《网络数据安全管理条例》发布 三大上位法进入落地倒计时
釋出日期:2021-11-15 作者:奇安信集团
2021年11月14日,國家互聯網信息辦公室對外發布《網絡數據安全管理條例(徵求意見稿)》公開徵求意見。《條例》旨在落實三大上位法關於數據安全管理的規定,規範網絡數據處理活動,保護個人、組織在網絡空間的合法權益,維護國家安全和公共利益。
奇安信數據安全專家認為,數據安全關係到經濟、公共利益與國家安全,今年9月和11月相繼實施的《數據安全法》、《個人信息保護法》,和《網絡安全法》共同構成和數據安全緊密相關的三大上位法。此次發佈的《條例》,在實施細則、責任界定、規範要求、懲罰措施等方面更加清晰細緻,為廣大政企客户、平台型互聯網企業等都提供了數據安全體系建設和滿足合規監管的完整路徑,補齊了上位法在操作實施層面存在的空白。
01
廣大政企機構:六大舉措構建完善的數據安全體系
對於數字化轉型的主題,廣大的政企機構,是本次《條例》重要的適用對象。需要在以下六個方面落實相關舉措。
舉措一:明確責任、細化義務
對於政企機構而言,首要任務是依據法律條例合規解讀,明確責任與義務。
首先,關於適用對象,《條例》在第二條細則中指出,開展數據處理活動、網絡數據安全監督管理,以及“以向境內提供產品或者服務為目的;分析、評估境內個人、組織的行為;涉及境內重要數據處理;法律、行政法規規定的其他情形”都適用於本《條例》。
其次,關於責任與義務,按照第六條所説“數據處理者對所處理數據的安全負責,履行數據安全保護義務,接受政府和社會監督,承擔社會責任。數據處理者應當按照有關法律、行政法規的規定和國家標準的強制性要求,建立完善數據安全管理制度和技術保護機制。”
具體來説,《條例》第九條圍繞各類場景、等保要求等詳細説明瞭數據處理者的責任與義務,“應當採取備份、加密、訪問控制等必要措施,保障數據免遭泄露、竊取、篡改、毀損、丟失、非法使用,應對數據安全事件,防範針對和利用數據的違法犯罪活動,維護數據的完整性、保密性、可用性。”
並且,按照網絡安全等級保護要求,數據處理者還應“加強數據處理系統、數據傳輸網絡、數據存儲環境等安全防護,處理重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求,處理核心數據的系統依照有關規定從嚴保護。”此外,數據處理者應當使用密碼對重要數據和核心數據進行保護。
奇安信認為,
作為上位法的配套細則,《網絡數據安全管理條例》明確規定了適用對象,對數據處理者相應的法律責任與義務做出了詳細規定,主要集中在三個方面,即明確了必要措施以及應對的安全風險和事件;明確了重要數據系統必須滿足等保三級以上和關基保護要求;明確了使用多種綜合方法在不同環節保護重要數據和信息數據,便於政企組織依據《條例》進行合規解讀、明晰責任,進一步推動後續數據安全管理措施的落地與執行。
舉措二:調整組織、確定策略
《條例》第二十八條指出“重要數據的處理者,應當明確數據安全負責人,成立數據安全管理機構。”
《條例》強調,在數據安全負責人的領導下,重要數據的處理者履行以下職責“研究提出數據安全相關重大決策建議;制定實施數據安全保護計劃和數據安全事件應急預案;開展數據安全風險監測,及時處置數據安全風險和事件;定期組織開展數據安全宣傳教育培訓、風險評估、應急演練等活動;受理、處置數據安全投訴、舉報;按照要求及時向網信部門和主管、監管部門報告數據安全情況。”
《條例》從國家、政企組織等層面強調健全管理制度,建立數據安全管理機構,明確負責人、處理者各方責任與義務。
對此,奇安信建議,
政企組織根據自身工作情況與業務儘快建立數據安全管理機構,根據相關法律法規以及行業標準做合規指引,結合IT與數字化戰略、合規性、業務需求、數據安全風險等情況,制定相應的管理制度、規範和流程,對數據確權、數據使用策略等進行管理,從而延伸到數據安全策略,以便於指導數據管理落地工作,為數據安全提供充分的制度保障。
舉措三:摸清家底分級細化
關於數據分級分類,《條例》第五條詳細提到,“按照數據對國家安全、公共利益或者個人、組織合法權益的影響和重要程度,將數據分為一般數據、重要數據、核心數據,不同級別的數據採取不同的保護措施。”另外,《條例》專門針對重要數據安全展開,強調政企組織、各行業領域的數據處理者應“識別重要數據和核心數據,組織制定本地區、本部門以及相關行業、領域重要數據和核心數據目錄,並報國家網信部門。”
此外,《條例》附則對數據類別、重點行業、數據管理各方對象等進行了明確定義。
奇安信認為,
