作者:石鈦戈
《銀行保險機構信息科技外包風險監管辦法》(以下簡稱“《外包監管辦法》”)由銀保監會辦公廳於2021年12月30日頒布並開始實施,至今已有三個月。作為銀行業和保險業信息科技外包工作監管和風險控制的綱領性文件,該辦法已經在銀行保險機構的信息科技外包業務活動中得以全面的貫徹和執行。雖然《外包監管辦法》的直接約束對象是受銀保監會監管的銀行和保險機構,但因該辦法對銀行保險機構採購和使用信息科技外包服務規定了全方位的准入要求和風險控制措施,實際上也對服務提供商獲取銀行保險機構的信息科技外包業務和服務的合規性提出了更嚴格的要求。本文擬梳理總結該辦法實施以來的實務經驗,就服務提供商如何響應《外包監管辦法》的要求履行自身的合規義務提出建議。
《外包監管辦法》中與服務提供商有關的監管要求集中在第三章“信息科技外包準入”和第五章“信息科技外包風險管理”中。其中,從外包準入角度看,主要涉及銀行保險機構對服務提供商的盡職調查和外包服務合同必備條款兩個方面;從外包風險管理角度看,則主要涉及業務連續性保障措施和對服務提供商的檢查和審計兩個方面。本文將圍繞服務提供商如何響應這四個方面的要求而展開。
- 配合接受銀行保險機構的盡職調查
- (1)需開展盡職調查的外包活動
《外包監管辦法》第十七條要求銀行保險機構在簽訂合同前,對重要外包的備選服務提供商開展盡職調查。其中,“重要外包”的範圍需根據第十三條的內容[1]來確定。在實踐中,除了明確屬於第十三條所規定的九類外包活動外,每個銀行保險機構也可能根據自己需求,所擬採購的外包服務的具體內容,服務內容與該機構的核心業務的關聯度,對於服務穩定性和可用性的要求,將這九類以外的活動納入需要實施盡職調查的範疇。例如,某股份制銀行對於數據治理的諮詢服務的採購,雖然該服務主要涉及治理架構設計、制度建設、流程規範等角度的諮詢服務,並不直接處理該銀行的業務數據和客戶的個人信息,但因涉及到銀行數據化戰略的實施以及數據安全體系的構建,該行仍然要求對擬選定的服務提供商實施盡職調查。實踐中,某項外包服務業務是否需要開展盡職調查需以銀行保險機構正式發布的招標文件或採購需求文件為準。
- (2)盡職調查的程序性事務
盡職調查通常在已經對備選服務提供商已經進行過初步的篩查之後進行,限於盡職調查的時間和成本考慮,銀行保險機構通常會在已選定一到兩家備選服務提供商的基礎上再有針對性地開展盡職調查,並將盡職調查結果作為最終簽訂外包服務合同的前提條件。
雖然《外包監管辦法》規定銀行保險機構可聘請第三方機構協助調查,在實際操作中,有比較成熟的信息技術管理機構和採購體系的銀行保險機構仍然傾向於使用內設部門完成盡職調查,一方面是有控制預算方面的考慮,另一方面,內部機構更熟悉銀保監會的監管口徑以及本機構的業務需求,能夠更有針對性地開展工作。當然,涉及某些重大複雜的項目,銀行保險機構也可能會聘請專業領域的諮詢機構、評測機構來協助開展工作,但調查本身仍以銀行保險機構內設部門作為主導。
此外,因為盡職調查系在外包服務合同簽訂前完成,開展盡職調查的成本(包括聘請第三方機構協助的費用)原則上應當由擬採購外包服務的銀行保險機構自行承擔。從服務提供商角度,為了接受和配合盡職調查也會發生相應的時間和人力成本,因此服務提供商需要在競標外包項目和進行報價時應將配合盡職調查的內容納入考慮範圍。
- (3)盡職調查的範圍以及服務供應商的配合
《外包監管辦法》第十七條中規定了盡職調查必須涵蓋的七個方面[2]的內容,第十八條則針對構成重要外包的非駐場外包額外規定了六方面的盡調內容。值得指出的是,在網絡與數據安全、個人信息保護立法和監管全面強化的背景下,《外包監管辦法》在沿襲原銀監會“5號文”[3]第二十九至第三十一條、“187號文”[4]第二條所規定的盡調內容的基礎上,特別增加了服務提供商的網絡和信息安全保障能力的盡調內容。在實踐中,我們注意到,銀行保險機構通常會根據其外包服務的具體需求,結合適用的法律法規以及涉及網絡和數據安全的金融行業標準,對服務提供商在網絡和數據安全方面的合規制度、技術和組織保障機制、安全事件應對機制和落實情況進行比較全面的核查。
