《數據安全管理認證實施規則》要點及其對網安產業發展的影響
近日,國家市場監管總局、國家互聯網信息辦公室聯合發布《關于開展數據安全管理認證工作的公告》(以下簡稱《公告》),鼓勵網絡運營者通過數據安全管理認證方式規范網絡數據處理活動,加強網絡數據安全保護。同時發布的《數據安全管理認證實施規則》(以下簡稱《認證規則》),明確規定了認證對象、認證流程及合規要求等內容。本文將簡要介紹數據安全管理認證的性質,梳理《認證規則》的內容要點,并進一步思考其對網安產業發展的影響。
一、數據安全管理認證性質簡析
根據國際標準化組織(ISO)和國際電工委員會(IEC)等國際組織公認的定義,認證是指由國家認可的認證機構提供書面保證,證明一個組織的產品、服務、管理體系符合相關標準、技術規范或特定要求的合格評定活動。
從認證對象來看,目前國家認證認可監督委員會開展的數據安全認證類型包括管理體系認證、產品認證和服務認證三種,分別對應代碼編號為:管理體系認證(A)、產品認證(B、PV)及服務認證(C、SC)。從編號規則來看,本次發布的數據安全管理認證(B0327)屬于產品認證。此前,數據安全認證工作主要集中在服務和管理體系兩方面,本次數據安全管理認證工作的開展填補了該領域在產品類目的空白。
從認證依據來看,數據安全認證依據包括國際標準、國家標準、行業標準和技術規范等,本文僅討論依據國家標準實施的認證。根據不完全統計,截至目前實施的數據安全認證共有8個,如表1所示。
表1 數據安全相關認證
二、《認證規則》內容要點概述
從法律層面來看,《認證規則》是落實《數據安全法》關于“國家促進數據安全認證服務發展”相關規定的落地舉措,對數據安全管理的認證對象、認證流程和合規要求等方面作出體系化部署,具體內容分析如下。
(一)認證對象
《認證規則》規定了“對網絡運營者開展網絡數據收集、存儲、使用、加工、傳輸、提供、公開等處理活動進行認證的基本原則和要求”。其中明確了兩個概念:
一是適用主體,即數據安全管理認證的適用對象為“網絡運營者”,該定義出自《網絡安全法》“網絡的所有者、管理者和網絡服務提供者”;
二是適用行為,即數據安全管理認證的適用范圍是“收集、存儲、使用、加工、傳輸、提供、公開”等網絡數據處理活動,這與《數據安全法》中規定的保持一致。
(二)認證流程
《認證規則》對數據安全認證實施程序作出詳細規定,通過認證需經過“認證申請-資料審查-技術驗證-現場審核-認證決定”等一系列環節,具體流程如下圖所示。
圖1 數據安全管理認證流程圖
在此,網絡運營者還需要重點關注獲證后認證機構的持續監管。通過認證僅能代表認證時符合相關標準規范,并不能一勞永逸。(《認證規則》第4.5.1規定,認證機構應當在認證有效期內,對獲得認證的網絡運營者進行持續監督,并合理確定監督頻次。)因此,網絡運營者在通過數據安全管理認證后,還應進行必要的管理與技術投入以確保“持續符合”各項監督評價要求。
(三)合規要求
《認證規則》明確指出《信息安全技術 網絡數據處理安全要求》(GB/T 41479-2022)是數據安全管理認證的主要依據,該標準將于2022年11月1日正式實施,規定了網絡運營者在開展數據處理活動時的技術與管理要求。根據該標準的規定,數據認證處理活動的合規要求主要包括以下三個方面:
第一,數據處理總體安全要求。主要包括四類:
(1)數據識別,網絡運營者應識別處理活動中涉及的數據,形成數據保護目錄,并及時更新。
(2)分類分級,網絡運營者應按照國家標準,根據合同規定和業務運營需要,對數據進行分類分級管理。
(3)風險防控,網絡運營者應建立數據安全管理責任和評價考核制度,制定數據安全保護計劃,開展安全風險評估,及時處置安全事件,組織開展教育培訓。
(4)審計追溯,網絡運營者應對數據處理的全生存周期進行記錄,確保數據處理可審計、可追溯。
第二,數據處理生命周期安全要求。主要包括以下七類數據處理基本活動:
(1) 收集。網絡運營者應遵循合法、正當、必要的原則,不收集與其提供的服務無直接或無合理關聯的個人信息,收集敏感個人信息前應獲取個人信息主體的單獨同意等。
(2) 存儲。網絡運營者存儲重要數據和個人信息不應超過約定期限或授權同意有效期;存儲重要數據和個人信息等敏感網絡數據,應采用加密、訪問控制、安全審計等安全措施。
