数据安全拦路“蜜雪冰城”上市?闪捷信息的破局之道
近日,中国证监会国际司官网发布了一则《境外发行上市备案补充材料要求公示》的信息,其中知名品牌“蜜雪冰城”赫然在列。
证监会要求蜜雪冰城提供补充材料说明:其收集和存储用户信息规模、数据收集使用情况,是否存在向第三方提供信息的情形,以及上市前后个人信息保护和数据安全的安排或措施。
据悉,蜜雪冰城曾于2021年、2022年先后提交计划登录A股主板,但至今仍无明确进展。2024年1月2日,蜜雪冰城向港交所递交招股书。而本次证监会公示信息显示,“数据安全”或是蜜雪冰城漫漫上市之路上一块无法绕过的大石。
给“蜜雪冰城”的建议
针对以上证监会的“追问”要求,闪捷信息分析认为蜜雪冰城的补充材料至少应该从以下几个方面进行补充:
1、数据收集声明:蜜雪冰城需要明确规定数据的收集范围和方式,确保收集的数据是合法、准确、完整的。在收集用户信息时,公司需要告知用户收集的目的、范围和用途,并获得用户的同意。
2、数据安全和用户隐私保护措施说明:蜜雪冰城可以详细介绍公司在数据安全和用户隐私保护方面的具体措施,包括用户隐私保护相关管理制度与运行管理、数据加密技术、数据访问控制、数据脱敏、全链路数据审计、数据水印溯源等。
3、第三方合作情况:如果蜜雪冰城存在与第三方合作的情形,公司需要详细说明合作的范围、目的和具体合作方式,并解释如何确保用户个人信息和数据在与外部合作时的安全性保障措施。
4、数据共享情况说明:当蜜雪冰城需要与其他机构或第三方共享数据时,公司需要建立数据共享管理制度。这包括对共享数据的范围、目的和用途进行明确规定,并确保数据共享符合法律法规和隐私政策的要求。
5、未来数据安全和隐私保护计划:蜜雪冰城可以阐述公司在未来如何进一步保护个人信息和数据安全,包括加强内部培训、完善数据管理制度、加强技术防范措施等方面的计划。这有助于向证监会展示公司对数据安全和用户隐私保护的重视程度,并提高公司的透明度和规范运作水平。
6、数据管理制度的执行和监督:蜜雪冰城需要建立数据管理制度的执行和监督机制,确保各项规定得到有效执行。公司需要对违反数据管理制度的行为进行惩罚,并定期对数据管理制度进行审查和更新。
企业数据安全应对之道
依据《数据安全法》、《个人信息保护法》的相关要求,闪捷信息提出创新管理机制,推动数据资源体系开放共享,继而提出了制度、技术、运营三位一体的数据安全建设思路,并细分为:制度——评估——策划——防护——运营五个具体步骤来落地实施:
其中数据安全防护环节关键能力点包括:
⑴、数据安全治理
数据安全治理是数据安全防护能力形成的基础和前提。首先要根据外部合规要求及内生安全需要,形成相关安全标准。
⑵、数据授权与访问控制
针对结构化政务数据使用安全,使用数据安全网关进行数据级的访问控制,同时引入数据审计系统和数据库运维系统。对于数据库操作进行全程监控和告警,同时提供事后现场还原和追溯的能力。
⑶、数据存储安全保障
数据库加密系统能够通过加密算法和密钥将明文转变为密文,防止明文存储引起的数据内部泄密、高权限用户的数据窃取,并防止敏感数据泄漏等。
⑷、数据共享与分发安全保障
通过制定脱敏规则及策略进行数据的变形,实现大数据平台和数据库中敏感信息的可靠保护,进而满足生产数据面向测试、开发、培训和数据共享场景的数据安全需求。
⑸、网络与终端数据防泄漏
数据防泄漏能够通过正则表达式、数据标识符、数据指纹、机器学习等方式自动识别、发现外泄敏感数据,对于高风险数据的复制、USB拷贝、打印刻录等行为进行风险提醒和阻断保护。
⑹、数据资产安全管控平台的统一管理
闪捷数据资产安全管控平台用于集中管理数据安全产品,可提供全网数据安全产品实时状况的监控、报警、报表信息的集中展现、各系统“一窗式”运维管理、系统的快速定位,以及高安全冗余备用方案。为信息部门领导提供及时、全面、准确的全网数据安全管理的量化分析和数据安全的决策依据。
闪捷信息致力于帮助客户从制度、技术、运行三个维度建立数据安全体系,始终贯彻业务与安全平衡发展的建设原则,从业务视角围绕数据全生命周期开展数据安全服务与技术防护产品建设,最终实现生产与合规一体化数据安全管理运营工作。