2021年11月14日,国家互联网信息办公室对外发布《网络数据安全管理条例(征求意见稿)》公开征求意见。《条例》旨在落实三大上位法关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
奇安信数据安全专家认为,数据安全关系到经济、公共利益与国家安全,今年9月和11月相继实施的《数据安全法》、《个人信息保护法》,和《网络安全法》共同构成和数据安全紧密相关的三大上位法。此次发布的《条例》,在实施细则、责任界定、规范要求、惩罚措施等方面更加清晰细致,为广大政企客户、平台型互联网企业等都提供了数据安全体系建设和满足合规监管的完整路径,补齐了上位法在操作实施层面存在的空白。
01 广大政企机构: 六大举措 构建完善的数据安全体系
对于数字化转型的主题,广大的政企机构,是本次《条例》重要的适用对象。需要在以下六个方面落实相关举措。
举措一:明确责任、细化义务
对于政企机构而言,首要任务是依据法律条例合规解读,明确责任与义务。
首先,关于适用对象,《条例》在第二条细则中指出,开展数据处理活动、网络数据安全监督管理,以及“以向境内提供产品或者服务为目的;分析、评估境内个人、组织的行为;涉及境内重要数据处理;法律、行政法规规定的其他情形”都适用于本《条例》。
其次,关于责任与义务,按照第六条所说“数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。”
具体来说,《条例》第九条围绕各类场景、等保要求等详细说明了数据处理者的责任与义务,“应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。 ”
并且,按照网络安全等级保护要求,数据处理者还应“加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。”此外,数据处理者应当使用密码对重要数据和核心数据进行保护。
奇安信认为,
作为上位法的配套细则,《网络数据安全管理条例》明确规定了适用对象,对数据处理者相应的法律责任与义务做出了详细规定,主要集中在三个方面,即 明确了 必要措施以及应对的安全风险和事件; 明确了 重要数据系统必须满足等保三级以上和关基保护要求; 明确 了 使用多种综合方法在不同环节保护重要数据和信息数据,便于政企组织依据《条例》进行合规解读、明晰责任,进一步推动后续数据安全管理措施的落地与执行。
举措二:调整组织、确定策略
《条例》 第二十八条指出“重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。”
《条例》强调,在数据安全负责人的领导下,重要数据的处理者履行以下职责“研究提出数据安全相关重大决策建议;制定实施数据安全保护计划和数据安全事件应急预案;开展数据安全风险监测,及时处置数据安全风险和事件;定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动;受理、处置数据安全投诉、举报;按照要求及时向网信部门和主管、监管部门报告数据安全情况。”
《条例》从国家、政企组织等层面强调健全管理制度,建立数据安全管理机构,明确负责人、处理者各方责任与义务。
对此,奇安信建议,
政企组织根据自身工作情况与业务尽快建立数据安全管理机构,根据相关法律法规以及行业标准做合规指引,结合IT与数字化战略、合规性、业务需求、数据安全风险等情况,制定相应的管理制度、规范和流程,对数据确权、数据使用策略等进行管理,从而延伸到数据安全策略,以便于指导数据管理落地工作,为数据安全提供充分的制度保障。
举措三:摸清家底 分级细化
关于数据分级分类,《条例》第五条详细提到,“按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。”另外,《条例》专门针对重要数据安全展开,强调政企组织、各行业领域的数据处理者应“识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。”
此外,《条例》附则对数据类别、重点行业、数据管理各方对象等进行了明确定义。
奇安信认为,
开展数据安全治理工作,相关政企应该尽快摸清家底,对数据资产进行盘点,摸清数据资产和以及个人信息数据分布情况,制定重要数据和核心数据目录。
识别重要数据、核心数据,对数据进行分类分级和打标,基于数据分类分级结果、敏感数据和重要数据的流转及使用情况,构建数据脉络,并结合场景化的数据安全⻛险分析及数据安全能力需求分析,制定数据安全策略和技术防护保障措施。
