网安法周年系列二:网安与数据合规项目前期尽调实务

发布时间:2018-07-10

文 | 黄春林 合伙人   冯莉 律师 汇业律师事务所

2018年6月1日,《网络安全法》正式实施一周年。随着中国网安执法力度的进一步加强,尤其是Facebook剑桥分析事件及GDPR生效带来的震慑效应,为了降低企业网安合规风险,越来越多的企业开始启动网安与数据合规全面检视项目。

因每个企业的业务模式及网络依存度不同,同时考虑到网安法配套制度针对不同行业的特殊合规触点,网安及数据合规没有放之四海而皆准的路径。因此,我们建议企业在开展全面合规检视项目前,应当开展充分的尽调,以保证合规检视项目成果具有针对性、实用性。

汇业黄春林律师团队结合近期网安合规项目经验,分享下述网安与数据合规项目前期尽调实务要点:

一、动员培训:网安与数据合规项目的冲锋号

很多企业在网安合规项目伊始,各部门重视程度不够,必然导致后期配合度不高,项目推进阻碍重重。因此,我们建议项目启动之初,就开展面向涉网和涉数据的部门负责人,开展网安合规的必要性、指引性培训。具体培训内容方面:

首先,培训网安合规项目的必要性:一是法律规定层面,《网络安全法》及刑事法律等明确法律责任的承担主体,除了企业本身外,还会涉及到“主管人员”、“直接责任人员”;二是执法案例层面,近段时间以来,越来越多的企业因网安违规被约谈、处罚,甚至是涉及刑事责任风险;三是介绍同行、竞对目前开展类似项目的进度和经验,以供参考。总之,网安合规不仅仅是企业满足合法性的要求,更重要的是企业帮助员工免受不法行为侵害的重要举措。

其次,培训网安合规项目的进度表及主要方法,进而消除其他部门的误解和困惑,为其他部门准备基础性工作底稿和资料提供指引和答疑,为后期项目推进扫除不必要的障碍。

二、预备谈话:网安与数据合规项目的侦察兵

预备性谈话有利于快速了解企业的业务模式、网络结构、数据类型、涉网场景等基本情况。预备性谈话涉及的部门不需要多,一般以IT或运维部门负责人为主做一个初步的梳理。

预备性谈话内容主要围绕:(1)网络架构及主要涉网产品、场景;(2)涉网产品的开发、运维情况;(3)网络及数据流动内部审计现状;(4)企业网络接入情况;(5)企业涉网业务部门及人员;(6)个人信息的收集、存储、分享场景、产品及部门;(7)企业等保实施及行标认证等情况;(7)如涉外企业,还需了解网络及数据跨境情况;(8)企业网安合规主要风险点预判;等等。

根据预备性谈话了解的初步情况,设计相对完备的、充分的调研问卷及访谈清单。考虑到一些企业涉及多条业务线,还可以根据预备性谈话情况,修正后期进度表及尽调重心。

三、调研问卷:网安与数据合规项目的重要底稿

为有效、完整反馈企业网安现状,充分理解客户需求信息,调研问卷应尽量简洁、清晰,针对性强,符合客户业务实际,并且尽量以勾选菜单的形式呈现。

参照《网络安全法》、《个人信息安全规范》及ISO27001等规范、指引和标准的合规触点列阵,结合预备性访谈了解的企业业务模式,调研问卷内容包括但不限于:

(1) 企业现有涉网、涉数据有关的产品或场景,尤其包括个人信息收集、使用、分享等的场景、目的、范围和方式等;

(2) 现有网络安全有关的技术措施、业务流程等;

(3) 现有网络安全有关的管理制度;

(4) 现有网络安全有关的岗位及人员设置;

(5) 现有网络安全有关的政府性备案、调查、处罚等情况;

(6) 特殊行业的监管政策执行情况。

调研问卷发放后,应当及时与各部门信息收集人员沟通、协调,了解调研问卷填报情况及问题,及时解决他们的疑问,必要时可以召开临时现场会议或电话会议加强沟通,保证调研问卷的填写质量。

四、现场访谈:网安与数据合规项目的调研主战场

现场访谈是网安与数据合规项目尽调的一个主战场,也是整个项目的一个关键步骤。现场访谈不仅有利于核查问卷调研结果的充分性、客观性,同时也有利于提高后期整改方案、合规成果的针对性和可执行性。

通常来说,根据前期预备性方案及调研问卷,现场访谈应当根据企业业务条线,可以采取分部门单独访谈,也可以多部门交叉问询,以准确的理解客户的现状及需求。

现场访谈应当仅仅围绕调研问卷及访谈清单的内容,充分挖掘、理解客户的需求,了解各合规触点的现状、原因及未来整改的技术路径等。尤其是针对未来可能的整改方案,应当与业务部门充分沟通法律依据、执法现状、同业实践经验及技术可能性,以保证未来合规成果的可执行性。

根据现场访谈情况,再向客户不同业务部门出具针对性的文档、材料提供清单,并明确各自分工及部门对接人。

至此,律师已经初步了解了企业的网安及数据现状,并结合前期工作底稿及材料清单,出具有针对性的合规审查报告、整改方案、系列配套制度/文本撰写/修订、项目实施培训等工作。


返回列表