關于數據安全管理認證之重點解讀
作者:吳衛明 李榮榮 2022-06-13在數字經濟時代,數據蘊含獨立的經濟價值乃至國家安全價值已成為共識,與此同時,數據濫用、個人信息泄露、異常流量攻擊、“大數據殺熟”等數據安全問題的社會關注度也日益提升。對于實施數據處理活動的主體而言,面對數據安全合規的新態勢,如何提高數據安全管理水平的公信力成為其需要考量的重要問題,而通過專業性、獨立性、權威性的第三方機構認證,按照有關規定在廣告等宣傳中使用認證標志,有助于數據處理相關業務獲得競爭優勢。
2019年5月28日,國家互聯網信息辦公室(以下簡稱“網信辦”)發布的《數據安全管理辦法(征求意見稿)》中首次提出了數據安全管理認證[1];隨后,2019年6月28日,工業和信息化部于發布的《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》提及了App數據安全管理認證[2];2019年6月1日10日發布并于9月1日生效的《數據安全法》從法律層面正式確定了數據安全管理認證[3]。但前述法律文件對數據安全管理認證的規定較為原則,缺乏具體的操作性規定。
2022年6月9日,國家市場監督管理總局、網信辦聯合發布了《關于開展數據安全管理認證工作的公告》及其附件《數據安全管理認證實施規則》,規定了數據安全管理認證的依據、模式、實施程序、證書和標志、實施細則以及認證責任,進一步推動了數據安全管理認證的落地執行。
一、數據安全管理認證的適用對象 根據《數據安全管理認證實施規則》第1條規定:“本規則依據《中華人民共和國認證認可條例》制定,規定了對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求”,數據安全管理認證的適用對象為“網絡運營者”。 “網絡運營者”是《網絡安全法》《兒童個人信息網絡保護規定》《移動互聯網應用程序(App)安全認證實施規則》[4]等法律規定中的稱謂,即網絡的所有者、管理者和網絡服務提供者。而其他法律法規、規范性文件中對于實施數據處理活動的主體還有不同的稱謂,比如,推薦性國家標準《信息安全技術 個人信息安全規范》(以下簡稱“《個人信息安全規范》”)中,將實施數據收集、存儲、使用、加工、傳輸、提供、公開等活動的主體稱為“個人信息控制者”;《數據安全法》定義了數據處理的概念,從而可以歸納,實施數據處理活動的主體為數據處理主體[5];《個人信息保護法》直接定義了“個人信息處理者”這一法定概念,即在個人信息處理活動中自主決定處理目的、處理方式的組織、個人[6]。如前述“個人信息控制者”、數據處理主體、“個人信息處理者”開展網絡數據處理活動,基于自身防范數據安全治理的需求,也可以依法申請數據安全管理認證。 二、數據安全管理認證的依據 根據《數據安全管理認證實施規則》第2條規定,數據安全管理認證的依據為《信息安全技術 網絡數據處理安全要求》(GB/T 41479,以下簡稱“《網絡數據處理安全要求》”)及相關標準規范。 《網絡數據處理安全要求》系數據安全管理認證依據的主要標準規范,該規范已于2022年4月15日發布,并將于2022年11月1日實施,起草單位主要包括中國網絡安全審查技術與認證中心(以下簡稱“CCRC”)、中國信息通信研究院等,主要內容包括數據處理安全的總體要求、技術要求、管理要求。 需要注意的是,APP安全認證系與數據管理安全認證并行的認證機制,根據國家市場監督管理總局、網信辦于2019年3月13日發布的《移動互聯網應用程序(App)安全認證實施規則》,APP安全認證的主要依據為標準規范《個人信息安全規范》”[7],App安全認證機構CCRC要求認證申請方提交《<個人信息安全規范>自評價表》,該表格詳盡列明了《個人信息安全規范》的規范要點,認證申請方需逐個條款進行自查[8]。