在数据安全管理上,要根据数据分级分类做到精细化防护,不同类别、不同级别要求的保护措施不同。
举措四:界定阶段、动态防护
《条例》第三条指出,“国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。”
奇安信认为,企业数字化需要统筹发展与安全,安全是前提,但要找平衡点,要结合自身数字化水平和现状,建立相应的数据安全能力和防御体系。
更进一步来说,传统数据安全以静态地保护数据实体为主,比如数据库本身的安全、文件加密。而数字化时代的数据安全不仅要保护数据实体,还要以分类分级为基础,在数据流转基础之上做动态的防护。
在这个过程中,企业需要在《条例》指引下, 在关键环节对重要数据进行精准防护 在数据的采集和存储过程中采取必要的脱敏、去标识化、加密等安全保护手段。
对于数据流转和使用的场景,奇安信建议,
政企机构需要基于零信任体系,结合数据应用场景,基于访问主体 (数字身份),对数据使用进行动态细粒度授权及访问控制,实现对应用、服务, API接口、数据服务级别的精准管控,并对数据使用进行记录留痕。
同时,围绕数据流转与访问行为,政企机构需建立数据安全态势感知平台,可视化呈现重要数据和个人数据的分布态势,做好风险监测和预警处置,并对数据安全威胁及时预警和处置。
针对客户数字化过程中的动态安全需求,奇安信发布的“数据安全能⼒框架”,以及“数据安全概念运⾏图”(数据安全ConOps),是数据安全建设的⼀套思路、⽅法与⼯具,可以帮助⽤户去设计和构建业务场景的数据安全体系和解决⽅案,展现了“数据安全治理到技术体系落地如何去贯穿,以及安全能⼒在信息化各个层⾯的⼯程化落地⽅法”。
举措五:完善评估 定期上报
《条例》第三十二条指出,处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门。
其中,评估报告的内容包括:处理重要数据的情况;发现的数据安全风险及处置措施;数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性;落实国家数据安全法律、行政法规和标准情况;发生的数据安全事件及其处置情况等等。同时《条例》指出,“数据处理者应当保留风险评估报告至少三年。”
举措六:特定场景 特别应对
《条例》针对特定情况、特定场景等进行了细化,其中第五章专门介绍了“数据跨境安全管理”的要求细则。
第三十七条指出,“数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估。”情形包括“出境数据中包含重要数据”和“关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息”等。
奇安信建议,
围绕数据跨境需要做好安全管理和评估工作,如涉及业务数据出境,则应明确数据使用范围,对数据出境安全进行自评估,并借助数据跨境监测工具,识别和发现出境流量做好自监管,严格按照法律法规要求进行管控和防护。奇安信在这个领域也给出了针对性数据跨境安全检测方案。
同时,《条例》对规范数据交易、确保数据有序流通提出了明确规定。《条例》第七条指出,“国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。”在具体落实上,包括“国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。”
在数据共享开放及交易过程中,通过数据安全分离、隐私计算等技术,实现敏感数据隐私计算的安全能力,在保证原始数据不流出的前提下进行价值挖掘,实现“数据不动程序动、数据可用不可⻅”,保障数据合法合规安全开放与使用。
目前哈工大(深圳)-奇安信数据安全研究院基于“数据不动程序动,数据可用不可见”的隐私保护新理念,研发了数据交易沙箱这一核心产品,实现了在保护数据隐私的前提下,最大限度地挖掘大数据价值。
总体来看,《条例》充分体现了“数据安全是合规、管理与技术体系融合”的观点。奇安信在业内首次推出的数据安全运行构想图,囊括了数据安全应具备的三个状态:治理态、规划态和运行态,细致展现了数据安全治理结果转化到规划设计、技术落地的过程。
02 平台型互联网企业: 清晰界定职责 履行合规监管
《条例》针对互联网平台运营者,设定了专门章节,对个人信息保护层面,进行了具体细化,包括数量级的界定、上报时间的要求等,这对于拥有海量个人用户信息的平台型互联网企业,具有重要的指导意义。
