近日,國家市場監管總局、國家網際網路資訊辦公室聯合釋出《關於開展資料安全管理認證工作的公告》(以下簡稱《公告》),鼓勵網路運營者透過資料安全管理認證方式規範網路資料處理活動,加強網路資料安全保護。同時釋出的《資料安全管理認證實施規則》(以下簡稱《認證規則》),明確規定了認證物件、認證流程及合規要求等內容。本文將簡要介紹資料安全管理認證的性質,梳理《認證規則》的內容要點,並進一步思考其對網安產業發展的影響。
一. 資料安全管理認證性質簡析
根據國際標準化組織(ISO)和國際電工委員會(IEC)等國際組織公認的定義,認證是指由國家認可的認證機構提供書面保證,證明一個組織的產品、服務、管理體系符合相關標準、技術規範或特定要求的合格評定活動。
從認證物件來看,目前國家認證認可監督委員會開展的資料安全認證型別包括管理體系認證、產品認證和服務認證三種,分別對應程式碼編號為:管理體系認證(A)、產品認證(B、PV)及服務認證(C、SC)。從編號規則來看,本次釋出的資料安全管理認證(B0327)屬於產品認證。此前,資料安全認證工作主要集中在服務和管理體系兩方面,本次資料安全管理認證工作的開展填補了該領域在產品類目的空白。
從認證依據來看,資料安全認證依據包括國際標準、國家標準、行業標準和技術規範等,本文僅討論依據國家標準實施的認證。根據不完全統計,截至目前實施的資料安全認證共有8個,如表1所示。
二.《認證規則》內容要點概述
從法律層面來看,《認證規則》是落實《資料安全法》關於“國家促進資料安全認證服務發展”相關規定的落地舉措,對資料安全管理的認證物件、認證流程和合規要求等方面作出體系化部署,具體內容分析如下。
(一)認證物件
《認證規則》規定了“對網路運營者開展網路資料收集、儲存、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求”。其中明確了兩個概念:
一是適用主體,即資料安全管理認證的適用物件為“網路運營者”,該定義出自《網路安全法》“網路的所有者、管理者和網路服務提供者”;
二是適用行為,即資料安全管理認證的適用範圍是“收集、儲存、使用、加工、傳輸、提供、公開”等網路資料處理活動,這與《資料安全法》中規定的保持一致。
(二)認證流程
《認證規則》對資料安全認證實施程式作出詳細規定,透過認證需經過“認證申請-資料審查-技術驗證-現場稽核-認證決定”等一系列環節,具體流程如下圖所示。
在此,網路運營者還需要重點關注獲證後認證機構的持續監管。透過認證僅能代表認證時符合相關標準規範,並不能一勞永逸。(《認證規則》第4.5.1規定,認證機構應當在認證有效期內,對獲得認證的網路運營者進行持續監督,併合理確定監督頻次。)因此,網路運營者在透過資料安全管理認證後,還應進行必要的管理與技術投入以確保“持續符合”各項監督評價要求。
(三)合規要求
《認證規則》明確指出《資訊保安技術 網路資料處理安全要求》(GB/T 41479-2022)是資料安全管理認證的主要依據,該標準將於2022年11月1日正式實施,規定了網路運營者在開展資料處理活動時的技術與管理要求。根據該標準的規定,資料認證處理活動的合規要求主要包括以下三個方面:
第一,資料處理總體安全要求。主要包括四類:
(1)資料識別,網路運營者應識別處理活動中涉及的資料,形成資料保護目錄,並及時更新。
(2)分類分級,網路運營者應按照國家標準,根據合同規定和業務運營需要,對資料進行分類分級管理。
(3)風險防控,網路運營者應建立資料安全管理責任和評價考核制度,制定資料安全保護計劃,開展安全風險評估,及時處置安全事件,組織開展教育培訓。
(4)審計追溯,網路運營者應對資料處理的全生存週期進行記錄,確保資料處理可審計、可追溯。
第二,資料處理生命週期安全要求。主要包括以下七類資料處理基本活動:
(1) 收集。網路運營者應遵循合法、正當、必要的原則,不收集與其提供的服務無直接或無合理關聯的個人資訊,收集敏感個人資訊前應獲取個人資訊主體的單獨同意等。
(2) 儲存。網路運營者儲存重要資料和個人資訊不應超過約定期限或授權同意有效期;儲存重要資料和個人資訊等敏感網路資料,應採用加密、訪問控制、安全審計等安全措施。
