數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第三十三條 數據處理者共享、交易、委托處理重要數據的,應當征得設區的市級及以上主管部門同意,主管部門不明確的,應當征得設區的市級及以上網信部門同意。
解讀
數據處理者共享、交易、委托處理重要數據,以及向境外提供重要數據,意味著重要數據將轉移到新的數據處理者,故需要滿足一系列特定的要求。《條例》第三十二條已經規定,開展這些活動前要進行風險評估,以判斷是否有必要共享、交易、委托處理或向境外提供重要數據。
上述要求也適用于個人信息。但鑒于《個人信息保護法》已經在第五十五條規定了“個人信息保護影響評估”,故《條例》未再對個人信息的相關要求進行重復。
然而,除上述規定外,鑒于重要數據直接關系國家安全,僅僅在事前進行自評估是不夠的,故《條例》提出,還需要主管部門審批同意,這是《條例》第三十三條的立法目的。
但《條例》第三十三條為什么沒有包括“向境外提供重要數據”的情況呢?這是因為,2021年10月29日,國家互聯網信息辦對《數據出境安全評估辦法》征求意見,其第十條規定,國家網信部門受理(數據出境)申報后,組織行業主管部門、國務院有關部門、省級網信部門、專門機構等進行安全評估。涉及重要數據出境的,國家網信部門征求相關行業主管部門意見。
這意味著,《數據出境安全評估辦法(征求意見稿)》不要求在數據出境前由數據處理者向主管部門申請批準,而是規定由國家網信部門在評估過程中征求行業主管部門意見。因此,《條例》第三十三條如果納入“向境外提供重要數據”的情況,會直接與《數據出境安全評估辦法(征求意見稿)》產生沖突。
但如果單獨將“向境外提供重要數據”排除在外,又會產生邏輯上的不一致。畢竟,就數據處理者變化而言,共享、交易、委托處理與向境外提供重要數據并無本質區別。雖然《條例》的法律位階高于《數據出境安全評估辦法(征求意見稿)》,但兩者畢竟是同一個部門起草的,尚需在內部進一步協調。
需要指出,《條例》第十二條規定,數據處理者向第三方提供個人信息,或者共享、交易、委托處理重要數據的,應當留存個人同意記錄及提供個人信息的日志記錄,共享、交易、委托處理重要數據的審批記錄、日志記錄至少五年。這里的“審批記錄”即為第三十三條的主管部門審批意見。但此處出現了一個順序倒置問題,屬于瑕疵,后續有必要進行修改。
對應條款
第三十四條 國家機關和關鍵信息基礎設施運營者采購的云計算服務,應當通過國家網信部門會同國務院有關部門組織的安全評估。
解讀
《條例》第三十四條是將國家網信部門近年來牽頭實施的云計算安全評估制度上升為法規的規定,其有兩個特點:
一是延續了原有的對國家機關“上云”的規定。原有的規定中,國家機關“上云”應當強制通過安全評估。
二是將關鍵信息基礎設施“上云”時的安全評估由“自愿”改為“強制”。原有的規定中,并未要求關鍵信息基礎設施上云時必須通過安全評估。
一、國家對云安全監管政策是什么?
2014年12月30日,中央網信辦印發了《關于加強黨政部門云計算服務網絡安全管理的意見》(中網辦發文〔2014〕14號)。文件要求,中央網信辦會同有關部門建立云計算服務安全審查機制,對為黨政部門提供云計算服務的服務商,參照有關網絡安全國家標準,組織第三方機構進行網絡安全審查,重點審查云計算服務的安全性、可控性。黨政部門采購云計算服務時,應逐步通過采購文件或合同等手段,明確要求服務商應通過安全審查。
這一文件的出臺,標志著我國正式建立云計算服務安全管理制度。該制度的重點,是要求黨政部門使用的云必須經過中央網信辦牽頭組織的安全審查。
2019年7月2日,中央網信辦、國家發展改革委、工業和信息化部、財政部聯合印發了《云計算服務安全評估辦法》(2019年第2號)。文件的目的是為了提高黨政機關、關鍵信息基礎設施運營者采購使用云計算服務的安全可控水平,降低采購使用云計算服務帶來的網絡安全風險,增強黨政機關、關鍵信息基礎設施運營者將業務及數據向云服務平臺遷移的信心。云計算服務安全評估的實質,是依據云服務商申請,對面向黨政機關、關鍵信息基礎設施提供云計算服務的云平臺進行的安全評估。
二、如何理解兩個政策文件的關系?
