數安條例百問89、90:關于大型互聯網平臺審計與新技術評估
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第五十三條 大型互聯網平臺運營者應當通過委托第三方審計方式,每年對平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況等進行年度審計,并披露審計結果。
解讀
《個人信息保護法》有兩個條款提到審計。
一是第五十四條:“個人信息處理者應當定期對其處理個人信息遵守法律、行政法規的情況進行合規審計。”
二是第六十四條:“履行個人信息保護職責的部門在履行職責中,發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。個人信息處理者應當按照要求采取措施,進行整改,消除隱患。”
《條例》第五十三條也對審計作了規定,其與《個人信息保護法》的關系有以下幾個方面:
一、《條例》所提審計要求與《個人信息保護法》不沖突。落實第五十三條要求前,應當首先遵循《個人信息保護法》相關要求。
二、《條例》所提審計要求是針對大型互聯網平臺運營者的。按照《條例》在“附則”中給出的定義,大型互聯網平臺運營者是指用戶超過五千萬、處理大量個人信息和重要數據、具有強大社會動員能力和市場支配地位的互聯網平臺運營者。這也可以解釋,為什么《條例》第五十三條的審計要求要比《個人信息保護法》嚴格。
三、《條例》明確,大型互聯網平臺運營者的數據安全審計是第三方審計。《個人信息保護法》第五十四條并未對審計的實施主體進行說明,其完全可以是企業自身,即這種審計可以是內審。但《個人信息保護法》第六十四條則規定,如履行個人信息保護職責的部門發現個人信息處理活動存在較大風險或者發生個人信息安全事件的,可以要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計。顯然,作為處罰手段之一,后者屬于外部第三方審計。但這種第三方審計活動并不一定常發生,這畢竟是一種罰則。但《條例》則將大型互聯網平臺運營者的審計明確為一種常態(每年一次)。
四、《條例》所提審計比《個人信息保護法》規定的審計內容要多。后者只是審計個人信息處理活動,而前者則同時覆蓋個人信息和非個人信息,且要求審計平臺數據安全情況、平臺規則和自身承諾的執行情況、個人信息保護情況、數據開發利用情況。
五、《條例》增加了披露審計結果的要求。一般而言,審計報告含有較多的企業敏感信息,不宜公開。即使公開,也有個詳略程度的問題。但企業的數據處理情況涉及公民個人權益和公共利益,有必要通過公布數據安全審計報告而引入社會監督機制,這也是企業履行社會責任的一種方式。
對應條款
第五十四條 互聯網平臺運營者利用人工智能、虛擬現實、深度合成等新技術開展數據處理活動的,應當按照國家有關規定進行安全評估。
解讀
新技術新應用往往帶有不可預測性,其如果盲目上線運行,可能對國家安全和公共利益帶來重大安全風險。為此,早在2010年,根據有關文件精神,工業和信息化部便提出了建立新技術新業務網絡信息安全評估機制的工作安排。中央網信辦成立后,鑒于有的互聯網新技術新應用很可能對互聯網信息內容安全管理手段帶來沖擊,國家網信部門也開始提出對新技術新應用的安全要求。
2017年6月,工業和信息化部印發了《互聯網新業務安全評估管理辦法(征求意見稿)》。而在此前的2016年,工業和信息化部已經通過了行業標準YD/T 3169-2016《互聯網新技術新業務信息安全評估指南》。該標準后來修訂為YD/T 3169-2020《互聯網新技術新業務安全評估指南》。此外,中國信息通信研究院還建立了互聯網新技術新業務安全評估中心,具體負責相關技術工作。
在信息內容安全方面,國家互聯網信息辦于2017年10月印發了《互聯網新聞信息服務新技術新應用安全評估管理規定》;2018年11月,國家互聯網信息辦、公安部聯合印發了《具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定》,目的是加強對具有輿論屬性或社會動員能力的互聯網信息服務和相關新技術新應用的安全管理;2019年8月,國家互聯網信息辦發布公告,對《區塊鏈信息服務管理規定》第九條“區塊鏈信息服務提供者開發上線新產品、新應用、新功能的,應當按照有關規定報國家和省、自治區、直轄市互聯網信息辦公室進行安全評估”的要求進行了解釋,要求區塊鏈服務機構自行委托已獲認證認可的技術機構開展安全風險自評估;2021年3月,國家互聯網信息辦、公安部發布了《加強對語音社交軟件和涉深度偽造技術的互聯網新技術新應用安全評估》,以指導各地網信部門、公安機關加強對語音社交軟件和涉“深度偽造”技術的互聯網新技術新應用安全評估工作。
在上述實踐基礎上,《條例》將新技術新應用安全評估工作上升為法規的規定,以便為政府部門的有關活動提供上位法依據。考慮到《條例》的定位,其強調了利用新技術開展數據處理活動的行為,并重點突出了人工智能、虛擬現實、深度合成等可能對國家政治安全、社會安全、軍事安全等帶來重大影響的新技術新應用。
相關文章
數安條例百問 3、4:關于 “網絡數據” 和 “數據處理者”
數安條例百問 15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問 27、28、29、30:關于 “一般要求” 中的幾個特定考慮
數安條例百問 46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問 55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問 60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問 66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問 69、70:關于數據出境安全管理義務與安全報告
數安條例百問 71、72、73:關于數據出境安全技術監管措施
數安條例百問 74、75、76、77、78:關于平臺規則、隱私政策和算法策略
數安條例百問 81、82、83:關于反不正當競爭、應用程序分發管理和數據互通
數安條例百問 84、85:關于個性化推薦
數安條例百問 86:關于網絡身份認證公共服務基礎設施
