數安條例百問52、53、54:關于備案、培訓與采購
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第二十九條 重要數據的處理者,應當在識別其重要數據后的十五個工作日內向設區的市級網信部門備案,備案內容包括:
(一)數據處理者基本信息,數據安全管理機構信息、數據安全負責人姓名和聯系方式等;
(二)處理數據的目的、規模、方式、范圍、類型、存儲期限、存儲地點等,不包括數據內容本身;
(三)國家網信部門和主管、監管部門規定的其他備案內容。
處理數據的目的、范圍、類型及數據安全防護措施等有重大變化的,應當重新備案。
依據部門職責分工,網信部門與有關部門共享備案信息。
解讀
重要數據處理者備案是一項新提出的規定。這一規定的影響很大,引起了廣泛討論。為了更好理解這一規定,可以從以下幾個方面關注:
一是,備案目的是什么?《條例》旨在建立完整的重要數據安全保護制度,如重要數據出境管理、對外提供重要數據前的風險評估、重要數據年度報告、重要數據安全審計等。為落實這些制度,首先需要了解誰是重要數據處理者,為此規定重要數據處理者應當進行備案。備案內容主要包括兩方面,即機構的情況和重要數據的情況。
二是,有意不備案怎么辦?現實中可能會出現這樣的情況,擁有重要數據的組織不按要求備案。但這不是只有這一制度才會遇到的,任何一項備案制度甚至審批制度都會發生有意規避法律義務的情況。這將通過法律威懾力解決,即有意不備案的組織將會承擔相應的法律責任,且這一責任大到了該組織沒必要冒風險的程度。
三是,既然國家要組織制定重要數據目錄,目錄中會涉及到重要數據處理者的情況,為什么還要另行備案呢?《數據安全法》第二十一條要求制定重要數據具體目錄;《條例》第二十七條對制定目錄提出了具體要求。按照常規理解,將來這個目錄中一定會標明重要數據所在的組織,即重要數據處理者。在目前的制度設計中,重要數據目錄報送和重要數據處理者備案都是面向網信部門,理論上有很多內容可以共同,至少兩者強關聯。但考慮到這兩項制度的目的不同,所以還是分成了不同的制度。但在實際工作中,完全可以通過同一平臺報送和備案,填寫時有些字段可以共享。
四是,如果多個部門提出備案要求怎么辦?不同的部門有不同的監管要求,所需要了解的內容各不一樣,除網信部門、行業主管監管部門外,不排除還有其他部門也需要掌握重要數據處理者的信息。但為了減輕數據處理者負擔,《條例》要求統一報送。如其他部門有需要,可依據部門職責分工,由網信部門向其共享備案信息。
五是,處理一百萬人以上個人信息的處理者也要備案嗎?《條例》對處理一百萬人以上個人信息的處理者也提出了一些增強性的要求,為監督這些要求的落實,自然也有必要掌握此類數據處理者的情況。此外,《條例》第二十六條也指出,數據處理者處理一百萬人以上個人信息的,還應當遵守第四章對重要數據的處理者作出的規定。這一表述自然包括對數據處理者的備案要求。從以上兩個邏輯看,處理一百萬人以上個人信息的處理者也需要備案。但如“百問百答”前所述,一百萬人以上個人信息并不是重要數據,對重要數據的要求不可能全部適用于處理一百萬人以上個人信息的處理者,例如制定一百萬人以上個人信息的目錄是沒有意義的。此外,從目前的《條例》內容看,第四章有些條款確有不完全適用一百萬人以上個人信息的處理者的情況。故一百萬人以上個人信息的處理者是否一定要備案,這尚待進一步明確,目前尚不能作出肯定回答。
對應條款
第三十條 重要數據的處理者,應當制定數據安全培訓計劃,每年組織開展全員數據安全教育培訓,數據安全相關的技術和管理人員每年教育培訓時間不得少于二十小時。
解讀
培訓對于提升意識、提高技能的重要性不言而喻,故在增強性的要求中,往往要求全員培訓。這里的“全員”,包括后勤、財務、人事、行政等全體部門的人員。這可以理解,因為每一個部門的人員都涉及安全。至少對“社會工程學”攻擊而言,一些非業務部門反而更容易被盯上。此外,每一個部門也的確有各自崗位的安全防護任務,都需要接受培訓。
當年《網絡安全法》在第三十四條提出,除該法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:(一)設置專門安全管理機構和安全管理負責人,并對該負責人和關鍵崗位的人員進行安全背景審查;(二)定期對從業人員進行網絡安全教育、技術培訓和技能考核;……。
上述的“從業人員”便是指全員。但由于《網絡安全法》沒有明確使用“全員”,故在實際工作中很少有組織這么做,這是很遺憾的事情。
為此,《條例》直接提出,要“組織開展全員數據安全教育培訓”,最大程度減少了對條文的誤解。至于其中的數據安全相關的技術和管理人員,則顯然需要接受更多培訓,《條例》要求不得少于每年20小時。
一些人可能會關心,什么樣的培訓才是適宜的呢?目前,隨著數據安全和個人信息保護熱度的上升,相關培訓市場迅速發展,但也出現了良莠不齊的情況。據了解,目前有關部門正在研究如何規范我國網絡安全培訓市場(含數據安全),今后可能會出臺進一步的規定。《條例》本身沒有限定具體的培訓類型,目前也未要求“持證上崗”。
有關組織如果對員工獲取數據安全相關證書感興趣,國外證書可以參考IAPP(國際隱私專業協會)頒發的CIPM/CIPT/CIPP(注冊信息隱私管理師/注冊信息隱私技術專家/注冊信息隱私專家)證書,國內證書可以參考中國信息安全測評中心頒發的CISP-PIP(注冊信息安全專業人員-個人信息保護)證書。
對應條款
第三十一條 重要數據的處理者,應當優先采購安全可信的網絡產品和服務。
解讀
在法律層面,最早提出“安全可信”的是《網絡安全法》第十六條。該條要求推廣安全可信的網絡產品和服務。
此后,《關鍵信息基礎設施安全保護條例》第十九條規定,關鍵信息基礎設施運營者應當優先采購安全可信的網絡產品和服務。
顯然,無論對于重要數據處理者,還是對于關鍵信息基礎設施運營者,其采購的產品和服務對最終的安全影響甚大,故理應重視“安全可信”。
那么,什么是“安全可信”呢?對此,有關部門曾有過定性描述:
安全可信與自主可控、安全可控有著相同的基本要求,主要包括三個方面:
一是產品或服務提供者不應利用提供產品或服務的便利條件非法獲取用戶重要數據,損害用戶對自己數據的支配權;
二是產品或服務提供者不應通過網絡非法控制和操縱用戶設備,損害用戶對自己所擁有和使用設備的控制權;
三是產品和服務提供者不應利用用戶對產品和服務的依賴性牟取不正當利益,實施壟斷經營,包括停止提供合理的安全技術支持,迫使用戶更新換代。
提出安全可信的要求主要是為了保障用戶利益,無論是國外產品還是國內產品,都應該符合安全可信的要求,不得損害用戶利益。
從近年來國際形勢看,“安全可信”的指標還可以加上一個:產品和服務具有安全性、開放性、透明性,供應渠道可靠,不會因為政治、外交、貿易等因素導致供應中斷。
對于第三十一條的規定,《條例》在第六十二條給出了罰則。這是一個瑕疵。既然《條例》提出的是“優先采購”,那么這屬于倡導性規定,不應該制定罰則。相信這一問題會在后續得到妥善處理。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
