數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
(一)處理重要數據的情況;
(二)發現的數據安全風險及處置措施;
(三)數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;
(四)落實國家數據安全法律、行政法規和標準情況;
(五)發生的數據安全事件及其處置情況;
(六)共享、交易、委托處理、向境外提供重要數據的安全評估情況;
(七)數據安全相關的投訴及處理情況;
(八)國家網信部門和主管、監管部門明確的其他數據安全情況。
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
(一)共享、交易、委托處理、向境外提供數據,以及數據接收方處理數據的目的、方式、范圍等是否合法、正當、必要;
(二)共享、交易、委托處理、向境外提供數據被泄露、毀損、篡改、濫用的風險,以及對國家安全、經濟發展、公共利益帶來的風險;
(三)數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況,承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全;
(四)與數據接收方訂立的相關合同中關于數據安全的要求能否有效約束數據接收方履行數據安全保護義務;
(五)在數據處理過程中的管理和技術措施等是否能夠防范數據泄露、毀損等風險。
評估認為可能危害國家安全、經濟發展和公共利益,數據處理者不得共享、交易、委托處理、向境外提供數據。
解讀
《條例》第五十五條規定,主管部門應當定期組織開展本行業、本領域的數據安全風險評估,對數據處理者履行數據安全保護義務情況進行監督檢查,指導督促數據處理者及時對存在的風險隱患進行整改。這里的“主管部門”是指行業主管監管部門。《條例》還在第五十七條明確了主管、監管部門在監督檢查時可以采取的措施手段:
對比上述條款,目前看《條例》未規定網信部門對重要數據處理者進行監督檢查。那么,作為數據安全的統籌協調部門,網信部門怎么掌握情況呢?這便是《條例》第三十二條的初衷。該條規定,重要數據數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報市級網信部門。《條例》還規定了年度數據安全評估報告的內容。
不僅如此,《條例》還要求赴境外上市的數據處理者也應當提交年度評估報告,這是考慮到了赴境外上市的敏感性及其相關的數據安全風險。此前,《條例》第十三條對數據處理者赴境外上市提出了網絡安全審查要求,這種審查是一次性的,但對境外上市數據安全風險的關注不應成為“一錘子買賣”。企業赴境外上市后,將持續同境外機構打交道,并接受境外證券管理部門的監管,因此國家有必要對其提出持續監督要求。
這意味著,境外上市機構需要關注的不僅僅是上市時接受網絡安全審查。“侯門一入深似海”,只要其在境外上市,便終生需要向境內網信部門提交年度數據安全報告。
對應條款
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
(一)處理重要數據的情況;
(二)發現的數據安全風險及處置措施;
(三)數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;
(四)落實國家數據安全法律、行政法規和標準情況;
(五)發生的數據安全事件及其處置情況;
(六)共享、交易、委托處理、向境外提供重要數據的安全評估情況;
(七)數據安全相關的投訴及處理情況;
(八)國家網信部門和主管、監管部門明確的其他數據安全情況。
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
(一)共享、交易、委托處理、向境外提供數據,以及數據接收方處理數據的目的、方式、范圍等是否合法、正當、必要;
(二)共享、交易、委托處理、向境外提供數據被泄露、毀損、篡改、濫用的風險,以及對國家安全、經濟發展、公共利益帶來的風險;
(三)數據接收方的誠信狀況、守法情況、境外政府機構合作關系、是否被中國政府制裁等背景情況,承諾承擔的責任以及履行責任的能力等是否能夠有效保障數據安全;
(四)與數據接收方訂立的相關合同中關于數據安全的要求能否有效約束數據接收方履行數據安全保護義務;
(五)在數據處理過程中的管理和技術措施等是否能夠防范數據泄露、毀損等風險。
評估認為可能危害國家安全、經濟發展和公共利益,數據處理者不得共享、交易、委托處理、向境外提供數據。
解讀
《條例》在三十二條中同時規定了兩種評估要求。一是年度數據安全評估,二是數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估。每一類評估都規定了多款要求。就法言法語而言,這樣的處理不合常規,后續有必要將其改為兩條。
特別是,第一款之后的“數據處理者應當保留風險評估報告至少三年”引起了歧義。既然該款要求數據處理者向網信部門提交評估報告,何以又要求數據處理者自身對評估報告保留三年呢?事實上,這里的“風險評估報告”指的是后續的“共享、交易、委托處理、向境外提供重要數據的”安全評估報告。即,《條例》在此處存在前后語序方面的瑕疵,后續應予以修正。
拋去上述問題不談,為什么《條例》要求數據處理者對共享、交易、委托處理、向境外提供重要數據進行安全評估呢?這是因為,上述行為有一個共同點,即重要數據脫離了原數據處理者的控制,可能轉移到新的數據處理者手中。那么,自然就隨之產生了安全風險,必須審慎對待下列問題:
一是,重要數據能提供給他人(包括出境,下同)嗎?對方處理數據的目的、方式、范圍等合適嗎?
