网络数据安全管理条例(征求意见稿)中的那些评估
《网络数据安全管理条例(征求意见稿)》(“《条例》”)将数据安全的风险评估作为一项普遍和常态的风险控制和管理手段,这体现在《条例》对评估的多条款规定上。
整体而言,《条例》的评估可以分为年度评估和日常评估(定期、非定期)两大类。在两类下又针对一般事项和特定事项,进一步细化为若干评估。
当然如果体系化,还可以依据实施评估的主体,将评估区分为数据处理者启动的评估和网信部门等监管机构发起的评估;以及《网络安全法》以来就有所规定的自评估和外部第三方评估等等。一个初步细化后的评估分类体系主要归纳如下:
一、数据处理者基于业务需求发起的业务评估
此类评估一般为处理者自行发起,主要包括:
1、在境外“分析、评估境内个人、组织的行为” 的数据活动,……适用本条例。
《条例》此规定的评估,是数据处理者为业务需要发起的经营活动,非基于监管的强制性评估。但在某些具体的业务场景中,此条的评估可以细化为若干具体的强制评估,如下。
2、“数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能”。
此即一种具体的业务评估活动。即对于爬虫类数据活动,需进行强制评估。尽管该评估不需直接报送监管或主管机构,但一般认为应在监管机构检查中体现,并作为可能的年度评估(如为重要数据处理者)的重要组成部分。
3、“数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息”。
此为企业针对生物特征收集必要性进行的业务评估,与上段一样为强制评估。
4、“互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估”。
此为针对平台新技术、新应用的强制评估,例如目前《互联网信息服务算法推荐管理规定》征求意见稿的算法评估要求,以及早先网信部门就新闻信息服务的评估规定。
二、数据处理者针对数据安全事件的调查评估
此评估规定主要指:“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务:……在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告”。
按照上述表述,该评估指的是发生数据安全事件(“传统”意义上也属于网络安全或者信息安全事件的一个类别)后,就整个事件处置的调查报告。也正是从这个意义上,以及评估程序的前置性要求上,可以考虑避免使用评估字样避免混淆。
三、企业和行业、领域实施的定期评估(定期的频率未规定)
尽管严格讲年度数据安全评估也属于定期的评估,但不属于本类定期评估。主要包括两种情况:
1、企业发起的定期评估,指:“重要数据的处理者,应当……定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动”。
这一类定期评估,类似于《网络安全法》对关键信息基础设施运营者的额外义务要求。重要数据处理者通常会基于两种缘由发起定期评估:(1)在企业数据安全的规章制度中明确风险评估的频率和次数;(2)基于特定业务需要、监管要求发起的定期评估。因此与年度数据安全评估不同,也不能相互替代。
2、行业发起的定期评估是《条例》规定的:“主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改”。
这一类定期评估,在《网络安全法》等中也有明确体现。实务中的对标包括两年一度的最新一期为欧盟“网络欧洲2020”的演习,一般认为是欧洲网络与信息安全局(ENISA)牵头,多行业参与。
四、针对平台规则、云计算服务等的特定评估
主要包括两类:
1、“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意”。
之所以此条单列,主要是因为其提出了评估应当由“网信部门认定的第三方机构”进行,这就和认证认可条例等资质认证建立了联系。换言之,企业通过聘请第三方协助进行的自评估的绝大多数情形,并无强制的认定资质要求。
2、其他特定评估,主要包括“国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估”的情况,评估依据包括《云计算服务安全评估办法》和其他可能适用的规定。
五、重要数据处理者等的实施并报送的年度数据安全评估
尽管《条例》对年度评估的主体和事项规定为:“处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门……”
但在该条第4款,对“重点评估”内容的表述的主体是“数据处理者”,这可能会产生是否所有的数据处理者都需要年度评估的疑惑。在我们仍然假定此处的数据处理者指的是处理重要数据或者赴境外上市的数据处理者的前提下,更关注的是其增加规定的重点评估的额外事项,并明确“评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据”——这里就可能隐含了一个对年度数据安全评估报告的监管“评价”活动。
六、网信部门实施的出境安全评估
出境评估属于针对专门事项的特定评估,但立法者给与了更多条款关注。“数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一:(一)通过国家网信部门组织的数据出境安全评估……。并规定了在涉及重要数据、关键信息基础设施、一百万以上用户的情形下,应当适用数据出境安全评估,而不能选择“个人信息保护认证”或“标准合同”的方式。
值得注意的是,出境评估条款中还针对个人信息和重要数据区分规定了两类“评估”,这体现出个人信息和重要数据在适用数据出境安全评估时的不同:
(1)“数据处理者向境外提供数据应当履行以下义务:(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息……”,此条的评估指向《个人信息保护法》规定的个人信息保护影响评估。
(2)“数据处理者向境外提供数据应当履行以下义务:……(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据”。
七、结论
评估作为风险控制、管理的机制,一般理解为事前、事中的前置或过程机制,而非事后报告机制,这在《条例》也得到体现。例如对出境事项,在事后提交的是“数据出境安全报告”而非评估报告。把握这一点,也有利于识别和准确应用《条例》规定的各类评估。
附表一览图:
