数安条例百问52、53、54:关于备案、培训与采购
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括:
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等;
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身;
(三)国家网信部门和主管、监管部门规定的其他备案内容。
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。
依据部门职责分工,网信部门与有关部门共享备案信息。
解读
重要数据处理者备案是一项新提出的规定。这一规定的影响很大,引起了广泛讨论。为了更好理解这一规定,可以从以下几个方面关注:
一是,备案目的是什么?《条例》旨在建立完整的重要数据安全保护制度,如重要数据出境管理、对外提供重要数据前的风险评估、重要数据年度报告、重要数据安全审计等。为落实这些制度,首先需要了解谁是重要数据处理者,为此规定重要数据处理者应当进行备案。备案内容主要包括两方面,即机构的情况和重要数据的情况。
二是,有意不备案怎么办?现实中可能会出现这样的情况,拥有重要数据的组织不按要求备案。但这不是只有这一制度才会遇到的,任何一项备案制度甚至审批制度都会发生有意规避法律义务的情况。这将通过法律威慑力解决,即有意不备案的组织将会承担相应的法律责任,且这一责任大到了该组织没必要冒风险的程度。
三是,既然国家要组织制定重要数据目录,目录中会涉及到重要数据处理者的情况,为什么还要另行备案呢?《数据安全法》第二十一条要求制定重要数据具体目录;《条例》第二十七条对制定目录提出了具体要求。按照常规理解,将来这个目录中一定会标明重要数据所在的组织,即重要数据处理者。在目前的制度设计中,重要数据目录报送和重要数据处理者备案都是面向网信部门,理论上有很多内容可以共同,至少两者强关联。但考虑到这两项制度的目的不同,所以还是分成了不同的制度。但在实际工作中,完全可以通过同一平台报送和备案,填写时有些字段可以共享。
四是,如果多个部门提出备案要求怎么办?不同的部门有不同的监管要求,所需要了解的内容各不一样,除网信部门、行业主管监管部门外,不排除还有其他部门也需要掌握重要数据处理者的信息。但为了减轻数据处理者负担,《条例》要求统一报送。如其他部门有需要,可依据部门职责分工,由网信部门向其共享备案信息。
五是,处理一百万人以上个人信息的处理者也要备案吗?《条例》对处理一百万人以上个人信息的处理者也提出了一些增强性的要求,为监督这些要求的落实,自然也有必要掌握此类数据处理者的情况。此外,《条例》第二十六条也指出,数据处理者处理一百万人以上个人信息的,还应当遵守第四章对重要数据的处理者作出的规定。这一表述自然包括对数据处理者的备案要求。从以上两个逻辑看,处理一百万人以上个人信息的处理者也需要备案。但如“百问百答”前所述,一百万人以上个人信息并不是重要数据,对重要数据的要求不可能全部适用于处理一百万人以上个人信息的处理者,例如制定一百万人以上个人信息的目录是没有意义的。此外,从目前的《条例》内容看,第四章有些条款确有不完全适用一百万人以上个人信息的处理者的情况。故一百万人以上个人信息的处理者是否一定要备案,这尚待进一步明确,目前尚不能作出肯定回答。
对应条款
第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。
解读
培训对于提升意识、提高技能的重要性不言而喻,故在增强性的要求中,往往要求全员培训。这里的“全员”,包括后勤、财务、人事、行政等全体部门的人员。这可以理解,因为每一个部门的人员都涉及安全。至少对“社会工程学”攻击而言,一些非业务部门反而更容易被盯上。此外,每一个部门也的确有各自岗位的安全防护任务,都需要接受培训。
当年《网络安全法》在第三十四条提出,除该法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;……。
上述的“从业人员”便是指全员。但由于《网络安全法》没有明确使用“全员”,故在实际工作中很少有组织这么做,这是很遗憾的事情。
为此,《条例》直接提出,要“组织开展全员数据安全教育培训”,最大程度减少了对条文的误解。至于其中的数据安全相关的技术和管理人员,则显然需要接受更多培训,《条例》要求不得少于每年20小时。
一些人可能会关心,什么样的培训才是适宜的呢?目前,随着数据安全和个人信息保护热度的上升,相关培训市场迅速发展,但也出现了良莠不齐的情况。据了解,目前有关部门正在研究如何规范我国网络安全培训市场(含数据安全),今后可能会出台进一步的规定。《条例》本身没有限定具体的培训类型,目前也未要求“持证上岗”。
有关组织如果对员工获取数据安全相关证书感兴趣,国外证书可以参考IAPP(国际隐私专业协会)颁发的CIPM/CIPT/CIPP(注册信息隐私管理师/注册信息隐私技术专家/注册信息隐私专家)证书,国内证书可以参考中国信息安全测评中心颁发的CISP-PIP(注册信息安全专业人员-个人信息保护)证书。
对应条款
第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。
解读
在法律层面,最早提出“安全可信”的是《网络安全法》第十六条。该条要求推广安全可信的网络产品和服务。
此后,《关键信息基础设施安全保护条例》第十九条规定,关键信息基础设施运营者应当优先采购安全可信的网络产品和服务。
显然,无论对于重要数据处理者,还是对于关键信息基础设施运营者,其采购的产品和服务对最终的安全影响甚大,故理应重视“安全可信”。
那么,什么是“安全可信”呢?对此,有关部门曾有过定性描述:
安全可信与自主可控、安全可控有着相同的基本要求,主要包括三个方面:
一是产品或服务提供者不应利用提供产品或服务的便利条件非法获取用户重要数据,损害用户对自己数据的支配权;
二是产品或服务提供者不应通过网络非法控制和操纵用户设备,损害用户对自己所拥有和使用设备的控制权;
三是产品和服务提供者不应利用用户对产品和服务的依赖性牟取不正当利益,实施垄断经营,包括停止提供合理的安全技术支持,迫使用户更新换代。
提出安全可信的要求主要是为了保障用户利益,无论是国外产品还是国内产品,都应该符合安全可信的要求,不得损害用户利益。
从近年来国际形势看,“安全可信”的指标还可以加上一个:产品和服务具有安全性、开放性、透明性,供应渠道可靠,不会因为政治、外交、贸易等因素导致供应中断。
对于第三十一条的规定,《条例》在第六十二条给出了罚则。这是一个瑕疵。既然《条例》提出的是“优先采购”,那么这属于倡导性规定,不应该制定罚则。相信这一问题会在后续得到妥善处理。
相关文章:
数安条例百问15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问27、28、29、30:关于“一般要求”中的几个特定考虑
数安条例百问46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问55、56、57、58、59:关于年度评估与对外提供数据的风险评估