《云計算服務安全評估辦法》將云計算服務安全審查制度升級為了云計算服務安全評估制度,且將評估范圍從黨政部門使用的云擴大到了關鍵信息基礎設施和黨政部門使用的云。
但《云計算服務安全評估辦法》沒有取代《關于加強黨政部門云計算服務網絡安全管理的意見》。后者依然有效,黨政部門使用的云必須強制通過安全評估。
需要指出,《云計算服務安全評估辦法》本身沒有強制要求關鍵信息基礎設施使用的云必須通過評估。直至本次起草《條例》,方將該要求調整為強制。
三、云安全評估流程和機制建設進展怎么樣?
《關于加強黨政部門云計算服務網絡安全管理的意見》提出,中央網信辦會同有關部門建立云計算服務安全審查機制。為此,2015年7月,中央網信辦會同國家發展改革委、工業和信息化部、財政部成立了黨政部門云計算服務網絡安全管理協調組,聘請網絡安全和信息化領域專家成立了黨政部門云計算服務網絡安全管理專家組。
《云計算服務安全評估辦法》印發后,上述工作機制進行了升級調整。國家互聯網信息辦公室會同國家發展改革委員會、工業和信息化部、財政部建立了云計算服務安全評估工作協調機制,負責審議云計算服務安全評估政策文件,批準云計算服務安全評估結果,協調處理云計算服務安全評估有關重要事項。
云計算服務安全評估工作協調機制辦公室設在國家互聯網信息辦公室網絡安全協調局。
云計算服務安全評估主要包括申報、受理、專業技術機構評價、云計算服務安全評估專家組綜合評價、云計算服務安全評估工作協調機制審議、國家互聯網信息辦公室核準、評估結果發布、持續監督等環節。
根據文件精神,協調機制辦公室受理云服務商申請后,組織專業技術機構參照國家有關標準對云平臺進行安全評價。目前,專業機構共有4家:中國信息安全測評中心、國家信息技術安全研究中心、中國信息通信研究院、中國電子技術標準化研究院。根據工作需要,目前正在增加新的專業機構。
協調機制辦公室在專業技術機構安全評價基礎上,組織云計算服務安全評估專家組進行綜合評價。目前,專家組共包含25名專家。
云計算服務安全評估專家組的建議經協調機制審議通過后,協調機制辦公室按程序報國家互聯網信息辦公室核準,批準后由辦公室發布。云計算服務安全評估結果有效期為3年。
四、國家云安全監管政策與廣受關注的網絡安全審查有什么關系?
由于“滴滴”事件,目前社會各界對網絡安全審查特別是其中的數據安全相關內容十分關心。那么,云計算服務安全評估與網絡安全審查什么關系?
最初建立制度時,《關于加強黨政部門云計算服務網絡安全管理的意見》已經明確,“統一組織黨政部門云計算服務網絡安全審查”“中央網信辦會同有關部門建立云計算服務安全審查機制”。顯然,這就是一種審查制度。
此后,雖然這項制度升級到了云計算服務安全評估,但其同網絡安全審查一樣,始終高度關注安全可控。因此,可以認為云計算服務安全評估是一種廣義的網絡安全審查,只不過其流程另由《云計算服務安全評估辦法》來規定。與《網絡安全審查辦法》所不同的是,云計算服務安全評估確實是一種白名單制度。
無論是網絡安全審查,還是云計算服務安全評估,技術支撐機構都是中國網絡安全審查技術與認證中心。
五、目前通過評估的云平臺有哪些?對這些平臺的使用有傾向性嗎?