(3) 使用。一是在定向推送及資訊合成時,網路運營者在提供定向推送資訊服務的同時應提供非定向推送的選項;在提供新聞、部落格類資訊服務的過程中,利用演算法自動合成文字、圖片、音影片等資訊,應明確告知使用者;二是針對第三方應用管理時,網路運營者應監督第三方應用運營者加強資料安全管理;透過合同等形式明確雙方的責任和義務;宜對接入或嵌入的第三方應用開展技術檢測。
(4) 加工。網路運營者在開展轉換、匯聚、分析等資料加工活動的過程中,知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的,應立即停止加工活動。
(5) 傳輸。網路運營者在傳輸重要資料和敏感個人資訊時,應採用加密、脫敏等安全措施;向資料接收方傳輸資料時,應按要求採取安全措施並以合同進行約定。
(6) 提供。一是網路運營者向他人提供資料前,應進行安全影響分析和風險評估;向他人提供個人資訊應履行告知義務並獲取同意;委託第三方開展資料處理活動應透過合同等形式明確處理目的、權利義務等相關資訊;共享、轉讓重要資料需簽訂合同明確資料保護責任並採取保障措施。二是網路運營者向境外提供資料時,應遵循國家相關規定和相關標準的要求。境內使用者在境內訪問境內網路的,其流量不應路由至境外。
(7) 公開。網路運營者利用所掌握的資料資源,公開市場預測、統計等資訊時,不應危害國家安全、公共安全、經濟安全和社會穩定。
第三,資料處理管理安全要求。主要包括三個方面:
(1)資料安全責任人,網路運營者處理重要資料和敏感個人資訊的,應明確資料安全責任人,併為其提供必要的資源保障,保證其獨立履行相關職責。
(2)人力資源保障與考核,一是網路運營者應明確資料安全保護崗位及職責,並提供人力資源保障;二是網路運營者應建立人力資源考核制度,明確資料安全管理考核指標和問責機制。
(3)事件應急處置,網路運營者應建立資料安全事件應急響應機制,配備應急響應所需的資源,並制定應急演練計劃。
三
《認證規則》對產業發展的影響
(一)內容思考展望
《認證規則》的出臺進一步明確了資料安全管理認證的相關要求,但在認證時限、持續監督等方面仍有待細化。如《認證規則》尚未明確規定整體認證程式以及資料評審、技術驗證、現場稽核、認證決定和證書批准等認證各環節的時限;此外,未明確規定持續監督的方式、頻次、內容等,這類程式事項同樣也影響到認證程式能否順利執行。與此同時,《認證規則》還明確規定了認證機構應當“細化認證實施程式,制定實施細則,並對外公佈實施”。可見,上述這些未明確的問題,有待持續關注相關認證機構(尚未公佈具體名單)的後續細則檔案。
(二)產業影響分析
一方面,在資料安全產業供給側,將帶動資料安全管理認證相關服務的發展。此前,國家市場監管總局委託中國網路安全審查技術與認證中心面向第三方機構和部分安全廠商開展“移動網際網路應用程式(App)個人資訊保安測試專案”能力驗證計劃,驗證結果合格可作為申請“App安全認證”簽約實驗室的基本條件之一(《關於受理“移動網際網路應用程式(App)安全認證”簽約實驗室申請的通知》)。據此,我們有理由推論:資料安全管理認證領域也不排除組織開展類似專項計劃的可能,並推進建立健全技術檢測機構(或實驗室)的准入機制,而這也將為資料安全管理認證檢測服務行業帶來新的業務增長點。
另一方面,在資料安全產業需求側,將在一定程度上促進企業提高對資料安全落地的自覺性,主動構建和完善自身資料安全防護體系。企業可重點關注以下三方面工作:一是加強資料處理安全總體規劃,按照資料識別、分類分級、風險防控和審計追溯等流程制定相應規範;二是建立資料處理安全管理制度,包括設立資料安全責任人、明確人力資源保障與考核以及建立事件應急處置機制等;三是規範資料處理安全技術要求,在遵循資料處理安全技術要求通用規定的基礎上,明確資料收集、儲存、使用、加工、傳輸、提供、公開,以及對個人資訊查閱、更正、刪除,訪問控制與審計,資料刪除和匿名化等方面要求。
《認證規則》的釋出不僅明確了資料安全管理認證要求,更為網路安全產業帶來了新的發展機遇。綠盟科技將繼續秉承“專攻術業,成就所託”的宗旨,深耕網路和資料安全,務實創新,穩步前行,為我國數字化發展戰略和資料安全管理認證工作持續貢獻力量。