交叉比对和复核,发现互相矛盾或不能解释之处,应当进一步核查,如果仍然不能消除疑点,可能就是风险所在。

比如,有些数据企业宣称主营业务是互联网精准广告营销,但在业务合同并没有大额的广告服务合同,广告服务收入占比也不高,或者业务合同的约定及收入科目写得非常含糊,无法准确界定业务性质。业务与法务、财务脱节,说明企业可能另有其他业务。越是有意隐瞒的业务,违法嫌疑就越高。

再比如,企业的法务人员法律意识比较强,声称公司获取个人信息的方式完全合法,但从技术人员或业务人员的反馈中则可能看出企业非法获取个人信息的蛛丝马迹。

4.     除了审阅资料、访谈人员等传统调查方式之外,还应当通过现场演示、注册登录、应急演练等方式进行核查。企业通常有多个内部网络和外部网络,传统的尽职调查通常只是从资产角度进行核查,覆盖的只是机房、设备等硬件设施和软件、域名、账号等无形资产,没有将网络整体作为核查对象。律师对网络进行核查时,应当要求企业列出所有内部和外部网络的清单,画出网络结构图(拓扑图)。对于重要的业务网络,应当要求技术人员和业务人员进行现场演示,说明各项功能和运用;不但要演示客户端、APP等前台程序,还应当演示中后台程序。

对于面向C端用户的网络,律师可以用户身份注册登录,查阅其隐私政策、用户协议,查看其cookie设置,审核其营销宣传、服务模式、客户管理及发布内容等是否违规。

对新经济企业而言,网络安全突发事件已成为其经营中的重大风险。因为发生大规模数据泄露或其他极端事件,引起网络舆情和政府监管措施,有时甚至能决定一家新经济企业的生死。面对这种非传统风险,企业应当建立突发事件应急机制。应急预案的关键不在于文案多么完美,而在于其可操作性。律师在核查时,可以模拟网络安全突发事件,组织企业进行应急演练,协助企业从汇报流程、应急策略、人员安排、部门配合、信息发布、政企互动等方面查漏补缺。

5.     除了核查ICP许可证等证照之外,还应关注网络安全测评、评估和认证等情况。传统的尽职调查会关注ICP许可证、SP许可证、网络视听许可证、网络文化经营许可证等业务证照,这些证照解决的是市场准入问题。而对于企业经营过程中的网络安全风险,可以通过核查网络安全测评、评估、认证情况来掌握,包括网络安全等级保护测评、数据出境安全评估、ISO27001认证、个人信息安全影响评估(PIA),以及欧盟GDPR项下的数据保护认证(针对可能受GDPR管辖的企业)等(部分制度和规则尚处于征求意见阶段,需要企业和律师随时关注)。

网络安全等级保护制度是网络安全法下的一项基础性制度,等级保护测评报告是在网络依法定级的基础上,有资质的测评机构依法对网络安全保护状况进行的评估,是网络符合等级保护各项要求的证明。除满足合规要求外,等级保护测评可以在相当程度上反映企业的整体网络安全保护水平。

ISO27001认证则是由经过认可的认证机构,对一个组织的信息安全水平和能力满足信息安全管理体系国际标准ISO/IEC27001要求的证明,可以全面反映企业的网络安全管理水平。

数据出境安全评估则是个人信息或重要数据出境前,企业或主管部门组织的安全评估,可以反映出境或拟出境个人信息或重要数据的安全情况。

个人信息安全影响评估是个人信息控制者实施风险管理的重要组成部分,旨在发现、处置和持续监控个人信息处理过程中的安全风险。一般情况下,个人信息控制者必须在收集和处理个人信息前开展个人信息安全影响评估,明确个人信息保护边界,根据评估结果实施适当的安全控制措施,降低收集和处理个人信息的过程对个人信息主体权益造成的影响;另外,个人信息控制者还需按照要求定期开展个人信息安全影响评估,根据业务现状、威胁环境、法律法规、标准要求等情况持续修正个人信息保护边界,调整安全控制措施,使个人信息处理过程处于风险可控的状态。

GDPR项下数据保护认证适用于从事涉欧业务的企业,是有资格的认证机构对企业的数据处理行为符合GDPR规定的证明,也能在一定程度上反映企业的网络安全保护水平。

通过核查上述有公信力的证明以及企业内部建立相应评估机制的情况,可以比较直观地掌握企业网络安全保护情况。

 

四、         怎样算尽责?

