近日,国家市场监管总局、国家互联网信息办公室联合发布《关于开展数据安全管理认证工作的公告》(以下简称《公告》),鼓励网络运营者通过数据安全管理认证方式规范网络数据处理活动,加强网络数据安全保护。同时发布的《数据安全管理认证实施规则》(以下简称《认证规则》),明确规定了认证对象、认证流程及合规要求等内容。本文将简要介绍数据安全管理认证的性质,梳理《认证规则》的内容要点,并进一步思考其对网安产业发展的影响。
一. 数据安全管理认证性质简析
根据国际标准化组织(ISO)和国际电工委员会(IEC)等国际组织公认的定义,认证是指由国家认可的认证机构提供书面保证,证明一个组织的产品、服务、管理体系符合相关标准、技术规范或特定要求的合格评定活动。
从认证对象来看,目前国家认证认可监督委员会开展的数据安全认证类型包括管理体系认证、产品认证和服务认证三种,分别对应代码编号为:管理体系认证(A)、产品认证(B、PV)及服务认证(C、SC)。从编号规则来看,本次发布的数据安全管理认证(B0327)属于产品认证。此前,数据安全认证工作主要集中在服务和管理体系两方面,本次数据安全管理认证工作的开展填补了该领域在产品类目的空白。
从认证依据来看,数据安全认证依据包括国际标准、国家标准、行业标准和技术规范等,本文仅讨论依据国家标准实施的认证。根据不完全统计,截至目前实施的数据安全认证共有8个,如表1所示。
二.《认证规则》内容要点概述
从法律层面来看,《认证规则》是落实《数据安全法》关于“国家促进数据安全认证服务发展”相关规定的落地举措,对数据安全管理的认证对象、认证流程和合规要求等方面作出体系化部署,具体内容分析如下。
(一)认证对象
《认证规则》规定了“对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求”。其中明确了两个概念:
一是适用主体,即数据安全管理认证的适用对象为“网络运营者”,该定义出自《网络安全法》“网络的所有者、管理者和网络服务提供者”;
二是适用行为,即数据安全管理认证的适用范围是“收集、存储、使用、加工、传输、提供、公开”等网络数据处理活动,这与《数据安全法》中规定的保持一致。
(二)认证流程
《认证规则》对数据安全认证实施程序作出详细规定,通过认证需经过“认证申请-资料审查-技术验证-现场审核-认证决定”等一系列环节,具体流程如下图所示。
在此,网络运营者还需要重点关注获证后认证机构的持续监管。通过认证仅能代表认证时符合相关标准规范,并不能一劳永逸。(《认证规则》第4.5.1规定,认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次。)因此,网络运营者在通过数据安全管理认证后,还应进行必要的管理与技术投入以确保“持续符合”各项监督评价要求。
(三)合规要求
《认证规则》明确指出《信息安全技术 网络数据处理安全要求》(GB/T 41479-2022)是数据安全管理认证的主要依据,该标准将于2022年11月1日正式实施,规定了网络运营者在开展数据处理活动时的技术与管理要求。根据该标准的规定,数据认证处理活动的合规要求主要包括以下三个方面:
第一,数据处理总体安全要求。主要包括四类:
(1)数据识别,网络运营者应识别处理活动中涉及的数据,形成数据保护目录,并及时更新。
(2)分类分级,网络运营者应按照国家标准,根据合同规定和业务运营需要,对数据进行分类分级管理。
(3)风险防控,网络运营者应建立数据安全管理责任和评价考核制度,制定数据安全保护计划,开展安全风险评估,及时处置安全事件,组织开展教育培训。
(4)审计追溯,网络运营者应对数据处理的全生存周期进行记录,确保数据处理可审计、可追溯。
第二,数据处理生命周期安全要求。主要包括以下七类数据处理基本活动:
(1) 收集。网络运营者应遵循合法、正当、必要的原则,不收集与其提供的服务无直接或无合理关联的个人信息,收集敏感个人信息前应获取个人信息主体的单独同意等。
(2) 存储。网络运营者存储重要数据和个人信息不应超过约定期限或授权同意有效期;存储重要数据和个人信息等敏感网络数据,应采用加密、访问控制、安全审计等安全措施。
