适用场景
适用于计划境外上市、提供算法推荐服务、处理大量用户数据或关键数据的中国出海科技公司、互联网平台、金融机构及其他各类企业。无论处于初创期、成长期还是成熟期,只要涉及数据跨境流动或海外业务,均需关注。
核心要点
1. 网络安全审查范围扩大
中国修订并发布《网络安全审查办法》,明确掌握大量用户数据或涉及国家安全的数据处理者,特别是计划境外上市的企业,需进行网络安全审查,这成为出海IPO的重要前置条件。
2. 算法推荐服务受严格规制
四部门联合发布算法推荐服务新规,要求互联网信息服务提供者在使用算法推荐技术时,需遵循公平、透明原则,保障用户选择权,并对未成年人、老年人等特殊群体提供保护。
3. 重要数据识别与管理成重点
国家信息安全标准化技术委员会正征求《重要数据识别指南》意见,旨在明确重要数据的定义和识别方法,这将直接影响企业的数据分类分级管理和跨境传输合规要求。
4. 数据合规执法力度持续加大
银行因征信信息管理违规被重罚,多起侵犯公民个人信息典型案例被公布,以及大量App因隐私保护不合规被警告,均表明监管部门对个人信息保护和数据安全违规行为的打击力度持续加大。
实务建议
- 全面评估企业数据资产,识别并梳理所收集、存储、处理和传输的所有数据,特别是涉及用户个人信息和重要数据。
- 建立健全数据分类分级管理体系,参照国家标准和行业指引,明确不同级别数据的安全保护要求。
- 若有境外上市计划,应提前启动网络安全审查准备工作,评估数据安全风险,确保符合相关监管要求。
- 对于提供算法推荐服务的企业,应审查算法设计和运行机制,确保符合公平、透明原则,并提供用户选择和退出机制。
- 加强个人信息保护,检查App权限、隐私政策、用户协议等,确保个人信息收集、使用、存储和共享符合最小必要原则,并获得用户明确授权。
- 关注地方性数据法规和行业指引,如浙江省的公共数据条例和金融行业的数字化转型指导意见,避免合规盲区。
风险提示
- 忽视数据跨境传输安全评估,可能导致敏感数据泄露或被境外监管机构处罚。
- 低估算法合规的复杂性,简单处理可能引发用户投诉和监管处罚。
- 未能及时更新内部合规策略和技术措施,以应对快速变化的数据法律法规。
- 仅关注国家层面法律,忽视地方性或行业性数据管理规定,导致在特定业务场景下的合规风险。