根据竞天公诚同事的研究(参见刘思远、赵枫:中介机构尽调会因何被罚?),法律对律师等中介机构的要求是勤勉尽责。结合他们的研究成果,就网络安全事项尽职调查而言,以下情形很可能被认为没有做到勤勉尽责:

1.     没有将网络安全事项列入核查范围,或者只核查了部分网络安全事项,存在重大遗漏。由于新技术的日益渗透,传统企业也越来越多地与网络结合,完全不“触网”的企业越来越少。在对传统企业进行尽职调查时,由于思维惯性,律师很可能忽略网络安全事项的核查。比如,根据即将出台的《网络安全等级保护条例》,企业内网(比如内部办公系统、业务管理系统)也属于网络安全等级保护管理范围,要履行一般安全保护义务,二级以上的内网还需要进行定级备案,进行测试或测评,这是容易忽略的。

再比如,面向B端销售的传统企业,不直接接触个人用户,但是其人事管理系统中可能沉淀了大量的员工或应聘者的个人信息,其客户管理系统中也可能沉淀了大量的联系人信息,这些都涉及个人信息安全问题。央行上海分行在一份通知中就明确规定,金融机构的机构客户的法定代表人的姓名、住所、联系方式等属于个人金融信息。如果律师没有把网络安全事项纳入对这些企业的尽职调查范围,很可能被认为没有勤勉尽责。

对于新经济企业的尽职调查,虽然不会完全忽略网络安全事项,但可能出现重大遗漏。前面已经提及,网络安全的内容很广泛,包含多个层面和多项管理制度,必须结合业务特点对网络和数据进行全面梳理,逐项核查。如果遗漏重大事项,也可能被认为没有勤勉尽责。比如,只核查了数据收集的合法性,却忽略了非法数据交易行为或者数据的滥用行为。

2.     尽职调查程序存在明显瑕疵,如,尽职调查计划中没有纳入网络安全核查事项,没有保存核查记录,没有制作规范的工作底稿,或者伪造工作底稿等。需要注意的是,传统尽职调查的底稿主要体现为纸质文件形式,但是对于网络和数据的核查,如现场演示或注册登录,没有形成纸质文件,或者难以通过纸质文件记录。这种情况下,应当考虑通过录音、录像等形式记录核查过程,并辅之以简要文字记录。这样有利于事后免除责任。

3.       缺乏足够的职业审慎,对于材料中存在的相互矛盾的信息、有明显漏洞的信息、存在瑕疵的资料等,没有发现;或者对于核查中发现的疑点,没有进行进一步的核查验证。比如,企业网络被定为三级,测评机构出具了合格的测评报告,但其中某些测评项没有达到法律要求(在一定数量内是允许的),这说明企业在这方面存在薄弱环节,律师应当对这些测评项进行重点核查,确认是否属于重大风险,事后是否及时整改。如果没有做到这些,律师就可能被认为没有勤勉尽责。

4.     没有穷尽合理的调查手段。法律没有要求律师核查必须发现所有风险,特别是,如果企业刻意隐瞒,有些风险确实不是律师能够发现的,但是律师应当尽其所能地进行调查,如果穷尽所有合理的核查手段后仍然不能发现风险,则律师应当免责。比如在上述A公司的案例中,A公司之所以能够在运营商的服务器上架设非法软件,是因为运营商有内鬼。这样隐蔽的作案手法确实不易发现,但是,运营商是A公司的主要合作伙伴,就网络安全问题对运营商进行走访或者函证,是核查的“规定动作”。如果律师没有做出“规定动作”,或者“规定动作”不到位,就很难说已经勤勉尽责。

 

五、         总结

网络安全法是一个新的法律领域。当资本运作与网络安全相遇,我们发现,传统的尽职调查理念、框架、范围和手段都存在一定的局限性,导致不能充分发现网络安全风险。A公司就是典型一例,但很可能不是最后一例。

传统的尽职调查模式应当做出改进,改进之道在于:在尽职调查团队中配备熟悉网络安全法的律师,根据新经济的特点,围绕企业经营中的数据流,综合业务、技术、法务、财务、人事等各方面的信息,运用新的调查手段和方式,定位网络安全风险因素。

律师在涉及网络安全事项的尽职调查中应做到勤勉尽责,秉持足够的职业谨慎,穷尽了合理的调查手段,对网络安全事项进行了全面深入的核查。(完)

(作者:冯坚坚、袁立志,微信号:yuan848532208,公众号:longanguancha)

推荐 0