关于数据安全管理认证之重点解读
作者:吴卫明 李荣荣 2022-06-13在数字经济时代,数据蕴含独立的经济价值乃至国家安全价值已成为共识,与此同时,数据滥用、个人信息泄露、异常流量攻击、“大数据杀熟”等数据安全问题的社会关注度也日益提升。对于实施数据处理活动的主体而言,面对数据安全合规的新态势,如何提高数据安全管理水平的公信力成为其需要考量的重要问题,而通过专业性、独立性、权威性的第三方机构认证,按照有关规定在广告等宣传中使用认证标志,有助于数据处理相关业务获得竞争优势。
2019年5月28日,国家互联网信息办公室(以下简称“网信办”)发布的《数据安全管理办法(征求意见稿)》中首次提出了数据安全管理认证[1];随后,2019年6月28日,工业和信息化部于发布的《电信和互联网行业提升网络数据安全保护能力专项行动方案》提及了App数据安全管理认证[2];2019年6月1日10日发布并于9月1日生效的《数据安全法》从法律层面正式确定了数据安全管理认证[3]。但前述法律文件对数据安全管理认证的规定较为原则,缺乏具体的操作性规定。
2022年6月9日,国家市场监督管理总局、网信办联合发布了《关于开展数据安全管理认证工作的公告》及其附件《数据安全管理认证实施规则》,规定了数据安全管理认证的依据、模式、实施程序、证书和标志、实施细则以及认证责任,进一步推动了数据安全管理认证的落地执行。
一、数据安全管理认证的适用对象 根据《数据安全管理认证实施规则》第1条规定:“本规则依据《中华人民共和国认证认可条例》制定,规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求”,数据安全管理认证的适用对象为“网络运营者”。 “网络运营者”是《网络安全法》《儿童个人信息网络保护规定》《移动互联网应用程序(App)安全认证实施规则》[4]等法律规定中的称谓,即网络的所有者、管理者和网络服务提供者。而其他法律法规、规范性文件中对于实施数据处理活动的主体还有不同的称谓,比如,推荐性国家标准《信息安全技术 个人信息安全规范》(以下简称“《个人信息安全规范》”)中,将实施数据收集、存储、使用、加工、传输、提供、公开等活动的主体称为“个人信息控制者”;《数据安全法》定义了数据处理的概念,从而可以归纳,实施数据处理活动的主体为数据处理主体[5];《个人信息保护法》直接定义了“个人信息处理者”这一法定概念,即在个人信息处理活动中自主决定处理目的、处理方式的组织、个人[6]。如前述“个人信息控制者”、数据处理主体、“个人信息处理者”开展网络数据处理活动,基于自身防范数据安全治理的需求,也可以依法申请数据安全管理认证。 二、数据安全管理认证的依据 根据《数据安全管理认证实施规则》第2条规定,数据安全管理认证的依据为《信息安全技术 网络数据处理安全要求》(GB/T 41479,以下简称“《网络数据处理安全要求》”)及相关标准规范。 《网络数据处理安全要求》系数据安全管理认证依据的主要标准规范,该规范已于2022年4月15日发布,并将于2022年11月1日实施,起草单位主要包括中国网络安全审查技术与认证中心(以下简称“CCRC”)、中国信息通信研究院等,主要内容包括数据处理安全的总体要求、技术要求、管理要求。 需要注意的是,APP安全认证系与数据管理安全认证并行的认证机制,根据国家市场监督管理总局、网信办于2019年3月13日发布的《移动互联网应用程序(App)安全认证实施规则》,APP安全认证的主要依据为标准规范《个人信息安全规范》”[7],App安全认证机构CCRC要求认证申请方提交《<个人信息安全规范>自评价表》,该表格详尽列明了《个人信息安全规范》的规范要点,认证申请方需逐个条款进行自查[8]。CCRC官网显示:“根据有关任务安排,中国网络安全审查技术与认证中心负责数据安全管理认证制度的具体建设和实施工作”,数据安全管理认证机构的确定估计也由CCRC牵头(最终以主管机关正式法律文件中指定的数据安全管理认证机构为准)。参照前述App安全认证的自查模式,认证机构届时可能同样会要求数据安全管理认证申请方逐一按照《网络数据处理安全要求》的规范要点进行自查。 三、数据安全管理认证实施程序 《数据安全管理认证实施规则》第4条对数据安全认证实施程序作出了详细规定,具体程序如下图所示: 数据安全管理认证程序需重点关注的事项主要包括: 一是总体认证程序。网络运营者通过认证需经过 “认证申请-认证受理-技术验证-现场审核-认证决定”的一系列环节,在获证后还需接受认证机构一定频次的持续监督,通过认证仅能代表认证时符合相关标准规范,并不代表以后一直处于合格状态。所以,网络运营者在通过数据安全管理认证后,仍应进行必要的管理与技术投入让自身持续处于合格状态。 二是认证失败的情形。如上图红色方框所示,导致数据安全管理认证失败的情形主要包括:(1)认证委托人提交的认证委托资料未通过认证机构审查;(2)对暂不符合认证要求的,认证委托人在限期整改期间内仍未整改合格;(3)认证委托人存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为;(4)未通过获证后监督结果的评价。 三是认证时限、持续监督等待细化事项。《数据安全管理认证实施规则》未明确规定整体认证程序以及资料评审、技术验证、现场审核、认证决定和证书批准以及制作等认证各环节的时限,未明确规定持续监督的方式、频次、内容等,该等实操层面的程序事项同样也影响到认证程序能否顺利执行,该规定第6条赋予了认证机构细化认证程序的权限[9],建议持续关注主管机关指定的认证机构对此发布的细则文件。 四、数据安全管理认证应关注的其他重点事项 (一) 针对数据安全管理认证中“网络”的界定 如前所述,数据安全管理认证的适用范围为网络运营者开展网络数据处理活动。