開展數據安全治理工作,相關政企應該儘快摸清家底,對數據資產進行盤點,摸清數據資產和以及個人信息數據分佈情況,制定重要數據和核心數據目錄。
識別重要數據、核心數據,對數據進行分類分級和打標,基於數據分類分級結果、敏感數據和重要數據的流轉及使用情況,構建數據脈絡,並結合場景化的數據安全⻛險分析及數據安全能力需求分析,制定數據安全策略和技術防護保障措施。
在數據安全管理上,要根據數據分級分類做到精細化防護,不同類別、不同級別要求的保護措施不同。
舉措四:界定階段、動態防護
《條例》第三條指出,“國家統籌發展和安全,堅持促進數據開發利用與保障數據安全並重,加強數據安全防護能力建設,保障數據依法有序自由流動,促進數據依法合理有效利用。”
奇安信認為,企業數字化需要統籌發展與安全,安全是前提,但要找平衡點,要結合自身數字化水平和現狀,建立相應的數據安全能力和防禦體系。
更進一步來説,傳統數據安全以靜態地保護數據實體為主,比如數據庫本身的安全、文件加密。而數字化時代的數據安全不僅要保護數據實體,還要以分類分級為基礎,在數據流轉基礎之上做動態的防護。
在這個過程中,企業需要在《條例》指引下,在關鍵環節對重要數據進行精準防護在數據的採集和存儲過程中採取必要的脱敏、去標識化、加密等安全保護手段。
對於數據流轉和使用的場景,奇安信建議,
政企機構需要基於零信任體系,結合數據應用場景,基於訪問主體(數字身份),對數據使用進行動態細粒度授權及訪問控制,實現對應用、服務,API接口、數據服務級別的精準管控,並對數據使用進行記錄留痕。
同時,圍繞數據流轉與訪問行為,政企機構需建立數據安全態勢感知平台,可視化呈現重要數據和個人數據的分佈態勢,做好風險監測和預警處置,並對數據安全威脅及時預警和處置。
針對客户數字化過程中的動態安全需求,奇安信發佈的“數據安全能⼒框架”,以及“數據安全概念運⾏圖”(數據安全ConOps),是數據安全建設的⼀套思路、⽅法與⼯具,可以幫助⽤户去設計和構建業務場景的數據安全體系和解決⽅案,展現了“數據安全治理到技術體系落地如何去貫穿,以及安全能⼒在信息化各個層⾯的⼯程化落地⽅法”。
舉措五:完善評估定期上報
《條例》第三十二條指出,處理重要數據或者赴境外上市的數據處理者,應當自行或者委託數據安全服務機構每年開展一次數據安全評估,並在每年1月31日前將上一年度數據安全評估報告報設區的市級網信部門。
其中,評估報告的內容包括:處理重要數據的情況;發現的數據安全風險及處置措施;數據安全管理制度,數據備份、加密、訪問控制等安全防護措施,以及管理制度實施情況和防護措施的有效性;落實國家數據安全法律、行政法規和標準情況;發生的數據安全事件及其處置情況等等。同時《條例》指出,“數據處理者應當保留風險評估報告至少三年。”
舉措六:特定場景特別應對
《條例》針對特定情況、特定場景等進行了細化,其中第五章專門介紹了“數據跨境安全管理”的要求細則。
第三十七條指出,“數據處理者向境外提供在中華人民共和國境內收集和產生的數據,屬於以下情形的,應當通過國家網信部門組織的數據出境安全評估。”情形包括“出境數據中包含重要數據”和“關鍵信息基礎設施運營者和處理一百萬人以上個人信息的數據處理者向境外提供個人信息”等。
奇安信建議,
圍繞數據跨境需要做好安全管理和評估工作,如涉及業務數據出境,則應明確數據使用範圍,對數據出境安全進行自評估,並藉助數據跨境監測工具,識別和發現出境流量做好自監管,嚴格按照法律法規要求進行管控和防護。奇安信在這個領域也給出了針對性數據跨境安全檢測方案。
同時,《條例》對規範數據交易、確保數據有序流通提出了明確規定。《條例》第七條指出,“國家推動公共數據開放、共享,促進數據開發利用,並依法對公共數據實施監督管理。”在具體落實上,包括“國家建立健全數據交易管理制度,明確數據交易機構設立、運行標準,規範數據流通交易行為,確保數據依法有序流通。”
在數據共享開放及交易過程中,通過數據安全分離、隱私計算等技術,實現敏感數據隱私計算的安全能力,在保證原始數據不流出的前提下進行價值挖掘,實現“數據不動程序動、數據可用不可⻅”,保障數據合法合規安全開放與使用。
目前哈工大(深圳)-奇安信數據安全研究院基於“數據不動程序動,數據可用不可見”的隱私保護新理念,研發了數據交易沙箱這一核心產品,實現了在保護數據隱私的前提下,最大限度地挖掘大數據價值。
總體來看,《條例》充分體現了“數據安全是合規、管理與技術體系融合”的觀點。奇安信在業內首次推出的數據安全運行構想圖,囊括了數據安全應具備的三個狀態:治理態、規劃態和運行態,細緻展現了數據安全治理結果轉化到規劃設計、技術落地的過程。
02