(3) 使用。一是在定向推送及信息合成時,網絡運營者在提供定向推送信息服務的同時應提供非定向推送的選項;在提供新聞、博客類信息服務的過程中,利用算法自動合成文字、圖片、音視頻等信息,應明確告知用戶;二是針對第三方應用管理時,網絡運營者應監督第三方應用運營者加強數據安全管理;通過合同等形式明確雙方的責任和義務;宜對接入或嵌入的第三方應用開展技術檢測。
(4) 加工。網絡運營者在開展轉換、匯聚、分析等數據加工活動的過程中,知道或者應知道可能危害國家安全、公共安全、經濟安全和社會穩定的,應立即停止加工活動。
(5) 傳輸。網絡運營者在傳輸重要數據和敏感個人信息時,應采用加密、脫敏等安全措施;向數據接收方傳輸數據時,應按要求采取安全措施并以合同進行約定。
(6) 提供。一是網絡運營者向他人提供數據前,應進行安全影響分析和風險評估;向他人提供個人信息應履行告知義務并獲取同意;委托第三方開展數據處理活動應通過合同等形式明確處理目的、權利義務等相關信息;共享、轉讓重要數據需簽訂合同明確數據保護責任并采取保障措施。二是網絡運營者向境外提供數據時,應遵循國家相關規定和相關標準的要求。境內用戶在境內訪問境內網絡的,其流量不應路由至境外。
(7) 公開。網絡運營者利用所掌握的數據資源,公開市場預測、統計等信息時,不應危害國家安全、公共安全、經濟安全和社會穩定。
第三,數據處理管理安全要求。主要包括三個方面:
(1)數據安全責任人,網絡運營者處理重要數據和敏感個人信息的,應明確數據安全責任人,并為其提供必要的資源保障,保證其獨立履行相關職責。
(2)人力資源保障與考核,一是網絡運營者應明確數據安全保護崗位及職責,并提供人力資源保障;二是網絡運營者應建立人力資源考核制度,明確數據安全管理考核指標和問責機制。
(3)事件應急處置,網絡運營者應建立數據安全事件應急響應機制,配備應急響應所需的資源,并制定應急演練計劃。
三、《認證規則》對產業發展的影響
(一)內容思考展望
《認證規則》的出臺進一步明確了數據安全管理認證的相關要求,但在認證時限、持續監督等方面仍有待細化。如《認證規則》尚未明確規定整體認證程序以及資料評審、技術驗證、現場審核、認證決定和證書批準等認證各環節的時限;此外,未明確規定持續監督的方式、頻次、內容等,這類程序事項同樣也影響到認證程序能否順利執行。與此同時,《認證規則》還明確規定了認證機構應當“細化認證實施程序,制定實施細則,并對外公布實施”。可見,上述這些未明確的問題,有待持續關注相關認證機構(尚未公布具體名單)的后續細則文件。
(二)產業影響分析
一方面,在數據安全產業供給側,將帶動數據安全管理認證相關服務的發展。此前,國家市場監管總局委托中國網絡安全審查技術與認證中心面向第三方機構和部分安全廠商開展“移動互聯網應用程序(App)個人信息安全測試項目”能力驗證計劃,驗證結果合格可作為申請“App安全認證”簽約實驗室的基本條件之一(《關于受理“移動互聯網應用程序(App)安全認證”簽約實驗室申請的通知》)。據此,我們有理由推論:數據安全管理認證領域也不排除組織開展類似專項計劃的可能,并推進建立健全技術檢測機構(或實驗室)的準入機制,而這也將為數據安全管理認證檢測服務行業帶來新的業務增長點。
另一方面,在數據安全產業需求側,將在一定程度上促進企業提高對數據安全落地的自覺性,主動構建和完善自身數據安全防護體系。企業可重點關注以下三方面工作:一是加強數據處理安全總體規劃,按照數據識別、分類分級、風險防控和審計追溯等流程制定相應規范;二是建立數據處理安全管理制度,包括設立數據安全責任人、明確人力資源保障與考核以及建立事件應急處置機制等;三是規范數據處理安全技術要求,在遵循數據處理安全技術要求通用規定的基礎上,明確數據收集、存儲、使用、加工、傳輸、提供、公開,以及對個人信息查閱、更正、刪除,訪問控制與審計,數據刪除和匿名化等方面要求。
《認證規則》的發布不僅明確了數據安全管理認證要求,更為網絡安全產業帶來了新的發展機遇。綠盟科技將繼續秉承“專攻術業,成就所托”的宗旨,深耕網絡和數據安全,務實創新,穩步前行,為我國數字化發展戰略和數據安全管理認證工作持續貢獻力量。
