數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
小貝案語
11月14日,國家互聯網信息辦公布了《網絡數據安全管理條例(征求意見稿)》。為此,小貝說安全設立《網絡數據安全管理條例(征求意見稿)》(后文簡稱《條例》)解讀專欄,以百問百答的形式對《條例》進行系列解讀。
需要指出,這些解讀只是專家個人觀點,不代表官方意見;且這些解讀針對的是征求意見稿,未來條文本身可能會發生變化,不排除會有新增和刪除。
對應條款
第九條 數據處理者應當采取備份、加密、訪問控制等必要措施,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防范針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。
數據處理者應當按照網絡安全等級保護的要求,加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
數據處理者應當使用密碼對重要數據和核心數據進行保護。
解讀
明確各方的權利、義務與責任,這是法律法規的基本功能。之所以要制定數據安全相關的法律法規,一個重要的目的是規定數據處理者應當履行的安全保護義務。
但在客觀上,無論是網絡安全還是數據安全,其保護要求一定是全面和成體系的,這導致法律條文不可能窮盡所有要求,更多的需要通過標準規范予以落實。
因此,法律法規中一般都是原則性規定安全保護的目標,以列舉形式提出應當采取的技術措施。《網絡安全法》第二十一條如此,《數據安全法》第二十七條如此,《條例》第九條亦是如此。
但不能認為,數據處理者應當履行的安全保護義務僅限于條款列舉的技術措施。相關條款的重點是確立保護制度,特別是建立監管體系。監管所依據的標準規范對數據處理者而言肯定要嚴格遵循,這同樣是履行法律義務所必需。當然,這也對標準規范的科學性合理性提出了要求。特別是,目前我國已經制定了300余部網絡安全國家標準,從發展趨勢看,其中數據安全標準占比正不斷上升,一定要確保數據安全標準的高質量。尤其是要避免在沒有頂層設計時分散制定數據安全標準,導致數據處理者對多部標準無所適從的情況出現。
當前,有一種現象要引起注意。由于法律法規對數據安全技術措施的規定較為原則,很多企業、機構可能會有自己的解釋,包括提出自己的產品體系、技術方案。這有利于提升全社會數據安全意識,有利于幫助客戶提高技術防護能力,但不能將這些產品解釋為法律法規的要求。法律法規永遠不會規定具體的技術產品,無論是監管部門還是企業都不能以此強迫或誤導用戶。
對應條款
第九條 數據處理者應當采取備份、加密、訪問控制等必要措施,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防范針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。
數據處理者應當按照網絡安全等級保護的要求,加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。
數據處理者應當使用密碼對重要數據和核心數據進行保護。
解讀
雖然我國針對網絡安全和數據安全分別立法,且理論界、監管部門一直在探討網絡安全立法和數據安全立法孰為上孰為下的問題,但毫無疑問的是,保護網絡安全與保護數據安全的措施不可能完全區分開。很難說,防黑客入侵的網絡安全技術手段不是為了保護數據安全。因此,不能脫離網絡安全保護而談數據安全,網絡安全是基礎。
正因為如此,《數據安全法》第二十七條提出,利用互聯網等信息網絡開展數據處理活動,應當在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務。這一要求符合技術規律。
當然,這并不意味著所有的數據安全保護目標都可以通過等級保護制度去實現,例如數據處理者收集使用數據的合規性便不在傳統的等級保護要求之中。等級保護要求主要是防范外部攻擊和內部人員濫用。但如果數據處理者自身非法收集、濫用數據呢?這的確超出了以往安全技術體系的范疇。
但多數保護數據安全的技術措施要求,的確與等級保護是一致的。為此,《條例》需要落實《數據安全法》第二十七條的規定,說清楚什么叫做“在網絡安全等級保護制度的基礎上,履行上述數據安全保護義務”。
為此,《條例》規定,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求。
對上述規定,還可以從兩個角度進行延伸理解。
一是,數據安全的法律法規將數據安全與等級保護進行關聯后,等級保護的技術標準(包括等保測評規范)有可能需要修訂,以突出數據安全的內容。
二是,數據安全保護同關鍵信息基礎設施保護是什么關系?某些重要的數據處理平臺,是不是有可能被列為關鍵信息基礎設施?《條例》試圖解決這個問題。但鑒于《關鍵信息基礎設施安全保護條例》已規定了關鍵信息基礎設施的認定程序,故《條例》不擬在認定程序之外硬性指定某類系統或平臺為關鍵信息基礎設施。但《條例》規定,處理重要數據的系統原則上應當滿足關鍵信息基礎設施安全保護要求,這實際上是非常嚴肅的法律義務,因為上位法和其他有關法律法規對關鍵信息基礎設施提出的安全要求非常嚴格,面向的是有組織、大規模、高烈度網絡攻擊的防護。
對應條款
第十條 數據處理者發現其使用或者提供的網絡產品和服務存在安全缺陷、漏洞,或者威脅國家安全、危害公共利益等風險時,應當立即采取補救措施。
解讀
《條例》第十條補充完善了《數據安全法》第二十九條的規定。
《數據安全法》第二十九條要求,開展數據處理活動應當加強風險監測,發現數據安全缺陷、漏洞等風險時,應當立即采取補救措施;發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。
但就技術原理而言,“數據安全缺陷、漏洞”的提法不太容易被理解和接受,因為人們常說的是網絡安全缺陷、漏洞。例如,由于操作系統或應用軟件存在漏洞,導致攻擊者侵入了系統,從而對數據造成了損害,這是典型的網絡安全漏洞,怎么能稱為數據安全漏洞呢?即使數據庫、數據處理系統存在漏洞,這也是網絡安全漏洞,“數據”怎么能有“缺陷”和“漏洞”呢?
