数安条例百问89、90:关于大型互联网平台审计与新技术评估
小贝案语
11月14日,国家互联网信息办公布了《网络数据安全管理条例(征求意见稿)》。为此,小贝说安全设立《网络数据安全管理条例(征求意见稿)》(后文简称《条例》)解读专栏,以百问百答的形式对《条例》进行系列解读。
需要指出,这些解读只是专家个人观点,不代表官方意见;且这些解读针对的是征求意见稿,未来条文本身可能会发生变化,不排除会有新增和删除。
对应条款
第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。
解读
《个人信息保护法》有两个条款提到审计。
一是第五十四条:“个人信息处理者应当定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。”
二是第六十四条:“履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。”
《条例》第五十三条也对审计作了规定,其与《个人信息保护法》的关系有以下几个方面:
一、《条例》所提审计要求与《个人信息保护法》不冲突。落实第五十三条要求前,应当首先遵循《个人信息保护法》相关要求。
二、《条例》所提审计要求是针对大型互联网平台运营者的。按照《条例》在“附则”中给出的定义,大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。这也可以解释,为什么《条例》第五十三条的审计要求要比《个人信息保护法》严格。
三、《条例》明确,大型互联网平台运营者的数据安全审计是第三方审计。《个人信息保护法》第五十四条并未对审计的实施主体进行说明,其完全可以是企业自身,即这种审计可以是内审。但《个人信息保护法》第六十四条则规定,如履行个人信息保护职责的部门发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。显然,作为处罚手段之一,后者属于外部第三方审计。但这种第三方审计活动并不一定常发生,这毕竟是一种罚则。但《条例》则将大型互联网平台运营者的审计明确为一种常态(每年一次)。
四、《条例》所提审计比《个人信息保护法》规定的审计内容要多。后者只是审计个人信息处理活动,而前者则同时覆盖个人信息和非个人信息,且要求审计平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况。
五、《条例》增加了披露审计结果的要求。一般而言,审计报告含有较多的企业敏感信息,不宜公开。即使公开,也有个详略程度的问题。但企业的数据处理情况涉及公民个人权益和公共利益,有必要通过公布数据安全审计报告而引入社会监督机制,这也是企业履行社会责任的一种方式。
对应条款
第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。
解读
新技术新应用往往带有不可预测性,其如果盲目上线运行,可能对国家安全和公共利益带来重大安全风险。为此,早在2010年,根据有关文件精神,工业和信息化部便提出了建立新技术新业务网络信息安全评估机制的工作安排。中央网信办成立后,鉴于有的互联网新技术新应用很可能对互联网信息内容安全管理手段带来冲击,国家网信部门也开始提出对新技术新应用的安全要求。
2017年6月,工业和信息化部印发了《互联网新业务安全评估管理办法(征求意见稿)》。而在此前的2016年,工业和信息化部已经通过了行业标准YD/T 3169-2016《互联网新技术新业务信息安全评估指南》。该标准后来修订为YD/T 3169-2020《互联网新技术新业务安全评估指南》。此外,中国信息通信研究院还建立了互联网新技术新业务安全评估中心,具体负责相关技术工作。
在信息内容安全方面,国家互联网信息办于2017年10月印发了《互联网新闻信息服务新技术新应用安全评估管理规定》;2018年11月,国家互联网信息办、公安部联合印发了《具有舆论属性或社会动员能力的互联网信息服务安全评估规定》,目的是加强对具有舆论属性或社会动员能力的互联网信息服务和相关新技术新应用的安全管理;2019年8月,国家互联网信息办发布公告,对《区块链信息服务管理规定》第九条“区块链信息服务提供者开发上线新产品、新应用、新功能的,应当按照有关规定报国家和省、自治区、直辖市互联网信息办公室进行安全评估”的要求进行了解释,要求区块链服务机构自行委托已获认证认可的技术机构开展安全风险自评估;2021年3月,国家互联网信息办、公安部发布了《加强对语音社交软件和涉深度伪造技术的互联网新技术新应用安全评估》,以指导各地网信部门、公安机关加强对语音社交软件和涉“深度伪造”技术的互联网新技术新应用安全评估工作。
在上述实践基础上,《条例》将新技术新应用安全评估工作上升为法规的规定,以便为政府部门的有关活动提供上位法依据。考虑到《条例》的定位,其强调了利用新技术开展数据处理活动的行为,并重点突出了人工智能、虚拟现实、深度合成等可能对国家政治安全、社会安全、军事安全等带来重大影响的新技术新应用。
相关文章
数安条例百问 3、4:关于 “网络数据” 和 “数据处理者”
数安条例百问 15、16、17、18、19:关于数据处理者安全保护义务
数安条例百问 27、28、29、30:关于 “一般要求” 中的几个特定考虑
数安条例百问 46、47、48:关于生物特征应用和一百万人以上个人信息处理者的适用
数安条例百问 55、56、57、58、59:关于年度评估与对外提供数据的风险评估
数安条例百问 60、61:关于征得主管部门同意要求及云安全评估要求
数安条例百问 66、67、68:关于数据出境的单独同意、评估条件与国际协议
数安条例百问 69、70:关于数据出境安全管理义务与安全报告
数安条例百问 71、72、73:关于数据出境安全技术监管措施
数安条例百问 74、75、76、77、78:关于平台规则、隐私政策和算法策略
数安条例百问 81、82、83:关于反不正当竞争、应用程序分发管理和数据互通
数安条例百问 84、85:关于个性化推荐
数安条例百问 86:关于网络身份认证公共服务基础设施