此外,服務提供商及其母公司/實際控制人對於銀保監會的規範要求的過往遵從情況和服務提供商過往對銀行保險機構審計、檢查及監管檢查的配合情況,也是盡職調查重點考察的內容。特別是,對於法律法規的遵從情況的盡調範圍,還擴展到服務提供商母公司和實際控制人的層面。對此,我們建議長期服務於銀行保險業的信息技術服務提供商,應當提前就本公司及母公司/實際控制人過往遵從銀行保險業監管要求的情況進行核查梳理,並準備好相應的支持性文件資料,以備接受調查。
另一個需要特別注意的盡調內容是《外包監管辦法》第十九條針對跨境外包[5]的特別調查要求:充分評估服務提供商所在國家或地區的政治、經濟、社會、法律、文化等經營環境;並規定涉及信息跨境存儲、處理和分析的,應遵守中國的適用法律法規的規定。在實踐中,雖然服務提供商本身可能是一家在中國境內設立的公司,但其某些服務內容可能有賴於在中國境外的國家地區的第三方(可能系該服務提供商的關聯機構或分包商)提供的遠程支持,這種情況下服務提供商在盡調中需要向銀行保險機構如實披露,以便銀行保險機構充分考慮由此可能帶來的風險。特別的,如果這種跨境遠程支持還涉及到對銀行保險機構相關信息和數據的訪問,則會涉及更複雜的議題,包括《網絡安全法》、《數據安全法》和《個人信息保護法》下的數據出境問題,也可能觸髮網絡安全審查、數據出境安全評估等特別的程序,需要更加審慎的對待和處理。
在實踐中,銀行保險機構的盡職調查工作一般通過發放書面盡職調查問卷、討論反饋、資料收集與審核、現場走訪與查勘等多種方式組合進行。服務提供商在盡職調查過程中除了應在合理範圍內積極響應與配合之外,我們建議應重點採取如下的方法和措施來保障自身的權益,並且提高整個盡調工作的效率:
a. 在接受盡職調查之前,與銀行保險機構以及其聘請的第三方機構簽訂保密協議。在接受盡職調查時,外包服務合同尚未簽訂,而盡職調查內容涉及到服務提供商及其關聯方的大量商業秘密、技術秘密和安全信息,均具有高度的機密性,因此必須要在有約束力的保密協議前提下方能向銀行保險機構及第三方機構提供和披露。保密協議中除了常規的保密協議中的必備內容外,需要針對盡職調查完成後銀行保險機構最終決定不採購本公司的外包服務情況下的保密信息返還/銷毀進行特別安排。
- b. 充分利用已有的報告和資料協助盡職調查。對於盡職調查中的一些關注要點,服務提供商可以充分利用自己已有的認證文件、報告和材料來證明自己的合規情況,既可能減輕銀行保險機構在盡調過程中的工作量,也能夠增強自身資質和能力的可信度。例如,就服務提供商的網絡和信息安全保障能力,服務提供商已經取得的信息系統安全等級保護備案證明、相應的網絡安全等級保護評測報告、行業普遍認可的安全認證和第三方審計結果(例如ISO/IEC 27001認證、服務性機構控制體系鑒證(SOC)報告等)均可以用作支持性文件。
- c. 將現場查勘控制在最小必要範圍內。對於某些類型的外包服務,銀行保險機構或其聘請的第三方機構將要求對服務提供商的服務設施和辦公場所進行現場查勘。同樣的,因為尚在盡職調查階段,銀行保險機構並不能直接行使《外包監管辦法》所賦予的直接現場檢查的權利,服務提供商需要根據擬提供的外包業務的內容和特性,充分考慮自己所適用的網絡和信息安全的法律法規和標準的要求,合理限制對方現場查勘的範圍。例如,對於一家同時服務於多家客戶的服務提供商而言,出於安全考慮,在盡職調查階段就不應允許銀行保險機構進入其承載業務系統的數據中心(機房)現場,而可以通過提供與之有關的審計結論或評估報告來協助銀行保險機構進行核實。
- (4) 盡職調查結果能否共享仍有待監管明確