CCRC官網顯示:“根據有關任務安排,中國網絡安全審查技術與認證中心負責數據安全管理認證制度的具體建設和實施工作”,數據安全管理認證機構的確定估計也由CCRC牽頭(最終以主管機關正式法律文件中指定的數據安全管理認證機構為準)。參照前述App安全認證的自查模式,認證機構屆時可能同樣會要求數據安全管理認證申請方逐一按照《網絡數據處理安全要求》的規范要點進行自查。 三、數據安全管理認證實施程序 《數據安全管理認證實施規則》第4條對數據安全認證實施程序作出了詳細規定,具體程序如下圖所示: 數據安全管理認證程序需重點關注的事項主要包括: 一是總體認證程序。網絡運營者通過認證需經過 “認證申請-認證受理-技術驗證-現場審核-認證決定”的一系列環節,在獲證后還需接受認證機構一定頻次的持續監督,通過認證僅能代表認證時符合相關標準規范,并不代表以后一直處于合格狀態。所以,網絡運營者在通過數據安全管理認證后,仍應進行必要的管理與技術投入讓自身持續處于合格狀態。 二是認證失敗的情形。如上圖紅色方框所示,導致數據安全管理認證失敗的情形主要包括:(1)認證委托人提交的認證委托資料未通過認證機構審查;(2)對暫不符合認證要求的,認證委托人在限期整改期間內仍未整改合格;(3)認證委托人存在欺騙、隱瞞信息、故意違反認證要求等嚴重影響認證實施的行為;(4)未通過獲證后監督結果的評價。 三是認證時限、持續監督等待細化事項。《數據安全管理認證實施規則》未明確規定整體認證程序以及資料評審、技術驗證、現場審核、認證決定和證書批準以及制作等認證各環節的時限,未明確規定持續監督的方式、頻次、內容等,該等實操層面的程序事項同樣也影響到認證程序能否順利執行,該規定第6條賦予了認證機構細化認證程序的權限[9],建議持續關注主管機關指定的認證機構對此發布的細則文件。 四、數據安全管理認證應關注的其他重點事項 (一) 針對數據安全管理認證中“網絡”的界定 如前所述,數據安全管理認證的適用范圍為網絡運營者開展網絡數據處理活動。《網絡數據處理安全要求》第3.5條中的“注”將“網絡”的范圍進一步限縮為“開放公共網絡”,這就意味著,企業專用網、政府專網等網絡運營者通過內部的專用封閉網絡開展數據處理活動可不適用數據安全管理認證。 (二) 數據安全管理認證的自愿性 如前所述,數據安全管理認證的依據為標準規范。不同于由國家強制力保證實施的法律、行政法規、司法解釋、部委規章、地方法規等法律法規,標準規范通常并無強制執行效力(除強制性國家標準外),可供相關機構自愿采用[10]。所以,《關于開展數據安全管理認證工作的公告》規定:“主管機關鼓勵通過認證方式規范網絡數據處理活動”,申請數據安全管理認證由網絡運營者自愿參與,而非法律義務。 (三)數據安全管理認證與網絡安全等級保護的區別 根據《網絡安全法》《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》《公安機關互聯網安全監督檢查規定》等法律法規,對于網絡運營者而言,應按照網絡安全等級保護制度的要求履行相應的安全保護義務。進一步,根據《信息安全等級保護管理辦法》等信息安全等級保護測評機制(系網絡安全等級保護前身)相關的法律規定,系統建設完成后,網絡運營者申請符合條件的測評機構開展等級測評具有法律強制性[11],而如前所述, 申請數據安全管理認證具有自愿性。 同時,根據《認證認可條例》關于“認證”的定義[12],數據安全管理認證屬于管理體系的認證,通過該認證,能證明網絡運營者的“數據安全管理體系”達到了相關技術規范的合格要求。結合《信息安全技術 網絡安全等級保護基本要求》關于“網絡安全”的定義[13],“網絡安全”除了包括確保“網絡”處于“穩定可靠運行的狀態”外,還包括保障網絡“數據”的“完整性、保密性、可用性的能力”。從字面上理解,相較于數據安全管理認證,網絡安全等級保護測評的評價對象范圍較為寬泛。 綜上,在我國數據安全合規監管態勢趨嚴的背景下,出臺《數據安全管理認證實施規則》具有積極的意義,一方面,體現了國家對數據安全的高度重視,另一方面,有助于引導各方依法開展數據安全管理認證工作。 