平台型互聯網企業:清晰界定職責履行合規監管
《條例》針對互聯網平台運營者,設定了專門章節,對個人信息保護層面,進行了具體細化,包括數量級的界定、上報時間的要求等,這對於擁有海量個人用户信息的平台型互聯網企業,具有重要的指導意義。
從數量維度對數據安全定級評估
《條例》在第六章第四十三條明確指出,互聯網平台運營者應當建立與數據相關的平台規則、隱私政策和算法策略披露制度,及時披露制定程序、裁決程序,保障平台規則、隱私政策、算法公平公正。
同時,《條例》根據用户數量細化了不同的職責和義務。明確指出,“日活用户超過一億的大型互聯網平台運營者平台規則、隱私政策制定或者對用户權益有重大影響的修訂的,應當經國家網信部門認定的第三方機構評估,並報省級及以上網信部門和電信主管部門同意。”
《條例》還提出,數據處理者處理一百萬人以上個人信息的,還應當遵守本條例第四章對重要數據的處理者作出的規定。可見,數據安全的重要級別和其個人信息的數量級別緊密相關。這個規定比《數據安全法》、《個人信息保護法》具有更詳盡的實操參考。
從時間維度明確響應速度
《條例》第十一條對響應時間、數量級等進行了約束,包括“安全事件對個人、組織造成危害的,數據處理者應當在三個工作日內將安全事件和風險情況、危害後果、已經採取的補救措施等以電話、短信、即時通信工具、電子郵件等方式通知利害關係人。”
對於“發生重要數據或者十萬人以上個人信息泄露、毀損、丟失等數據安全事件時”,要求“在發生安全事件的八小時內向設區的市級網信部門和有關主管部門報告事件基本信息”,“在事件處置完畢後五個工作日內向設區的市級網信部門和有關主管部門報告包括事件原因、危害後果、責任處理、改進措施等情況的調查評估報告。”
奇安信認為,
針對這些規定,應該建立信息安全事件相關的處置內部規章制度,主動配合主管部門進行事件的處置工作。配備數據安全負責人和個人信息保護負責人,建立數據安全與個人信息保護的專業團隊,通過制度建設、人員培訓、技術保障等方式推進數據安全與個人信息保護的落實工作。
確立權限界限保障個人權益
《條例》第十九條指出,“數據處理者處理個人信息,應當具有明確、合理的目的,遵循合法、正當、必要的原則。”同時,基於個人同意處理個人信息的,應當滿足“提供服務必須”、或者是履行法律、行政法規規定的義務所必需的;同時要滿足“限於實現處理目的最短週期、最低頻次,採取對個人權益影響最小的方式”。
奇安信建議,
對個人信息採集前端如APP、小程序、網站等,應該加強技術檢測,對自研及外包的用户軟件進行全面檢測和排查。在這方面,奇安盤古為客户提供了“隱私衞士系統”,它是一款隱私安全合規檢測產品,可以幫助企業對移動應用進行全方位的隱私安全合規檢測,提前發現合規隱患,避免由此帶來的數據泄漏、資產損失、監管處罰等風險,幫助企業APP合規經營、健康發展。
《條例》第二十二條對數據的刪除和匿名化處理,提出了明確要求。並針對“已實現個人信息處理目的”、“達到約定或者規則明確的存儲期限”、“終止服務或者個人註銷賬號”、“自動化採集無法採集到的非必要個人信息或者未經個人同意的個人信息”四類情況之一的,要求數據處理者者應當在十五個工作日內刪除個人信息或者進行匿名化處理。
《條例》還規定了“個人提出查閲、複製、更正、補充、限制處理、刪除其個人信息的合理請求的”,數據處理者應當履行的具體義務。
奇安信認為,
企業應該梳理運營過程中收集的各類個人信息內容,特別是歷史運營過程中積累的個人信息,符合上述情況的個人信息內容,執行刪除或匿名化操作。
同時,企業運營者應該對用户查閲、複製、更正、刪除等合理請求進行及時響應處理,保障用户個人權益。
03
數據安全監管如箭在弦頂層設計和體系建設亟待提速
“從《數據安全法》9月1日正式實施,《個人信息保護法》11月1日正式實施,到11月14日作為配套細則的《網絡數據安全管理條例》迅速落地,充分説明瞭數據安全從立法到監管執行的強大力度和時間緊迫性。”奇安信數據安全專家表示。
“在《條例》中,我們可以看到清晰的責任到人制度和違規懲戒力度,可以肯定,在2022年各監管部門將加大對數據安全的監管執行落地,而在這方面建設滯後的企業,勢必會面臨被鉅額處罰甚至停業整頓的風險。”
奇安信認為,對廣大政企機構、平台型互聯網公司而言,迫切需要在數據安全治理、數據的分類分級,以及數據全流程管理、數據保護體系的建設等方面,加大投入力度。
尤其考慮到數據安全具有監管緊迫、動態變化和複雜度高等特徵,建議選擇兼具數據安全頂層設計能力,以及完整數據安全解決方案的頭部安全企業,共同應對數字化時代的安全挑戰,滿足監管合規需求,在數字經濟的浪潮中行穩致遠。