在已經被廢止的“187號文”中,為了減輕銀行業機構和服務提供商的負擔,曾規定了對提供非駐場集中式外包[6]的服務商盡職調查結果的共享機制,即允許銀行業機構可以“採信其他銀行業金融機構對同一外包服務商6個月內的盡職調查結果”。在實踐中,這樣的共享機制對於採購同類外包服務的中小型銀行機構和提供非駐場集中式外包服務的提供商都帶來了較大的便利,既節約了成本,又有利於統一盡調標準。
目前生效實施的《外包監管辦法》中並沒有類似的表述,僅在第三十三條規定,對具有行業集中度性質的服務提供商,可採取聯合檢查、委託檢查等形式,減少重複性工作;但該等聯合檢查的機制針對的是已經成為外包服務提供者的服務提供商而言,而並未涵蓋到盡職調查階段。在新的《外包監管辦法》項下,針對具有行業集中度的外包服務提供商,對於同一類型的外包服務,是否可以允許採信其他銀行保險機構在一定期限內的盡職調查結果,仍然有待銀保監會的進一步明確。
- 2. 外包合同必備條款的注意事項
《外包監管辦法》第二十一條規定了在外包服務合同中必須包括的十項內容,這一系列必備條款的要求基本沿襲了“5號文”第三十五條的規定,但對某些條款的表述進行了調整和改進,並且額外增加了資源保障條款的要求。此外,該辦法第二十二條還要求外包服務合同應就禁止轉包和限制分包進行約定。在外包服務合同的擬訂過程中,雙方通常會就如何在合同中如何體現這些必備條款開展比較深入的磋商。從服務提供商角度,一方面需要積極配合銀行保險機構的合規要求,將必備條款的內容納入合同中;另一方面,也需要審慎地基於自身的業務實際,在《外包監管辦法》和其他適用法律法規允許的範圍內清晰界定自己的責任,平衡風險,避免不加鑒別地全盤接受銀行保險機構所提出的條款要求。根據在相關外包服務合同談判中的經驗,我們建議服務提供商在就必備條款進行談判時應當注意如下幾個方面的問題:
- (1) 避免接受一刀切模式的協議模板
《外包監管辦法》附件2將外包服務大致劃分為諮詢規劃類、開發測試類、運行維護類、安全服務類、業務支持類五種基本類型。在每一種業務類型中,又有更細緻和深入的業務種類劃分,隨着技術和商業的創新,還可能會有更多新型的信息科技外包業務類型。我們注意到,在實踐中有一些銀行保險機構出於自身風險控制和採購管理便利的考慮,制訂了統一的協議模板以將《外包監管辦法》第二十一條所要求的必備條款一攬子包含其中,並要求所有的外包服務提供商接受該模板。這種操作模式忽略了外包服務類型的多樣性,以及由此產生的不同類別的外包服務可能帶來的風險差異性和服務提供商應承擔責任範圍的不同。例如,一個對銀行保險機構自有的數據中心及服務器等設施提供託管服務的服務提供商,與一個基於服務提供商的數據中心資源而提供的輔助性軟件即服務(SaaS)的服務提供商所應當遵從的安全標準和規範要求不會完全一樣;一家僅提供軟件開發的服務提供商和一家受委託從事客戶個人信息分析和處理的服務提供商,在數據訪問權限控制、網絡安全措施所面臨的要求和責任也是有明顯差異。
當服務提供商被要求接受這類協議模板時,需要仔細鑒別,基於自身的外包服務類型、服務的提供方式、與銀行保險機構業務的支持關係、對銀行保險機構不同的業務系統及數據的接觸和訪問權限等要素,審慎分析相關條款要求的適用性。對於其中不適用自身服務的條款內容,應當向銀行保險機構充分的解釋和說明,並提出具有適用性和可操作性的替代條款,這樣既是對自身責任和風險的合理控制,也能保障銀行保險機構的合規義務能夠真正落到實處,而非僅以整齊劃一的模板來體現。
- (2) 合理承諾對銀行保險機構內部管理制度的遵從
《外包監管辦法》第二十一條第(二)項要求外包服務合同中需要包括服務提供商對銀行保險機構內部管理制度的遵守要求,以及監管政策的通報貫徹機制。在實踐中,服務提供商需要避免將這種遵守要求機械地理解為對銀行保險機構的內部管理制度的全盤接受。無論是銀行業與保險行業的法律法規,還是銀行保險機構的內部管理制度都有鮮明的行業特點,作為服務於特定行業領域的服務提供商,當然需要在其外包服務適用或相關的範圍內遵守這些要求;但另一方面,外包服務提供商不等同於銀行保險機構本身,也並非其分支機構,不可能照搬銀行保險機構的所有內部管理制度,因此仍需要鑒別這些管理制度的適用性和關聯性。