《网络数据处理安全要求》第3.5条中的“注”将“网络”的范围进一步限缩为“开放公共网络”,这就意味着,企业专用网、政府专网等网络运营者通过内部的专用封闭网络开展数据处理活动可不适用数据安全管理认证。 (二) 数据安全管理认证的自愿性 如前所述,数据安全管理认证的依据为标准规范。不同于由国家强制力保证实施的法律、行政法规、司法解释、部委规章、地方法规等法律法规,标准规范通常并无强制执行效力(除强制性国家标准外),可供相关机构自愿采用[10]。所以,《关于开展数据安全管理认证工作的公告》规定:“主管机关鼓励通过认证方式规范网络数据处理活动”,申请数据安全管理认证由网络运营者自愿参与,而非法律义务。 (三)数据安全管理认证与网络安全等级保护的区别 根据《网络安全法》《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》《公安机关互联网安全监督检查规定》等法律法规,对于网络运营者而言,应按照网络安全等级保护制度的要求履行相应的安全保护义务。进一步,根据《信息安全等级保护管理办法》等信息安全等级保护测评机制(系网络安全等级保护前身)相关的法律规定,系统建设完成后,网络运营者申请符合条件的测评机构开展等级测评具有法律强制性[11],而如前所述, 申请数据安全管理认证具有自愿性。 同时,根据《认证认可条例》关于“认证”的定义[12],数据安全管理认证属于管理体系的认证,通过该认证,能证明网络运营者的“数据安全管理体系”达到了相关技术规范的合格要求。结合《信息安全技术 网络安全等级保护基本要求》关于“网络安全”的定义[13],“网络安全”除了包括确保“网络”处于“稳定可靠运行的状态”外,还包括保障网络“数据”的“完整性、保密性、可用性的能力”。从字面上理解,相较于数据安全管理认证,网络安全等级保护测评的评价对象范围较为宽泛。 综上,在我国数据安全合规监管态势趋严的背景下,出台《数据安全管理认证实施规则》具有积极的意义,一方面,体现了国家对数据安全的高度重视,另一方面,有助于引导各方依法开展数据安全管理认证工作。 注释 [1] 《数据安全管理办法(征求意见稿)》第三十四条规定 国家鼓励网络运营者自愿通过数据安全管理认证和应用程序安全认证,鼓励搜索引擎、应用商店等明确标识并优先推荐通过认证的应用程序。国家网信部门会同国务院市场监督管理部门,指导国家网络安全审查与认证机构,组织数据安全管理认证和应用程序安全认证工作。 [2] 《电信和互联网行业提升网络数据安全保护能力专项行动方案》三、重点任务 创新工作模式,引导鼓励第三方机构开展App数据安全管理认证,探索推动应用商店等明确标识并优先推荐通过认证的App。 [3] 《数据安全法》第十八条规定 国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。 [4] 《网络安全法》第七十六条规定 (三)网络运营者,是指网络的所有者、管理者和网络服务提供者。 《儿童个人信息网络保护规定》第七条规定 网络运营者收集、存储、使用、转移、披露儿童个人信息的,应当遵循正当必要、知情同意、目的明确、安全保障、依法利用的原则。 《移动互联网应用程序(App)安全认证实施规则》4.1.1规定 认证申请主体为通过App向用户提供服务的网络运营者(以下简称“App运营者”),且取得市场监督管理部门或有关机构注册登记的法人资格。 [5] 《数据安全法》第三条第二款规定 数据处理,包括数据的收集、存储、使用、加工、传输、提供、公开等。 [6] 《个人信息保护法》第七十三条规定 (一)个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。 [7]《移动互联网应用程序( App)安全认证实施规则》第2条规定 App安全认证的认证依据为 GB/T 35273《 信息安全技术 个人信息安全规范》及相关标准、 规范。 [8] 移动互联网应用程序(App)安全认证申请书,查询网址: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.isccc.gov.cn%2Fimages%2Fzxyw%2Fcprz%2Fydhlwrz%2Fsqsxz%2F2021%2F05%2F14%2F4241DA930135495D768BDBA7EA8AB92F.doc&wdOrigin=BROWSELINK。 [9] 《数据安全管理认证实施规则》第6条规定 认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 [10]《标准化法》第二条规定 本法所称标准(含标准样品),是指农业、工业、服务业以及社会事业等领域需要统一的技术要求。标准包括国家标准、行业标准、地方标准和团体标准、企业标准。国家标准分为强制性标准、推荐性标准,行业标准、地方标准是推荐性标准。强制性标准必须执行。国家鼓励采用推荐性标准。 [11] 《信息安全等级保护管理办法》第十四条规定 信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。第三级信息系统应当每年至少进行一次等级测评,第四级信息系统应当每半年至少进行一次等级测评,第五级信息系统应当依据特殊安全需求进行等级测评。 [12] 《认证认可条例》第二条第一款 本条例所称认证,是指由认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。 [13] 《信息安全技术 网络安全等级保护基本要求》3.1网络安全 通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。