(3) 使用。一是在定向推送及信息合成时,网络运营者在提供定向推送信息服务的同时应提供非定向推送的选项;在提供新闻、博客类信息服务的过程中,利用算法自动合成文字、图片、音视频等信息,应明确告知用户;二是针对第三方应用管理时,网络运营者应监督第三方应用运营者加强数据安全管理;通过合同等形式明确双方的责任和义务;宜对接入或嵌入的第三方应用开展技术检测。
(4) 加工。网络运营者在开展转换、汇聚、分析等数据加工活动的过程中,知道或者应知道可能危害国家安全、公共安全、经济安全和社会稳定的,应立即停止加工活动。
(5) 传输。网络运营者在传输重要数据和敏感个人信息时,应采用加密、脱敏等安全措施;向数据接收方传输数据时,应按要求采取安全措施并以合同进行约定。
(6) 提供。一是网络运营者向他人提供数据前,应进行安全影响分析和风险评估;向他人提供个人信息应履行告知义务并获取同意;委托第三方开展数据处理活动应通过合同等形式明确处理目的、权利义务等相关信息;共享、转让重要数据需签订合同明确数据保护责任并采取保障措施。二是网络运营者向境外提供数据时,应遵循国家相关规定和相关标准的要求。境内用户在境内访问境内网络的,其流量不应路由至境外。
(7) 公开。网络运营者利用所掌握的数据资源,公开市场预测、统计等信息时,不应危害国家安全、公共安全、经济安全和社会稳定。
第三,数据处理管理安全要求。主要包括三个方面:
(1)数据安全责任人,网络运营者处理重要数据和敏感个人信息的,应明确数据安全责任人,并为其提供必要的资源保障,保证其独立履行相关职责。
(2)人力资源保障与考核,一是网络运营者应明确数据安全保护岗位及职责,并提供人力资源保障;二是网络运营者应建立人力资源考核制度,明确数据安全管理考核指标和问责机制。
(3)事件应急处置,网络运营者应建立数据安全事件应急响应机制,配备应急响应所需的资源,并制定应急演练计划。
三、《认证规则》对产业发展的影响
(一)内容思考展望
《认证规则》的出台进一步明确了数据安全管理认证的相关要求,但在认证时限、持续监督等方面仍有待细化。如《认证规则》尚未明确规定整体认证程序以及资料评审、技术验证、现场审核、认证决定和证书批准等认证各环节的时限;此外,未明确规定持续监督的方式、频次、内容等,这类程序事项同样也影响到认证程序能否顺利执行。与此同时,《认证规则》还明确规定了认证机构应当“细化认证实施程序,制定实施细则,并对外公布实施”。可见,上述这些未明确的问题,有待持续关注相关认证机构(尚未公布具体名单)的后续细则文件。
(二)产业影响分析
一方面,在数据安全产业供给侧,将带动数据安全管理认证相关服务的发展。此前,国家市场监管总局委托中国网络安全审查技术与认证中心面向第三方机构和部分安全厂商开展“移动互联网应用程序(App)个人信息安全测试项目”能力验证计划,验证结果合格可作为申请“App安全认证”签约实验室的基本条件之一(《关于受理“移动互联网应用程序(App)安全认证”签约实验室申请的通知》)。据此,我们有理由推论:数据安全管理认证领域也不排除组织开展类似专项计划的可能,并推进建立健全技术检测机构(或实验室)的准入机制,而这也将为数据安全管理认证检测服务行业带来新的业务增长点。
另一方面,在数据安全产业需求侧,将在一定程度上促进企业提高对数据安全落地的自觉性,主动构建和完善自身数据安全防护体系。企业可重点关注以下三方面工作:一是加强数据处理安全总体规划,按照数据识别、分类分级、风险防控和审计追溯等流程制定相应规范;二是建立数据处理安全管理制度,包括设立数据安全责任人、明确人力资源保障与考核以及建立事件应急处置机制等;三是规范数据处理安全技术要求,在遵循数据处理安全技术要求通用规定的基础上,明确数据收集、存储、使用、加工、传输、提供、公开,以及对个人信息查阅、更正、删除,访问控制与审计,数据删除和匿名化等方面要求。
《认证规则》的发布不仅明确了数据安全管理认证要求,更为网络安全产业带来了新的发展机遇。绿盟科技将继续秉承“专攻术业,成就所托”的宗旨,深耕网络和数据安全,务实创新,稳步前行,为我国数字化发展战略和数据安全管理认证工作持续贡献力量。