在合同條款的表述上,我們建議服務提供商對於這一遵從要求加上合理的適用範圍的限制。在合同擬訂階段,則由雙方負責合規和安全事務的部門一起對於銀行保險機構內部管理制度與合同所涉及的外包服務的關聯度和適用性進行梳理和判斷,將雙方達成一致的內部管理制度及其文本作為合同附件,以明確服務提供商的遵從義務的範圍。此外,考慮監管要求的變化,服務提供商應當與銀行保險機構在外包服務合同中建議一套監管政策和內部制度的定期更新機制,規定銀行保險機構的通知義務;同時,服務提供商需要在內部建立定期評估機制,以確認自己是否能夠滿足不斷變化和更新的監管政策或客戶內部制度的要求,如果存在較大的偏離,可能需要考慮利用合同變更或終止機制來有效控制和減輕自己因為未能滿足遵從要求而導致的違約風險。
- (3) 不同條款之間的銜接與統一
《外包監管辦法》第二十一條中分別規定的必備條款之間存在着一定的關聯性,在外包服務合同擬訂過程中,應關注有關聯性的條款之間的銜接與統一。一個比較典型的關聯場景是第(三)項下服務持續性要求與第(五)項下合同變更和終止時的過渡安排要求。服務供應商的服務持續性承諾所支撐的是銀行保險機構本身的業務連續性要求,其中很重要的組成部分是外包服務合同期限屆滿或提前終止後的業務銜接和數據及資源遷移、過渡期間支持服務的機制。這一安排不僅需要在服務持續性條款中進行詳細約定,也應當在合同終止後的處理條款中予以援引或約定,防止出現不同條款中對同一場景下的處理機制存在不一致的情形。
又如,第(六)項中對於允許服務提供商使用的銀行保險機構內容及範圍的約定,與第(八)項下涉及服務提供商對銀行保險機構的信息和數據的保密義務也有密切的關聯,均涉及對銀行保險機構信息和數據的訪問和使用,在外包服務合同中可以考慮納入同一個條款進行全面的約定,既保證邏輯的關聯性,又從不同維度清晰界定服務提供商的權限和義務。
- (4) 盡量採用服務提供商自有的合同文檔
一些長期服務於特定銀行業、保險業的外包服務商,基於自己成熟的行業經驗和合規能力,制訂了針對行業客戶特點和監管要求的合同文本或專用附件,這些文檔通常會包含服務提供商在網絡和數據安全、個人信息保護、客戶數據保護、服務連續性、配合審計和檢查方面的承諾。如果服務提供商制訂了這樣的合同文檔,並且有相應的機制確保其實施和執行,則可以在外包合同擬訂過程中向客戶提議使用這些成熟的合同文檔來涵蓋《外包監管辦法》第二十一條中的大部分內容,減少雙方另行起草和談判的時間。
又如,對於《外包監管辦法》第二十一條第(七)項所要求的資源保障條款,如果所涉及的外包服務是標準化的服務,而服務提供商已經就該標準化服務準備了統一的SLA(服務水平協議)的,其在SLA中對於服務可用性所作出的承諾與救濟措施約定就可以被視為是資源保障的一個重要組成部分,在外包服務合同中可通過對既有SLA的援引而滿足資源保障條款的要求。
即便服務提供商目前沒有現成的文本,但當其所提供的外包服務是標準化的具有一定集中度的服務,我們也建議服務提供商在自己的服務合同標準文本中結合《外包監管辦法》的要求,加入反映監管要求的條款,以便在與銀行保險機構的合同擬訂和談判中爭取主動性。
- 3. 對業務連續性的保障
由於銀行保險機構一旦發生業務中斷可能產生連帶的系統性金融風險,因而對於其業務連續性要求一直是金融監管機構的關注重點,這一保障要求也會轉遞給服務提供商。《外包監管辦法》第三十一條要求銀行保險機構針對可能給業務連續性管理造成重大影響的重要外包服務事先建立風險控制、緩釋或轉移措施。