从数量维度对数据安全定级评估
《条例》在第六章第四十三条明确指出,互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。
同时,《条例》根据用户数量细化了不同的职责和义务。明确指出,“日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。”
《条例》还提出,数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。可见,数据安全的重要级别和其个人信息的数量级别紧密相关。这个规定比《数据安全法》、《个人信息保护法》具有更详尽的实操参考。
从时间维度明确响应速度
《条例》第十一条对响应时间、数量级等进行了约束,包括“安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人。”
对于“发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时”,要求“在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息”,“在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告 。”
奇安信认为,
针对这些规定,应该建立信息安全事件相关的处置内部规章制度,主动配合主管部门进行事件的处置工作。配备数据安全负责人和个人信息保护负责人,建立数据安全与个人信息保护的专业团队,通过制度建设、人员培训、技术保障等方式推进数据安全与个人信息保护的落实工作。
确立权限界限 保障个人权益
《条例》第十九条指出, “数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。”同时,基于个人同意处理个人信息的,应当满足“提供服务必须”、或者是履行法律、行政法规规定的义务所必需的;同时要满足“限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式”。
奇安信建议,
对个人信息采集前端如APP、小程序、网站等,应该加强技术检测,对自研及外包的用户软件进行全面检测和排查。在这方面,奇安盘古为客户提供了 “隐私卫士系统” ,它是一款隐私安全合规检测产品,可以帮助企业对移动应用进行全方位的隐私安全合规检测,提前发现合规隐患,避免由此带来的数据泄漏、资产损失、监管处罚等风险,帮助企业APP合规经营、健康发展。
《条例》第二十二条对数据的删除和匿名化处理,提出了明确要求。并针对“已实现个人信息处理目的”、“达到约定或者规则明确的存储期限”、“终止服务或者个人注销账号”、“自动化采集无法采集到的非必要个人信息或者未经个人同意的个人信息”四类情况之一的,要求数据处理者者应当在十五个工作日内删除个人信息或者进行匿名化处理。
《条例》还规定了“个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的”,数据处理者应当履行的具体义务。
奇安信认为,
企业应该梳理运营过程中收集的各类个人信息内容,特别是历史运营过程中积累的个人信息,符合上述情况的个人信息内容,执行删除或匿名化操作。
同时,企业运营者应该对用户查阅、复制、更正、删除等合理请求进行及时响应处理,保障用户个人权益。
03 数据安全监管如箭在弦 顶层设计和体系建设亟待提速
“从《数据安全法》9月1日正式实施,《个人信息保护法》11月1日正式实施,到11月14日作为配套细则的《网络数据安全管理条例》迅速落地,充分说明了数据安全从立法到监管执行的强大力度和时间紧迫性。”奇安信数据安全专家表示。
“在《条例》中,我们可以看到清晰的责任到人制度和违规惩戒力度,可以肯定,在2022年各监管部门将加大对数据安全的监管执行落地,而在这方面建设滞后的企业,势必会面临被巨额处罚甚至停业整顿的风险。”
奇安信认为,对广大政企机构、平台型互联网公司而言,迫切需要在数据 安全治理、数据的分类分级, 以及数据全流程管理、数据保护体系的建设等方面,加大投入力度。
尤其考虑到数据安全具有监管紧迫、动态变化和复杂度高等特征,建议选择兼具数据安全顶层设计能力,以及完整数据安全解决方案的头部安全企业,共同应对数字化时代的安全挑战,满足监管合规需求,在数字经济的浪潮中行稳致远。
RacentYY
尚思卓越
一颗小胡椒
Anna艳娜
Andrew
Andrew
RacentYY
RacentYY
Anna艳娜
X0_0X