二是,因共享、交易、委托處理、向境外提供重要數據是否會使數據面臨被泄露、毀損、篡改、濫用的風險?是否會影響國家安全、經濟發展、公共利益?
三是,數據接收方靠譜嗎?其誠信狀況、守法情況如何?其是否與境外政府機構有某種特殊的合作關系(例如情報關系),是否曾被中國政府制裁?其有無能力有效保障數據安全?
四是,與數據接收方訂立的相關合同合理嗎?能否有效約束數據接收方履行數據安全保護義務?
五是,在共享、交易、委托處理、向境外提供重要數據過程中,是否采取了適宜的管理和技術措施,以防范數據泄露、毀損等風險?
為此,必須開展風險評估,以判斷是否適宜共享、交易、委托處理、向境外提供重要數據。
這里面有一個問題:為什么第三十二條不對向第三方提供個人信息提出要求呢?特別是,《條例》第十二條針對的是“數據處理者向第三方提供個人信息,或者共享、交易、委托處理重要數據”,何以第三十二條比第十二條多了“向境外提供重要數據”的情況,而少了“向第三方提供個人信息”的情況?
這是因為,《個人信息保護法》第五十五條已經規定了個人信息保護影響評估制度,其適用于“委托處理個人信息、向其他個人信息處理者提供個人信息、公開個人信息”和“向境外提供個人信息”的情況。這些情況下的“個人信息保護影響評估”與《條例》第三十二條規定的對外提供重要數據的安全評估有著相同的目標。既然《個人信息保護法》已作了規定,《條例》不必再另行關注個人信息的情況。
對應條款
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
解讀
共享、交易、委托處理、向境外提供重要數據前應當開展安全評估,這是一項重要的義務,目的是防止重要數據被不當對外提供。那么,由誰來實施這類風險評估呢?
《條例》在第三十二條中指出,數據安全年度評估由數據處理者自行或者委托數據安全服務機構實施。但該條并未明確共享、交易、委托處理、向境外提供重要數據前的安全評估主體。
從工作實際看,此類評估依然應當由數據處理者自行開展,必要時可委托專業機構實施,但不是指由監管部門進行評估。
對應條款
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
解讀
對共享、交易、委托處理、向境外提供重要數據活動進行安全評估后,應當形成風險評估報告。那么,該評估報告當如何使用呢?
一般而言,有以下幾種用途:
一是,在征得主管部門同意時,要同步提交風險評估報告。《條例》第三十三條規定,數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。
二是,在申請數據出境安全評估時,要同步提交風險評估報告。《條例》第三十七條規定,數據處理者向境外提供在中華人民共和國境內收集和產生的數據,如包含重要數據,應當通過國家網信部門組織的數據出境安全評估。顯然,既然數據處理者向網信部門提出申請,則其必然已經對重要數據出境的合理性、安全性作了風險評估,故網信部門將首先研判該風險評估報告是否科學合理。
三是,在撰寫年度數據安全評估報告時,要提交該年中每一次的此類風險評估報告。《條例》第三十二條第一款規定,年度評估報告內容應當包括共享、交易、委托處理、向境外提供重要數據的安全評估情況。這個“評估情況”,自然包括風險評估報告。
對應條款
第三十二條 處理重要數據或者赴境外上市的數據處理者,應當自行或者委托數據安全服務機構每年開展一次數據安全評估,并在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門,年度數據安全評估報告的內容包括:
數據處理者應當保留風險評估報告至少三年。
依據部門職責分工,網信部門與有關部門共享報告信息。
數據處理者開展共享、交易、委托處理、向境外提供重要數據的安全評估,應當重點評估以下內容:
解讀
“風險評估”在網絡安全領域是一個基本概念。早在2006年,原國務院信息辦便印發了《關于開展信息安全風險評估工作的意見》。目前為止,在網絡安全風險評估領域,我國已經制定了兩部國家標準:GB/T 20984—2007《信息安全技術 信息安全風險評估規范》和GB/T 31509—2015《信息安全技術 信息安全風險評估實施指南》。
在這一背景下,很多人關心:數據安全風險評估與網絡安全風險評估有區別嗎?
籠統說,數據安全風險評估與網絡安全風險評估沒有本質區別,兩者都是風險評估理論的運用。但具體到《條例》第三十二條,這里的數據安全風險評估卻有特殊性。其沒有重復攻擊破壞等行為對數據安全帶來的風險,而是強調了重要數據離開原處理者而轉移到新的處理者后,可能出現的安全風險。為此,在落實《條例》第三十二條的此項要求時,不能套用GB/T 20984—2007、GB/T31509—2015等傳統的網絡安全風險評估理論。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