在實踐中,銀行保險機構在盡職調查階段就會審核服務提供商的業務連續性計劃(BCP)以及災備計劃(DR),並比對自身的業務連續性計劃和災備計劃以確定是否滿足。在合同條款層面,銀行保險機構除了要求服務提供商自身需要維持其服務持續性的計劃外,通常會明確規定兩個場景下服務提供商必須提供服務連續的承諾,包括(i)當銀行保險機構本身因為監管要求或經營狀況而受到不利影響(例如被接管、宣告破產)時;(ii)外包服務合同期限屆滿或提前終止時。特別是在第(i)種場景下,銀行保險機構會要求直接轉讓外包服務合同的權利,要求服務提供商承諾繼續向銀行保險機構的繼受者、管理人等提供外包服務合同項下的服務,並且約定詳細的持續服務方案和過渡機制。
除了約定上述保障機制之外,服務提供商還會被銀行保險機構要求參與其組織的應急計劃編製和應急演練。在實踐中,如果銀行保險機構明確提出這種要求,服務提供商需要結合自身的應急計劃內容,與銀行保險機構探討其參與編製和演練的範圍,清晰界定己方的義務,同時可能需要在服務報價和收費中考慮為此而付出額外成本。
- 4. 對審計與檢查的配合
《外包監管辦法》項下服務供應商對於審計和檢查的配合義務包括兩個維度:一是服務提供商配合與接受銀行保險機構就其審計權、監督檢查權的直接行使;另一個是服務提供商接受銀保監會及其派出機構作為監管機構的檢查。我們建議服務提供商在外包服務合同擬訂時以及提供外包服務過程中,考慮如下的舉措來響應和配合上述審計和監督檢查權的實現:
- (1) 提供標準化的工具協助銀行保險機構行使權利
對於一些標準化的外包服務而言,服務提供商可以考慮通過自動化的技術工具協助銀行保險機構來行使監督檢查權。例如可允許具有銀行保險機構具有管理權限的賬號定期查看和調取其所使用外包服務的用量、記錄、日誌等信息,並可在合同中約定銀行保險機構可以將此等管理權限開放給依法對其享有管轄權的監管機關,以更高效地協助它們實現對於外包服務的實時監控與管理,在提高反饋效率的同時,減少因人工響應類似需求而產生的成本。
- (2) 不應影響服務提供商自身需遵循的安全義務
雖然對於銀行保險機構客戶及其監管機關的配合構成服務提供商在《外包監管辦法》項下的法定義務,但服務提供商應當同時堅守自身在適用的法律法規、國家及行業標準和其他合同項下所承擔的安全義務。為此目的,建議服務提供商在與銀行保險機構的外包合同相應配合條款中加入合理的條件,例如:(i)服務提供商在配合審計和檢查時所提交的信息和資料應當受到雙方保密義務的約束,除明確約定及法律強制要求披露的場景下,不得隨意對外披露;(ii)對於現場檢查權的行使不應影響服務提供商的正常業務活動,除非適用法律禁止,應當履行提前通知等程序;(iii)審計活動和現場檢查應遵守適用法律和法規所規定的安全要求,例如對數據中心機房的現場檢查應當遵守適用的網絡安全規程;(iv)除非適用法律明確要求或者取得特別的授權,銀行保險機構的審計和檢查不得接觸或訪問服務提供商的其他客戶的數據或資;(v)嚴格限制和管理對生產環境的滲透測試等可能影響服務安全的審計/檢查措施。
- (3) 儘可能利用既有資源響應需求
對於一個成熟的外包服務商而言,通常已經建立起一套比較完善的合規體系,並且投入了相應的資源來確保與其業務活動所匹配的合規機制的執行與實施。例如服務提供商自身會定期聘請第三方的獨立評估和審計機構對自己的信息系統、網絡資源和業務履行情況進行審計和評估,並形成相應的評估和審計報告。在面對銀行保險機構客戶乃至監管機關的審計、檢查要求時,服務提供商也可以充分利用這些資源來支持客戶和監管機關的需求。雖然這些既有資源不能完全代替銀行保險機構客戶和監管機構的審計與檢查,但能夠在一定程度上提高整個流程的效率,減少重複活動。
- (4) 事先約定成本承擔機制