因此,《數據安全法》第二十九條的表述容易引起誤解和歧義。《條例》第十條則在技術上對此作了澄清,便于理解和實施上位法的要求。
對應條款
第十一條 數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啟動應急響應機制,采取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可采取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,數據處理者應當按規定向公安機關報案。
發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等;
(二)在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。
解讀
可以從以下四個方面理解《條例》第十一條對數據處理者應急處置義務的一般要求:
一是,該條分層次提出了數據安全應急處置要求。首先是規定了通用的一般要求,在此基礎上規定了重要數據或者十萬人以上個人信息安全事件的應急處置義務。有的人提出,為什么不把后者放到“重要數據安全”一章中呢?這不是不可以,但會帶來理解上的不便。故《條例》還是將兩者放在了同一條款之中。
二是,“三個工作日內”指的是對事件發生的事實進行通報,并不是要求通報事情處理的完整情況。一些人提出,三個工作日內恐怕無法對事件處理完畢,這是對條款的誤解。
三是,該條的一般要求實際上是建立“泄露-通知”制度,但把國際上通行的“泄露-通知”制度從個人信息保護擴大到了個人信息和其他數據的保護,要求通知到“利害關系人”,這可以是個人或組織。從實際工作需求看,這樣的規定是十分必要的。
四是,《網絡安全法》《數據安全法》和《個人信息保護法》對制定應急預案的要求不完全一致,《條例》作了折中。《網絡安全法》第二十五條要求,網絡運營者應當制定網絡安全事件應急預案。《數據安全法》第二十九條要求,發生數據安全事件時,應當立即采取處置措施,按照規定及時告知用戶并向有關主管部門報告。《個人信息保護法》第五十一條要求,個人信息處理者應當制定并組織實施個人信息安全事件應急預案。顯然,作為一般和通用要求,《網絡安全法》要求制定網絡安全應急預案,但《數據安全法》卻沒有要求制定數據安全應急預案。而《個人信息保護法》又要求制定個人信息安全事件應急預案。那么,網絡安全應急預案中難道不包含數據安全事件嗎?個人信息安全事件應急預案難道不是數據安全應急預案的一種嗎?對這種不一致,《條例》作了折中處理,未明確規定數據安全應急預案(不同場景下各自遵循上位法即可),而是要求事發時啟動應急響應“機制”。
對應條款
第十一條 數據處理者應當建立數據安全應急處置機制,發生數據安全事件時及時啟動應急響應機制,采取措施防止危害擴大,消除安全隱患。安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害后果、已經采取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關系人,無法通知的可采取公告方式告知,法律、行政法規規定可以不通知的從其規定。安全事件涉嫌犯罪的,數據處理者應當按規定向公安機關報案。
發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時,數據處理者還應當履行以下義務:
(一)在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息,包括涉及的數據數量、類型、可能的影響、已經或擬采取的處置措施等;
(二)在事件處置完畢后五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害后果、責任處理、改進措施等情況的調查評估報告。
解讀
可以從以下四個方面理解《條例》第十一條對重要數據或者十萬人以上個人信息事件應急處置義務的要求:
一是,在履行重要數據或者十萬人以上個人信息事件應急處置義務時,應當同步履行一般應急處置義務(《條例》措辭是“還應當”),主要是“泄露-通知”義務,以及就犯罪線索向公安機關報告的義務。
二是,“十萬”有具體的考量。有的人提出,即使是一萬人的個人信息泄露(例如信用卡信息被竊取),也會帶來很大的社會影響。這是事實。但考慮到前款已經規定了“泄露-通知”制度,對保護當事人合法權益而言已經適宜,且《個人信息保護法》還在第六十四條進一步規定了有關部門對個人信息安全事件的查處權限(可以按照規定的權限和程序對該個人信息處理者的法定代表人或者主要負責人進行約談,或者要求個人信息處理者委托專業機構對其個人信息處理活動進行合規審計),故《條例》不宜對數據處理者增加太多的義務。而將這個數量定在一百萬也不合適,個人信息安全事件的影響畢竟非同小可。經綜合考量,《條例》將此類應急處置義務的門檻定在“十萬”。
三是,“八小時”指向網信部門和有關主管部門報告事件發生的事實,而并不是要求必須在八小時內處置完畢。“五個工作日”指事件處置完畢后五個工作日內上報調查評估報告。至于事件處置需要花費多長時間,這與事件具體情況有關,《條例》不作規定。
四是,除向網信部門報告外,還應報告有關主管部門。在具體事件處置中,這個“有關主管部門”要根據事件性質、涉及的領域、部門職責等因素確定,《條例》不作統一規定。
相關文章:
數安條例百問15、16、17、18、19:關于數據處理者安全保護義務
數安條例百問27、28、29、30:關于“一般要求”中的幾個特定考慮
數安條例百問46、47、48:關于生物特征應用和一百萬人以上個人信息處理者的適用
數安條例百問55、56、57、58、59:關于年度評估與對外提供數據的風險評估