注釋 [1] 《數據安全管理辦法(征求意見稿)》第三十四條規定 國家鼓勵網絡運營者自愿通過數據安全管理認證和應用程序安全認證,鼓勵搜索引擎、應用商店等明確標識并優先推薦通過認證的應用程序。國家網信部門會同國務院市場監督管理部門,指導國家網絡安全審查與認證機構,組織數據安全管理認證和應用程序安全認證工作。 [2] 《電信和互聯網行業提升網絡數據安全保護能力專項行動方案》三、重點任務 創新工作模式,引導鼓勵第三方機構開展App數據安全管理認證,探索推動應用商店等明確標識并優先推薦通過認證的App。 [3] 《數據安全法》第十八條規定 國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。 [4] 《網絡安全法》第七十六條規定 (三)網絡運營者,是指網絡的所有者、管理者和網絡服務提供者。 《兒童個人信息網絡保護規定》第七條規定 網絡運營者收集、存儲、使用、轉移、披露兒童個人信息的,應當遵循正當必要、知情同意、目的明確、安全保障、依法利用的原則。 《移動互聯網應用程序(App)安全認證實施規則》4.1.1規定 認證申請主體為通過App向用戶提供服務的網絡運營者(以下簡稱“App運營者”),且取得市場監督管理部門或有關機構注冊登記的法人資格。 [5] 《數據安全法》第三條第二款規定 數據處理,包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。 [6] 《個人信息保護法》第七十三條規定 (一)個人信息處理者,是指在個人信息處理活動中自主決定處理目的、處理方式的組織、個人。 [7]《移動互聯網應用程序( App)安全認證實施規則》第2條規定 App安全認證的認證依據為 GB/T 35273《 信息安全技術 個人信息安全規范》及相關標準、 規范。 [8] 移動互聯網應用程序(App)安全認證申請書,查詢網址: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.isccc.gov.cn%2Fimages%2Fzxyw%2Fcprz%2Fydhlwrz%2Fsqsxz%2F2021%2F05%2F14%2F4241DA930135495D768BDBA7EA8AB92F.doc&wdOrigin=BROWSELINK。 [9] 《數據安全管理認證實施規則》第6條規定 認證機構應當依據本規則有關要求,細化認證實施程序,制定科學、合理、可操作的認證實施細則,并對外公布實施。 [10]《標準化法》第二條規定 本法所稱標準(含標準樣品),是指農業、工業、服務業以及社會事業等領域需要統一的技術要求。標準包括國家標準、行業標準、地方標準和團體標準、企業標準。國家標準分為強制性標準、推薦性標準,行業標準、地方標準是推薦性標準。強制性標準必須執行。國家鼓勵采用推薦性標準。 [11] 《信息安全等級保護管理辦法》第十四條規定 信息系統建設完成后,運營、使用單位或者其主管部門應當選擇符合本辦法規定條件的測評機構,依據《信息系統安全等級保護測評要求》等技術標準,定期對信息系統安全等級狀況開展等級測評。第三級信息系統應當每年至少進行一次等級測評,第四級信息系統應當每半年至少進行一次等級測評,第五級信息系統應當依據特殊安全需求進行等級測評。 [12] 《認證認可條例》第二條第一款 本條例所稱認證,是指由認證機構證明產品、服務、管理體系符合相關技術規范、相關技術規范的強制性要求或者標準的合格評定活動。 [13] 《信息安全技術 網絡安全等級保護基本要求》3.1網絡安全 通過采取必要措施,防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故,使網絡處于穩定可靠運行的狀態,以及保障網絡數據的完整性、保密性、可用性的能力。