無論是接受審計還是現場檢查,都意味着服務提供商額外的人力、技術和其他資源的投入,我們建議服務提供商在競標、報價時提前核算並充分考慮這些成本,在外包服務合同擬訂時事先和銀行保險機構客戶就涉及審計、現場檢查的成本承擔進行明確的約定。在實踐中,如果配合銀行保險機構客戶對外包服務的專項審計需要服務提供商比較大的投入時,服務提供商可以事先與客戶協商一定的補償標準(例如按照支持審計的服務商工作人員人天的標準計費);而涉及配合監管機關的監督檢查,通常的做法則是服務提供商和銀行保險機構客戶各自承擔因此而發生的費用。
[1]《外包監管辦法》第十三條規定了九類原則上構成重要外包的活動:(一)信息科技工作整體外包,僅保留必要的管理團隊和核心職能;(二)數據中心(機房)整體外包;(三)涉及基礎設施和信息系統整體架構發生重大變化的信息科技外包;(四)核心業務系統開發測試和運行維護的整體外包;(五)信息科技戰略規劃(含中長期規劃)諮詢外包;(六)安全運營的整體外包;(七)涉及集中存儲或處理銀行保險機構重要數據和客戶個人敏感信息的外包;(八)直接影響實時服務、影響賬務準確性的重要信息系統外包;(九)其它對機構業務運營具有重要影響的外包。
[2] 包括(一)服務提供商的技術和行業經驗,人員及能力;(二)服務提供商的內部控制和管理能力;(三)服務提供商的網絡和信息安全保障能力;(四)服務提供商的持續經營狀況;(五)服務提供商及其母公司或實際控制人遵守國家和銀保監會相關法律法規要求的情況;(六)服務提供商過往配合銀行保險機構審計、評估、檢查及監管機構監督檢查情況;(七)服務提供商與銀行保險機構的關聯性。
[3] 即原銀監會於2013年發布實施的《銀行業金融機構信息科技外包風險監管指引》(“銀監發[2013]5號”),該指引已經隨着《外包監管辦法》的頒布實施而被廢止。
[4] 即原銀監會辦公廳於2014年發布實施的《關於加強銀行業金融機構信息科技非駐場集中式外包風險管理的通知》(“銀監辦發[2014]197號”),也已隨着《外包監管辦法》的頒布實施而被廢止。
[5] 《外包監管辦法》第四十四條界定的“跨境外包”是指服務提供商在境外其他國家或地區實施信息科技外包服務的行為。
[6] 該文件中定義的“非駐場集中式外包”是指外包服務商不在銀行業金融機構提供現場服務,或外包的關鍵基礎設施和信息系統不在銀行業金融機構產權場所,由銀行業金融機構以租用設施或購買服務資源的方式獲得,主要由外包服務商運維,並且外包服務商同時為3家(含)以上銀行業金融機構或其他機構提供服務的外包方式。
石鈦戈律師現為競天公誠律師事務所合伙人(shi.taige@jingtian.com)
石律師畢業於北京師範大學、對外經濟貿易大學、美國威斯康星大學-麥迪遜分校法學院,獲得中美兩地法學碩士學位。加入 競天公誠之前,石律師在國內知名的律師事務所執業。石律師具有中國大陸地區以及美國紐約州律師執業資格,可以熟練使用英文作為工作語言。
石律師在網絡、數據安全及合規方面擁有豐富的經驗:他處理了大量涉及網絡安全和隱私保護的法律難題,例如跨法域的數據保 護的協調,金融機構IT外包和雲計算應用,醫療科技產品的數據安全與合規等。他帶領團隊在充分熟悉和了解相關產品的特性、 服務提供方式、所涉及的數據收集、傳輸、流動模式的基礎上,圍繞相關產品的法律合規性、網絡安全和數據保護的充分性、相 關責任主體等議題為客戶提供詳細的分析和建議。石律師還為不同行業的企業就數據安全、個人信息保護、數據傳輸安全評估、 網絡安全審查、網絡等級保護評測合規、關鍵信息基礎設施保護等合規業務提供法律支持,涉及行業包括雲計算、電子商務、超 級計算、人工智能醫療應用、藥物研發、互聯網視聽傳播、互聯網廣告、互聯網出版、遊戲電競等。
石律師在2020年被知名法律評級機構LEGALBAND評為網絡安全與數據保護領域的中國律師15強,在2021年被列為 “LEGALBAND 中國頂級律師排行榜” “網絡安全與數據保護領域的獲推薦律師”。在剛發布的2021 ACE LEGALTECH AWARDS 中被評為Top 15 Data Privacy Lawyers 2021。