截至2019年4月,云計算服務安全審查機制共審查通過16個云計算服務平臺。此后,審查制度上升為評估制度,故此數字未再變化。
截至2021年10月,云計算服務安全評估機制共評估通過57個云計算服務平臺。
所有通過審查或評估的云平臺名單,都可以在中央網信辦官網上進行查閱。
(http://www.cac.gov.cn/2019-04/24/c_1121635729.htm)
(http://www.cac.gov.cn/2021-10/09/c_1635374183514549.htm)
前期已經通過黨政部門云計算服務網絡安全審查的云平臺,視同已通過云計算服務安全評估,不需要再重新申請。
根據云計算服務安全評估政策精神,所有通過審查或評估的云平臺,都可以供黨政部門、關鍵信息基礎設施運營者根據實際需要選擇采用,沒有傾向性。
六、云安全評估主要關注哪些方面?
云計算服務安全評估的重點評估內容是:
(一)云平臺管理運營者(以下簡稱“云服務商”)的征信、經營狀況等基本情況;
(二)云服務商人員背景及穩定性,特別是能夠訪問客戶數據、能夠收集相關元數據的人員;
(三)云平臺技術、產品和服務供應鏈安全情況;
(四)云服務商安全管理能力及云平臺安全防護情況;
(五)客戶遷移數據的可行性和便捷性;
(六)云服務商的業務連續性;
(七)其他可能影響云服務安全的因素。
社會上常常使用“某某公司通過了云評估”或者“某某云”通過了云評估。實際上,這種表述是不科學的。云計算服務安全評估,對象是位于某個物理位置的具體的云平臺,而不是某個云服務商(公司)。這意味著,不能說某公司或者某公司的云通過了安全評估,而只能說某個地方的某個云通過了安全評估。同一個公司在A地的云通過了評估,不等于其在B地、C地的云也通過了評估。
為此,中央網信辦官網公布的已通過評估的云平臺名單中,明確列出了“機房位置”。
七、云安全國家標準制定和實施情況怎么樣?
目前,為了支撐云計算安全審查和評估工作,國標委已經印發了三部國家標準:GB/T 31167-2014《云計算服務安全指南》、GB/T 31168-2014《云計算服務安全能力要求》和GB/T 34942《云計算服務安全能力評估方法》。
《云計算服務安全指南》前者面向云的客戶(例如黨政部門),提出了使用云計算服務時的安全管理要求,指導政府部門等做好采用云計算服務的前期分析和規劃,選擇合適的云服務商,對云計算服務進行運行監管,考慮退出云計算服務和更換云服務商的安全風險。
《云計算服務安全能力要求》面向云服務商,描述了以社會化方式為客戶提供云計算服務時,云服務商應具備的信息安全技術和管理能力要求。具體包括系統開發與供應鏈安全、系統與通信保護、訪問控制、配置管理、維護、應急響應與災備、審計、風險評估與持續監控、安全組織與人員、物理與環境安全等要求。
《云計算服務安全能力評估方法》提出了如何評價云服務商符合《云計算服務安全能力要求》的流程和有關方法。
根據實踐需要、技術進步、政策法規制定實施等情況,目前上述三部國家標準正在修訂。修訂的主要方向是三個:一是落實近年來新出臺的一批法律法規特別是數據安全方面法律法規的要求;二是考慮關鍵信息基礎設施業務上云的安全需求(三項標準最初制定時僅面向黨政部門,因當時的云計算服務安全審查制度只規范黨政部門業務上云);三是反映云計算技術最近進展和相應的安全需求。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
數安條例百問60、61:關于征得主管部門同意要求及云安全評估要求
數安條例百問66、67、68:關于數據出境的單獨同意、評估條件與國際協議
數安條例百問74、75、76、77、78:關于平臺規則、隱私政策和算法策略
